A BÍRÓSÁG ÍTÉLETE (harmadik tanács)
2022. április 28.(*)
„Előzetes döntéshozatal – A természetes személyeknek a személyes adatok kezelése tekintetében történő védelme – (EU) 2016/679 rendelet – 80. cikk – Az érintett személyek nonprofit egyesület általi képviselete – Fogyasztói érdekvédelmi egyesület által megbízás nélkül és az érintett személy konkrét jogainak megsértésétől függetlenül indított képviseleti kereset – A tisztességtelen kereskedelmi gyakorlatok tilalmára, valamely fogyasztóvédelmi törvény megsértésére vagy az érvénytelen általános szerződési feltételek alkalmazásának tilalmára alapított kereset”
A C‑319/20. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Bundesgerichtshof (szövetségi legfelsőbb bíróság, Németország) a Bírósághoz 2020. július 15‑én érkezett, 2020. május 28‑i határozatával terjesztett elő
a Meta Platforms Ireland Limited, korábban Facebook Ireland Limited
és
a Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
között folyamatban lévő eljárásban,
A BÍRÓSÁG (harmadik tanács),
tagjai: A. Prechal, a második tanács elnöke, a harmadik tanács elnökeként eljárva, J. Passer, F. Biltgen, L. S. Rossi (előadó) és N. Wahl bírák,
főtanácsnok: J. Richard de la Tour,
hivatalvezető: M. Krausenböck tanácsos,
tekintettel az írásbeli szakaszra és a 2021. szeptember 23‑i tárgyalásra,
figyelembe véve a következők által előterjesztett észrevételeket:
– a Meta Platforms Ireland Limited képviseletében H.‑G. Kamann, M. Braun és H. Frey Rechtsanwälte, valamint V. Wettner Rechtsanwältin,
– a Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. képviseletében P. Wassermann Rechtsanwalt,
– a német kormány képviseletében D. Klebs és J. Möller, meghatalmazotti minőségben,
– az osztrák kormány képviseletében A. Posch, G. Kunnert és J. Schmoll, meghatalmazotti minőségben,
– a portugál kormány képviseletében L. Inez Fernandes, C. Vieira Guerra, P. Barros da Costa és L. Medeiros, meghatalmazotti minőségben,
– az Európai Bizottság képviseletében kezdetben: F. Erlbacher, H. Kranenborg és D. Nardi, később: F. Erlbacher és H. Kranenborg, meghatalmazotti minőségben,
a főtanácsnok indítványának a 2021. december 2‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: általános adatvédelmi rendelet) 80. cikke (1) és (2) bekezdésének, valamint 84. cikke (1) bekezdésének értelmezésére vonatkozik.
2 E kérelmet az Írországban székhellyel rendelkező Meta Platforms Ireland Limited, korábban Facebook Ireland Limited és a Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (fogyasztói központok és szervezetek országos szövetsége, Németország; a továbbiakban: országos szövetség) között azzal kapcsolatban folyamatban lévő jogvita keretében terjesztették elő, hogy a Meta Platforms Ireland megsértette a személyes adatok védelmére vonatkozó német jogszabályokat, amely jogsértés egyúttal tisztességtelen kereskedelmi gyakorlatnak, a fogyasztóvédelmi törvény megsértésének és az érvénytelen általános szerződési feltételek használatára vonatkozó tilalom megsértésének is minősül.
Jogi háttér
Az uniós jog
Az általános adatvédelmi rendelet
3 Az általános adatvédelmi rendelet (9), (10), (13) és (142) preambulumbekezdése kimondja:
„(9) A [személyes adatok feldolgozása {helyesen: kezelése} vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.)] célkitűzései és elvei továbbra is érvényesek, azonban az irányelv nem akadályozta meg sem azt, hogy az Unió tagállamaiban az adatvédelem végrehajtása széttagolt módon valósuljon meg, sem a jogbizonytalanságot, sem pedig azt, hogy széles körben az a benyomás alakuljon ki, hogy természetes személy védelme – különösen az online tevékenységek esetében – jelentős kockázatoknak van kitéve. Az a tény, hogy a személyes adatok kezelése tekintetében a természetes személyek jogai és szabadságai egyes tagállamokban eltérő szintű védelmet élveznek, különösen, ami személyes adatok védelméhez való jogot illeti, a személyes adatok Unióban történő szabad áramlásának útjában állhat. Ebből eredően ezek az eltérések a gazdasági tevékenységek uniós szinten való folytatásának akadályát képezhetik, torzíthatják a versenyt, és hátráltathatják a hatóságokat az uniós jog szerinti feladataik ellátásában. A jogok és szabadságok védelmi szintjében mutatkozó ilyen eltérések a [95/46] irányelv végrehajtásában és alkalmazásában fennálló eltérésekre vezethetők vissza.
(10) A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. […]
[…]
(13) A természetes személyek egységes, uniós‑szintű védelmének biztosítása, valamint a személyes adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése érdekében rendelettel kell biztosítani a jogbiztonságot és az áttekinthetőséget valamennyi tagállam gazdasági szereplői részére – beleértve a mikro‑, kis‑ és középvállalkozásokat is –, továbbá rendelettel kell biztosítani a természetes személyek részére minden tagállamban azonos szintű, jogi úton érvényesíthető jogokat és kötelezettségeket, az adatkezelők és adatfeldolgozók számára azonos felelősséget, a személyes adatok kezelésének következetes nyomon követését, valamennyi tagállamban azonos szankciók alkalmazását, és a különböző tagállamok felügyeleti hatóságai közötti hatékony együttműködést. […]
[…]
(142) Ha az érintett úgy ítéli meg, hogy az ezen rendelet értelmében fennálló jogait megsértették, jogában áll megbízni egy, a személyes adatok védelmével foglalkozó, az alapszabályában rögzített közérdekű célokat szolgáló, a tagállami jognak megfelelően létrehozott nonprofit szervet, szervezetet vagy egyesületet, hogy a nevében eljárva panaszt nyújtson be valamely felügyeleti hatóságnál, gyakorolja a bírósági jogorvoslathoz való jogot, illetve gyakorolja a kártérítéshez való jogot, ha ez utóbbit a tagállami jog biztosítja. A tagállam rendelkezhet arról, hogy az adott tagállamban ilyen szerv, szervezet vagy egyesület jogosult arra, hogy az érintett megbízásától függetlenül ebben a tagállamban panaszt nyújtson be és hatékony bírósági jogorvoslattal élhessen, ha alapos okkal úgy véli, hogy az érintett jogai sérültek annak következtében, hogy személyes adataik kezelése e rendelet megsértésével történt. Ez a szerv, szervezet vagy egyesület nem jogosult, hogy az érintett nevében, annak megbízásától függetlenül kártérítést igényeljen.”
4 E rendelet „Tárgy” című 1. cikkének (1) bekezdése így rendelkezik:
„Ez a rendelet a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg.”
5 Az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében:
„E rendelet alkalmazásában:
1. »személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható”.
6 Az általános adatvédelmi rendeletnek a 12–23. cikket tartalmazó III. fejezete „Az érintett jogai” címet viseli.
7 E rendelet „Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések” című 12. cikkének (1) bekezdése kimondja:
„Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.”
8 Az általános adatvédelmi rendeletnek a „Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik” című 13. cikke az (1) bekezdésének c) és e) pontjában a következőket írja elő:
„Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:
[…]
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
[…]
e) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen […]”
9 Az említett rendeletnek a 77–84. cikket tartalmazó VIII. fejezete a „Jogorvoslat, felelősség és szankciók” címet viseli.
10 Az általános adatvédelmi rendeletnek „A felügyeleti hatóságnál történő panasztételhez való jog” című 77. cikke az (1) bekezdésében a következőképpen rendelkezik:
„Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.”
11 Az általános adatvédelmi rendeletnek „A felügyelő hatósággal szembeni hatékony bírósági jogorvoslathoz való jog” című 78. cikke az (1) bekezdésében kimondja:
„Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.”
12 Az általános adatvédelmi rendeletnek „Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog” című 79. cikke az (1) bekezdésében előírja:
„A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.”
13 Az általános adatvédelmi rendeletnek „Az érintettek képviselete” címet viselő 80. cikke a következőképpen szól:
„(1) Az érintett jogosult arra, hogy panaszának a nevében történő benyújtásával, a 77., 78. és 79. cikkben említett jogoknak a nevében való gyakorlásával, valamint – ha a tagállam joga ezt lehetővé teszi – a 82. cikkben említett kártérítési jognak a nevében történő érvényesítésével olyan nonprofit jellegű szervet, szervezetet vagy egyesületet bízzon meg, amelyet valamely tagállam jogának megfelelően hoztak létre, és amelynek az alapszabályában rögzített céljai a közérdeket szolgálják, és amely az érintettek jogainak és szabadságainak a személyes adataik vonatkozásában biztosított védelme területén tevékenykedik.
(2) A tagállamok rendelkezhetnek úgy, hogy az adott tagállamban az e cikk (1) bekezdésében említett bármely szerv, szervezet vagy egyesület – az érintettől kapott megbízástól függetlenül – jogosult legyen arra, hogy a 77. cikk alapján eljárni jogosult felügyeleti hatósághoz panaszt nyújtson be, valamint hogy gyakorolja a 78. és 79. cikkben említett jogokat, ha megítélése szerint az érintett személyes adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait.”
14 E rendeletnek „A kártérítéshez való jog és a felelősség” című 82. cikke az (1) bekezdésében így rendelkezik:
„Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.”
15 Az általános adatvédelmi rendelet „Szankciók” című 84. cikkének (1) bekezdése kimondja:
„A tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó további szankciókra vonatkozó szabályokat, különösen azon jogsértések tekintetében, amelyek nem tartoznak a 83. cikkben meghatározott, közigazgatási bírságokkal sújtható jogsértések közé, és meghoznak minden szükséges intézkedést ezek végrehajtására. E szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.”
A 2005/29/EK irányelv
16 A belső piacon az üzleti vállalkozások fogyasztókkal szemben folytatott tisztességtelen kereskedelmi gyakorlatairól, valamint a 84/450/EGK tanácsi irányelv, a 97/7/EK, a 98/27/EK és a 2002/65/EK európai parlamenti és tanácsi irányelvek, valamint a 2006/2004/EK európai parlamenti és tanácsi rendelet módosításáról szóló, 2005. május 11‑i 2005/29/EK európai parlamenti és tanácsi irányelv („a tisztességtelen kereskedelmi gyakorlatokról szóló irányelv”) (HL 2005. L 149., 22. o.) célja ezen irányelv 1. cikke szerint az, hogy hozzájáruljon a belső piac megfelelő működéséhez, valamint hogy a fogyasztók gazdasági érdekeit sértő tisztességtelen kereskedelmi gyakorlatokra vonatkozó törvényi, rendeleti és közigazgatási tagállami rendelkezések közelítése révén magas szintű fogyasztóvédelmet valósítson meg.
17 A 2005/29 irányelvnek „A tisztességtelen kereskedelmi gyakorlatok tilalma” című 5. cikke szerint:
„(1) Tilos tisztességtelen kereskedelmi gyakorlatokat alkalmazni.
(2) A kereskedelmi gyakorlat tisztességtelen, amennyiben:
a) ellentétes a szakmai gondosság követelményeivel,
és
b) a termékkel kapcsolatban jelentősen torzítja vagy torzíthatja azon átlagfogyasztó gazdasági magatartását, akihez eljut vagy aki a címzettje, illetve – amennyiben a kereskedelmi gyakorlat egy bizonyos fogyasztói csoportra irányul – a csoport átlagtagjának a gazdasági magatartását.
[…]
(5) Az I. melléklet tartalmazza azoknak a kereskedelmi gyakorlatoknak a felsorolását, amelyek minden körülmény között tisztességtelennek minősülnek. […]”
18 Ezen irányelv „Végrehajtás” címet viselő 11. cikkének (1) bekezdése előírja:
„(1) A tagállamok a fogyasztók érdekében biztosítják a tisztességtelen kereskedelmi gyakorlatok leküzdésére, valamint az ezen irányelv rendelkezései betartásának kikényszerítésére alkalmas megfelelő és hatékony eszközöket.
Ezek az eszközök magukban foglalják azokat a jogi rendelkezéseket, amelyek lehetővé teszik azoknak a személyeknek vagy szervezeteknek – a versenytársakat is beleértve –, amelyeknek a nemzeti jog alapján jogos érdekük fűződik a tisztességtelen kereskedelmi gyakorlatok leküzdéséhez, hogy:
a) bírósághoz forduljanak az ilyen tisztességtelen kereskedelmi gyakorlatok miatt;
és/vagy
b) az ilyen tisztességtelen kereskedelmi gyakorlat ügyében olyan közigazgatási hatóság előtt eljárást indítsanak, amely hatáskörrel rendelkezik a panaszok elbírálására, vagy megfelelő bírósági eljárás kezdeményezésére.
Az egyes tagállamokra tartozik annak eldöntése, hogy e jogorvoslati eszközök közül melyik álljon rendelkezésre, illetve hogy lehetővé tegyék‑e a bíróságok vagy a közigazgatási hatóságok számára, hogy a panaszok intézéséhez az egyéb meglévő eljárások előzetes lefolytatását követeljék meg, beleértve azokat is, amelyeket a 10. cikk említ. E jogorvoslati eszközök attól függetlenül rendelkezésre állnak, hogy az érintett fogyasztók abban a tagállamban vannak‑e [helyesen: hogy az érintett fogyasztók lakóhelye abban a tagállamban van‑e], amelyben a kereskedő üzleti tevékenységét folytatja, vagy egy másik tagállamban.
[…]”
19 A 2005/29 irányelvnek a minden körülmény között tisztességtelen kereskedelmi gyakorlatok jegyzékét tartalmazó I. melléklete a 26. pontjában a következőképpen rendelkezik:
„Telefonon, faxon, e‑mailen, vagy más távközlési eszközön keresztül tartósan és nem kívánt módon a fogyasztó sürgetése [helyesen: megkeresése], kivéve azon feltételek esetén és abban a mértékben, amelyet a nemzeti jog a szerződéses kötelezettség végrehajtásának érdekében jogszerűnek ismer el. Ez nem érinti […] a 95/46/EK […] irányelvet.”
A 2009/22/EK irányelv
20 A fogyasztói érdekek védelme érdekében a jogsértés megszüntetésére irányuló eljárásokról szóló, 2009. április 23‑i 2009/22/EK európai parlamenti és tanácsi irányelv (HL 2009. L 110., 30. o.) „Hatály” címet viselő 1. cikke szerint:
„(1) Ennek az irányelvnek az a célja, hogy közelítse a fogyasztóknak az I. mellékletben felsorolt uniós jogi aktusokban foglalt kollektív érdekeinek védelmét célzó, a 2. cikkben említett jogsértés megszüntetésére irányuló eljárásokra vonatkozó tagállami törvényi, rendeleti és közigazgatási rendelkezéseket azért, hogy biztosítsa a belső piac zavartalan működését.
(2) Ennek az irányelvnek az alkalmazásában jogsértésnek minősül minden olyan cselekmény, amely ellentétes a tagállamok belső jogrendjébe átültetett, az I. mellékletben felsorolt uniós jogi aktusokban foglalt rendelkezésekkel és sérti az (1) bekezdésben említett kollektív érdekeket.”
21 A 2009/22 irányelvnek a „Szélesebb cselekvési lehetőséget biztosító rendelkezések” című 7. cikke a következőképpen rendelkezik:
„Ez az irányelv nem akadályozza meg a tagállamokat abban, hogy olyan rendelkezéseket tartsanak fenn vagy fogadjanak el, amelyek a feljogosított egységek [helyesen: szervezetek] vagy bármely más érintett személy részére nemzeti szinten szélesebb cselekvési lehetőség biztosítását célozzák.”
22 A 2009/22 irányelv I. melléklete tartalmazza az ezen irányelv 1. cikkében említett uniós irányelvek jegyzékét. E melléklet 11. pontja a 2005/29 irányelvet említi.
Az (EU) 2020/1828 irányelv
23 A fogyasztók kollektív érdekeinek védelmére irányuló képviseleti keresetekről és a 2009/22 irányelv hatályon kívül helyezéséről szóló, 2020. november 25‑i (EU) 2020/1828 európai parlamenti és tanácsi irányelv (HL 2020. L 409., 1. o.) (11), (13) és (15) preambulumbekezdése kimondja:
„(11) Helyénvaló, hogy ez az irányelv ne váltsa fel azokat a meglévő nemzeti eljárási mechanizmusokat, amelyek a fogyasztók kollektív vagy egyéni érdekeinek védelmére irányulnak. A tagállamok mérlegelési jogkörébe kell tartoznia annak, hogy a jogi hagyományaikat figyelembe véve a jogsértés megszüntetésére irányuló kollektív intézkedésekre vagy kollektív jogorvoslati intézkedésekre vonatkozó, meglévő vagy új eljárási mechanizmus részeként, vagy pedig különálló mechanizmusként alakítják‑e ki az ezen irányelv által előírt, képviseleti keresetekre vonatkozó eljárási mechanizmust, feltéve, hogy legalább egy, képviseleti keresetekre vonatkozó nemzeti eljárási mechanizmus megfelel ezen irányelvnek. […] Ha nemzeti szinten léteznek az ezen irányelv által előírt eljárási mechanizmuson kívül más eljárási mechanizmusok, a feljogosított szervezet számára lehetővé kell tenni annak eldöntését, hogy melyik eljárási mechanizmust veszi igénybe.
[…]
(13) Ezen irányelv hatályának tükröznie kell a fogyasztóvédelem területén tapasztalható közelmúltbeli fejleményeket. Mivel a fogyasztók nagyobb és egyre inkább digitalizált piactéren tevékenykednek, a fogyasztóvédelem magas szintjének eléréséhez szükség van arra, hogy ezen irányelv hatálya az általános fogyasztóvédelmi jogon túl olyan területekre is kiterjedjen, mint az adatvédelem, a pénzügyi szolgáltatások, az utazás és a turizmus, az energia, és a távközlés. […]
[…]
(15) Ez az irányelv nem érintheti az I. mellékletben felsorolt jogi aktusokat, és ezért nem módosíthatja vagy bővítheti az említett jogi aktusokban megállapított fogalommeghatározásokat, valamint nem válthatja fel az esetlegesen az említett jogi aktusokban foglalt jogérvényesítési mechanizmusokat. Így például az [általános adatvédelmi rendeletben] meghatározott vagy azon alapuló jogérvényesítési mechanizmusok adott esetben továbbra is igénybe vehetők a fogyasztók kollektív érdekeinek védelmére.”
24 Ezen irányelv „Hatály” címet viselő 2. cikkének (1) bekezdése a következőket írja elő:
„Ez az irányelv az I. mellékletben említett uniós jogi rendelkezéseknek – ideértve ezen rendelkezések nemzeti jogba átültetett megfelelőit is – a fogyasztók kollektív érdekeit hátrányosan vagy potenciálisan hátrányosan érintő, kereskedők általi megsértése miatt indított képviseleti keresetekre alkalmazandó. Ez az irányelv nem érinti az I. mellékletben említett uniós jogi rendelkezéseket. […]”
25 Az említett irányelv „Átültetés” címet viselő 24. cikkének (1) bekezdése a következőképpen rendelkezik:
„A tagállamok 2022. december 25‑ig elfogadják és kihirdetik azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek szükségesek ahhoz, hogy ennek az irányelvnek megfeleljenek. Erről haladéktalanul tájékoztatják a Bizottságot.”
A tagállamok ezeket az intézkedéseket 2023. június 25‑től kezdődően alkalmazzák.
[…]”
26 A 2020/1828 irányelv I. melléklete, amely az ezen irányelv 2. cikkének (1) bekezdésében említett uniós jogi rendelkezések jegyzékét tartalmazza, az 56. pontjában az általános adatvédelmi rendeletet említi.
A német jog
A jogsértés megszüntetése iránti keresetekről szóló törvény
27 A 2001. november 26‑i Gesetz über Unterlassungsklagen bei Verbraucherrechts‑ und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (a fogyasztói és más jogok megsértése esetén indítható, a jogsértés megszüntetése iránti keresetekről szóló törvény; BGBl. 2001. I, 3138. o.) alapügyben alkalmazandó szövegének (a továbbiakban: a jogsértés megszüntetése iránti keresetekről szóló törvény) 2. §‑a szerint:
„(1) A fogyasztók védelme érdekében tartózkodásra kötelezés és a tevékenység azonnali megszüntetésére kötelezés iránti kereset indítható azzal szemben, aki a fogyasztók védelmét célzó rendelkezéseket (fogyasztóvédelemről szóló törvények) – az általános szerződési feltételek alkalmazásától vagy az azokra vonatkozó ajánlástól eltérő esetekben – megsérti. […]
(2) E rendelkezés alkalmazásában fogyasztóvédelemről szóló törvénynek minősülnek különösen a következők:
[…]
11. a jogszerűséget szabályozó rendelkezések az alábbiak tekintetében:
a) a fogyasztó személyes adatainak vállalkozó általi gyűjtése vagy
b) a fogyasztóról gyűjtött személyes adatok vállalkozó általi kezelése vagy felhasználása,
ha az adatokat marketingcélra, piac‑ és közvéleménykutatás, tudakozó működtetése, személyi és felhasználói profil létrehozása, egyéb adatforgalmazás vagy hasonló kereskedelmi cél érdekében gyűjtötték, kezelik vagy használják.”
28 A Bundesgerichtshof (szövetségi legfelsőbb bíróság, Németország) rámutat, hogy a jogsértés megszüntetése iránti keresetekről szóló törvény 3. §‑a (1) bekezdése első mondatának 1. pontja értelmében az e törvény 4. §‑a értelmében kereshetőségi joggal rendelkező szervezetek egyrészt az említett törvény 1. §‑a alapján kérhetik a Bürgerliches Gesetzbuch (polgári törvénykönyv) 307. §‑a értelmében érvénytelennek minősülő általános szerződési feltételek használatának abbahagyását, másrészt pedig ugyanezen törvény 2. §‑ának (2) bekezdése értelmében kérhetik a fogyasztóvédelmi jogszabályokat sértő magatartások abbahagyását.
A tisztességtelen verseny tilalmáról szóló törvény
29 A 2004. július 3‑i Gesetz gegen den unlauteren Wettbewerb (a tisztességtelen verseny tilalmáról szóló törvény; BGBl. 2004. I, 1414. o.) alapügyben alkalmazandó szövege (a továbbiakban: a tisztességtelen verseny tilalmáról szóló törvény) 3. §‑ának (1) bekezdése előírja:
„A tisztességtelen kereskedelmi gyakorlatok alkalmazása jogellenes.”
30 A tisztességtelen verseny tilalmáról szóló törvény 3a. §‑a a következőképpen rendelkezik:
„Tisztességtelenül jár el, aki a piaci magatartás gazdasági szereplők érdekében történő szabályozására is irányuló valamely jogszabályt megsért, ha a jogsértés alkalmas arra, hogy érzékelhetően csorbítsa a fogyasztók, a piac egyéb résztvevői vagy a versenytársak érdekeit.”
31 A tisztességtelen verseny tilalmáról szóló törvény 8. §‑a kimondja:
„(1) Azzal szemben, aki a 3. § vagy 7. § értelmében tiltott kereskedelmi tevékenységet végez, e tevékenység azonnali megszüntetésére kötelezés iránti, ismétlődő jogsértés veszélye esetén pedig tartózkodásra kötelezés iránti kérelemmel lehet fellépni. […]
[…]
(3) Az (1) bekezdésben említett intézkedések elrendelését kérelmezheti:
[…]
3. azon feljogosított szervezet, amely bizonyítja, hogy szerepel a feljogosított szervezeteknek [a jogsértés megszüntetése iránti keresetekről szóló törvény] 4. §‑a szerinti listáján […]”
Az elektronikus médiáról szóló törvény
32 A Bundesgerichtshof (szövetségi legfelsőbb bíróság) rámutat arra, hogy a 2007. február 26‑i Telemediengesetz (az elektronikus médiáról szóló törvény) (BGBl. 2007. I, 179. o.) 13. §‑ának (1) bekezdése az általános adatvédelmi rendelet hatálybalépéséig volt alkalmazandó. Ezen időpontban e rendelkezés helyébe az általános adatvédelmi rendelet 12–14. cikke lépett.
33 Az elektronikus médiáról szóló törvény 13. §‑a (1) bekezdésének első mondata szerint:
„A felhasználás megkezdésekor a szolgáltatónak – amennyiben erre a tájékoztatásra korábban nem került sor – közérthető formában tájékoztatnia kell a felhasználót a személyes adatok gyűjtésének és kezelésének módjáról, terjedelméről és céljairól, valamint adatainak a 95/46[…] irányelv hatályán kívüli államokban való kezeléséről.”
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdés
34 A Facebook online közösségi hálózat Unión belüli szolgáltatásait működtető Meta Platforms Ireland az e közösségi hálózat felhasználóira vonatkozó személyes adatok kezelője az Unióban. A Németországban székhellyel rendelkező Facebook Germany GmbH a www.facebook.de címen reklámfelületek értékesítését kínálja. A Facebook internetes platformon többek között a www.facebook.de internetes címen található egy úgynevezett „App‑Zentrum” (alkalmazásközpont), amelyben a Meta Platforms Ireland külső szolgáltatók ingyenes játékait teszi hozzáférhetővé a felhasználók számára. Néhány ilyen játéknak az alkalmazásközpontban való megtekintésekor a felhasználó számára megjelenik egy tájékoztatás, miszerint az adott alkalmazás használata lehetővé teszi a játékot szolgáltató társaság részére, hogy hozzáférjen bizonyos személyes adatokhoz, és engedélyezi számára, hogy e felhasználó nevében közzétegye többek között az elért pontjainak számát és egyéb információkat. Az alkalmazás használata azzal a következménnyel jár, hogy az említett felhasználó elfogadja az alkalmazás általános szerződési feltételeit és adatvédelmi politikáját. Ezenkívül az egyik játék esetében a tájékoztatás szerint az alkalmazás a felhasználó nevében állapotfrissítéseket, fényképeket és más információkat tehet közzé.
35 Az országos szövetség, amely a jogsértés megszüntetése iránti keresetekről szóló törvény 4. §‑a alapján kereshetőségi joggal rendelkező szervezet, úgy véli, hogy az érintett játékok által az alkalmazásközpontban nyújtott tájékoztatások – különösen az adatvédelemre vonatkozó rendelkezések értelmében a felhasználó érvényes hozzájárulására alkalmazandó jogszabályi feltételek be nem tartása miatt – tisztességtelenek. Ezenkívül úgy véli, hogy az a tájékoztatás, miszerint az alkalmazás jogosult a felhasználó nevében bizonyos rá vonatkozó személyes információkat közzétenni, olyan általános szerződési feltételnek minősül, amely a felhasználót indokolatlanul hátrányos helyzetbe hozza.
36 Ebben az összefüggésben az országos szövetség a tisztességtelen verseny tilalmáról szóló törvény 3a. §‑a, a jogsértés megszüntetése iránti keresetekről szóló törvény 2. §‑a (2) bekezdése első mondatának 11. pontja, valamint a polgári törvénykönyv alapján jogsértés megszüntetése iránti keresetet indított a Meta Platforms Irelanddal szemben a Landgericht Berlin (berlini regionális bíróság, Németország) előtt. Az országos szövetség e keresetet valamely érintett személy adatvédelemhez való jogának konkrét megsértésétől függetlenül és ilyen személytől kapott megbízás nélkül indította.
37 A Landgericht Berlin (berlini regionális bíróság) a Meta Platforms Irelandet az országos szövetség kérelmeinek helyt adva elmarasztalta. A Meta Platforms Ireland által a Kammergericht Berlin (berlini regionális felsőbíróság, Németország) elé terjesztett fellebbezést az utóbbi elutasította. A Meta Platforms Ireland ezt követően a fellebbviteli bíróság által hozott elutasító határozattal szemben felülvizsgálati kérelmet terjesztett elő a kérdést előterjesztő bírósághoz.
38 A kérdést előterjesztő bíróság úgy véli, hogy az országos szövetség keresete megalapozott, mivel a Meta Platforms Ireland megsértette a tisztességtelen verseny tilalmáról szóló törvény 3a. §‑át, valamint a jogsértés megszüntetése iránti keresetekről szóló törvény 2. §‑a (2) bekezdése első mondatának 11. pontját, továbbá a jogsértés megszüntetése iránti keresetekről szóló törvény 1. §‑a értelmében vett érvénytelen általános szerződési feltételt alkalmazott.
39 Mindazonáltal e bíróságnak kétségei vannak az országos szövetség keresetének elfogadhatóságát illetően. Úgy véli ugyanis, hogy nem kizárt, hogy az országos szövetség, amely a keresete benyújtásának időpontjában – a tisztességtelen verseny tilalmáról szóló törvény 8. §‑ának (3) bekezdése és a jogsértés megszüntetése iránti keresetekről szóló törvény 3. §‑a (1) bekezdése első mondatának 1. pontja alapján – valóban rendelkezett kereshetőségi joggal, az általános adatvédelmi rendelet – és különösen e rendelet 80. cikke (1) és (2) bekezdésének, valamint 84. cikke (1) bekezdésének – hatálybalépését követően e minőségét az eljárás során elveszítette. Ha ez lenne a helyzet, a kérdést előterjesztő bíróságnak helyt kellene adnia a Meta Platforms Ireland által benyújtott felülvizsgálati kérelemnek, és el kellene utasítania az országos szövetség keresetét, mivel a német jog releváns eljárási rendelkezései szerint a kereshetőségi jognak a végső fokon folytatott eljárás végéig fenn kell maradnia.
40 A kérdést előterjesztő bíróság szerint az e tekintetben adandó válasz nem tűnik ki egyértelműen az általános adatvédelmi rendelet rendelkezéseinek szövegéből, rendszeréből, valamint célkitűzéséből.
41 Ami az általános adatvédelmi rendelet rendelkezéseinek szövegét illeti, a kérdést előterjesztő bíróság rámutat arra, hogy az általános adatvédelmi rendelet 80. cikkének (1) bekezdése értelmében valamely tagállam jogának megfelelően, érvényesen létrehozott nonprofit szerv, szervezet vagy egyesület kereshetőségi jogának fennállása azt feltételezi, hogy az érintett személy megbízott egy szervet, szervezetet vagy egyesületet annak érdekében, hogy a nevében gyakorolja az általános adatvédelmi rendelet 77–79. cikkében említett jogokat és – ha a tagállam joga ezt lehetővé teszi – az e rendelet 82. cikkében említett kártérítéshez való jogot.
42 Márpedig a kérdést előterjesztő bíróság hangsúlyozza, hogy a tisztességtelen verseny tilalmáról szóló törvény 8. §‑a (3) bekezdésének 3. pontja szerinti kereshetőségi jog nem biztosít olyan jogorvoslatot, amely lehetővé tenné az érintett személyes jogainak e személy megbízásából és nevében történő érvényesítését. Ellenkezőleg, e rendelkezés az egyesület számára saját jogon alapuló, és a tisztességtelen verseny tilalmáról szóló törvény 3. §‑ának (1) bekezdéséből és 3a. §‑ából eredő objektív kereshetőségi jogot biztosít arra, hogy az érintett személyek konkrét jogainak megsértésétől és az utóbbiak által adott megbízástól függetlenül fellépjen az általános adatvédelmi rendelet rendelkezéseinek megsértésével szemben.
43 Ezenkívül a kérdést előterjesztő bíróság megjegyzi, hogy az általános adatvédelmi rendelet 80. cikkének (2) bekezdése nem biztosít valamely egyesület számára kereshetőségi jogot a személyes adatok védelméhez fűződő jog objektív érvényesítése érdekében, mivel e rendelkezés azt feltételezi, hogy valamely érintett személynek az általános adatvédelmi rendeletben biztosított jogait konkrét adatkezelésből eredően ténylegesen megsértették.
44 Egyébiránt az egyesület kereshetőségi joga, amint azt a tisztességtelen verseny tilalmáról szóló törvény 8. §‑ának (3) bekezdése szabályozza, nem vezethető le az általános adatvédelmi rendelet 84. cikkének (1) bekezdéséből, amely értelmében a tagállamok megállapítják a rendelet megsértése esetén alkalmazandó további szankciókra vonatkozó szabályokat, és meghoznak minden szükséges intézkedést ezek végrehajtására. Az egyesület kereshetőségi joga ugyanis, amint azt a tisztességtelen verseny tilalmáról szóló törvény 8. §‑ának (3) bekezdése szabályozza, nem tekinthető az általános adatvédelmi rendelet e rendelkezése értelmében vett „szankciónak”.
45 Ami az általános adatvédelmi rendelet rendelkezéseinek rendszerét illeti, a kérdést előterjesztő bíróság úgy véli, hogy abból a tényből, hogy e rendelet harmonizálta többek között a felügyeleti hatóságok hatáskörét, arra lehet következtetni, hogy az említett rendelet rendelkezéseinek alkalmazását elsősorban e hatóságoknak kell felügyelniük. Az általános adatvédelmi rendelet 77. cikkének (1) bekezdésében, 78. cikkének (1) és (2) bekezdésében, valamint 79. cikkének (1) bekezdésében szereplő „[a]z egyéb […] jogorvoslatok sérelme nélkül” kitétel azonban cáfolhatja azt az álláspontot, hogy e rendelet a jogalkalmazás felügyeletét teljeskörűen szabályozza.
46 Az általános adatvédelmi rendelet rendelkezéseinek célkitűzését illetően a kérdést előterjesztő bíróság rámutat arra, hogy e rendelet hatékony érvényesülése az egyesületek versenyjogon alapuló kereshetőségi jogának fennállása mellett szólhat a tisztességtelen verseny tilalmáról szóló törvény 8. §‑a (3) bekezdése 3. pontjának megfelelően, az érintett személyek konkrét jogainak megsértésétől függetlenül, mivel ez további lehetőséget adna a jogalkalmazás felügyeletére a személyes adatok lehető legmagasabb szintű védelmének biztosítása érdekében, az általános adatvédelmi rendelet (10) preambulumbekezdésével összhangban. Mindazonáltal úgy is lehet tekinteni, hogy az egyesületek versenyjogon alapuló kereshetőségi jogának elismerése ellentétes az általános adatvédelmi rendelet harmonizációra irányuló céljával.
47 E körülmények között a Bundesgerichtshof (szövetségi legfelsőbb bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdést terjeszti a Bíróság elé:
„Ellentétesek‑e az [általános adatvédelmi rendelet] VIII. fejezetében, különösen a 80. cikkének (1) és (2) bekezdésében, valamint a 84. cikkének (1) bekezdésében foglalt rendelkezésekkel az olyan nemzeti rendelkezések, amelyek – [az e] rendelet alkalmazásának nyomon követésére és kikényszerítésére hatáskörrel rendelkező felügyeleti hatóságok beavatkozási jogkörei és az érintettek jogorvoslati lehetőségei mellett – egyrészt a versenytársak, másrészt a nemzeti jog alapján feljogosított egyesületek, szervek és kamarák számára lehetővé teszik, hogy [az általános adatvédelmi rendelet] megsértése miatt az egyes érintettek konkrét jogainak megsértésétől függetlenül és a valamely érintettől kapott megbízás nélkül polgári bíróságok előtt indított kereset útján fellépjenek a jogsértővel szemben a tisztességtelen kereskedelmi gyakorlatok tilalmának vagy a valamely fogyasztóvédelemről szóló törvény megsértésének vagy az érvénytelen általános szerződési feltételek alkalmazása tilalmának szempontja alapján?”
Az előzetes döntéshozatalra előterjesztett kérdésről
48 Elöljáróban rá kell mutatni arra, hogy – amint az többek között a jelen ítélet 36. és 41–44. pontjából kitűnik – a fogyasztói érdekvédelmi egyesületként eljáró országos szövetség és a Meta Platforms Ireland közötti alapjogvita arra a kérdésre vonatkozik, hogy egy ilyen egyesület felléphet‑e ezen társasággal szemben erre vonatkozó megbízás nélkül és az érintett személyek konkrét jogainak megsértésétől függetlenül.
49 E körülmények között, amint arra a Bizottság az írásbeli észrevételeiben helyesen rámutatott, az előzetes döntéshozatalra előterjesztett kérdésre adandó válasz kizárólag az általános adatvédelmi rendelet 80. cikke (2) bekezdésének értelmezésétől függ, mivel e rendelet 80. cikke (1) bekezdésének és 84. cikkének rendelkezései a jelen ügyben nem relevánsak. Egyrészt ugyanis az általános adatvédelmi rendelet 80. cikke (1) bekezdésének alkalmazása azt feltételezi, hogy az érintett személy az e rendelkezésben említett nonprofit szervet, szervezetet vagy egyesületet megbízta azzal, hogy a nevében tegye meg az e rendelet 77–79. cikke szerinti jogi lépéseket. Márpedig nem vitatott, hogy az alapügyben nem ez a helyzet, mivel a országos szövetség az érintett személy által adott bármilyen megbízástól függetlenül jár el. Másrészt nem vitatott, hogy az általános adatvédelmi rendelet 84. cikke az e rendelet megsértése esetén alkalmazandó közigazgatási és büntetőjogi szankciókra vonatkozik, amelyekről az alapeljárásban szintén nincs szó.
50 Ezenkívül meg kell állapítani, hogy az alapügy nem veti fel a versenytársak kereshetőségi jogának kérdését. Következésképpen kizárólag a kérdés azon részét kell megválaszolni, amely az általános adatvédelmi rendelet 80. cikkének (2) bekezdésében említett, a nemzeti jog alapján feljogosított egyesületek, szervek és kamarák kereshetőségi jogára vonatkozik.
51 Ebből következik, hogy az előterjesztő bíróság által feltett kérdést úgy kell érteni, hogy az lényegében arra vonatkozik, hogy az általános adatvédelmi rendelet 80. cikkének (2) bekezdését úgy kell‑e értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a fogyasztói érdekvédelmi egyesületek számára, hogy a személyes adatok védelmét állítólagosan megsértő személlyel szemben a tisztességtelen kereskedelmi gyakorlatok tilalmára, valamely fogyasztóvédelmi törvény megsértésére vagy az érvénytelen általános szerződési feltételek alkalmazásának tilalmára hivatkozva bírósághoz forduljanak e célból számukra adott megbízás nélkül és az érintett személyek konkrét jogainak megsértésétől függetlenül.
52 E kérdés megválaszolása érdekében emlékeztetni kell arra, hogy amint az az általános adatvédelmi rendelet (10) preambulumbekezdéséből kitűnik, e rendelet célja többek között az, hogy a személyes adatok kezelése tekintetében biztosítsa a természetes személyek alapvető jogainak és szabadságainak védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén, és hogy elhárítsa a személyes adatok Unión belüli áramlása előtti akadályokat.
53 Ebben az összefüggésben e rendelet VIII. fejezete szabályozza többek között azokat a jogorvoslati lehetőségeket, amelyek lehetővé teszik az érintett személy jogainak védelmét, amennyiben a rá vonatkozó személyes adatokat állítólag az említett rendelet rendelkezéseivel ellentétes módon kezelték. E jogok védelmét így kérheti akár közvetlenül az érintett személy, akár az általános adatvédelmi rendelet 80. cikke szerint feljogosított, erre vonatkozó megbízással rendelkező vagy éppenséggel nem rendelkező szervezet.
54 Így először is az érintett személynek joga van arra, hogy maga nyújtson be panaszt valamely tagállam felügyeleti hatóságához, vagy hogy keresettel forduljon a nemzeti polgári bíróságokhoz. Közelebbről, e személyt az általános adatvédelmi rendelet 77. cikkének megfelelően megilleti a felügyeleti hatóságnál történő panasztételhez való jog, e rendelet 78. cikke értelmében megilleti a felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog, az említett rendelet 79. cikke alapján megilleti az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog, valamint e rendelet 82. cikke szerint az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.
55 Továbbá az általános adatvédelmi rendelet 80. cikkének (1) bekezdése értelmében az érintett jogosult arra, hogy bizonyos feltételek mellett egy nonprofit szervet, szervezetet vagy egyesületet bízzon meg azzal, hogy nyújtson be panaszt, vagy az ő nevében gyakorolja a fent említett cikkekben biztosított jogokat.
56 Végül az általános adatvédelmi rendelet 80. cikkének (2) bekezdése értelmében a tagállamok rendelkezhetnek úgy, hogy az adott tagállamban az e cikk (1) bekezdésében említett bármely szerv, szervezet vagy egyesület – az érintettől kapott megbízástól függetlenül – jogosult legyen arra, hogy az e rendelet 77. cikke alapján eljárni jogosult felügyeleti hatósághoz panaszt nyújtson be, valamint hogy gyakorolja a rendelet 78. és 79. cikkében említett jogokat, ha megítélése szerint az érintett személyes adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait.
57 E tekintetben rá kell mutatni arra, hogy amint az az általános adatvédelmi rendelet 1. cikkének – többek között e rendelet (9), (10) és (13) preambulumbekezdése fényében értelmezett – (1) bekezdéséből kitűnik, e rendelet célja a személyes adatok védelmére vonatkozó nemzeti jogszabályok főszabály szerint teljes harmonizációjának biztosítása. Ugyanakkor az említett rendelet bizonyos rendelkezései lehetőséget adnak a tagállamok számára, hogy további, szigorúbb vagy eltérő nemzeti szabályokat írjanak elő, ezáltal mérlegelési mozgásteret hagynak a tagállamok számára e rendelkezések végrehajtásának módját illetően („engedő rendelkezések”).
58 Emlékeztetni kell ugyanis arra, hogy a Bíróság állandó ítélkezési gyakorlata értelmében az EUMSZ 288. cikk szerint és a rendeletek jellegéből, valamint az uniós jogforrások rendszerében betöltött szerepükből fakadóan a rendeletek előírásainak főszabály szerint közvetlen hatályuk van a nemzeti jogrendszerekben, anélkül hogy szükség lenne arra, hogy a nemzeti hatóságok végrehajtási intézkedéseket fogadjanak el. Mindazonáltal egyes rendelkezések végrehajtása érdekében szükséges lehet végrehajtási intézkedések elfogadása a tagállamok által (2021. június 15‑i Facebook Ireland és társai ítélet, C‑645/19, EU:C:2021:483, 110. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
59 Ez a helyzet többek között az általános adatvédelmi rendelet 80. cikkének (2) bekezdése esetén, amely a végrehajtását illetően mérlegelési mozgásteret enged a tagállamok számára. Ennélfogva ahhoz, hogy e rendelkezés szerinti, a személyes adatok védelmére vonatkozó megbízás nélküli képviseleti keresetet lehessen indítani, a tagállamoknak élniük kell az e rendelkezés által felkínált azon lehetőséggel, hogy a nemzeti jogukban szabályozzák az érintett személyek képviseletének e módját.
60 Mindazonáltal, amint azt a főtanácsnok az indítványának 51. és 52. pontjában megjegyezte, amikor a tagállamok élnek az ilyen engedő rendelkezés által számukra biztosított lehetőséggel, az általános adatvédelmi rendelet rendelkezéseiben előírt feltételek mellett és korlátok között kell gyakorolniuk mérlegelési mozgásterüket, és így oly módon kell jogszabályt alkotniuk, hogy e rendelet tartalmát és célkitűzéseit ne sértsék.
61 A jelen esetben, amint azt a német kormány a jelen ügyben tartott tárgyaláson megerősítette, a német jogalkotó az általános adatvédelmi rendelet hatálybalépését követően nem fogadott el olyan különös rendelkezéseket, amelyek kifejezetten e rendelet 80. cikke (2) bekezdésének a nemzeti jogban való végrehajtására irányultak volna. Az alapügyben szóban forgó, a 2009/22 irányelv átültetésének biztosítása érdekében elfogadott nemzeti szabályozás ugyanis már lehetővé teszi a fogyasztói érdekvédelmi egyesületek számára, hogy a személyes adatok védelmét feltételezhetően megsértő személlyel szemben bírósághoz forduljanak. E kormány egyébiránt hangsúlyozza, hogy a 95/46 irányelv rendelkezéseinek értelmezésére vonatkozó 2019. július 29‑i Fashion ID ítéletben (C‑40/17, EU:C:2019:629) a Bíróság kimondta, hogy e rendelkezésekkel nem ellentétes ez a nemzeti szabályozás.
62 E körülmények között, amint arra a főtanácsnok az indítványának 60. pontjában rámutatott, lényegében azt kell megvizsgálni, hogy az alapügyben szóban forgó nemzeti szabályok az általános adatvédelmi rendelet 80. cikkének (2) bekezdésében az egyes tagállamok számára elismert mérlegelési mozgástér keretébe illeszkednek‑e, és így e rendelkezést a szövegére, valamint e rendelet rendszerére és célkitűzéseire figyelemmel kell értelmezni.
63 E tekintetben rá kell mutatni arra, hogy az általános adatvédelmi rendelet 80. cikkének (2) bekezdése lehetővé teszi a tagállamok számára, hogy a személyes adatok védelmét feltételezhetően megsértő személlyel szemben alkalmazható képviseleti kereseti mechanizmust írjanak elő, és az ennek során tiszteletben tartandó személyi és tárgyi hatályt illetően bizonyos követelményeket fogalmaz meg.
64 Ami elsősorban e mechanizmus személyi hatályát illeti, kereshetőségi jog illeti meg azt a szervet, szervezetet vagy egyesületet, amely megfelel az általános adatvédelmi rendelet 80. cikkének (1) bekezdésében felsorolt kritériumoknak. Közelebbről e rendelkezés „olyan nonprofit jellegű szerv[re], szervezet[re] vagy egyesület[re] [utal], amelyet valamely tagállam jogának megfelelően hoztak létre, és amelynek az alapszabályában rögzített céljai a közérdeket szolgálják, és amely az érintettek jogainak és szabadságainak a személyes adataik vonatkozásában biztosított védelme területén tevékenykedik”.
65 Márpedig meg kell állapítani, hogy az olyan fogyasztói érdekvédelmi egyesület, mint amilyen az országos szövetség, e fogalom körébe tartozhat, mivel az érintett személyek mint fogyasztók jogainak és szabadságainak biztosítására irányuló közérdekű célt szolgál, ugyanis az ilyen célkitűzés megvalósítása összefügghet az utóbbiak személyes adatainak védelmével.
66 Azon szabályok megsértése ugyanis, amelyek célja a fogyasztók védelme, illetve a tisztességtelen kereskedelmi gyakorlatok elleni küzdelem, és amely jogsértést az országos szövetséghez hasonló fogyasztói érdekvédelmi egyesület többek között az alkalmazandó nemzeti szabályozás által előírt, jogsértés megszüntetése iránti keresetek révén kívánja megelőzni és szankcionálni, összefügghet – amint a jelen ügyben is – az e fogyasztók személyes adatainak védelmére vonatkozó szabályok megsértésével.
67 Másodsorban, ami az említett mechanizmus tárgyi hatályát illeti, az általános adatvédelmi rendelet 80. cikkének (2) bekezdésében előírt képviseleti kereset olyan szervezet általi benyújtása, amely megfelel az ugyanezen cikk (1) bekezdésében említett feltételeknek, azt feltételezi, hogy a számára adott bármilyen megbízástól függetlenül e szervezet „megítélése szerint az érintett személyes adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait”.
68 E tekintetben először is le kell szögezni, hogy az általános adatvédelmi rendelet 80. cikkének (2) bekezdése értelmében vett képviseleti kereset indításához nem követelhető meg az, hogy az ilyen szervezet elvégezze az általános adatvédelmi rendelet rendelkezéseivel állítólagosan ellentétes adatkezeléssel konkrétan érintett személy előzetes egyedi azonosítását.
69 Elegendő ugyanis rámutatni arra, hogy az „érintett” e rendelet 4. cikkének 1. pontja értelmében vett fogalma nemcsak az „azonosított természetes személyre”, hanem az „azonosítható természetes személyre”, azaz olyan természetes személyre is kiterjed, aki közvetlen vagy közvetett módon valamely azonosító, például név, szám, helymeghatározó adat vagy online azonosító alapján „azonosítható”. E körülmények között az ilyen adatkezeléssel érintett személyek kategóriájának vagy csoportjának megjelölése is elegendő lehet ilyen képviseleti kereset indításához.
70 Másodszor, az általános adatvédelmi rendelet 80. cikkének (2) bekezdése értelmében a képviseleti kereset indítása nem függ azon jogok konkrét megsértésének fennállásától sem, amelyek valamely személyt az adatvédelmi szabályok alapján megilletik.
71 Ugyanis, amint az magából e rendelkezésnek a jelen ítélet 67. pontjában felidézett szövegéből kitűnik, a képviseleti kereset indításának csupán az a feltétele, hogy az adott szervezet „megítélése szerint” az érintett személyes adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait, és e szervezet tehát az e rendelet rendelkezéseivel ellentétes adatkezelés fennállására hivatkozik.
72 Ebből következik, hogy az ilyen szervezetnek az említett rendelkezés értelmében vett kereshetőségi jogának elismerése érdekében elegendő arra hivatkozni, hogy az érintett adatkezelés érintheti azokat a jogokat, amelyek azonosított vagy azonosítható természetes személyeket az említett rendelet alapján megilletnek, anélkül hogy az érintett személyt valamely konkrét helyzetben a jogainak megsértéséből eredően ért tényleges kárt bizonyítani kellene.
73 Ez az értelmezés megfelel az EUMSZ 16. cikkből és az Európai Unió Alapjogi Chartájának 8. cikkéből eredő követelményeknek, és így az általános adatvédelmi rendelet által követett azon célnak, amely a természetes személyek alapvető jogai és szabadságai hatékony védelmének, valamint többek között a bármely személyt megillető, a rá vonatkozó személyes adatok védelméhez való jog magas szintű védelmének biztosítására irányul (lásd ebben az értelemben: 2021. június 15‑i Facebook Ireland és társai ítélet, C‑645/19, EU:C:2021:483, 44., 45. és 91. pont).
74 Márpedig az országos szövetséghez hasonló fogyasztói érdekvédelmi egyesületek arra való feljogosítása, hogy képviseleti kereseti mechanizmus útján indítsanak kereseteket az e rendelet rendelkezéseivel ellentétes adatkezelés megszüntetésére kötelezés érdekében – függetlenül az e jogsértés által egyedileg és konkrétan érintett személy jogainak megsértésétől –, vitathatatlanul hozzájárul az érintett személyek jogainak megerősítéséhez és magas szintű védelmének biztosításához.
75 Ezenkívül rá kell mutatni arra, hogy az ilyen képviseleti kereset indítása, mivel lehetővé teszi a személyes adataik kezelésével érintett személyek jogai széles körben való megsértésének megelőzését, hatékonyabbnak bizonyulhat, mint az a kereset, amelyet egyetlen, a személyes adatai védelméhez fűződő jogának megsértése által egyedileg és konkrétan érintett személy indíthat e jogsértés elkövetőjével szemben.
76 Amint ugyanis a főtanácsnok az indítványának 76. pontjában megjegyezte, az országos szövetséghez hasonló fogyasztói érdekvédelmi egyesületek által indított keresetek megelőző funkciója nem lenne biztosítható, ha az általános adatvédelmi rendelet 80. cikkének (2) bekezdése szerinti képviseleti kereset keretében csak az e jogsértés által egyedileg és konkrétan érintett személyek jogainak sérelmére lehetne hivatkozni.
77 Harmadsorban még azt kell megvizsgálni, amint azt a kérdést előterjesztő bíróság kéri, hogy az általános adatvédelmi rendelet 80. cikkének (2) bekezdése akadályát képezi‑e annak, hogy az érintett személy jogának konkrét megsértésétől és az e személy által adott megbízástól függetlenül képviseleti keresetet lehessen benyújtani akkor, ha az adatvédelmi szabályok megsértésére a fogyasztóvédelem biztosítására irányuló más jogszabályok alkalmazásának felülvizsgálata iránti kereset keretében hivatkoztak.
78 E tekintetben mindenekelőtt meg kell állapítani, hogy – amint az lényegében a jelen ítélet 66. pontjában megállapításra került – a személyes adatok védelmére vonatkozó valamely szabály megsértése egyidejűleg a fogyasztóvédelemre vagy a tisztességtelen kereskedelmi gyakorlatokra vonatkozó szabályok megsértését is eredményezheti.
79 Ennélfogva, amint arra a főtanácsnok az indítványának 72. pontjában rámutatott, e rendelkezéssel nem ellentétes az, ha a tagállamok élnek az említett rendelkezésben számukra abban a tekintetben biztosított lehetőséggel, hogy a fogyasztói érdekvédelmi egyesületeket feljogosítsák arra, hogy adott esetben a 2005/29 irányelvben és a 2009/22 irányelvben foglaltakhoz hasonló, a fogyasztóvédelemre vagy a tisztességtelen kereskedelmi gyakorlatok elleni küzdelemre irányuló szabályokra hivatkozva lépjenek fel az általános adatvédelmi rendeletben biztosított jogok megsértésével szemben.
80 Az általános adatvédelmi rendelet 80. cikke (2) bekezdésének ezen értelmezését egyébként a 2020/1828 irányelv is megerősíti, amely 2023. június 25‑i hatállyal hatályon kívül helyezi és felváltja a 2009/22 irányelvet. Ebben az összefüggésben meg kell jegyezni, hogy a 2020/1828 irányelv 2. cikke (1) bekezdésének megfelelően ezen irányelv az annak I. mellékletében említett uniós jogi rendelkezések kereskedők általi megsértése miatt indított képviseleti keresetekre alkalmazandó, amely melléklet az 56. pontjában az általános adatvédelmi rendeletet is megemlíti.
81 Kétségtelen, hogy a 2020/1828 irányelv az alapeljárás keretében nem alkalmazható, és átültetésének határideje még nem járt le. Ezen irányelv ugyanakkor több olyan elemet is tartalmaz, amely megerősíti, hogy az általános adatvédelmi rendelet 80. cikke nem akadályozza azt, hogy a fogyasztóvédelem területén további képviseleti kereseteket is be lehessen nyújtani.
82 Ugyanis, noha – amint az ezen irányelv (11) preambulumbekezdéséből kitűnik – továbbra is lehetséges, hogy a fogyasztóvédelem területén a képviseleti keresetekre vonatkozóan további eljárási mechanizmust írjanak elő, az általános adatvédelmi rendeletben előírt vagy azon alapuló végrehajtási mechanizmusok, mint amelyet e rendelet 80. cikke ír elő, nem helyettesíthetők vagy módosíthatók, amint azt az említett irányelv (15) preambulumbekezdése leszögezi, így azok a fogyasztók kollektív érdekeinek védelme érdekében igénybe vehetők.
83 A fenti megfontolások összességére tekintettel az előterjesztett kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 80. cikkének (2) bekezdését úgy kell értelmezni, hogy azzal nem ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a fogyasztói érdekvédelmi egyesületek számára, hogy a személyes adatok védelmét állítólagosan megsértő személlyel szemben a tisztességtelen kereskedelmi gyakorlatok tilalmára, valamely fogyasztóvédelmi törvény megsértésére vagy az érvénytelen általános szerződési feltételek alkalmazásának tilalmára hivatkozva bírósághoz forduljanak e célból számukra adott megbízás nélkül és az érintett személyek konkrét jogainak megsértésétől függetlenül, amennyiben az érintett adatkezelés érintheti az azonosított vagy azonosítható természetes személyeket e rendelet alapján megillető jogokat.
A költségekről
84 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (harmadik tanács) a következőképpen határozott:
A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 80. cikkének (2) bekezdését úgy kell értelmezni, hogy azzal nem ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a fogyasztói érdekvédelmi egyesületek számára, hogy a személyes adatok védelmét állítólagosan megsértő személlyel szemben a tisztességtelen kereskedelmi gyakorlatok tilalmára, valamely fogyasztóvédelmi törvény megsértésére vagy az érvénytelen általános szerződési feltételek alkalmazásának tilalmára hivatkozva bírósághoz forduljanak e célból számukra adott megbízás nélkül és az érintett személyek konkrét jogainak megsértésétől függetlenül, amennyiben az érintett adatkezelés érintheti az azonosított vagy azonosítható természetes személyeket e rendelet alapján megillető jogokat.
Aláírások