CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:704

Ideiglenes változat

ATHANASIOS RANTOS

FŐTANÁCSNOK INDÍTVÁNYA

Az ismertetés napja: 2022. szeptember 20.(1)

C‑252/21. sz. ügy

Meta platforms Inc., korábban Facebook Inc.,

Meta Platforms Ireland Limited, korábban Facebook Ireland Ltd.,

Facebook Deutschland GmbH

kontra

Bundeskartellamt,

a Verbraucherzentrale Bundesverband e.V.

részvételével

(az Oberlandesgericht Düsseldorf [düsseldorfi regionális felsőbíróság, Németország] által benyújtott előzetes döntéshozatal iránti kérelem)

„Előzetes döntéshozatal – (EU) 2016/679 rendelet – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – Közösségi hálózat – A 4. cikk 11. pontja – Az érintett »hozzájárulásának« fogalma – Erőfölényben lévő adatkezelő vállalkozásnak adott hozzájárulás – A 6. cikk (1) bekezdésének b)–f) pontja – Az adatkezelés jogszerűsége – Olyan szerződés teljesítéséhez szükséges adatkezelés, amelyben az érintett az egyik fél, illetve az adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelés – Az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges, az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges, illetve közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelés – A 9. cikk (1) bekezdése és a 9. cikk (2) bekezdésének e) pontja – A személyes adatok különleges kategóriái – Az érintett által kifejezetten nyilvánosságra hozott személyes adatok – Az 51–66. cikk – A nemzeti versenyhatóság hatáskörei – A személyes adatok védelmét ellenőrző nemzeti hatóságok hatásköreivel való összehangolás – A fő adatvédelmi hatóságétól eltérő tagállami székhelyű hatóság általi versenyjogi intézkedések elfogadása”

Bevezetés

1. A jelen előzetes döntéshozatal iránti kérelmet az Oberlandesgericht Düsseldorf (düsseldorfi regionális felsőbíróság, Németország) előtt a Meta Platforms csoport(2) társaságai és a Bundeskartellamt (szövetségi versenyhatóság, Németország) között azon határozat tárgyában folyamatban lévő jogvita keretében terjesztették elő, amellyel ez utóbbi megtiltotta az alapeljárás felperese számára a Facebook közösségi hálózat felhasználási feltételeiben előírt adatok kezelését, valamint az említett felhasználási feltételek végrehajtását, és e tevékenységek megszüntetésére irányuló intézkedéseket írt elő.(3)

2. Az előzetes döntéshozatalra előterjesztett kérdések lényegében egyrészt arra vonatkoznak, hogy a Bundeskartellamthoz hasonló nemzeti versenyhatóságok hatásköre kiterjed‑e arra, hogy elsődlegesen vagy járulékosan megvizsgálják valamely vállalkozás magatartását az az (EU) 2016/679 rendelet(4) egyes rendelkezéseinek fényében, másrészt pedig ezen rendelkezéseknek – különösen a különleges személyes adatok kezelése, valamint a személyes adatok kezelésének jogszerűsége és az erőfölényben lévő adatkezelő vállalkozásnak adott önkéntes hozzájárulás szempontjából releváns feltételeknek – az értelmezésére vonatkoznak.

Jogi háttér

Az uniós jog

3. Az általános adatvédelmi rendelet 4. cikke előírja:

„E rendelet alkalmazásában:

[…]

„11. »az érintett hozzájárulása« az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

[…]”

4. E rendeletnek „Az adatkezelés jogszerűsége” című 6. cikke (1) bekezdésének szövege a következő:

„A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az első albekezdés f) pontja nem alkalmazandó a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.”

5. Az említett rendeletnek „A személyes adatok különleges kategóriáinak kezelése” című 9. cikkének (1) és (2) bekezdése a következőképpen rendelkezik:

„(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha:

a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával;

[…]

e) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;

[…]”

6. Ugyanezen rendeletnek a „Felügyeleti hatóság” című 51. cikke, amely e rendeletnek „A független felügyeleti hatóságok” című VI. fejezetében található, a következőket mondja ki:

„(1) A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam előírja, hogy e rendelet alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv […] felel.

(2) Minden felügyeleti hatóság elősegíti e rendeletnek az Unió egész területén történő egységes alkalmazását. A felügyeleti hatóságok e célból együttműködnek egymással és a Bizottsággal, a VII. fejezettel összhangban.

[…]”

A német jog

7. A Gesetz gegen Wettbewerbsbeschränkungen (a versenykorlátozás tilalmáról szóló törvény, a továbbiakban: GWB) 19. §‑ának (1) bekezdése a következőképpen rendelkezik:

„Tilos a piaci erőfölény egy vagy több vállalkozás általi visszaélésszerű kihasználása.”(5)

8. A GWB 50f. §‑a kimondja:

„(1) A versenyhatóságok, a szabályozó hatóságok, a szövetségi adatvédelmi és információszabadság‑ügyi biztos, a regionális adatvédelmi tisztviselők és az EU‑Verbraucherschutzdurchführungsgesetz [az uniós fogyasztóvédelmi törvény végrehajtásáról szóló törvény] 2. cikke szerinti illetékes hatóságok a választott eljárástól függetlenül információkat cserélhetnek egymással, beleértve a személyes adatokat, valamint a kereskedelmi és üzleti titkokat is, amennyiben ez feladataik ellátásához szükséges, és ezeket az információkat az eljárásaik során felhasználhatják. […]”

Az alapeljárás, az előzetes döntéshozatalra előterjesztett kérdések és a Bíróság előtti eljárás

9. A Meta Platforms működteti az Európai Unióban a „Facebook” online közösségi hálózat kínálatát (a www.facebook.com címen), valamint további online szolgáltatásokat, közöttük az Instagramot és a WhatsAppot. A Meta Platforms által működtetett közösségi hálózatok üzleti modellje lényegében abban áll, hogy egyrészt ingyenesen kínálnak közösségi hálózati szolgáltatásokat a magánfelhasználók számára, másrészt pedig online hirdetéseket értékesítenek, amelyek a közösségi hálózat egyes felhasználóira vannak szabva, és arra irányulnak, hogy olyan hirdetéseket jelenítsenek meg a felhasználó számára, amelyek – többek között – személyes fogyasztási szokásai, érdeklődési köre, vásárlóereje és élethelyzete alapján érdekelhetik őt. Az ilyen típusú hirdetés technikai alapját a hálózat felhasználóinak és a csoport által kínált online szolgáltatások igen részletes profiljainak automatikus létrehozása adja.(6)

10. A felhasználók adatainak gyűjtését és kezelését a Meta Platforms a felhasználóival a „regisztráció” gomb megnyomásával kötött felhasználói szerződésre alapozza, amelynek révén a felhasználók elfogadják a Facebook felhasználási feltételeit. E felhasználási feltételek elfogadása a Facebook közösségi hálózat használatának elengedhetetlen feltételét képezi.(7) A jelen ügy központi kérdését az a gyakorlat képezi, amely először is a csoport más szolgáltatásaiból származó adatoknak, valamint harmadik weboldalakról és alkalmazásokból, az azokba beépített interfészeken keresztül, vagy a felhasználó számítógépén, illetve mobileszközén tárolt cookie‑kon keresztül kinyert adatoknak a gyűjtéséből, másodszor pedig ezen adatoknak az érintett felhasználó Facebook‑fiókjával való összekapcsolásából, harmadszor pedig az említett adatok felhasználásából áll (a továbbiakban: a vitatott gyakorlat).

11. A Bundeskartellamt eljárást indított a Meta Platforms ellen, amelyet követően a vitatott határozattal megtiltotta az utóbbi számára a Facebook felhasználási feltételei szerinti adatkezelést, valamint e feltételek végrehajtását, és e tevékenységek megszüntetésére irányuló intézkedéseket írt elő számára. A Bundeskartellamt határozatát különösen azzal indokolta, hogy a szóban forgó adatkezeléssel e társaság a GWB 19. §‑a értelmében a németországi magánfelhasználóknak szánt közösségi hálózatok piacán fennálló erőfölényét visszaélésszerűen kihasználta.(8)

12. 2019. február 11‑én a Meta Platforms a vitatott határozattal szemben keresetet nyújtott be a kérdést előterjesztő Oberlandesgericht Düsseldorf‑hoz (düsseldorfi regionális felsőbíróság),(9) amely alapvetően kétségeket táplál egyrészt afelől, hogy a nemzeti versenyhatóságok ellenőrizhetik, hogy az adatkezelés megfelel‑e az általános adatvédelmi rendeletben megfogalmazott követelményeknek, valamint hogy megállapíthatják és szankcionálhatják e rendelet rendelkezéseinek megsértését, másrészt pedig e rendelet bizonyos rendelkezéseinek értelmezése és alkalmazása felől.

13. E körülmények között az Oberlandesgericht Düsseldorf (düsseldorfi regionális felsőbíróság, Németország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1) a) Összeegyeztethető‑e az általános adatvédelmi rendelet 51. és azt követő cikkeivel, ha valamely tagállam – a szövetségi versenyhatósághoz hasonló – olyan nemzeti versenyhatósága, amely nem minősül az általános adatvédelmi rendelet 51. és azt követő cikkei értelmében vett felügyeleti hatóságnak, és amelynek tagállamában egy Európai Unión kívül letelepedett vállalkozás olyan tevékenységi hellyel rendelkezik, amely a reklám, a kommunikáció és a közönségszolgálat területén támogatást nyújt az említett vállalkozás másik tagállamban található, a személyes adatokat az Európai Unió egész területe tekintetében kizárólagosan kezelő tevékenységi központjának, a visszaélések kartelljogi ellenőrzése keretében megállapítja, hogy a tevékenységi központ adatkezeléssel kapcsolatos szerződési feltételei és azok végrehajtása az általános adatvédelmi rendeletbe ütközik, és e jogsértés megszüntetésére kötelező határozatot hoz?

b) Ha igen: összeegyeztethető‑e ez az EUSZ 4. cikk (3) bekezdésével, ha az általános adatvédelmi rendelet 56. cikkének (1) bekezdése értelmében vett, a tevékenységi központ tagállama szerinti fő felügyeleti hatóság ezzel egyidejűleg vizsgálati eljárást folytat a tevékenységi központ adatkezeléssel kapcsolatos szerződési feltételei tárgyában?

Az első kérdésre adandó igenlő válasz esetén:

2) a) Az általános adatvédelmi rendelet 9. cikkének (1) bekezdése értelmében vett különleges [személyes] adatok kezelésének minősül‑e a gyűjtés és/vagy az összekapcsolás és/vagy a felhasználás akkor, ha az internethasználó vagy csak megnyit olyan weboldalakat vagy alkalmazásokat, vagy – például regisztráció vagy megrendelések esetén – adatokat is megad olyan weboldalakon vagy alkalmazásokon, amelyek kapcsolatban állnak az általános adatvédelmi rendelet említett rendelkezésében szereplő kritériumokkal, mint amilyenek például az ismerkedős alkalmazások, a homoszexuális társkeresők, a politikai pártok weboldalai, az egészségügyi weboldalak, valamely másik vállalkozás pedig, mint amilyen például a Facebook Ireland, a weboldalakon és alkalmazásokban elhelyezett – a »Facebook Business Tools«‑hoz hasonló – interfészeken vagy az internethasználó számítógépén vagy mobileszközén használt cookie‑kon vagy hasonló adattárolási technológiákon keresztül összegyűjti a weboldalak és alkalmazások felhasználó általi megnyitására és a felhasználó ott megadott adataira vonatkozó adatokat, összekapcsolja azokat a felhasználó [Facebook]‑fiókjának adataival, és felhasználja azokat?

b) Ha igen: önmagában a megnyitásra és/vagy a felhasználó által megadott adatokra vonatkozó adatoknak az általános adatvédelmi rendelet 9. cikke (2) bekezdésének e) pontja értelmében vett kifejezett nyilvánosságra hozatalának minősül‑e e weboldalak és alkalmazások megnyitása és/vagy azokon, illetve azokban adatok megadása és/vagy az e weboldalakon vagy alkalmazásokban a Facebook Irelandhez hasonló szolgáltatóhoz tartozó gombokra (»közösségi modulok«, mint például »Tetszik«, »Megosztás« vagy »Facebook Login« vagy »Account Kit«) való rákattintás?

3) Hivatkozhat‑e az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b) pontjában szereplő, a szerződésteljesítéshez való szükségesség vagy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontjában szereplő, jogos érdekek érvényesítése igazoló okára a Facebook Irelandhez hasonló olyan vállalkozás, amely egy reklámbevételből finanszírozott digitális közösségi hálózatot üzemeltet, és felhasználási feltételeiben a tartalmak és a hirdetések személyre szabását, a hálózat biztonságát, a termékek fejlesztését és a vállalatcsoport valamennyi termékének egységes és zökkenőmentes használatát kínálja, ha az említett célokból a vállalatcsoport más szolgáltatásaiból és harmadik weboldalakról és alkalmazásokból származó adatokat összegyűjti az ezeken, illetve ezekben elhelyezett – a »Facebook Business Tools«‑hoz hasonló – interfészeken vagy az internethasználó számítógépén vagy mobileszközén használt cookie‑kon vagy hasonló adattárolási technológiákon keresztül, összekapcsolja azokat a felhasználó [Facebook]‑fiókjával, és felhasználja azokat?

4) Ilyen esetben

– a tartalmak és a hirdetések személyre szabása, a termékek fejlesztése, a hálózat biztonsága és a felhasználóval folytatott nem marketingjellegű kommunikáció szempontjából a felhasználók kiskorúsága,

– méréseknek, elemzéseknek és más üzleti szolgáltatásoknak a hirdetők, fejlesztők és más partnerek számára történő biztosítása abból a célból, hogy értékelhessék és javíthassák szolgáltatásaikat,

– marketingjellegű kommunikáció folytatása a felhasználóval abból a célból, hogy a Facebook Ireland fejleszthesse termékeit, és direktmarketing‑tevékenységet végezhessen,

– kutatás és fejlesztés a közjó érdekében a technika állásának vagy a fontos társadalmi kérdésekkel kapcsolatos tudományos felfogásnak a társadalomra és a világra való pozitív hatásgyakorlás érdekében történő előrevitele céljából,

– a bűnüldöző és egyéb hivatalos szervek tájékoztatása, valamint válaszadás hivatalos megkeresésekre a bűncselekmények, a jogosulatlan használat, a felhasználási feltételek és a szabályzatok megszegése, illetve egyéb káros magatartások megelőzése és kezelése érdekében,

szintén az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontja értelmében vett jogos érdeknek minősülhet‑e, ha a vállalkozás e célokból a vállalatcsoport más szolgáltatásaiból és harmadik weboldalakról és alkalmazásokból származó adatokat összegyűjti az ezeken, illetve ezekben elhelyezett – a »Facebook Business Tools«‑hoz hasonló – interfészeken vagy az internethasználó számítógépén vagy mobileszközén használt cookie‑kon vagy hasonló adattárolási technológiákon keresztül, összekapcsolja azokat a felhasználó [Facebook]‑fiókjával, és felhasználja azokat?

5) Ilyen esetben az általános adatvédelmi rendelet 6. cikke (1) bekezdésének c), d) és e) pontja alapján is igazolt lehet‑e egyedi esetekben a vállalatcsoport más szolgáltatásaiból és harmadik weboldalakról és alkalmazásokból származó adatoknak az ezeken, illetve ezekben elhelyezett – a »Facebook Business Tools«‑hoz hasonló – interfészeken vagy az internethasználó számítógépén vagy mobileszközén használt cookie‑kon vagy hasonló adattárolási technológiákon keresztül történő összegyűjtése, azoknak a felhasználó Facebook.com‑fiókjával történő összekapcsolása és felhasználása vagy a más módon már jogszerűen összegyűjtött és összekapcsolt adatok felhasználása például egy bizonyos adatokra vonatkozó érvényes megkeresésre történő válaszadás (c) pont), a káros magatartásokkal szembeni küzdelem és a biztonság elősegítése (d) pont), a közérdekű kutatás, valamint a biztonság, integritás és védelem elősegítése (e) pont) érdekében?

6) Adható‑e az általános adatvédelmi rendelet 6. cikke (1) bekezdésének a) pontja, illetve 9. cikke (2) bekezdésének a) pontja értelmében vett érvényes, különösen az általános adatvédelmi rendelet 4. cikkének 11. pontja szerinti önkéntes hozzájárulás egy – a Facebook Irelandhez hasonló – erőfölényben lévő vállalkozás számára?

Az első kérdésre adandó nemleges válasz esetén:

7) a) Valamely tagállam – a szövetségi versenyhatósághoz hasonló – olyan nemzeti versenyhatósága, amely nem minősül az általános adatvédelmi rendelet 51. és azt követő cikkei értelmében vett felügyeleti hatóságnak, és amely a visszaélés kartelljogi tilalmának egy erőfölényben lévő vállalkozás általi olyan megsértését vizsgálja, amely nem abban áll, hogy e vállalkozás adatkezelési feltételei és azok végrehajtása az általános adatvédelmi rendeletbe ütközik, tehet‑e megállapításokat például az érdekek mérlegelése keretében azzal kapcsolatban, hogy e vállalkozás adatkezelési feltételei és azok végrehajtása megfelel‑e az általános adatvédelmi rendeletnek?

b) Ha igen: Az EUSZ 4. cikk (3) bekezdésére tekintettel akkor is így van‑e ez, ha az általános adatvédelmi rendelet 56. cikkének (1) bekezdése alapján illetékes fő felügyeleti hatóság ezzel egyidejűleg vizsgálati eljárást folytat e vállalkozás adatkezelési feltételei tárgyában?

A hetedik kérdésre adandó igenlő válasz esetén a harmadik, negyedik és ötödik kérdésre a vállalatcsoport Instagram szolgáltatásának igénybevételéből származó adatok tekintetében kell választ adni.”

14. Írásbeli észrevételeket a Meta Platforms, a német, a cseh, az olasz és az osztrák kormány, a Bundeskartellamt, a Verbraucherzentrale Bundesverband e.V. (fogyasztói központok országos szövetsége bejegyzett egyesület, Németország), valamint az Európai Bizottság terjesztett elő. E felek a 2022. május 10‑én tartott tárgyaláson szóbeli észrevételeket is előterjesztettek.

Elemzés

15. A jelen ügy tárgyát képező, az általános adatvédelmi rendelet több rendelkezésének értelmezésével kapcsolatban előzetes döntéshozatalra előterjesztett kérdések lényegében először is a versenyhatóságoknak a személyes adatok kezelésére vonatkozó szabályok megsértésének megállapítására és szankcionálására vonatkozó hatáskörére, valamint az általános adatvédelmi rendelet értelmében vett fő hatósággal való együttműködési kötelezettségeire (előzetes döntéshozatalra előterjesztett első és hetedik kérdés), másodszor a különleges személyes adatok kezelésének tilalmára, és a felhasználásukhoz való hozzájárulás alkalmazandó feltételeire (előzetes döntéshozatalra előterjesztett második kérdés), harmadszor a személyes adatok – bizonyos indokok alapján történő – kezelésének jogszerűségére (előzetes döntéshozatalra előterjesztett harmadik, negyedik és ötödik kérdés), és negyedszer az erőfölényben lévő adatkezelő vállalkozásnak a személyes adatok kezelésére vonatkozóan adott hozzájárulás érvényességére (előzetes döntéshozatalra előterjesztett hatodik kérdés) vonatkoznak.

16. A következő pontokban először az első és a hetedik kérdést fogom tárgyalni, majd a többi kérdéssel foglalkozom abban a sorrendben, ahogyan azokat feltették; a harmadik, a negyedik és az ötödik kérdést összevontan vizsgálom.

Az előzetes döntéshozatalra előterjesztett első kérdésről

17. Előzetes döntéshozatalra előterjesztett első kérdésével az előterjesztő bíróság lényegében arra keresi a választ, hogy amennyiben valamely versenyhatóság a versenyszabályokba ütköző jogsértéseket vizsgál, hozhat‑e egyrészt elsődlegesen annak megállapítására vonatkozó(10) határozatot, hogy az általános adatvédelmi rendelet adatkezelési szabályait megsértette egy olyan vállalkozás, amelynek a személyes adatok kezelése tekintetében az Unió egész területére vonatkozóan kizárólagos hatáskörrel rendelkező központja egy másik tagállamban van, és másrészt elrendelheti‑e e jogsértés megszüntetését (az első kérdés a) pontja), és ha igen, akkor az általános adatvédelmi rendelet 56. cikkének (1) bekezdése alapján hatáskörrel rendelkező fő felügyeleti hatóság rendelkezik‑e hatáskörrel arra, hogy az ezen vállalkozás által végzett adatkezelési feltételeket további vizsgálat alá vonja (az első kérdés b) pontja].

18. Mindazonáltal – a kérdést előterjesztő bíróság általi vizsgálat függvényében – úgy tűnik számomra, hogy a Bundeskartellamt a vitatott határozatban nem szankcionálta az általános adatvédelmi rendelet Meta Platforms általi megsértését, hanem kizárólag a versenyszabályok alkalmazása céljából a Meta Platforms erőfölénnyel való állítólagos visszaélését vizsgálta, figyelembe véve többek között azt, hogy e vállalkozás magatartása nem felelt meg az általános adatvédelmi rendelet rendelkezéseinek.

19. Ennélfogva álláspontom szerint hatástalan az első kérdés a) pontja, amennyiben az a versenyhatóság azon lehetőségére vonatkozik, hogy elsődlegesen az általános adatvédelmi rendelet szabályainak megsértéséről hozzon határozatot, és elrendelje az e rendelet értelmében vett jogsértés megszüntetését.(11)

20. Ebből következik, hogy az első kérdés b) pontja, amely az első kérdés a) pontjára adott igenlő választól függ, szintén hatástalan.(12)

Az előzetes döntéshozatalra előterjesztett hetedik kérdésről

21. Előzetes döntéshozatalra előterjesztett hetedik kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy valamely versenyhatóság a versenyjogi szabályok megsértésének vizsgálata során járulékos jelleggel(13) tehet‑e megállapításokat azzal kapcsolatban, hogy az adatkezelés feltételei és azok végrehajtása megfelelnek‑e az általános adatvédelmi rendeletnek (a hetedik kérdés a) pontja), és ha igen, a versenyhatóság akkor is elvégezheti‑e erre vonatkozó elemzését, ha az illetékes fő felügyeleti hatóság ezzel egyidejűleg vizsgálati eljárást folytat ezen feltételek tárgyában (a hetedik kérdés b) pontja).

22. Ami először is a hetedik kérdés a) pontját illeti, úgy vélem, hogy noha valamely versenyhatóság nem rendelkezik hatáskörrel az általános adatvédelmi rendelet megsértésének megállapítására,(14) az általános adatvédelmi rendelettel főszabály szerint nem ellentétes az, hogy a felügyeleti hatóságoktól eltérő hatóságok a saját hatásköreik és jogkörük gyakorlása során járulékosan figyelembe vehessék valamely magatartásnak az általános adatvédelmi rendelet rendelkezéseivel való összeegyeztethetőségét. Véleményem szerint éppen ez a helyzet áll fenn, amikor a versenyhatóság az EUMSZ 102. cikk és az 1/2003/EK rendelet(15) 5. cikkének első bekezdése vagy bármely más vonatkozó nemzeti szabály által ráruházott hatásköröket gyakorolja.(16)

23. Hatáskörének gyakorlása során ugyanis a versenyhatóságnak többek között azt kell értékelnie, hogy a vizsgált magatartás az érdemeken alapuló verseny alapjául szolgálóktól eltérő eszközök igénybevételét jelenti‑e, figyelembe véve azt a jogi és gazdasági környezetet, amelybe e magatartás illeszkedik.(17) E tekintetben az, hogy az említett magatartás megfelel‑e vagy sem az általános adatvédelmi rendelet rendelkezéseinek, ha nem is önmagában, de az adott ügy valamennyi körülményét figyelembe véve fontos valószínűsítő körülmény lehet annak megállapítása során, hogy e magatartás a rendes versenyt meghatározó eszközök igénybevételének minősül‑e, ugyanakkor pontosítani szükséges, hogy az, hogy valamely magatartás az EUMSZ 102. cikk értelmében visszaélésszerűnek minősül‑e vagy sem, nem függ össze azzal, hogy az általános adatvédelmi rendeletnek, illetve más jogszabályoknak megfelel‑e vagy sem.(18)

24. Ennélfogva úgy vélem, hogy a piaci erőfölénnyel való visszaélés vizsgálata igazolhatja a versenyjog hatálya alá nem tartozó olyan normáknak a versenyhatóság általi értelmezését, mint az általános adatvédelmi rendelet,(19) annak pontosítása mellett, hogy az ilyen vizsgálatra eseti jelleggel kerülhet sor,(20) és az nem érinti e rendeletnek az illetékes felügyeleti hatóságok általi alkalmazását.(21)

25. Másodszor, ami a hetedik kérdés b) pontját illeti, a kérdést előterjesztő bíróság azt a kérdést veti fel, hogy a versenyhatóságnak milyen kötelezettségei vannak az EUSZ 4. cikk (3) bekezdésében foglalt lojális együttműködés elvének alkalmazása keretében, amikor az általános adatvédelmi rendelet rendelkezéseit értelmezi az e rendelet szerint hatáskörrel rendelkező fő felügyeleti hatósággal szemben, közelebbről akkor, ha a versenyhatóság által vizsgált ugyanazon magatartás képezi a felügyeleti hatóság által végzett vizsgálat tárgyát.

26. A jelen ügyben az, hogy valamely vállalkozás magatartását az általános adatvédelmi rendelet szabályai alapján vizsgálja egy versenyhatóság – még ha járulékosan is –, azzal a kockázattal jár, hogy e hatóság és a felügyeleti hatóságok eltérően értelmezik e rendeletet, ami elvben sértheti az általános adatvédelmi rendelet egységes értelmezését.(22)

27. Az uniós jog nem ír elő részletes szabályokat ilyen helyzetre a versenyhatóság és az általános adatvédelmi rendelet szerinti felügyeleti hatóságok közötti együttműködéssel kapcsolatban. Konkrétabban, a jelen ügyben sem az általános adatvédelmi rendelet alkalmazása során az e rendelet szerint illetékes hatóságok között fennálló együttműködési mechanizmus,(23) sem olyan, a közigazgatási hatóságok közötti együttműködésre vonatkozó egyéb pontos szabályok nem alkalmazhatók, mint amelyek a versenyszabályok alkalmazása során a versenyhatóságok egymás közötti, valamint e hatóságoknak a Bizottsággal való együttműködését szabályozzák.(24)

28. Mindemellett az általános adatvédelmi rendelet értelmezése során a versenyhatóságot köti az EUSZ 4. cikk (3) bekezdésében foglalt lojális együttműködés elve, amelynek értelmében az Unió és a tagállamok – ideértve a közigazgatási hatóságaikat is –(25) kölcsönösen tiszteletben tartják és segítik egymást a Szerződésekből eredő feladatok végrehajtásában. E rendelkezés harmadik albekezdése kimondja, hogy a tagállamok segítik az Uniót feladatainak teljesítésében, és tartózkodnak minden olyan intézkedéstől, amely veszélyeztetheti az Unió célkitűzéseinek megvalósítását.(26) Ezenkívül, az uniós jog alkalmazásáért felelős valamennyi hatósághoz hasonlóan a versenyhatóságot is köti a gondos ügyintézés elve, amely általános uniós alapelv, és többek között a nemzeti hatóságok átfogó gondossági és gondoskodási kötelezettségét foglalja magában.(27)

29. Ily módon, az együttműködési mechanizmusokra vonatkozó pontos szabályok hiányában, amelyeket esetlegesen az uniós jogalkotónak kell elfogadnia, az általános adatvédelmi rendelet rendelkezéseinek értelmezése során a versenyhatóságot – legalább az e rendelet értelmében illetékességgel rendelkező hatóságokkal szemben – információs, tájékoztatási és együttműködési kötelezettség terheli a hatásköreit szabályozó nemzeti szabályok (a tagállamok eljárási autonómiájának elve) alkalmazása során, valamint az egyenértékűség és a tényleges érvényesülés elvének tiszteletben tartása mellett.(28)

30. Véleményem szerint ebből az következik, hogy amikor az illetékes fő felügyeleti hatóság ugyanazon vagy hasonló gyakorlat vonatkozásában az általános adatvédelmi rendelet egyes rendelkezéseinek alkalmazásáról határozott, a versenyhatóság főszabály szerint nem térhet el ezen – e rendelet alkalmazására kizárólagos hatáskörrel rendelkező – hatóság értelmezésétől,(29) és amennyiben lehetséges – valamint tiszteletben tartva különösen az érintett személyek védelemhez való jogát – betartja az e hatóság által ugyanazon magatartásra vonatkozóan esetlegesen hozott határozatokat,(30) és ha adott esetben kétségek merülnek fel a hatáskörrel rendelkező hatóság által adott értelmezéssel kapcsolatban, konzultációt folytat vele, továbbá amennyiben kétségei támadnak az illetékes hatóságnak az adott ügyre vonatkozó értelmezésével kapcsolatban, az említett hatósággal, illetve, amennyiben másik tagállam hatóságáról van szó, a nemzeti felügyeleti hatósággal folytat konzultációt.(31)

31. Ezenkívül az illetékes felügyeleti hatóság határozatának hiányában a versenyhatóságnak ugyanakkor tájékoztatnia kell e hatóságot,(32) és együtt kell működnie vele akkor, ha e hatóság megkezdte ugyanazon gyakorlat vizsgálatát, vagy kinyilvánította erre irányuló szándékát, és adott esetben meg kell várnia az e hatóság által végzett vizsgálat befejezését, mielőtt megkezdené saját értékelését, amennyiben ez helyénvaló, és azzal a versenyhatóság nem sérti különösen az észszerű határidőre vonatkozó követelményt, valamint az érintett személyek védelemhez való jogát.(33)

32. A jelen ügyben úgy tűnik számomra, hogy az, hogy a Bundeskartellamt hivatalos együttműködést kezdeményezett a nemzeti szintű felügyeleti hatóságokkal,(34) és informálisan az ír fő felügyeleti hatósággal is kapcsolatba lépett – az általa hivatkozottak szerint, amely körülmények ellenőrzése a kérdést előterjesztő bíróság feladata –, elegendő lehet annak megállapításához, hogy ez a hatóság eleget tett a gondossági és a lojális együttműködési kötelezettségének.(35)

33. Következésképpen azt javaslom, hogy a Bíróság az előzetes döntéshozatalra előterjesztett hetedik kérdésre azt a választ adja, hogy az általános adatvédelmi rendelet 51–66. cikkét úgy kell értelmezni, hogy a versenyhatóság a versenyjogi szabályok értelmében vett hatáskörei keretében járulékos jelleggel vizsgálhatja az általa vizsgált magatartásoknak az általános adatvédelmi rendelet szabályaival való összeegyeztethetőségét, amellett hogy figyelembe veszi az általános adatvédelmi rendelet szerint illetékes felügyeleti hatóság valamennyi határozatát, illetve vizsgálatát, tájékoztatja a nemzeti felügyeleti hatóságot, és adott esetben konzultál vele.

Az előzetes döntéshozatalra előterjesztett második kérdésről

34. Előzetes döntéshozatalra előterjesztett második kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 9. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy a vitatott gyakorlat, amennyiben az harmadik weboldalak és alkalmazások megtekintésére vonatkozik,(36) a felsorolt(37) különleges személyes adatok kezelésének körébe tartozik, ami tilos(38) (a második kérdés a) pontja), és amennyiben igen, úgy kell‑e értelmezni az e rendelet 9. cikke (2) bekezdésének e) pontját, hogy a felhasználó – e rendelkezés értelmében véve – kifejezetten nyilvánosságra hozza azokat az adatokat, amelyek egyrészt weboldalak és alkalmazások megnyitásával fed fel, illetve másrészt az e weboldalakon vagy alkalmazásokban ad meg, vagy az utóbbiakba beépített választható gombok aktiválásával oszt meg(39) (a második kérdés b) pontja).

35. Ami először is a második kérdés a) pontját illeti, emlékeztetek arra, hogy az általános adatvédelmi rendelet 9. cikkének (1) bekezdése értelmében tilos a különleges személyes adatok kezelése. Ezen adatok egyedi védelmét az a tény indokolja – amint az e rendelet (51) preambulumbekezdéséből kitűnik –, hogy az alapvető jogok és szabadságok szempontjából természetüknél fogva különösen érzékeny adatokról van szó, és e jogokra és szabadságokra nézve a kezelésük jelentős kockázatot hordozhat. Ezenkívül, annak ellenére, hogy e rendelkezés megfogalmazása kissé homályos,(40) számomra nem tűnik úgy, hogy e rendelkezés – amint azt a kérdést előterjesztő bíróság feltételezi – lényeges különbséget tenne azon személyes adatok között, amelyek amiatt számítanak érzékenynek, mert egy bizonyos helyzetre „utalnak”, és azon adatok között, amelyek önmagukban érzékenynek minősülnek.(41)

36. A jelen ügyben véleményem szerint nyilvánvaló, hogy a vitatott gyakorlat személyes adatok kezelésének minősül, amely főszabály szerint e rendelkezés hatálya alá tartozik és tilos, amennyiben a kezelt adatok az e rendelkezésben felsorolt érzékeny helyzetek egyikére utalnak. Meg kell tehát határozni, hogy weboldalak és alkalmazások megnyitása, illetve az adatoknak az e felületeken történő megadása utalhat‑e – és ha igen mennyiben – a szóban forgó rendelkezésben szereplő érzékeny helyzetek valamelyikére.

37. E tekintetben kétlem, hogy jelentősége lenne aszerint különbséget tenni (bár továbbra is lehetséges), hogy az adatok egyszerűen az érintett személy bizonyos információk iránti érdeklődését tükrözik, vagy hogy a szóban forgó rendelkezésben szereplő kategóriába tartozó, e személyre vonatkozó különleges adatról van szó.(42) Noha az alapeljárásban részt vevő felek között véleménykülönbség van e tekintetben,(43) úgy gondolom, hogy erre a kérdésre csak a vitatott gyakorlat részét képező tevékenységek egyesével történő eseti vizsgálata útján lehet választ adni.

38. Noha – amint arra a német kormány rámutat – valamely weblap vagy alkalmazás megnyitásával kapcsolatos különleges személyes adatok egyszerű gyűjtése önmagában nem feltétlenül minősül az e rendelkezés értelmében vett személyes adatok kezelésének,(44) ezen adatoknak az érintett felhasználó Facebook‑fiókjával való összekapcsolása vagy felhasználása ezzel szemben olyan magatartásnak tekinthetők, amelyek könnyen ilyen adatkezelésnek minősülhetnek. Az általános adatvédelmi rendelet 9. cikke (1) bekezdésének alkalmazása szempontjából véleményem szerint az a döntő tényező, hogy a kezelt adatok lehetővé teszik az e rendelkezésben felsorolt különleges személyes adatok kategóriái szerinti profilalkotást.(45)

39. Ebben az összefüggésben ahhoz, hogy el lehessen dönteni, hogy az adatkezelés e rendelkezés hatálya alá tartozik‑e, hasznos lehet adott esetben különbséget tenni egyrészt azon adatok kezelése között, amelyek első ránézésre a különleges személyes adatok kategóriájába sorolhatók, és amelyek önmagukban lehetővé teszik az érintett személyre vonatkozó profilalkotást, másrészt pedig azon adatok kezelése között, amelyek önmagukban nem érzékenyek, hanem további csoportosításukra van szükség ahhoz, hogy az érintett személy profiljára vonatkozóan hihető következtetéseket lehessen levonni.

40. Ezzel együtt pontosítani szükséges, hogy az e rendelkezés szerinti kategorizálás független attól a kérdéstől, hogy e kategorizálás fedi‑e a valóságot vagy helyes‑e.(46) Ami számít, az annak a lehetősége – amint arra az általános adatvédelmi rendelet (51) preambulumbekezdése emlékeztet –, hogy az ilyen kategorizálás jelentős kockázatot hordozhat az érintett személy alapvető jogaira és szabadságaira nézve, amely lehetőség független annak igazságtartalmától.

41. Végül, ami a kérdést előterjesztő bíróság arra irányuló kérdését illeti, hogy a szóban forgó értékelés szempontjából releváns‑e a felhasználás célja,(47) az alapeljárás felperesével ellentétben úgy vélem, hogy főszabály szerint nem követelmény, hogy az adatkezelő ezeket az adatokat „tudatosan és azzal a szándékkal kezelje, hogy azokból közvetlenül az adatok különleges kategóriáit nyerje ki”. A szóban forgó rendelkezés célja ugyanis lényegében az, hogy objektív módon elhárítsa az érintettek alapvető jogait és szabadságait fenyegető, a különleges személyes adatok feldolgozása által hordozott jelentős kockázatokat – függetlenül minden olyan szubjektív tényezőtől, mint az adatkezelő szándéka.

42. Ami másodszor a második kérdés b) pontját illeti, emlékeztetek arra, hogy az általános adatvédelmi rendelet 9. cikke (2) bekezdésének e) pontja értelmében a különleges személyes adatok kezelésének tilalma nem alkalmazandó, ha az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott. Ezenkívül az e rendelkezés szövegében szereplő, a „kifejezetten” határozószóra való utalás, valamint az a tény, hogy az említett rendelkezés kivételt képez a különleges személyes adatok kezelésének tilalma alól,(48) e kivétel különösen szigorú alkalmazását követeli meg az érintettek alapvető jogait és szabadságait érintő jelentős kockázatok miatt.(49) Ahhoz, hogy e kivétel alkalmazható legyen, a felhasználónak véleményem szerint teljes mértékben tisztában kell lennie azzal, hogy kifejezett cselekvése útján(50) személyes adatokat hoz nyilvánosságra.(51)

43. A jelen ügyben úgy tűnik számomra, hogy a weboldalak és alkalmazások megnyitásával, az adatoknak ezeken a felületeken történő megadásával, valamint az ezen oldalakba, illetve alkalmazásokba beépített kiválasztási gombok aktiválásával megvalósuló magatartást főszabály szerint nem lehet olyan magatartásnak tekinteni, amellyel a felhasználó a különleges személyes adatait az általános adatvédelmi rendelet 9. cikke (2) bekezdésének e) pontja értelmében kifejezetten nyilvánosságra hozza.

44. Különösen rámutatok arra, hogy főszabály szerint a weboldalak és az alkalmazások megnyitása csupán a weboldal, illetve az alkalmazás üzemeltetője, valamint az olyan harmadik felek számára teszi hozzáférhetővé a megtekintési adatokat, akiknek az üzemeltető továbbítja ezeket az információkat, mint például az alapeljárás felperesének.(52) Hasonlóképpen, bár az érintett közvetlen és önkéntes módon információkat oszthat meg egyes különleges személyes adatairól azáltal, hogy adatokat ad meg weboldalakon vagy alkalmazásokban, ezzel kapcsolatban is megjegyzem, hogy ezek az információk csak a szóban forgó weboldal vagy alkalmazás üzemeltetője számára, illetve azok számára érhetők el, akiknek az üzemeltető továbbítja azokat. Kizárom tehát, hogy az ilyen magatartások azon szándékról tanúskodnának, hogy ezeket az adatokat a közösség számára hozzáférhetővé tegyék.(53) Ezenkívül, bár nyilvánvaló, hogy a weboldalakba vagy alkalmazásokba beépített kiválasztási gombok aktiválásával(54) az érintett személy egyértelműen kifejezi azt a szándékát, hogy bizonyos információkat megosszon a szóban forgó weboldalon, illetve alkalmazáson kívüli közönséggel, úgy vélem – amint azt a Bundeskartellamt is hangsúlyozza –, hogy a szóban forgó személy e magatartása arra vonatkozó szándékát fejezi ki, hogy az információkat egy – gyakran maga a felhasználó által – meghatározott személyi körrel,(55) nem pedig a teljes közösséggel ossza meg.(56)

45. Végül, ami a felhasználó által a 2002/58 irányelv 5. cikkének (3) bekezdése értelmében adott esetleges hozzájárulás relevanciáját illeti, ahhoz, hogy a személyes adatokat cookie‑k segítségével vagy hasonló technológiák útján gyűjteni lehessen – amint azt a kérdést előterjesztő bíróság felveti –, úgy vélem, hogy e hozzájárulás sajátos céljára tekintettel önmagában nem igazolhatja az ezen eszközökkel gyűjtött különleges személyes adatok kezelését.(57) Az említett hozzájárulás ugyanis, amely a felhasználó bizonyos tevékenységeit rögzítő technikai eszközök telepítéséhez szükséges,(58) nem érinti a különleges személyes adatok kezelését, és azt nem lehet egyenértékűnek tekinteni az ezen adatoknak az általános adatvédelmi rendelet 9. cikke (2) bekezdésének e) pontja értelmében vett kifejezett nyilvánosságra hozására irányuló szándékkal.(59)

46. Következésképpen azt javaslom, hogy a Bíróság az előzetes döntéshozatalra előterjesztett második kérdésre azt a választ adja, hogy egyrészt az általános adatvédelmi rendelet 9. cikkének (1) bekezdését úgy kell értelmezni, hogy a különleges személyes adatok kezelésének tilalma kiterjedhet az online közösségi hálózat üzemeltetője által végzett adatkezelésre, amelynek keretében az üzemeltető összegyűjti a felhasználó adatait, amikor az más weboldalakat vagy alkalmazásokat nyit meg, illetve ott adatokat ad meg, az említett adatokat összekapcsolja a felhasználó közösségi fiókjával, valamint felhasználja ezeket az adatokat, feltéve, hogy a kezelt információk egyenként vagy csoportosítva lehetővé teszik a személyes adatoknak az e rendelkezésben felsorolt különleges kategóriái szerinti profilalkotást, és másrészt pedig úgy kell értelmezni, hogy a felhasználó nem hozza az általános adatvédelmi rendelet 9. cikke (2) bekezdésének e) pontja értelmében kifejezetten nyilvánosságra azokat az adatait, amelyeket weboldalak vagy alkalmazások megnyitásával fed fel, illetve az e weboldalakon vagy alkalmazásokban ad meg, illetve az utóbbiakba beépített választható gombok aktiválásával oszt meg.

Az előzetes döntéshozatalra előterjesztett harmadik, negyedik és ötödik kérdésről

47. Előzetes döntéshozatalra előterjesztett harmadik, negyedik és ötödik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b), c), d), e) és f) pontját úgy kell‑e értelmezni, hogy a vitatott gyakorlat(60) az e rendelkezésekben előírt egyik igazoló ok hatálya alá tartozik, közelebbről:

– az adatkezelés szerződés teljesítéséhez,(61) illetve jogos érdekek érvényesítéséhez szükséges,(62) figyelembe véve azt, hogy a Meta Platforms egy reklámbevételből finanszírozott közösségi hálózatot üzemeltet, és felhasználási feltételeiben a tartalmak és a hirdetések személyre szabását, a hálózat biztonságát, a termékek fejlesztését és a vállalatcsoport valamennyi termékének egységes és zökkenőmentes használatát kínálja (az előzetes döntéshozatalra előterjesztett harmadik kérdés);

– e jogos érdekek(63) bizonyos helyzetekben történő érvényesítéséről van szó(64) (az előzetes döntéshozatalra előterjesztett negyedik kérdés);

– az adatkezelés bizonyos adatokra vonatkozó érvényes megkeresésre történő válaszadás,(65) káros magatartásokkal szembeni küzdelem és a biztonság elősegítése,(66) illetve a közérdekű kutatás, valamint a biztonság, integritás és védelem elősegítése(67) érdekében szükséges (az előzetes döntéshozatalra előterjesztett ötödik kérdés).

48. Elöljáróban, az előzetes döntéshozatalra előterjesztett negyedik és ötödik kérdés elfogadhatóságával kapcsolatban felmerülő aggályok ellenére,(68) az előzetes döntéshozatalra előterjesztett harmadik, negyedik és ötödik kérdés együttes megválaszolását javaslom, mivel az elsősorban az előzetes döntéshozatalra előterjesztett harmadik kérdéssel kapcsolatban – amely a legalaposabban indokolt – alább kifejtendő észrevételeim az előzetes döntéshozatalra előterjesztett negyedik és ötödik kérdés tárgyát képező rendelkezések alkalmazása során is hasznosak lehetnek a kérdést előterjesztő bíróság számára.

49. Elsődlegesen megjegyzem, hogy az Európai Unió Alapjogi Chartája (a továbbiakban: Charta) 8. cikkének megfelelően a személyes adatokat csak tisztességesen és jóhiszeműen, meghatározott célokra, a törvényben rögzített jogos okból lehet kezelni. E tekintetben az általános adatvédelmi rendelet 6. cikkének (1) bekezdése pontosítja, hogy ezen adatok kezelése csak akkor jogszerű, ha az e rendelkezésben meghatározott hat feltétel egyike teljesül.(69)

50. A jelen ügyben mindenekelőtt úgy vélem, hogy az előzetes döntéshozatalra előterjesztett harmadik, negyedik és ötödik kérdés a Facebook felhasználási feltételeiben szereplő különböző kikötéseknek a vitatott gyakorlattal összefüggésben történő, eseti és részletes elemzését igényli, mivel nem lehet megállapítani, hogy e gyakorlat tekintetében „a [Meta Platformshoz] hasonló vállalkozás” általánosságban hivatkozhat‑e az általános adatvédelmi rendelet 6. cikkének (1) bekezdésében felsorolt valamennyi igazoló okra (vagy ezek némelyikére), még akkor sem, ha nem zárható ki, hogy az említett gyakorlat, illetve a vállalkozás egyes tevékenységei bizonyos esetekben e cikk hatálya alá tartozhatnak.(70)

51. A hivatkozott rendelkezésekben előirányzott adatkezelés továbbá a jelen ügyben az adatkezelő által előírt általános szerződési feltételek alapján, az érintett hozzájárulása(71) nélkül – vagy akár akarata ellenére – történik, ami véleményem szerint a szóban forgó igazoló okok szigorú értelmezését igényli, többek között a hozzájárulásra vonatkozó feltétel kijátszásának elkerülése érdekében.(72)

52. Végezetül emlékeztetek arra, hogy az általános adatvédelmi rendelet 5. cikke (2) bekezdésének megfelelően az adatkezelőre hárul annak bizonyítása, hogy a személyes adatokat e rendelet normáinak megfelelően kezelik, és hogy az említett rendelet 13. cikke (1) bekezdésének c) pontja értelmében a személyes adatok kezelője köteles megjelölni az adatkezelés tervezett célját, valamint jogalapját.

Az előzetes döntéshozatalra előterjesztett harmadik kérdésről

53. Először is, az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b) pontja szerint a személyes adatok kezelése jogszerű, amennyiben olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél.(73)

54. E tekintetben emlékeztetek arra, hogy a „szükségesség” fogalmát az uniós jog nem határozza meg, azonban az ítélkezési gyakorlat szerint az az uniós jog önálló fogalmát képezi.(74) Ahhoz, hogy az adatkezelés a szerződés teljesítéséhez szükségesnek minősüljön, nem elegendő, ha azt a szerződés teljesítésének alkalmával végzik el, vagy hogy az adatkezelésről a szerződés említést tesz,(75) ahogy az sem, ha az a szerződés teljesítése szempontjából szimplán hasznos.(76) A Bíróság ítélkezési gyakorlata szerint az adatkezelésnek objektíve szükségesnek kell lennie a szerződés teljesítéséhez abban az értelemben, hogy nem állhat rendelkezésre más reális és kevésbé beavatkozó jellegű megoldás,(77) figyelembe véve az érintettet érő sérelem észszerű mértékét is.(78) Ez azt is magában foglalja, hogy amennyiben a szerződés több szolgáltatásból vagy ugyanazon szolgáltatás különböző elemeiből áll, amelyek egymástól függetlenül teljesíthetők, az általános adatvédelmi rendelet 6. cikke (1) bekezdése b) pontjának alkalmazhatóságát minden egyes szolgáltatással összefüggésben külön–külön kell értékelni.(79)

55. Ezen igazolás keretében a kérdést előterjesztő bíróság a tartalmak személyre szabására, valamint a csoport termékeinek (vagy inkább szolgáltatásainak) egységes és zökkenőmentes használatára hivatkozik.

56. Ami a tartalmak személyre szabását illeti, számomra úgy tűnik, hogy bár az ilyen tevékenység bizonyos mértékig a felhasználó érdekében is állhat, mivel többek között a „Newsfeed‑ben” olyan tartalmak megjelenítését teszi lehetővé, amelyek az automatikus értékelés szerint a felhasználó érdeklődési körét tükrözik, nem egyértelmű, hogy ez a szóban forgó közösségi hálózati szolgáltatás nyújtásához is szükséges lenne, tehát a személyes adatok e célból történő kezelése ne igényelné e felhasználó hozzájárulását.(80) E vizsgálat során azt is figyelembe kell venni, hogy a vitatott gyakorlat nem a felhasználónak a Facebook‑oldalon vagy ‑alkalmazáson belüli magatartásával összefüggő adatok kezelésére vonatkozik, hanem külső forrásból származó, tehát potenciálisan korlátlan mennyiségű adat kezelésére. Felmerül tehát a kérdés, hogy az ilyen adatkezelés mennyiben felelhet meg az átlagos felhasználó elvárásainak, és általánosabban, hogy a „személyre szabottság” milyen szintjét várhatja el attól a szolgáltatástól, amelyre regisztrál.(81)

57. Ami a csoport szolgáltatásainak egységes és zökkenőmentes használatát illeti, megjegyzem, hogy az alapeljárás felperese által kínált különböző szolgáltatások – például a Facebook és az Instagram – közötti kapcsolat kétségkívül hasznos lehet a felhasználó számára, sőt akár előnyben is részesítheti azt. Ugyanakkor kétlem, hogy a csoport más szolgáltatásaiból (többek között az Instagramból) származó személyes adatok kezelése szükséges lenne a Facebook‑szolgáltatások nyújtásához.(82)

58. Másodszor, az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontja szerint a személyes adatok kezelése jogszerű, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

59. A Bíróság ítélkezési gyakorlata szerint a szóban forgó rendelkezés három együttes feltételhez rendeli a személyes adatok kezelésének jogszerűségét: az első feltétel az adatkezelő, vagy az adatokat megkapó harmadik fél vagy felek jogos érdekének érvényesítése, a második feltétel az, hogy a személyes adatok kezelése valamely jogos érdek érvényesítéséhez szükséges, a harmadik pedig, hogy az adatvédelemmel érintett személy alapvető jogai és szabadságai nem magasabb rendűek.(83)

60. Ami először is a jogos érdek fennállását illeti, emlékeztetek arra, hogy az általános adatvédelmi rendelet és az ítélkezési gyakorlat a jogosnak tekintett érdekek széles körét ismeri el,(84) ugyanakkor pontosítani kell, hogy az általános adatvédelmi rendelet 13. cikke (1) bekezdése d) pontjának megfelelően az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontján alapuló adatkezelés esetében az adatkezelőnek kell megjelölnie a hivatkozott jogos érdekeket.(85)

61. Továbbá, azt a feltételt illetően, amely szerint a személyes adatok kezelésének valamely jogos érdek érvényesítéséhez szükségesnek kell lennie, a Bíróság ítélkezési gyakorlata szerint a személyes adatok védelmének elve alóli kivételeknek és ezen elv korlátozásainak a feltétlenül szükséges határokon belül kell maradniuk.(86) Így tehát – a személyes adatok védelmét jobban tiszteletben tartó alternatívák hiányában – az adatkezelés és az érvényesíteni kívánt érdek között szoros kapcsolatnak kell fennállnia, mivel nem elegendő, ha az adatkezelési művelet egyszerűen csak hasznos az adatkezelő számára.

62. Végezetül, az adatkezelő érdekei, valamint az érintett érdekei, illetve alapvető jogai és szabadságai közötti mérlegelést illetően, a Bíróság ítélkezési gyakorlatának értelmében a kérdést előterjesztő bíróság feladata a szóban forgó érdekek egymással szembeni mérlegelése.(87) Ezenkívül, amint azt az általános adatvédelmi rendelet (47) preambulumbekezdése kimondja, e mérlegelés során mindenképpen figyelembe kell venni az adatkezelővel való kapcsolata alapján az érintett észszerű elvárásait, és meg kell vizsgálni, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat‑e észszerűen arra, hogy adatkezelésre az adott célból kerülhet sor.

63. Ezen igazoló okkal összefüggésben a kérdést előterjesztő bíróság a hirdetések személyre szabását, a hálózat biztonságát és a termékek fejlesztését említi.

64. Ami először is a hirdetések személyre szabását illeti, az általános adatvédelmi rendelet (47) preambulumbekezdéséből kitűnik, hogy a személyes adatok közvetlen üzletszerzési célú (direkt marketing) kezelése úgy tekinthető, hogy az az adatkezelő jogos érdekén alapul. Mindazonáltal az adatkezelés szükségességét illetően meg kell állapítani, hogy a szóban forgó adatok a Facebookon kívüli forrásokból származnak, és így felmerül a kérdés, hogy mi a „személyre szabottság” e tekintetben objektíve szükséges mértéke. A szóban forgó érdekek mérlegelését illetően véleményem szerint figyelembe kell venni a szóban forgó jogos érdek jellegét (a jelen ügyben egy tisztán gazdasági érdeket), valamint az adatkezelés által a felhasználóra gyakorolt hatást, ideértve a felhasználót ért sérelem észszerű mértékét, és az adatkezelő által hozott esetleges védintézkedéseket is.(88)

65. Hasonló megfontolások tehetők a hálózat biztonságát illetően is. Ugyanis, bár ez az igazoló ok az adatkezelő jogos érdekének minősülhet,(89) kevésbé egyértelmű annak megállapítása, hogy az adatkezelés a jelen ügyben szükséges, figyelembe véve azt is, hogy a szóban forgó adatok a Facebookon kívüli forrásokból származnak.(90) Mindenesetre emlékeztetek arra, hogy az adatkezelőnek kell meghatároznia az egyes adatkezelési műveletek alapjául szolgáló biztonsági célokat.

66. Végül, ami a termékfejlesztést illeti, ha ebből a körből a biztonsági fejlesztések ki vannak zárva, amelyekre a fent vizsgált igazoló ok vonatkozik, úgy tűnik számomra, hogy ez az igazoló ok inkább a felhasználó, mintsem az adatkezelő érdekét szolgálja. Ily módon nehezen érthető, hogyan minősülhetne az adatkezelő jogos érdekének, és miért ne lenne szükség a felhasználó hozzájárulására. A szükségesség feltételét és a szóban forgó jogok és érdekek mérlegelését illetően visszautalok a fenti megfontolásokra.

Az előzetes döntéshozatalra előterjesztett negyedik és ötödik kérdésről

67. Az előzetes döntéshozatalra előterjesztett negyedik kérdésével, amely lényegében az előzetes döntéshozatalra előterjesztett harmadik kérdés második részének kiterjesztése, az előterjesztő bíróság azt kívánja megtudni, hogy az általa felsorolt bizonyos helyzetek felmerülése az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontja értelmében vett jogos érdek fennállására utal‑e, míg az előzetes döntéshozatalra előterjesztett ötödik kérdésével e bíróság azt kívánja megtudni, hogy a bizonyos adatokra vonatkozó érvényes megkeresésre történő válaszadás, a káros magatartásokkal szembeni küzdelem és a biztonság elősegítése, a közérdekű kutatás, valamint a biztonság, integritás és védelem elősegítése igazolhatják‑e a vitatott gyakorlatot.(91)

68. E kérdések elfogadhatóságától függetlenül,(92) általános jelleggel úgy vélem, hogy az előzetes döntéshozatalra előterjesztett negyedik kérdést illetően nem zárható ki, hogy a vitatott gyakorlatot jellemző bizonyos feltételek a kérdést előterjesztő bíróság által említett körülmények között jogos érdekekkel igazolhatóak,(93) továbbá az előzetes döntéshozatalra előterjesztett ötödik kérdést illetően úgy vélem, hogy bizonyos helyzetekben a vitatott gyakorlat az idézett rendelkezések alapján igazolható.

69. Mindazonáltal az előzetes döntéshozatalra utaló határozatból nem tűnik ki, hogy a Meta Platform Ireland megjelölte‑e, és ha igen, milyen mértékben, az adatkezelés minden egyes célja és a kezelt adatok minden típusa tekintetében az érvényesíteni kívánt jogos érdekeket vagy a jelen ügyben esetlegesen releváns egyéb igazoló okokat.(94) A kérdést előterjesztő bíróság feladata tehát, hogy a fenti iránymutatásokra figyelemmel megvizsgálja, hogy a vitatott gyakorlatot az e bíróság által hivatkozott körülmények között mennyiben igazolják a Meta Platform Ireland részéről az adatkezeléshez fűződő, az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontja értelmében vett jogos érdekek, vagy az e rendelet 6. cikke (1) bekezdésének c), d) és e) pontjában említett egyéb feltételek.

Az előzetes döntéshozatalra előterjesztett harmadik, negyedik és ötödik kérdésre adott válaszról

70. Következésképpen azt javaslom, hogy a Bíróság az előzetes döntéshozatalra előterjesztett harmadik, negyedik és ötödik kérdésre azt a választ adja, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b), c), d), e) és f) pontját úgy kell értelmezni, hogy a vitatott gyakorlat vagy az azt alkotó egyes tevékenységek az e rendelkezésekben előírt kivételek hatálya alá tartozhatnak, amennyiben a vizsgált adatkezelés minden egyes részletében megfelel az adatkezelő által konkrétan előadott igazoló okot megalapozó feltételeknek, és ennélfogva:

– az adatkezelés objektíve szükséges a Facebook‑fiókkal kapcsolatos szolgáltatások nyújtásához;

– az adatkezelés az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogos érdekének érvényesítéséhez szükséges, és nem érinti aránytalanul az érintett alapvető jogait és szabadságait;

– az adatkezelés egy bizonyos adatokra vonatkozó érvényes megkeresésre történő válaszadás, a káros magatartásokkal szembeni küzdelem és a biztonság elősegítése, a közérdekű kutatás, valamint a biztonság, integritás és védelem elősegítése érdekében szükséges.

Az előzetes döntéshozatalra előterjesztett hatodik kérdésről

71. Előzetes döntéshozatalra előterjesztett hatodik kérdésével a kérdést előterjesztő bíróság lényegében arra keresi a választ, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének a) pontját és 9. cikke (2) bekezdésének a) pontját úgy kell‑e értelmezni, hogy az e rendelet 4. cikkének 11. pontja értelmében vett érvényes és önkéntes hozzájárulás adható a magánfelhasználóknak szánt online közösségi hálózatok nemzeti piacán erőfölénnyel rendelkező vállalkozásnak.

72. Elöljáróban emlékeztetek arra, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének a) pontja és 9. cikke (2) bekezdésének a) pontja az érintett hozzájárulásának kötelezettségét írja elő, általában a személyes adatok kezelése, illetve a különleges személyes adatok kezelése vonatkozásában. Ezenkívül az általános adatvédelmi rendelet 4. cikkének 11. pontja szerint e rendelet alkalmazásában az érintett „hozzájárulása” alatt az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítását kell érteni, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.(95)

73. Ami közelebbről a hozzájárulás „önkéntes” voltára vonatkozó feltételt illeti – amely az egyetlen vitatott elem a jelen ügyben –, megjegyzem, hogy az általános adatvédelmi rendelet (42) preambulumbekezdésének megfelelően, a hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel,(96) és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.(97) Ezenkívül, amint azt az általános adatvédelmi rendelet 7. cikkének (1) bekezdése előírja (és annak (42) preambulumbekezdése is megemlíti), ha az adatkezelés az érintett hozzájárulásán alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.

74. A jelen ügy szempontjából releváns körülményeket illetően mindenekelőtt emlékeztetek arra, hogy amint azt az általános adatvédelmi rendelet (43) preambulumbekezdésének első mondata hangsúlyozza, a hozzájárulás nem szolgálhat érvényes jogalapként a személyes adatok kezeléséhez, amennyiben az érintett és az adatkezelő között „egyértelműen egyenlőtlen viszony” áll fenn,(98) továbbá hogy az általános adatvédelmi rendelet 7. cikkének (4) bekezdése értelmében annak megállapítása során, hogy a hozzájárulás önkéntes‑e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták‑e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez,(99) és végezetül, hogy az általános adatvédelmi rendelet (43) preambulumbekezdésének második mondatával összhangban a hozzájárulás nem tekinthető önkéntesnek, ha nem tesz lehetővé külön‑külön hozzájárulást a különböző személyes adatkezelési műveletekhez, noha az adott esetben megfelelő.(100)

75. A jelen ügyben úgy vélem, hogy a közösségi hálózatot üzemeltető adatkezelő esetleges piaci erőfölénye szerepet játszik az e hálózat felhasználója által adott hozzájárulás önkéntes voltának megítélésében. Az adatkezelő piaci erőfölénye ugyanis egyértelműen egyenlőtlen erőviszonyokat teremthet, a jelen indítvány 74. pontjában kifejtettek értelmében.(101) Mindazonáltal pontosítani szükséges, hogy egyrészt, ahhoz hogy az ilyen jelentős piaci erő az általános adatvédelmi rendelet alkalmazásának szempontjából relevánsnak minősüljön, annak nem feltétlenül kell megütnie az EUMSZ 102. cikk értelmében vett erőfölény szintjét,(102) másrészt pedig önmagában ez a körülmény főszabály szerint nem elegendő ahhoz, hogy a hozzájárulást érvényességétől megfossza.(103)

76. Ennélfogva a hozzájárulás érvényességét esetenként, a jelen indítvány 73. és 74. pontjában említett egyéb tényezőkre tekintettel, valamint az adott ügy valamennyi körülményére figyelemmel kell vizsgálni, arra is tekintettel, hogy az adatkezelőt terheli annak bizonyítása, hogy az érintett hozzájárulását adta a rá vonatkozó személyes adatok kezeléséhez.

77. Következésképpen azt javaslom, hogy a Bíróság az előzetes döntéshozatalra előterjesztett hatodik kérdésre azt a választ adja, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének a) pontját és 9. cikke (2) bekezdésének a) pontját úgy kell értelmezni, hogy pusztán az a körülmény, hogy a közösségi hálózatot üzemeltető vállalkozás erőfölényben van a magánfelhasználóknak szánt online közösségi hálózatok nemzeti piacán, önmagában nem foszthatja meg az e hálózat felhasználója által a személyes adatainak kezelésére vonatkozóan adott hozzájárulást annak az általános adatvédelmi rendelet 4. cikkének 11. pontja értelmében vett érvényességétől. Ez a körülmény mindazonáltal szerepet játszik a hozzájárulás e rendelkezés értelmében vett önkéntességének megítélésében, amelyet az adatkezelőnek kell bizonyítania, és adott esetben figyelembe kell venni az érintett és az adatkezelő közötti egyértelműen egyenlőtlen erőviszony fennállását, az olyan személyes adatok kezelésére vonatkozó esetleges hozzájárulási kötelezettséget, amelyek kezelése a szóban forgó szolgáltatások nyújtásához nem feltétlenül szükséges, továbbá annak követelményét, hogy a hozzájárulást az összes adatkezelési célra vonatkozóan megadják, és hogy elkerülhető legyen, hogy a hozzájárulását visszavonó felhasználót a hozzájárulás visszavonásából fakadóan hátrány érje.

Végkövetkeztetés

78. A fentiekre tekintettel azt javaslom a Bíróságnak, hogy a következő választ adja az Oberlandesgericht Düsseldorf (düsseldorfi regionális felsőbíróság, Németország) által előzetes döntéshozatalra előterjesztett kérdésekre:

1) A természetes személyeknek a személyes adatok kezelése vonatkozásában történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 51–66. cikkét