Ideiglenes változat
JEAN RICHARD DE LA TOUR
FŐTANÁCSNOK INDÍTVÁNYA
Az ismertetés napja: 2024. január 25.(1)
C‑757/22. sz. ügy
Meta Platforms Ireland Limited
kontra
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale e.V.
(a Bundesgerichtshof [szövetségi legfelsőbb bíróság, Németország] által benyújtott előzetes döntéshozatal iránti kérelem)
„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – A 12. cikk (1) bekezdésének első mondata – Átlátható tájékoztatás – A 13. cikk (1) bekezdésének c) és e) pontja – Az adatkezelő tájékoztatási kötelezettsége – A 80. cikk (2) bekezdése – Az érintettek fogyasztói érdekvédelmi egyesület általi képviselete – Megbízás nélkül és az érintett személy konkrét jogainak megsértésétől függetlenül indított képviseleti kereset – Az adatkezelő tájékoztatási kötelezettségének megsértése miatt indított kereset – Az érintett jogainak »az érintett személyes adatainak ’kezelése következtében’« történő megsértésének fogalma”
I. Az ügy előzményei, az alapügy tényállása és az előzetes döntéshozatalra előterjesztett új kérdés
1. A jelen ügyben a Bundesgerichtshof (szövetségi legfelsőbb bíróság, Németország) ismét előzetes döntéshozatal iránti kérelmet terjeszt elő a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet)(2) 80. cikke (2) bekezdésének értelmezésére vonatkozóan.
2. E rendelkezés szerint a tagállamok rendelkezhetnek úgy, hogy bármely szerv, szervezet vagy egyesület – az érintett által adott megbízástól függetlenül – jogosult legyen arra, hogy e rendelet 77. cikke alapján panaszt nyújtson be az adott tagállam felügyeleti hatóságához, és gyakorolja a fent említett rendelet 78. és 79. cikkében említett jogokat, ha megítélése szerint az érintett személyes adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait.
3. Az előzetes döntéshozatal iránti kérelmet az írországi székhelyű Meta Platforms Ireland Limited, korábban Facebook Ireland Limited és a Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (fogyasztói központok és szervezetek országos szövetsége, Németország; a továbbiakban: országos szövetség) között a személyes adatok védelmére vonatkozó német jogszabályok Meta Platforms Ireland általi állítólagos megsértése miatt folyamatban lévő jogvitában terjesztették elő, amely magatartás egyszerre minősül tisztességtelen kereskedelmi gyakorlatnak, valamely fogyasztóvédelmi jogszabály megsértésének és az érvénytelen általános szerződési feltételek alkalmazására vonatkozó tilalom megsértésének.
4. Ugyanazon jogvitáról van szó, mint amely a Meta Platforms Ireland(3) ügyben 2022. április 28‑án hozott ítéletet eredményezte, amelynek tényállása a következőképpen foglalható össze.(4)
5. A Facebook online közösségi hálózat Európai Unión belüli szolgáltatásait működtető Meta Platforms Ireland az e közösségi hálózat felhasználóira vonatkozó személyes adatok kezelője az Unióban. A Németországban székhellyel rendelkező Facebook Germany GmbH a www.facebook.de címen reklámfelületek értékesítését kínálja. A Facebook internetes platformon, többek között a www.facebook.de internetes címen található egy úgynevezett „App‑Zentrum” (alkalmazásközpont), amelyben a Meta Platforms Ireland külső szolgáltatók ingyenes játékait teszi hozzáférhetővé a felhasználók számára. Néhány ilyen játéknak az alkalmazásközpontban való megtekintésekor a felhasználó számára megjelenik egy tájékoztatás, miszerint az adott alkalmazás használata lehetővé teszi a játékot szolgáltató társaság részére, hogy hozzáférjen bizonyos személyes adatokhoz, és engedélyezi számára, hogy e felhasználó nevében közzétegye többek között az elért pontjainak számát és egyéb információkat. Az alkalmazás használata azzal a következménnyel jár, hogy az említett felhasználó elfogadja az alkalmazás általános szerződési feltételeit és adatvédelmi politikáját. Ezenkívül az egyik játék esetében a tájékoztatás szerint az alkalmazás a felhasználó nevében állapotfrissítéseket, fényképeket és más információkat tehet közzé.
6. Az országos szövetség, amely a 2001. november 26‑i Gesetz über Unterlassungsklagen bei Verbraucherrechts‑ und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (a fogyasztói és más jogok megsértése esetén indítható, a jogsértés megszüntetése iránti keresetekről szóló törvény)(5) 4. §‑a alapján kereshetőségi joggal rendelkező szervezet, úgy véli, hogy az érintett játékok által az alkalmazásközpontban nyújtott tájékoztatások – különösen az adatvédelemre vonatkozó rendelkezések értelmében a felhasználó érvényes hozzájárulására alkalmazandó jogszabályi feltételek be nem tartása miatt – tisztességtelenek. Ezenkívül úgy véli, hogy az a tájékoztatás, miszerint az alkalmazás jogosult a felhasználó nevében bizonyos rá vonatkozó személyes információkat közzétenni, olyan általános szerződési feltételnek minősül, amely a felhasználót indokolatlanul hátrányos helyzetbe hozza.
7. Ebben az összefüggésben az országos szövetség a 2004. július 3‑i Gesetz gegen den unlauteren Wettbewerb (a tisztességtelen verseny tilalmáról szóló törvény)(6) 3a. §‑a, a jogsértés megszüntetése iránti keresetekről szóló törvény 2. §‑a (2) bekezdése első mondatának 11. pontja, valamint a Bürgerliches Gesetzbuch (polgári törvénykönyv) alapján jogsértés megszüntetése iránti keresetet indított a Meta Platforms Irelanddal szemben a Landgericht Berlin (berlini regionális bíróság, Németország) előtt. Az országos szövetség e keresetet valamely érintett személy adatvédelemhez való jogának konkrét megsértésétől függetlenül és ilyen személytől kapott megbízás nélkül indította.
8. A Landgericht Berlin (berlini regionális bíróság) a Meta Platforms Irelandet az országos szövetség kérelmeinek helyt adva elmarasztalta. A Meta Platforms Ireland által a Kammergericht Berlin (berlini regionális felsőbíróság, Németország) elé terjesztett fellebbezést az utóbbi elutasította. A Meta Platforms Ireland ezt követően a fellebbviteli bíróság által hozott elutasító határozat ellen felülvizsgálati kérelmet nyújtott be a kérdést előterjesztő bírósághoz.
9. E keresettel összefüggésben a kérdést előterjesztő bíróság úgy vélte, hogy az országos szövetség keresete megalapozott, mivel a Meta Platforms Ireland megsértette a tisztességtelen verseny tilalmáról szóló törvény 3a. §‑át, valamint a jogsértés megszüntetése iránti keresetekről szóló törvény 2. §‑a (2) bekezdése első fordulatának 11. pontját, továbbá a jogsértés megszüntetése iránti keresetekről szóló törvény 1. §‑a értelmében érvénytelen általános szerződési feltételt alkalmazott.
10. Mindazonáltal e bíróságnak kétségei voltak az országos szövetség keresetének elfogadhatóságát illetően. Különösen azt kérdőjelezte meg, hogy az országos szövetség kereshetőségi joga eredhet‑e az általános adatvédelmi rendelet 80. cikkének (2) bekezdéséből. A bíróság ezért előzetes döntéshozatalra irányuló kérdést terjesztett a Bíróság elé, amelyben e rendelkezés értelmezését kérte.
11. E kérdésre válaszolva a Bíróság a Meta Platforms Ireland ítéletben megállapította, hogy az általános adatvédelmi rendelet 80. cikkének (2) bekezdését úgy kell értelmezni, hogy azzal nem ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a fogyasztói érdekvédelmi egyesületek számára, hogy a személyes adatok védelmét állítólagosan megsértő személlyel szemben a tisztességtelen kereskedelmi gyakorlatok tilalmára, valamely fogyasztóvédelmi törvény megsértésére vagy az érvénytelen általános szerződési feltételek alkalmazásának tilalmára hivatkozva bírósághoz forduljanak e célból számukra adott megbízás nélkül és az érintett személyek konkrét jogainak megsértésétől függetlenül, amennyiben az érintett adatkezelés érintheti az azonosított vagy azonosítható természetes személyeket e rendelet alapján megillető jogokat.(7)
12. A Bíróság ezzel tisztázta a személyes adatok védelmét feltételezhetően megsértő személlyel szemben alkalmazható, az általános adatvédelmi rendelet 80. cikkének (2) bekezdésében előírt képviseleti kereseti mechanizmus tárgyi hatályát.
13. A Bíróság különösen azt állapította meg, hogy a képviseleti kereset indításához az általános adatvédelmi rendelet 80. cikkének (1) bekezdésében említett feltételeknek megfelelő szervezettől nem követelhető meg az, hogy elvégezze az e rendelet rendelkezéseivel állítólagosan ellentétes adatkezeléssel konkrétan érintett személy előzetes egyedi azonosítását.(8) Következésképpen az ilyen adatkezeléssel érintett személyek kategóriájának vagy csoportjának megjelölése is elegendő lehet a képviseleti kereset indításához.(9)
14. A bíróság azt is megállapította, hogy az általános adatvédelmi rendelet 80. cikkének (2) bekezdése értelmében a képviseleti kereset indítása nem függ azon jogok konkrét megsértésének fennállásától sem, amelyek valamely személyt az adatvédelmi szabályok alapján megilletik.(10) A bíróság szerint ugyanis a képviseleti kereset indításának csupán az a feltétele, hogy a rendelkezésben hivatkozott szervezet „megítélése szerint” az érintett személyes adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait, és e szervezet tehát a rendelet rendelkezéseivel ellentétes adatkezelés fennállására hivatkozik.(11) Ebből következik, hogy az ilyen szervezetnek az általános adatvédelmi rendelet 80. cikkének (2) bekezdése értelmében vett kereshetőségi jogának elismerése érdekében elegendő arra hivatkozni, hogy az érintett adatkezelés érintheti azokat a jogokat, amelyek azonosított vagy azonosítható természetes személyeket az említett rendelet alapján megilletnek, anélkül hogy az érintett személyt valamely konkrét helyzetben a jogainak megsértéséből eredően ért tényleges kárt bizonyítani kellene.(12)
15. Noha a kérdést előterjesztő bíróság ily módon már kapott a Bíróságtól iránymutatást arra vonatkozóan, hogy az országos szövetség által benyújtott, a jogsértés megszüntetése iránti kereset az általános adatvédelmi rendelet 80. cikkének (2) bekezdésében foglalt feltételekre tekintettel elfogadhatónak tekinthető‑e, úgy véli, hogy még mindig kétségek merülnek fel e rendelkezés értelmezésével kapcsolatban. E bíróság ugyanis hangsúlyozza, hogy az országos szövetség kereshetőségi joga attól függ, hogy e szervezet a fenti rendelkezés értelmében arra hivatkozik‑e keresetében, hogy „az érintett személyes adatainak kezelése következtében” megsértették az érintett e rendelet szerinti jogait.
16. A kérdést előterjesztő bíróság szerint nem egyértelmű, hogy az általános adatvédelmi rendelet 80. cikke (2) bekezdésének tárgyi hatályára vonatkozó ezen követelmény a jelen ügy körülményei között teljesül.
17. E bíróság ugyanis megállapítja, hogy az országos szövetség keresete alátámasztására az általános adatvédelmi rendelet 13. cikke (1) bekezdésének c) és e) pontjával összefüggésben értelmezett 12. cikke (1) bekezdésének első mondata szerinti, az adatkezelés céljára és a személyes adatok címzettjére vonatkozó tájékoztatási kötelezettség megsértésére hivatkozik. E bíróság szerint meg kell vizsgálni, hogy az országos szövetség ezért tekinthető úgy, hogy az általános adatvédelmi rendelet 80. cikkének (2) bekezdése értelmében a jogoknak „az érintett személyes adatainak kezelése következtében” történő megsértésére hivatkozik.
18. Konkrétabban a kérdést előterjesztő bíróság egyrészt úgy véli, hogy továbbra is bizonytalanság áll fenn azzal kapcsolatban, hogy a jelen ügyben az általános adatvédelmi rendelet 12. cikke (1) bekezdésének első mondatából és 13. cikke (1) bekezdésének c) és e) pontjából eredő tájékoztatási kötelezettség megsértése a rendelet 4. cikkének 2. pontja szerinti „adatkezelés” fogalma alá tartozik‑e, és hogy e fogalom magában foglalja‑e a személyes adatok gyűjtésének kezdete előtti helyzeteket is.(13)
19. Másrészt a bíróság úgy véli, hogy nem egyértelmű, hogy az alapügyben szereplőhöz hasonló esetben a tájékoztatási kötelezettség megsértése a személyes adatoknak az általános adatvédelmi rendelet 80. cikkének (2) bekezdése értelmében vett kezelése „következtében” történt‑e. E tekintetben az említett bíróság rámutat, hogy a „következtében” szó használata arra utalhat, hogy a képviseleti keresetet benyújtó szervezetnek a kereset elfogadhatósága érdekében az érintett e rendelet szerinti jogainak olyan megsértésére kell hivatkoznia, amely az említett rendelet 4. cikkének 2. pontja értelmében vett adatkezelési művelet eredménye, tehát egy ilyen műveletet követ.(14)
20. Ilyen körülmények között a Bundesgerichtshof (szövetségi legfelsőbb bíróság, Németország) ismét úgy határozott, hogy felfüggeszti az eljárást, és a következő kérdést terjeszti a Bíróság elé előzetes döntéshozatalra:
„A[z érintett személy jogainak] »az érintett személyes adatainak kezelése következtében« történt megsértésére való, az általános adatvédelmi rendelet 80. cikkének (2) bekezdése értelmében vett hivatkozásnak minősül‑e, ha valamely fogyasztói érdekvédelmi egyesület arra alapítja keresetét, hogy valamely érintett jogait megsértették, mert nem teljesítették az általános adatvédelmi rendelet 13. cikke (1) bekezdésének c) és e) pontjával összefüggésben értelmezett 12. cikke (1) bekezdésének első mondata szerinti, az adatkezelés céljára és a személyes adatok címzettjére vonatkozó tájékoztatási kötelezettséget?”
21. A Meta Platforms Ireland, az országos szövetség, a német és a portugál kormány, valamint az Európai Bizottság írásbeli észrevételeket nyújtott be.
22. A Meta Platforms Ireland, a német kormány és a Bizottság jelenlétében 2023. november 23‑án tárgyalást tartottak.
II. Elemzés
23. Amint azt már korábban jeleztem, a kérdést előterjesztő bíróságnak kétségei vannak azzal kapcsolatban, hogy a jelen ügy körülményei között az országos szövetség által benyújtott képviseleti kereset megfelel‑e az általános adatvédelmi rendelet 80. cikkének (2) bekezdésében foglalt feltételnek, amely szerint az ilyen keresetet benyújtó szervezet megítélése szerint „az érintett személyes adatainak kezelése következtében” megsértették az érintett e rendelet szerinti jogait.
24. Annak érdekében, hogy teljes mértékben megértsük azt az összefüggést, amelyben e bíróság e rendelkezés tárgyi hatályának további tisztázását kéri a Bíróságtól, emlékeztetni kell arra, hogy az országos szövetség keresete alátámasztására a Meta Platforms Ireland arra vonatkozó kötelezettségének megsértésére hivatkozik, hogy tájékoztatást kell nyújtania a felhasználó által a személyes adatainak kezeléséhez adott hozzájárulás céljáról és terjedelméről. Konkrétabban a jogvita tárgyát a játékoknak a Meta Platforms Ireland internetes platformján található alkalmazásközpontban való megjelenítése, valamint az a tájékoztatás képezi, miszerint az alkalmazás jogosult a felhasználó nevében bizonyos rá vonatkozó személyes információkat közzétenni. Az országos szövetség a keresetet az érintett személy konkrét jogainak megsértésétől függetlenül és az érintett személy megbízása nélkül nyújtotta be, ami összhangban van az említett rendelkezéssel, amint azt a Bíróság a Meta Platforms Ireland(15) ítéletben elismerte.
25. Az arról szóló vitának, hogy vajon van‑e az országos szövetségnek az általános adatvédelmi rendelet 80. cikkének (2) bekezdése alapján kereshetőségi joga, most a kérdést előterjesztő bíróság azon megállapítása áll a középpontjában, amely szerint nem képezi az e szervezet által benyújtott képviseleti kereset tárgyát az a kérdés, hogy a Meta Platforms Ireland megsérti‑e valamely felhasználó adatvédelemhez való jogát abban a pillanatban, amikor a felhasználó megnyomja az alkalmazásközpontban a „Sofort Spielen” vagy a „Spiele spielen” gombot, és ezzel alkalmasint előidézi személyes adatainak kezelését. Ezen túlmenően az a kérdés sem képezi az országos szövetség által benyújtott kereset tárgyát, hogy az ilyen gomb megnyomását követően a felhasználó személyes adataival kapcsolatban végzett automatizált műveletek sértik‑e a felhasználó adatvédelemhez való jogát.
26. Összefoglalva, a jogvita középpontjában az a kérdés áll, hogy az ilyen szövetségnek az általános adatvédelmi rendelet 80. cikkének (2) bekezdése szerinti kereshetőségi jogához elegendő‑e, ha a tájékoztatási kötelezettség megsértésére hivatkozik anélkül, hogy önmagában a „Sofort Spielen” vagy „Spiele spielen” gomb megnyomásának műveletéből eredő adatkezelést kifogásolná, miközben e rendelkezés az érintett jogainak „az érintett személyes adatainak kezelése következtében” történő megsértését követeli meg.
27. Ezért a kérdést előterjesztő bíróság kérdései két elemre összpontosítanak, nevezetesen egyrészt az „adatkezelés” fogalmának terjedelmére, másrészt az e rendelkezésben szereplő „az érintett személyes adatainak kezelése következtében” kifejezés jelentésére.
28. Következésképpen a bíróság azt kérdezi, hogy az általános adatvédelmi rendelet 12. cikke (1) bekezdésének első mondatából és 13. cikke (1) bekezdésének c) és e) pontjából eredő azon kötelezettség, hogy az érintett részére a személyes adatok kezelésének céljára és azok címzettjére vonatkozó információkat tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani, az említett rendelet 4. cikkének 2. pontja értelmében vett „adatkezelés” fogalma alá tartozik‑e.
29. A rendelet 4. cikkének 2. pontja szerint „adatkezelés” „a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés”.
30. E rendelkezés szövegéből, különösen a „bármely művelet” kifejezésből kitűnik, hogy az uniós jogalkotó az „adatkezelés” fogalmának tág értelmet kívánt tulajdonítani. Ezt az értelmezést megerősíti az e rendelkezésben említett ügyletek felsorolásának nem kimerítő jellege, amelyet az „így” szó fejez ki.(16) A Bíróság álláspontja szerint ez megfelel a természetes személyek személyes adatok kezelése tekintetében való védelmével kapcsolatos alapvető jog biztosítására vonatkozó, az általános adatvédelmi rendelet (1) preambulumbekezdésében említett célkitűzésnek, amely e rendelet alapját képezi.(17)
31. Annak alátámasztására, hogy az általános adatvédelmi rendelet 12. cikke (1) bekezdésének első mondata és 13. cikke (1) bekezdésének c) és e) pontja szerinti tájékoztatási kötelezettség az említett rendelet 4. cikkének 2. pontja szerinti „adatkezelés” fogalmába tartozhat, a kérdést előterjesztő bíróság arra hivatkozik, amit a Bíróság a Valsts ieņēmumu dienests (Személyes adatok adóügyi célból történő kezelése)(18) ügyben 2022. február 24‑én hozott ítéletében megállapított.
32. Az ítélet alapjául szolgáló ügyben a Valsts ieņēmumu dienests (adóhivatal, Lettország) arra kérte az érintett gazdasági szereplőt, hogy állítsa helyre az ezen adóhatóság szolgálatainak az e gazdasági szereplő internetes portálján közzétett hirdetések tárgyát képező járművek alvázszámához, illetve az eladók telefonszámaihoz való hozzáférését, és nyújtson tájékoztatást az e portálon közzétett hirdetésekről.
33. Ebben az összefüggésben a Bíróság megállapította, hogy az ilyen kérés, amellyel a tagállami adóhatóság egy gazdasági szereplőtől olyan személyes adatok közlését és rendelkezésre bocsátását kéri, amelyeket ez utóbbi e tagállam nemzeti szabályozása alapján köteles a részére szolgáltatni és a rendelkezésére bocsátani, ezen adatoknak az általános adatvédelmi rendelet 4. cikkének 2. pontja értelmében vett „gyűjtésére” irányuló folyamatot indít meg.(19) Az alapügy tárgyát képező helyzettel párhuzamot vonva, a kérdést előterjesztő bíróság ebből azt a következtetést vonja le, hogy az említett rendelkezés értelmében vett „adatkezelés” fogalma olyan műveleteket foglal magában, amelyek pusztán „megindítják” a személyes adatok gyűjtését, azaz azokat a műveleteket is, amelyek az uniós jogalkotó által kifejezetten az adatkezelés egyik példájának tekintett művelet előzményei.
34. Úgy vélem azonban, hogy a jelen helyzet jelentősen különbözik attól, amely a 2022. február 24‑i Valsts ieņēmumu dienests (Személyes adatok adóügyi célból történő kezelése)(20) ítélet alapjául szolgált. A jelen esetben ugyanis nem arról van szó, hogy egy adatkezelési folyamathoz olyan műveletet kapcsolnak, amely lehetővé teszi annak megindítását, hanem inkább arról, hogy az általános adatvédelmi rendelet 12. cikke (1) bekezdésének első mondatából és 13. cikke (1) bekezdésének c) és e) pontjából eredő tájékoztatási kötelezettség és egy adott adatkezelési művelet között kapcsolatot állapítanak meg.
35. E tekintetben úgy vélem, hogy az általános adatvédelmi rendelet 4. cikkének 2. pontja szerinti „adatkezelés” fogalmának hatálya – bármennyire is tág – nem terjeszthető ki az ilyen tájékoztatási kötelezettségre. Ez a kötelezettség ugyanis nem jelent semmilyen, a személyes adatokra vonatkozó közvetlen vagy közvetett intézkedést. Ez a kötelezettség inkább az említett adatok kezelésének jogszerűségére vonatkozó feltétel.
36. Megjegyzendő, hogy az említett rendelet 12. cikke általános kötelezettségeket ír elő az adatkezelő számára a tájékoztatás és a kommunikáció átláthatósága, valamint az érintett jogainak gyakorlására vonatkozó intézkedések tekintetében.
37. Különösen az említett rendelet 12. cikke (1) bekezdésének első mondata úgy rendelkezik, hogy „[a]z adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében”.
38. Az általános adatvédelmi rendelet „Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik” című 13. cikke (1) bekezdésének c) és e) pontja az alábbiak szerint rendelkezik:
„Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:
[…]
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
[…]
e) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen […]”
39. Emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének első albekezdése kimerítő és korlátozó jelleggel sorolja fel azokat az eseteket, amelyekben a személyes adatok kezelése jogszerűnek tekinthető. Így ahhoz, hogy az adatkezelést ilyennek lehessen minősíteni, annak az e rendelkezésekben előírt esetek valamelyikébe kell tartoznia.(21)
40. E rendelet 6. cikke (1) bekezdése első albekezdésének a) pontja értelmében a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez.(22)
41. Ilyen hozzájárulás hiányában, vagy ha e hozzájárulást nem önkéntesen, konkrétan, megfelelő tájékoztatás alapján és egyértelműen adták meg az általános adatvédelmi rendelet 4. cikkének 11. pontja értelmében, és ha a szóban forgó adatkezelés nem felel meg az e rendelet 6. cikke (1) bekezdése első albekezdésének b)–f) pontjában említett szükségességi követelmények egyikének sem, az ilyen adatkezelés jogellenes.(23)
42. Az általános adatvédelmi rendelet 4. cikkének 11. pontjából eredő azon követelményt illetően, amely szerint a hozzájárulásnak „megfelelő tájékoztatáson alapulónak” kell lennie, e követelmény – az e rendelet (42) preambulumbekezdésével összefüggésben értelmezett 13. cikke értelmében – azt jelenti, hogy az adatkezelőnek az érintett rendelkezésére kell bocsátania az adatkezelés összes körülményére vonatkozó információt, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel, és az érintett személynek tisztában kell lennie többek között az adatkezelő kilétével, az adatkezelés időtartamával és módjaival, valamint a személyes adatok kezelésének céljával. Az ilyen tájékoztatásnak lehetővé kell tennie az említett személy számára, hogy könnyen meghatározza az általa adható hozzájárulás következményeit, és biztosítania kell, hogy e hozzájárulást az ügy teljes ismeretében adja meg.(24)
43. Megjegyzem azonban, hogy – amint azt a kérdést előterjesztő bíróság megállapítja(25) – az országos szövetség többek között a felhasználó érvényes adatvédelmi hozzájárulásának beszerzésére vonatkozó jogszabályi követelmények megsértése miatti jogsértés szempontjából kifogásolja mint tisztességtelent a „Sofort spielen” gomb alatt az alkalmazásközpontban adott tájékoztatás megjelenítését.
44. Más szóval, az országos szövetség által benyújtott kereset alapja az, hogy az alkalmazásközpontban történő, a szövetség által hivatkozott szabálytalan megjelenítés miatt valamely személy valószínűleg anélkül nyomja meg a „Sofort spielen” gombot, hogy rendelkezne a szükséges információkkal ahhoz, hogy könnyen meg tudja állapítani a személyes adatainak az e gomb megnyomását követően történő kezeléséhez adott hozzájárulásának következményeit, és anélkül, hogy meggyőződne róla, hogy e hozzájárulást a tények teljes ismeretében adta meg.
45. Ilyen körülmények között úgy vélem, hogy az országos szövetség a keresetében – az általános adatvédelmi rendelet 80. cikkének (2) bekezdésében foglaltaknak megfelelően – arra hivatkozik, hogy „az érintett személyes adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait”.
46. Egyrészt ugyanis az általános adatvédelmi rendelet 12. és 13. cikke egyaránt a rendelet „Az érintett jogai” című III. fejezetének részét képezi. Tekintettel az adatkezelő e cikkek szerinti tájékoztatási kötelezettségére, az érintettek ebből eredő jogai azok közé tartoznak, amelyek védelmét a rendelet 80. cikkének (2) bekezdésében előírt képviseleti kereset szolgálja.
47. Másrészt az érintettek azon jogának állítólagos megsértése, hogy megfelelő tájékoztatást kapjanak a személyes adatok kezelésének valamennyi körülményéről, különösen az adatkezelés céljáról és az adatok címzettjéről, alkalmas arra, hogy megakadályozza az általános adatvédelmi rendelet 4. cikkének 11. pontja értelmében vett „megfelelő tájékoztatáson alapuló” hozzájárulás megadását, ami jogellenessé teheti az adatkezelést.
48. Ezért az említett rendelet 80. cikkének (2) bekezdése szerinti képviseleti kereset benyújtásához elegendő, ha a szervezet az adatkezelő tájékoztatási kötelezettségének megsértésére hivatkozik, megjelölve az érintett adatkezelési műveletet, amely jelen esetben az, amikor egy személy megnyomja a „Sofort spielen” gombot. Az adatkezelés érintheti az azonosított vagy azonosítható természetes személyeket e rendelet alapján megillető jogokat,(26) ami azt jelenti, hogy az adatkezelésnek léteznie kell, tehát nem lehet pusztán hipotetikus.
49. Ezenfelül álláspontom szerint lényegtelen, hogy a szervezet olyan kötelezettség megsértésére hivatkozik‑e, amely megelőzi a személyes adatok kezelését. Ez a helyzet áll fenn a tájékoztatási kötelezettség esetében, amelyet az általános adatvédelmi rendelet 13. cikkének (1) bekezdése szerint legkésőbb az adatgyűjtés időpontjában kell teljesíteni.
50. A rendelet 80. cikkének (2) bekezdésében szereplő „az érintett személyes adatainak kezelése következtében” kifejezés tehát semmiképpen sem jelenti azt, hogy annak a jognak, amelynek megsértése megállapítására az e cikkben előírt kereset irányul, szükségszerűen a rendelet 4. cikkének 2. pontja értelmében vett „adatkezelésnek” minősülő műveletet követő szakaszra kell vonatkoznia. Más szóval, ez a kifejezés nem értelmezhető úgy, mintha időbeli sorrendet követelne meg, azaz, hogy az érintett általános adatvédelmi rendelet szerinti jogai megsértésének az adatkezelést követő szakaszban kellene bekövetkeznie.
51. Inkább az a fontos, hogy a szóban forgó jogok tiszteletben tartása és az érintett adatkezelés között kapcsolat álljon fenn. Ez a helyzet akkor áll fenn, ha e jogok megsértése azt eredményezi, hogy az adatkezelés jogellenessé válik. Az adatkezelés jogellenessége a tájékoztatási kötelezettség megsértéséből ered. E két elem elválaszthatatlan egymástól.
52. Ebből következik, hogy az a követelmény, miszerint valamely szervezet az általános adatvédelmi rendelet 80. cikkének (2) bekezdése alapján képviseleti keresetet indíthat, ha megítélése szerint „az érintett személyes adatainak kezelése következtében” megsértették az érintett e rendelet szerinti jogait, véleményem szerint nem írja elő, hogy e szervezet olyan jogsértésre hivatkozzon, amely az említett rendelet 4. cikkének 2. pontja szerinti adatkezelési műveletből ered, és amely így e műveletet követően következik be. Elegendő, ha megállapítja, hogy a személyes adatok kezelése és az általános adatvédelmi rendelet által védett jogok megsértése között kapcsolat áll fenn.
53. A jelen ügyben tehát nincs jelentősége annak, hogy az országos szövetség attól függetlenül hivatkozik a tájékoztatási kötelezettség megsértésére, hogy az érintett megnyomja‑e az alkalmazásközpontban a „Sofort spielen” gombot, vagy sem, mivel e kötelezettség – amennyiben alkalmas arra, hogy befolyásolja az e gomb aktiválásából eredő adatkezelés jogszerűségének feltételeit – kétségtelenül kapcsolódik ehhez az adatkezeléshez.
54. Ez az értelmezés nemcsak az általános adatvédelmi rendelet 80. cikkének (2) bekezdésében előírt képviseleti kereset megelőző funkciójával áll összhangban,(27) hanem – amennyiben hozzájárul az érintett személyek jogainak megerősítéséhez(28) – az említett rendeletnek a (10) preambulumbekezdésben meghatározott célkitűzésével is, amely arra irányul, hogy az Unión belül biztosítsa a természetes személyek alapvető jogainak és szabadságainak magas szintű védelmét a személyes adatok kezelése tekintetében.(29)
55. Hozzátenném, hogy véleményem szerint nem lenne következetes az említett rendelet 80. cikke (2) bekezdésének tárgyi hatályát megszorítóan értelmezni, amikor az általános adatvédelmi rendelet 79. cikkének (1) bekezdése minden érintett számára hasonlóképpen előírja a hatékony bírósági jogorvoslathoz való jogot, és nincs ok arra, hogy e jogorvoslat tárgyi hatálya alól kizárjuk azokat a jogokat, amelyek az említett rendelet 13. cikke (1) bekezdésének c) és e) pontjával összefüggésben értelmezett 12. cikke (1) bekezdésének első mondatában meghatározott tájékoztatási kötelezettségből erednek.
56. Következésképpen úgy vélem, hogy az általános adatvédelmi rendelet 80. cikkének (2) bekezdését úgy kell értelmezni, hogy az a feltétel, miszerint a jogosult szervezetnek ahhoz, hogy e rendelkezés alapján képviseleti keresetet indíthasson, azt kell állítania, hogy megítélése szerint az érintett személyes adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait, azt követeli meg, hogy e szervezet a személyes adatok kezelésének meglétét, valamint az e jogok megsértése és az említett adatkezelés közötti kapcsolatot állapítsa meg. Ez a feltétel akkor teljesül, amikor a kereset – a személyes adatok kezelésével összefüggésben – az említett rendelet 13. cikke (1) bekezdésének c) és e) pontjával összefüggésben értelmezett 12. cikke (1) bekezdésének első mondatában meghatározott tájékoztatási kötelezettségnek az adatkezelő általi megsértésén alapul, amennyiben ez a jogsértés az adatkezelést jogellenessé teheti.
III. Végkövetkeztetés
57. A fentiekre tekintettel a Bundesgerichtshof (szövetségi legfelsőbb bíróság, Németország) által előterjesztett előzetes döntéshozatal iránti kérdésre a következő választ javaslom:
A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 80. cikkének (2) bekezdését
a következőképpen kell értelmezni:
az a feltétel, miszerint a jogosult szervezetnek ahhoz, hogy e rendelkezés alapján képviseleti keresetet indíthasson, azt kell állítania, hogy megítélése szerint az érintett személyes adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait, azt követeli meg, hogy e szervezet a személyes adatok kezelésének meglétét, valamint az e jogok megsértése és az említett adatkezelés közötti kapcsolatot állapítsa meg. Ez a feltétel akkor teljesül, amikor e kereset – a személyes adatok kezelésével összefüggésben – az említett rendelet 13. cikke (1) bekezdésének c) és e) pontjával összefüggésben értelmezett 12. cikke (1) bekezdésének első mondatában meghatározott tájékoztatási kötelezettségnek az adatkezelő általi megsértésén alapul, amennyiben ez a jogsértés az adatkezelést jogellenessé teheti.