A BÍRÓSÁG ÍTÉLETE (nagytanács)
2023. július 4.(*)
Tartalomjegyzék
Jogi háttér
Az uniós jog
Az 1/2003/EK rendelet
Az általános adatvédelmi rendelet
A német jog
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az első és a hetedik kérdésről
A második kérdésről
A második kérdés a) részéről
A második kérdés b) részéről
A harmadik, a negyedik és az ötödik kérdésről
Előzetes észrevételek
A harmadik és a negyedik kérdésről
Az ötödik kérdésről
A hatodik kérdésről
A költségekről
„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – Online közösségi hálózatok – Ilyen hálózat üzemeltetőjének erőfölénnyel való visszaélése – Az e hálózat általános felhasználási feltételeiben előírt, a felhasználóit érintő személyesadat‑kezeléssel megvalósított visszaélés – A tagállami versenyhatóság ezen adatkezelés fenti rendeletnek való meg nem felelésének megállapítására vonatkozó hatáskörei – A személyes adatok védelmének felügyeletét ellátó nemzeti hatóságok hatásköreivel fennálló kapcsolat – Az EUSZ 4. cikk (3) bekezdése – A lojális együttműködés elve – A 2016/679 rendelet 6. cikke (1) bekezdése első albekezdésének a)–f) pontja – Az adatkezelés jogszerűsége – A 9. cikk (1) és (2) bekezdése – A személyes adatok különleges kategóriáinak kezelése – A 4. cikk 11. pontja – A »hozzájárulás« fogalma”
A C‑252/21. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet az Oberlandesgericht Düsseldorf (düsseldorfi regionális felsőbíróság, Németország) a Bírósághoz 2021. április 22‑én érkezett, 2021. március 24‑i határozatával terjesztett elő
a Meta Platforms Inc., korábban Facebook Inc.,
a Meta Platforms Ireland Ltd, korábban Facebook Ireland Ltd.,
a Facebook Deutschland GmbH
és
a Bundeskartellamt
között,
a Verbraucherzentrale Bundesverband e.V.
részvételével folyamatban lévő eljárásban,
A BÍRÓSÁG (nagytanács),
tagjai: K. Lenaerts elnök, L. Bay Larsen elnökhelyettes, A. Prechal, K. Jürimäe, C. Lycourgos, M. Safjan, L. S. Rossi (előadó), D. Gratsias és M. L. Arastey Sahún tanácselnökök, J.‑C. Bonichot, S. Rodin, F. Biltgen, M. Gavalec, Csehi Z. és O. Spineanu‑Matei bírák,
főtanácsnok: A. Rantos,
hivatalvezető: D. Dittert egységvezető,
tekintettel az írásbeli szakaszra és a 2022. május 10‑i tárgyalásra,
figyelembe véve a következők által előterjesztett észrevételeket:
– a Meta Platforms Inc., korábban Facebook Inc., a Meta Platforms Ireland Ltd, korábban Facebook Ireland Ltd, és a Facebook Deutschland GmbH képviseletében M. Braun, M. Esser, L. Hesse, J. Höft és H.‑G. Kamann Rechtsanwälte,
– a Bundeskartellamt képviseletében J. Nothdurft, K. Ost, I. Sewczyk és J. Topel, meghatalmazotti minőségben,
– a Verbraucherzentrale Bundesverband eV képviseletében S. Louven Rechtsanwalt,
– a német kormány képviseletében J. Möller és P.‑L. Krüger, meghatalmazotti minőségben,
– a cseh kormány képviseletében M. Smolek és J. Vláčil, meghatalmazotti minőségben,
– az olasz kormány képviseletében G. Palmieri, meghatalmazotti minőségben, segítői: F. De Luca és P. Gentili avvocati dello Stato,
– az osztrák kormány képviseletében A. Posch, J. Schmoll és G. Kunnert, meghatalmazotti minőségben,
– az Európai Bizottság képviseletében F. Erlbacher, H. Kranenborg és G. Meessen, meghatalmazotti minőségben,
a főtanácsnok indítványának a 2022. szeptember 20‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem az EUSZ 4. cikk (3) bekezdésének, valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: általános adatvédelmi rendelet) 6. cikke (1) bekezdésének, 9. cikke (1) és (2) bekezdésének, 51. cikke (1) bekezdésének és 56. cikke (1) bekezdésének értelmezésére vonatkozik.
2 E kérelmet az egyfelől a Meta Platforms Inc. (korábban Facebook Inc.), a Meta Platforms Ireland Ltd (korábban Facebook Ireland Ltd) és a Facebook Deutschland GmbH, másfelől a Bundeskartellamt (szövetségi versenyhatóság, Németország) között az utóbbi azon határozata tárgyában folyamatban lévő jogvita keretében terjesztették elő, amelyben megtiltotta, hogy e társaságok bizonyos személyes adatokat a Facebook közösségi hálózat általános felhasználási feltételeiben (a továbbiakban: általános feltételek) előírtak szerint kezeljenek.
Jogi háttér
Az uniós jog
Az 1/2003/EK rendelet
3 Az [EUMSZ 101. cikkben] és [EUMSZ 102. cikkben] meghatározott versenyszabályok végrehajtásáról szóló, 2002. december 16‑i 1/2003/EK tanácsi rendelet (HL 2003. L 1., 1. o.; magyar nyelvű különkiadás 8. fejezet, 2. kötet, 205. o.) „A tagállamok versenyhatóságainak jogköre” című 5. cikkében a következőket írja elő:
„A tagállamok versenyhatóságai egyedi ügyekben alkalmazhatják a[z EUMSZ 101.] és [az EUMSZ 102. cikket]. E célból saját kezdeményezésükre vagy panasz alapján a következő határozatokat hozhatják:
– előírhatják a jogsértő magatartás befejezését,
– ideiglenes intézkedéseket rendelhetnek el,
– kötelezettségvállalásokat fogadhatnak el,
– pénzbírságot, kényszerítő bírságot vagy a nemzeti joguk által biztosított egyéb szankciót szabhatnak ki.
Amennyiben a birtokukban lévő információk alapján a tilalom feltételei nem teljesülnek, olyan határozatot is hozhatnak, hogy részükről semmilyen intézkedés nem indokolt.”
Az általános adatvédelmi rendelet
4 Az általános adatvédelmi rendelet (1), (4), (38), (42), (43), (46), (47), (49) és (51) preambulumbekezdése kimondja:
„(1) A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az Európai Unió Alapjogi Chartája (Charta) 8. cikkének (1) bekezdése és az [EUMSZ 16. cikk] (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.
[…]
(4) A személyes adatok kezelését az emberiség szolgálatába kell állítani. A személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban, a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyensúlyban más alapvető jogokkal. Ez a rendelet minden alapvető jogot tiszteletben tart, és szem előtt tartja a Chartában elismert és a Szerződésekben rögzített szabadságokat és elveket, különösen ami a magán‑ és a családi élet, az otthon és a kapcsolattartás tiszteletben tartásához és a személyes adatok védelméhez, a gondolat‑, a lelkiismeret‑ és a vallásszabadsághoz, a véleménynyilvánítás szabadságához és a tájékozódás szabadságához, a vállalkozás szabadságához, a hatékony jogorvoslathoz és a tisztességes eljáráshoz, és a kulturális, vallási és nyelvi sokféleséghez való jogot illeti.
[…]
(38) A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös védelmet főként a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére. A közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében nincs szükség a szülői felügyelet gyakorlójának hozzájárulására.
[…]
(42) Ha az adatkezelés az érintett hozzájárulásán alapul, az adatkezelő számára lehetővé kell tenni, hogy bizonyítani tudja, hogy az adatkezelési művelethez az érintett hozzájárult. […] Ahhoz, hogy a hozzájárulás tájékoztatáson alapulónak minősüljön, az érintettnek legalább tisztában kell lennie az adatkezelő kilétével és a személyes adatok kezelésének céljával. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.
(43) Annak biztosítása érdekében, hogy [a] hozzájárulást önkéntesen adták, a hozzájárulás olyan egyedi esetekben nem szolgálhat érvényes jogalapként a személyes adatok kezeléséhez, amelyekben az érintett és az adatkezelő között egyértelműen egyenlőtlen viszony áll fenn, különösen ha az adatkezelő közhatalmi szerv, és az adott helyzet valamennyi körülményét figyelembe véve ezért valószínűtlen, hogy a szóban forgó hozzájárulás megadása önkéntesen történt. A hozzájárulás nem tekinthető önkéntesnek, ha nem tesz lehetővé külön‑külön hozzájárulást a különböző személyes adatkezelési műveletekhez, noha az adott esetben megfelelő, illetve ha egy – például szolgáltatási – szerződés teljesítését a hozzájárulástól teszik függővé, annak ellenére, hogy a hozzájárulás nem szükséges [a] szerződés teljesítéséhez.
[…]
(46) Az adatkezelést szintén jogszerűnek kell tekinteni akkor, amikor az az érintett életének vagy más fent említett természetes személy érdekeinek védelmében történik. Más természetes személy létfontosságú érdekeire hivatkozással személyes adatkezelésre elvben csak akkor kerülhet sor, ha a szóban forgó adatkezelés egyéb jogalapon nem végezhető. A személyes adatkezelés néhány típusa szolgálhat egyszerre fontos közérdeket és az érintett létfontosságú érdekeit is, például olyan esetben, amikor az adatkezelésre humanitárius okokból, ideértve, ha arra a járványok és terjedéseik nyomon követéséhez, vagy humanitárius vészhelyzetben, különösen természeti vagy ember által okozott katasztrófák esetében van szükség.
(47) Az adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes adatokat közölhetik – vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, figyelembe véve az adatkezelővel való kapcsolata alapján az érintett észszerű elvárásait. […] A jogos érdek fennállásának megállapításához mindenképpen körültekintően meg kell vizsgálni többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat‑e észszerűen arra, hogy adatkezelésre az adott célból kerülhet sor. Az érintett érdekei és alapvető jogai elsőbbséget élvezhetnek az adatkezelő érdekével szemben, ha a személyes adatokat olyan körülmények között kezelik, amelyek közepette az érintettek nem számítanak további adatkezelésre. […] Személyes adatok közvetlen üzletszerzési célú kezelése szintén jogos érdeken alapulónak tekinthető.
[…]
(49) Az érintett adatkezelő jogos érdekének minősül [az] […] olyan mértékű személyes adatkezelés, amely a hálózati és informatikai biztonság garantálásához feltétlenül szükséges és arányos, vagyis adott titkossági szinten az érintett hálózat vagy információs rendszer ellenálló képessége az e hálózatokon és rendszereken tárolt vagy továbbított adatok, valamint az e hálózatok és rendszerek által nyújtott vagy rajtuk keresztül elérhető kapcsolódó szolgáltatások hozzáférhetőségét, hitelességét, integritását és bizalmas jellegét sértő véletlen eseményekkel, illetve jogellenes vagy rosszhiszemű tevékenységekkel szemben.
[…]
(51) Az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak. Ilyen adatnak minősül a faji vagy etnikai származásra utaló személyes adatok is; e tekintetben megjegyzendő, hogy a „faji származás” kifejezés e rendelet keretében történő alkalmazása nem értelmezhető úgy, hogy az [Európai] Unió elfogadja a különböző emberi fajok létezésének megállapítására törekvő elméleteket. A fényképek kezelését nem szükséges szisztematikusan különleges adatkezelésnek tekinteni, mivel azokra csak azokban az esetekben vonatkozik a biometrikus adatok fogalommeghatározása, amikor a természetes személy egyedi azonosítását vagy hitelesítését lehetővé tevő speciális eszközzel kezelik őket. Az ilyen adatok nem kezelhetők, kivéve, ha az adatkezelés az e rendeletben meghatározott egyedi esetekben megengedett, azt is figyelembe véve, hogy a tagállami jog különös rendelkezéseket állapíthat meg az adatok védelmére vonatkozóan annak érdekében, hogy kiigazítsák az e rendeletben foglalt szabályok alkalmazását valamely jogi kötelezettségnek való megfelelés vagy közérdekből végzett feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása tekintetében. Az ilyen adatkezelésre vonatkozó konkrét előírásokon kívül e rendelet általános elveit és egyéb szabályait kell alkalmazni, különösen a jogszerű adatkezelés feltételei tekintetében. A személyes adatok ilyen különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérésről kifejezetten rendelkezni kell, ideértve, ha az érintett egyértelmű hozzájárulását adja, vagy bizonyos sajátos adatkezelési szükségletekre tekintettel, különösen, ha az adatkezelést jogszerű tevékenységük keretében olyan egyesületek, illetve alapítványok végzik –, amelyek célja az alapvető szabadságok gyakorlásának lehetővé tétele.”
5 E rendelet 4. cikke a következőképpen rendelkezik:
„E rendelet alkalmazásában:
1. »személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; […]
2. »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
[…]
7. »adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
[…]
11. »az érintett hozzájárulása«: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;
[…]
23. »személyes adatok határokon átnyúló adatkezelése«:
a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket;
[…]”
6 Az említett rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke (1) és (2) bekezdésében a következőképpen rendelkezik:
„(1) A személyes adatok:
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (»jogszerűség, tisztességes eljárás és átláthatóság«);
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon;
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk (»adattakarékosság«);
[…]
(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”
7 E rendeletnek „Az adatkezelés jogszerűsége” című 6. cikke (1) bekezdésének szövege a következő:
„(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Az első albekezdés f) pontja nem alkalmazandó a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.
[…]
(3) Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:
a) az uniós jog, vagy
b) azon tagállami jog, amelynek hatálya alá az adatkezelő tartozik.
[…]
[…] Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.”
8 Az általános adatvédelmi rendeletnek „A hozzájárulás feltételei” című 7. cikke kimondja:
„(1) Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.
[…]
(4) Annak megállapítása során, hogy a hozzájárulás önkéntes‑e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták‑e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.”
9 E rendeletnek „A személyes adatok különleges kategóriáinak kezelése” című 9. cikke a következőképpen rendelkezik:
„(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.
(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha:
a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával;
[…]
e) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
f) az adatkezelés jogi követelések megállapításához, gyakorlásához vagy védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el; vagy
[…]”
10 Az említett rendelet 13. cikke, amely a „Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik” címet viseli, (1) bekezdésében a következőket írja elő:
„Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:
[…]
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) amennyiben az adatkezelés a 6. cikk (1) bekezdésének f) pontján alapul, az adatkezelő vagy harmadik fél jogos érdekei;
[…]”
11 Az általános adatvédelmi rendelet „[f]üggetlen felügyeleti hatóságok”‑ra vonatkozó VI. fejezete tartalmazza e rendelet 51–59. cikkét.
12 Az említett rendelet „Felügyeleti hatóság” című 51. cikke (1) és (2) bekezdésében a következőképpen rendelkezik:
„(1) A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam előírja, hogy e rendelet alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv […] felel.
(2) Minden felügyeleti hatóság elősegíti e rendeletnek az Unió egész területén történő egységes alkalmazását. A felügyeleti hatóságok e célból együttműködnek egymással és [az Európai] Bizottsággal, a VII. fejezettel összhangban.”
13 Ugyanezen rendelet „Illetékesség” című 55. cikke értelmében:
„(1) A felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.
(2) Ha az adatkezelést a 6. cikk (1) bekezdésének c) vagy e) pontja alapján eljáró közhatalmi szervek vagy magánfél szervezetek végzik, az érintett tagállam felügyeleti hatósága az illetékes. Ezekben az esetekben az 56. cikk nem alkalmazandó.”
14 Az általános adatvédelmi rendeletnek „A fő felügyeleti hatóság illetékessége” című 56. cikke az (1) bekezdésében a következőket mondja ki:
„Az 55. cikk sérelme nélkül, az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye szerinti felügyeleti hatóság jogosult fő felügyeleti hatóságként eljárni az említett adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében, a 60. cikk szerinti eljárással összhangban.”
15 E rendelet „Feladatok” című 57. cikkének (1) bekezdése a következőket írja elő:
„Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, a felügyeleti hatóság a saját területén ellátja a következő feladatokat:
a) nyomon követi és kikényszeríti e rendelet alkalmazását;
[…]
g) együttműködik más felügyeleti hatóságokkal, ideértve az információcserét és a kölcsönös segítségnyújtást is, e rendelet egységes alkalmazásának és érvényesítésének biztosítása érdekében;
[…]”
16 Az említett rendelet 58. cikkének (1) bekezdése felsorolja az egyes felügyeleti hatóságokat megillető vizsgálati hatásköröket, és (5) bekezdésében pontosítja, hogy „[a] tagállamok jogszabályban előírják, hogy a felügyeleti hatóságuk hatáskörrel rendelkezik arra, hogy e rendelet megsértéséről tájékoztassa az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzen vagy abban más módon részt vegyen e rendelet rendelkezéseinek érvényre juttatása érdekében”.
17 Az általános adatvédelmi rendelet „Együttműködés és egységesség” című VII. fejezetének „Együttműködés” című 1. szakasza tartalmazza e rendelet 60–62. cikkét. A 60. cikk, amely „a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság között[i együttműködésre]” vonatkozik, (1) bekezdésében a következőket írja elő:
„A fő felügyeleti hatóság e cikknek megfelelően, konszenzusra törekedve együttműködik a többi érintett felügyeleti hatósággal. A fő felügyeleti hatóság és az érintett felügyeleti hatóságok minden releváns információt kicserélnek egymással.”
18 Az általános adatvédelmi rendelet „Kölcsönös segítségnyújtás” című 61. cikke (1) bekezdésében a következőket mondja ki:
„A felügyeleti hatóságok e rendelet egységes végrehajtása és alkalmazása érdekében megosztják egymással a releváns információkat, és kölcsönösen segítséget nyújtanak egymásnak, valamint a hatékony együttműködést célzó intézkedéseket tesznek. A kölcsönös segítségnyújtás különösen információkérésekre és felügyeleti intézkedésekre, például az előzetes engedélyezés és egyeztetés, az ellenőrzés és a vizsgálat lefolytatása iránti megkeresésekre terjed ki.”
19 E rendeletnek „A felügyeleti hatóságok közös műveletei” című 62. cikkének (1) és (2) bekezdése a következőket írja elő:
„(1) A felügyeleti hatóságok adott esetben közös műveleteket hajtanak végre, ideértve a közös vizsgálatokat és a közös végrehajtási intézkedéseket is, amelyekben más tagállamok felügyeleti hatóságainak tagjai vagy alkalmazottai is részt vesznek.
(2) Ha az adatkezelő vagy az adatfeldolgozó több tagállamban is rendelkezik tevékenységi hellyel, vagy ha az adatkezelési műveletek több tagállamban is valószínűsíthetően jelentős mértékben érintenek nagyszámú érintettet, az összes szóban forgó tagállam felügyeleti hatósága jogosult részt venni a közös műveletekben. […]”
20 A 2016/679 rendelet VII. fejezetének az „Egységesség” című 2. szakasza tartalmazza e rendelet 63–67. cikkét. „Az egységességi mechanizmus” című 63. cikk szövege a következő:
„Az e rendeletnek az Unió egész területén történő egységes alkalmazásához való hozzájárulás érdekében a felügyeleti hatóságok együttműködnek egymással és adott esetben a Bizottsággal az e szakaszban meghatározott egységességi mechanizmus útján.”
21 E rendelet 64. cikkének (2) bekezdése értelmében:
„Bármely felügyeleti hatóság, [az Európai Adatvédelmi] Testület elnöke vagy a Bizottság kérheti, hogy [az Európai Adatvédelmi] Testület vizsgáljon meg egy általános érvényű vagy egynél több tagállamban hatással bíró ügyet, és bocsásson ki róla véleményt, különösen, ha valamely illetékes felügyeleti hatóság nem teljesíti a 61. cikk szerinti kölcsönös segítségnyújtás vagy a 62. cikk szerinti közös műveletek tekintetében fennálló kötelezettségeit.”
22 Ugyanezen rendeletnek „A Testület vitarendezési eljárása” című 65. cikke (1) bekezdésében a következőket írja elő:
„Annak érdekében, hogy az egyes esetekben biztosított legyen e rendelet helyes és egységes alkalmazása, [az Európai Adatvédelmi] Testület kötelező erejű döntést fogad el az alábbi esetekben:
a) ha a 60. cikk (4) bekezdésében említett esetben valamely érintett felügyeleti hatóság releváns és megalapozott kifogást emelt a fő felügyeleti hatóság döntéstervezetével szemben, vagy ha a fő felügyeleti hatóság elutasított egy ilyen kifogást arra hivatkozva, hogy az nem releváns vagy nem megalapozott. A kötelező erejű döntésnek ki kell terjednie a releváns és megalapozott kifogásban szereplő összes kérdésre, különösen arra, hogy a rendelet sérült‑e;
b) ha eltérnek az álláspontok azt illetően, hogy az érintett felügyeleti hatóságok közül melyik illetékes a tevékenységi központ tekintetében;
[…]”
A német jog
23 A Gesetz gegen Wettbewerbsbeschränkungen (a versenykorlátozás tilalmáról szóló törvény) 2013. június 26‑án kihirdetett változata (BGBl. 2013 I, 1750. o., 3245. o., legutóbb a 2021. július 16‑i törvény (BGBl. 2021 I, 2959. o.; a továbbiakban: GWB) 19. §‑ának (1) bekezdése a következőképpen rendelkezik:
„Tilos a piaci erőfölénnyel való, egy vagy több vállalkozás általi visszaélés.”
24 A GWB 32. §‑ának (1) bekezdése értelmében:
„A versenyhatóság a jelen rész valamely rendelkezése vagy az Európai Unió működéséről szóló szerződés 101. vagy 102. cikke megsértésének megszüntetésére kötelezheti a vállalkozásokat vagy a vállalkozások társulásait.”
25 A GWB 50f. §‑ának (1) bekezdése a következőket írja elő:
„A versenyhatóságok, a szabályozó hatóságok, a szövetségi adatvédelmi és információszabadság‑ügyi biztos, a regionális adatvédelmi tisztviselők és az EU‑Verbraucherschutzdurchführungsgesetz [az uniós fogyasztóvédelmi törvény végrehajtásáról szóló törvény] 2. §‑a szerinti illetékes hatóságok a választott eljárástól függetlenül információkat cserélhetnek egymással, beleértve a személyes adatokat, valamint a kereskedelmi és üzleti titkokat is, amennyiben ez feladataik ellátásához szükséges, és ezeket az információkat az eljárásaik során felhasználhatják. […]”
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
26 A Meta Platforms Ireland működteti az Európai Unióban a Facebook online közösségi hálózat kínálatát a www.facebook.com címen, amely szolgáltatások ingyenesek a magánfelhasználók számára. A Meta‑csoport egyéb vállalkozásai további online szolgáltatásokat is kínálnak az Európai Unióban, köztük az Instagram, a WhatsApp, az Oculus és – 2020. március 13‑ig – a Masqurade szolgáltatásokat.
27 A Facebook online közösségi hálózat üzleti modellje az online hirdetésekből történő finanszírozáson alapul, amelyeket a közösségi hálózat egyéni felhasználóira szabnak többek között fogyasztási szokásaik, érdeklődési körük, vásárlóerejük és élethelyzetük alapján. Az ilyen hirdetéseket technikailag a hálózat felhasználói igen részletes profiljának automatikus létrehozása és a Meta‑csoport szintjén kínált online szolgáltatások teszik lehetővé. E célból azon adatokon kívül, amelyeket e felhasználók közvetlenül az érintett online szolgáltatásokra való feliratkozásuk során szolgáltatnak, e közösségi hálózaton és a Meta‑csoport által nyújtott online szolgáltatásokon belül és azokon kívül az említett felhasználókra és eszközeikre vonatkozó egyéb adatokat is gyűjtenek, és azokat összekapcsolják a különböző felhasználói fiókjaikkal. Az ezen adatok által alkotott átfogó kép alapján részletes következtetések vonhatók le a fent említett felhasználók preferenciáira és érdeklődési körére vonatkozóan.
28 Az említett adatok kezelése tekintetében a Meta Platforms Ireland arra a felhasználási szerződésre támaszkodik, amelyhez a Facebook közösségi hálózat felhasználói a „feliratkozás” gombra való kattintással csatlakoznak, és amellyel e felhasználók elfogadják az említett társaság által meghatározott általános feltételeket. A Facebook közösségi hálózat használatához el kell fogadni e feltételeket. A személyes adatok kezelését illetően az általános feltételek az említett társaság által meghatározott adatkezelési szabályzatra és cookie‑szabályzatra utalnak. Ez utóbbiak értelmében a Meta Platforms Ireland a felhasználókkal és a készülékekkel kapcsolatos, a felhasználóknak a közösségi hálózaton belüli és kívüli tevékenységére vonatkozó adatokat gyűjt, és ezeket az adatokat összekapcsolja az érintett felhasználók Facebook‑fiókjaival. Ami ez utóbbi, a közösségi hálózaton kívüli tevékenységekre vonatkozó adatokat (a továbbiakban szintén: off Facebook adatok) illeti, egyrészt a Facebookkal programinterfészeken – a „Facebook Business Tool”‑on – keresztül összekapcsolt harmadik weboldalak és alkalmazások megtekintésére vonatkozó adatokról, másrészt pedig a Meta‑csoporthoz tartozó egyéb online szolgáltatások, köztük az Instagram, a WhatsApp, az Oculus és – 2020. március 13‑ig – a Masquerade használatára vonatkozó adatokról van szó.
29 A szövetségi versenyhatóság eljárást indított a Meta Platforms, a Meta Platforms Ireland és a Facebook Deutschland ellen, amelynek eredményeként 2019. február 6‑i határozatával a GWB 19. §‑ának (1) bekezdése és 32. §‑a alapján lényegében megtiltotta számukra, hogy az általános feltételekben a Facebook közösségi hálózat Németországban lakóhellyel rendelkező magánfelhasználók általi használatát az off Facebook‑adataik kezelésétől tegyék függővé, és hozzájárulásuk nélkül kezeljék ezen adatokat az akkor hatályos általános feltételek alapján. Ezenkívül arra kötelezte őket, hogy igazítsák ki ezen általános feltételeket oly módon, hogy azokból egyértelműen kitűnjön, hogy az említett adatokat nem gyűjtik össze, nem kapcsolják össze a Facebook felhasználói fiókokkal, és nem használják fel az érintett felhasználó hozzájárulása nélkül, továbbá egyértelművé tette, hogy az ilyen hozzájárulás nem érvényes, ha az a közösségi hálózat használatának feltételét képezi.
30 A szövetségi versenyhatóság azzal indokolta határozatát, hogy az érintett felhasználók adatainak az általános feltételekben előírt és a Meta Platforms Ireland által végzett kezelésével e társaság a GWB 19. §‑ának (1) bekezdése értelmében a németországi magánfelhasználóknak szánt közösségi hálózatok piacán fennálló erőfölényét visszaélésszerűen kihasználta. Közelebbről, a szövetségi versenyhatóság szerint ezen általános feltételek – mint az említett erőfölény megnyilvánulásai – visszaélésszerűek, mivel az off Facebook‑adatok e feltételekben előírt kezelése nem felel meg az általános adatvédelmi rendelet alapjául szolgáló értékeknek, és különösen nem igazolható e rendelet 6. cikkének (1) bekezdésére és 9. cikkének (2) bekezdésére tekintettel.
31 2019. február 11‑én a Meta Platforms, a Meta Platforms Ireland és a Facebook Deutschland keresetet nyújtott be a szövetségi versenyhatóság határozatával szemben az Oberlandesgericht Düsseldorfhoz (düsseldorfi regionális felsőbíróság, Németország).
32 2019. július 31‑én a Meta Platforms Ireland új általános feltételeket vezetett be, amelyek kifejezetten kimondták, hogy a felhasználó a Facebook‑termékek használatáért történő fizetés helyett hozzájárul a hirdetések megjelenítéséhez.
33 Ezenkívül 2020. január 28. óta a Meta Platforms világszinten kínálja az „Off‑Facebook‑Activity”‑t, amely lehetővé teszi a Facebook közösségi hálózat felhasználói számára, hogy összefoglalót kapjanak a rájuk vonatkozó azon információkról, amelyeket a Meta‑csoporthoz tartozó társaságok a más weboldalakon és alkalmazásokon végzett tevékenységükkel kapcsolatban szereznek meg, és ha úgy kívánják, ezen adatokat mind a múltra, mind a jövőre nézve elválasszák a Facebook.com fiókjuktól.
34 Az Oberlandesgericht Düsseldorfnak (düsseldorfi regionális felsőbíróság) először is kétségei vannak a nemzeti versenyhatóságok azon lehetőségét illetően, hogy hatáskörük gyakorlása során ellenőrizzék, hogy a személyes adatok kezelése megfelel‑e az általános adatvédelmi rendeletben megfogalmazott követelményeknek; másodszor, az online közösségi hálózat üzemeltetőjének azon lehetőségét illetően, hogy az érintett személy e rendelet 9. cikkének (1) és (2) bekezdése értelmében vett különleges személyes adatait kezelje; harmadszor, ami az érintett felhasználó személyes adatai ilyen üzemeltető általi kezelésének az említett rendelet 6. cikkének (1) bekezdésére tekintettel fennálló jogszerűségét illeti, negyedszer pedig az online közösségi hálózatok nemzeti piacán erőfölényben lévő vállalkozás részére ilyen adatkezelés céljából adott hozzájárulásnak az ugyanezen rendelet 6. cikke (1) bekezdése első albekezdésének a) pontjára és 9. cikke (2) bekezdésének a) pontjára tekintettel fennálló érvényességét illetően.
35 Ebben az összefüggésben, mivel úgy ítélte meg, hogy az alapügy megoldása az e kérdésekre adandó választól függ, az Oberlandesgericht Düsseldorf (düsseldorfi regionális felsőbíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
„1) a) Összeegyeztethető‑e az általános adatvédelmi rendelet 51. és azt követő cikkeivel, ha valamely tagállam – a szövetségi versenyhatósághoz hasonló – olyan nemzeti versenyhatósága, amely nem minősül az általános adatvédelmi rendelet 51. és azt követő cikkei értelmében vett felügyeleti hatóságnak, és amelynek tagállamában egy Európai Unión kívül letelepedett vállalkozás olyan tevékenységi hellyel rendelkezik, amely a reklám, a kommunikáció és a közönségszolgálat területén támogatást nyújt az említett vállalkozás másik tagállamban található, a személyes adatokat az Európai Unió egész területe tekintetében kizárólagosan kezelő tevékenységi központjának, a visszaélések kartelljogi ellenőrzése keretében megállapítja, hogy a tevékenységi központ adatkezeléssel kapcsolatos szerződési feltételei és azok végrehajtása az általános adatvédelmi rendeletbe ütközik, és e jogsértés megszüntetésére kötelező határozatot hoz?
b) Ha igen: összeegyeztethető‑e az EUSZ 4. cikk (3) bekezdésével, ha az általános adatvédelmi rendelet 56. cikkének (1) bekezdése értelmében vett, a tevékenységi központ tagállama szerinti fő felügyeleti hatóság ezzel egyidejűleg vizsgálati eljárást folytat a tevékenységi központ adatkezeléssel kapcsolatos szerződési feltételei tárgyában?
Az első kérdésre adandó igenlő válasz esetén:
2) a) Az általános adatvédelmi rendelet 9. cikkének (1) bekezdése értelmében vett különleges [személyes] adatok kezelésének minősül‑e a gyűjtés és/vagy az összekapcsolás és/vagy a felhasználás akkor, ha az internethasználó vagy csak megnyit olyan weboldalakat vagy alkalmazásokat, vagy – például feliratkozás vagy megrendelések esetén – adatokat is megad olyan weboldalakon vagy alkalmazásokon, amelyek kapcsolatban állnak az általános adatvédelmi rendelet említett rendelkezésében szereplő kritériumokkal, mint amilyenek például az ismerkedős alkalmazások, a homoszexuális társkeresők, a politikai pártok weboldalai, az egészségügyi weboldalak, valamely […] vállalkozás pedig, mint amilyen például a [Meta Platforms Ireland], a weboldalakon és alkalmazásokban elhelyezett – a »Facebook Business Tools«‑hoz hasonló – integrált interfészeken vagy az internethasználó számítógépén vagy mobileszközén használt cookie‑kon vagy hasonló adattárolási technológiákon keresztül összegyűjti a weboldalak és alkalmazások felhasználó általi megnyitására és a felhasználó ott megadott adataira vonatkozó adatokat, összekapcsolja azokat a felhasználó Facebook.com‑fiókjának adataival, és felhasználja azokat?
b) Ha igen: önmagában a megnyitásra és/vagy a felhasználó által megadott adatokra vonatkozó adatoknak az általános adatvédelmi rendelet 9. cikke (2) bekezdésének e) pontja értelmében vett kifejezett nyilvánosságra hozatalának minősül‑e ezen weboldalak és alkalmazások megnyitása és/vagy azokon, illetve azokban adatok megadása és/vagy az e weboldalakon vagy alkalmazásokban a [Meta Platforms Irelandhez] hasonló szolgáltatóhoz tartozó gombokra (»közösségi modulok«, mint például »tetszik«, »megosztás« vagy »Facebook login« vagy »account kit«) való rákattintás?
3) Hivatkozhat‑e az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b) pontjában szereplő, a szerződésteljesítéshez való szükségesség vagy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontjában szereplő, jogos érdekek érvényesítése igazoló okára a [Meta Platforms Irelandhez] hasonló olyan vállalkozás, amely egy reklámbevételből finanszírozott digitális közösségi hálózatot üzemeltet, és felhasználási feltételeiben a tartalmak és a hirdetések személyre szabását, a hálózat biztonságát, a termékek fejlesztését és a vállalatcsoport valamennyi termékének egységes és zökkenőmentes használatát kínálja, ha az említett célokból a vállalatcsoport más szolgáltatásaiból és harmadik weboldalakról és alkalmazásokból származó adatokat összegyűjti az ezeken, illetve ezekben elhelyezett – a »Facebook Business Tools«‑hoz hasonló – integrált interfészeken vagy az internethasználó számítógépén vagy mobileszközén használt cookie‑kon vagy hasonló adattárolási technológiákon keresztül, összekapcsolja azokat a felhasználó Facebook.com‑fiókjával, és felhasználja azokat?
4) Ilyen esetben
– a tartalmak és a hirdetések személyre szabása, a termékek fejlesztése, a hálózat biztonsága és a felhasználófelé irányuló nem marketingjellegű kommunikáció szempontjából a felhasználók kiskorúsága,
– méréseknek, elemzéseknek és más üzleti szolgáltatásoknak a hirdetők, fejlesztők és más partnerek számára történő biztosítása abból a célból, hogy értékelhessék és javíthassák szolgáltatásaikat,
– marketingjellegű kommunikáció folytatása a felhasználó irányában abból a célból, hogy a Facebook Ireland fejleszthesse termékeit, és direktmarketing‑tevékenységet végezhessen,
– kutatás és fejlesztés a közjó érdekében a technika állásának vagy a fontos társadalmi kérdésekkel kapcsolatos tudományos felfogásnak a társadalomra és a világra való pozitív hatásgyakorlás érdekében történő előrevitele céljából,
– a bűnüldöző és egyéb hivatalos szervek tájékoztatása, valamint válaszadás hivatalos megkeresésekre a bűncselekmények, a jogosulatlan használat, a felhasználási feltételek és a szabályzatok megszegése, illetve egyéb káros magatartások megelőzése és kezelése érdekében,
szintén az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontja értelmében vett jogos érdeknek minősülhet‑e, ha a vállalkozás e célokból a vállalatcsoport más szolgáltatásaiból és harmadik weboldalakról és alkalmazásokból származó adatokat összegyűjti az ezeken, illetve ezekben elhelyezett – a »Facebook Business Tools«‑hoz hasonló – integrált interfészeken vagy az internethasználó számítógépén vagy mobileszközén használt cookie‑kon vagy hasonló adattárolási technológiákon keresztül, összekapcsolja azokat a felhasználó Facebook.com‑fiókjával, és felhasználja azokat?
5) Ilyen esetben az általános adatvédelmi rendelet 6. cikke (1) bekezdésének c), d) és e) pontja alapján is igazolt lehet‑e egyedi esetekben a vállalatcsoport más szolgáltatásaiból és harmadik weboldalakról és alkalmazásokból származó adatoknak az ezeken, illetve ezekben elhelyezett – a »Facebook Business Tools«‑hoz hasonló – integrált interfészeken vagy az internethasználó számítógépén vagy mobileszközén használt cookie‑kon vagy hasonló adattárolási technológiákon keresztül történő összegyűjtése, azoknak a felhasználó Facebook.com‑fiókjával történő összekapcsolása és felhasználása vagy a más módon már jogszerűen összegyűjtött és összekapcsolt adatok felhasználása például egy bizonyos adatokra vonatkozó érvényes megkeresésre történő válaszadás (c) pont), a káros magatartásokkal szembeni küzdelem és a biztonság elősegítése (d) pont), a közérdekű kutatás, valamint a biztonság, integritás és védelem elősegítése (e) pont) érdekében?
6) Adható‑e az általános adatvédelmi rendelet 6. cikke (1) bekezdésének a) pontja, illetve 9. cikke (2) bekezdésének a) pontja értelmében vett érvényes, különösen az általános adatvédelmi rendelet 4. cikkének 11. pontja szerinti önkéntes hozzájárulás egy – a [Meta Platforms Irelandhez] hasonló – erőfölényben lévő vállalkozás számára?
Az első kérdésre adandó nemleges válasz esetén:
7) a) Valamely tagállam – a szövetségi versenyhatósághoz hasonló – olyan nemzeti versenyhatósága, amely nem minősül az általános adatvédelmi rendelet 51. és azt követő cikkei értelmében vett felügyeleti hatóságnak, és amely a visszaélés kartelljogi tilalmának egy erőfölényben lévő vállalkozás általi olyan megsértését vizsgálja, amely nem abban áll, hogy e vállalkozás adatkezelési feltételei és azok végrehajtása az általános adatvédelmi rendeletbe ütközik, tehet‑e megállapításokat például az érdekek mérlegelése keretében azzal kapcsolatban, hogy e vállalkozás adatkezelési feltételei és azok végrehajtása megfelel‑e az általános adatvédelmi rendeletnek?
b) Ha igen: Az EUSZ 4. cikk (3) bekezdésére tekintettel akkor is így van‑e ez, ha az általános adatvédelmi rendelet 56. cikkének (1) bekezdése alapján illetékes fő felügyeleti hatóság ezzel egyidejűleg vizsgálati eljárást folytat e vállalkozás adatkezelési feltételei tárgyában?
A hetedik kérdésre adandó igenlő válasz esetén a harmadik, negyedik és ötödik kérdésre a vállalatcsoport Instagram szolgáltatásának igénybevételéből származó adatok tekintetében kell választ adni.”
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az első és a hetedik kérdésről
36 Együttesen vizsgálandó első és hetedik kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 51. és azt követő cikkeit úgy kell‑e értelmezni, hogy egy tagállami versenyhatóság valamely vállalkozás EUMSZ 102. cikk értelmében vett erőfölénnyel való visszaélésének vizsgálata keretében megállapíthatja, hogy e vállalkozásnak a személyes adatok kezelésére és azok felhasználására vonatkozó általános felhasználási feltételei nem felelnek meg az általános adatvédelmi rendeletnek, és igenlő válasz esetén, úgy kell‑e értelmezni az EUSZ 4. cikk (3) bekezdését, hogy a versenyhatóság ilyen, közbenső jellegű megállapítására akkor is sor kerülhet, ha az általános adatvédelmi rendelet 56. cikkének (1) bekezdése alapján illetékes fő felügyeleti hatóság e feltételek tárgyában ezzel egyidejűleg vizsgálati eljárást folytat?
37 E kérdés megválaszolása érdekében először is emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 55. cikkének (1) bekezdése megállapítja, hogy minden egyes felügyeleti hatóság főszabály szerint a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására (2021. június 15‑i Facebook Ireland és társai ítélet, C‑645/19, EU:C:2021:483, 47. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
38 Az e felügyeleti hatóságokra ruházott feladatok között szerepel az e rendelet 51. cikkének (1) bekezdésében és 57. cikke (1) bekezdésének a) pontjában előírt, az általános adatvédelmi rendelet alkalmazásának ellenőrzésére és tiszteletben tartásának biztosítására irányuló, a természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése céljából ellátandó feladat. Ezenkívül az említett rendelet 51. cikke (2) bekezdésének és 57. cikke (1) bekezdése g) pontjának megfelelően az említett felügyeleti hatóságok együttműködnek egymással, ideértve az információcserét és a kölcsönös segítségnyújtást is, e rendelet egységes alkalmazásának és érvényesítésének biztosítása érdekében.
39 E feladatok ellátása céljából az általános adatvédelmi rendelet 58. cikkének (1) bekezdése vizsgálati hatásköröket biztosít az említett felügyeleti hatóságok számára, e cikk (2) bekezdése korrekciós intézkedések elfogadására vonatkozó hatáskört, ugyanezen cikk (5) bekezdése pedig arra vonatkozó hatáskört, hogy e rendelet megsértéséről tájékoztassa az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzen e rendelet rendelkezéseinek érvényre juttatása érdekében.
40 Az általános adatvédelmi rendelet 55. cikkének (1) bekezdésében foglalt joghatósági szabály sérelme nélkül, e rendelet 56. cikkének (1) bekezdése az e rendelet 4. cikkének 23. pontja értelmében vett határokon átnyúló személyesadat‑kezelés tekintetében „egyablakos ügyintézési” mechanizmust ír elő, amely a „fő felügyeleti hatóság” és a többi érintett felügyeleti hatóság közötti hatáskörmegosztáson, valamint a valamennyi fenti hatóság közötti, az említett rendelet 60. cikkében előírt együttműködési eljárással összhangban történő együttműködésen alapul.
41 Egyébiránt az általános adatvédelmi rendelet 61. cikkének (1) bekezdése a felügyelő hatóságokat többek között arra kötelezi, hogy e rendeletnek az Unió egészében történő egységes végrehajtása és alkalmazása érdekében osszák meg egymással a releváns információkat, és kölcsönösen nyújtsanak segítséget egymásnak. A fent említett rendelet 63. cikke pontosítja, hogy e célból írja elő az e rendelet 64. és 65. cikkében létrehozott egységességi mechanizmust (2021. június 15‑i Facebook Ireland és társai ítélet, C‑645/19, EU:C:2021:483, 52. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
42 Mindemellett meg kell jegyezni, hogy az általános adatvédelmi rendeletben előírt együttműködési szabályok címzettjei nem a nemzeti versenyhatóságok, hanem azok az érintett nemzeti felügyeleti hatóságok és a fő felügyeleti hatóság közötti együttműködést, valamint adott esetben e hatóságoknak az Európai Adatvédelmi Testülettel és a Bizottsággal való együttműködését szabályozzák.
43 Ugyanis sem az általános adatvédelmi rendelet, sem más uniós jogi aktus nem ír elő konkrét szabályokat a nemzeti versenyhatóság és az érintett nemzeti felügyeleti hatóságok vagy a fő felügyeleti hatóság közötti együttműködésre vonatkozóan. Ezenkívül e rendelet egyetlen rendelkezése sem tiltja meg a nemzeti versenyhatóságoknak, hogy feladataik ellátása keretében megállapítsák, hogy az erőfölényben lévő vállalkozás által végzett olyan adatkezelés, amely ezen erőfölénnyel való visszaélésnek minősülhet, nem felel meg a fenti rendeletnek.
44 E tekintetben először is pontosítani kell, hogy egyrészt a felügyeleti hatóságok, másrészt a nemzeti versenyhatóságok eltérő feladatköröket látnak el, továbbá saját célokat követnek és feladatokat végeznek.
45 Egyrészt ugyanis, amint az a jelen ítélet 38. pontjában megállapításra került, az általános adatvédelmi rendelet 51. cikkének (1) és (2) bekezdése, valamint 57. cikke (1) bekezdésének a) és g) pontja értelmében a felügyeleti hatóság fő feladata e rendelet alkalmazásának ellenőrzése és érvényesítésének biztosítása, hozzájárulva annak egységes alkalmazásához az Unióban, a természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint az ilyen adatok Unión belüli szabad áramlásának megkönnyítése. E célból, amint arra a jelen ítélet 39. pontja emlékeztet, a felügyeleti hatóság az általános adatvédelmi rendelet 58. cikke alapján ráruházott különböző hatáskörökkel rendelkezik.
46 Másrészt az 1/2003 rendelet 5. cikkének megfelelően a nemzeti versenyhatóságok hatáskörrel rendelkeznek többek között arra, hogy olyan határozatokat hozzanak, amelyek az EUMSZ 102. cikk értelmében vett, valamely vállalkozás által elkövetett erőfölénnyel való visszaélést állapítanak meg, mely utóbbi cikk célja olyan rendszer létrehozása, amely biztosítja, hogy a belső piaci verseny ne torzuljon, az ilyen visszaélés folytán e piac fogyasztóit érintő következményekre is figyelemmel.
47 Amint arra a főtanácsnok az indítványának 23. pontjában lényegében rámutatott, ilyen határozat meghozatala során a versenyhatóságnak az ügy konkrét körülményeinek összessége alapján kell értékelnie, hogy az erőfölényben lévő vállalkozás magatartása azzal a hatással jár‑e, hogy a termékek vagy szolgáltatások rendes versenyét jellemző eszközöktől eltérő eszközökkel korlátozza a piacon létező verseny szintjének fenntartását vagy e verseny fejlődését (lásd ebben az értelemben: 2021. március 25‑i Deutsche Telekom kontra Bizottság ítélet, C‑152/19 P, EU:C:2021:238, 41. és 42. pont). E tekintetben az, hogy az ilyen magatartás megfelel‑e vagy sem az általános adatvédelmi rendelet rendelkezéseinek, adott esetben az ügy releváns körülményei közé tartozó fontos valószínűsítő körülménynek minősülhet annak megállapítása szempontjából, hogy e magatartás a rendes versenyt meghatározó eszközök igénybevételének minősül‑e, valamint annak értékelése céljából, hogy egy bizonyos gyakorlat milyen következményekkel jár a piacra vagy a fogyasztókra nézve.
48 Ebből következik, hogy a valamely vállalkozás által egy meghatározott piacon tanúsított erőfölénnyel való visszaélés vizsgálata keretében az érintett tagállam versenyhatósága számára annak vizsgálata is szükségesnek bizonyulhat, hogy e vállalkozás magatartása megfelel‑e a versenyjog szabályaitól eltérő olyan normáknak, mint az általános adatvédelmi rendeletben előírt, a személyes adatok védelmére vonatkozó szabályok.
49 Márpedig, figyelembe véve egyrészt a versenyjogi szabályok, különösen az EUMSZ 102. cikk, másrészt pedig az általános adatvédelmi rendeletben a személyes adatok védelme területén előírt szabályok által követett eltérő célokat, meg kell állapítani, hogy amennyiben valamely nemzeti versenyhatóság az erőfölénnyel való visszaélés megállapításával összefüggésben e rendelet megsértésére hivatkozik, nem helyettesíti a felügyeleti hatóságokat. Konkrétabban, az ilyen nemzeti versenyhatóság nem ellenőrzi e rendelet alkalmazását, és nem is biztosítja annak érvényesítését az említett rendelet 51. cikkének (1) bekezdésében említett célból, vagyis a természetes személyek alapvető jogainak és szabadságainak az adatkezelés tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében. Ezenkívül az ilyen hatóság azáltal, hogy pusztán az erőfölénnyel való visszaélés megállapítása céljából annak megállapítására szorítkozik, hogy az adatkezelés nem felel meg az általános adatvédelmi rendeletnek, valamint azáltal, hogy a versenyjogból eredő jogalap alapján az e visszaélés megszüntetésére irányuló intézkedéseket ír elő, nem látja el a fent említett rendelet 57. cikkében szereplő egyik feladatot sem, és a fenti rendelet 58. cikke alapján a felügyeleti hatóság számára fenntartott hatáskörökkel sem él.
50 Egyébiránt meg kell állapítani, hogy a személyes adatokhoz való hozzáférés, valamint azok felhasználása a digitális gazdaság keretében kiemelt jelentőséggel bír. Ezt a jelentőséget az alapeljárásban a Facebook közösségi hálózat alapjául szolgáló üzleti modell szemlélteti, amelyet – amint arra a jelen ítélet 27. pontja emlékeztet – a Meta Platforms Ireland által gyűjtött személyes adatokon alapuló felhasználói profilok alapján személyre szabott reklámüzenetek értékesítése révén történő finanszírozás képez.
51 Amint azt különösen a Bizottság hangsúlyozta, a személyes adatokhoz való hozzáférés és ezen adatok kezelésének lehetősége ma már a digitális gazdaságban működő vállalkozások közötti verseny jelentős tényezőjét képezi. Következésképpen a személyes adatok védelmére vonatkozó szabályoknak a versenyhatóságok által – az erőfölénnyel való visszaélés vizsgálata során – figyelembe veendő jogi szabályozásból való kizárása figyelmen kívül hagyná e valós gazdasági jelenséget, és sértené a versenyjog Unión belüli tényleges érvényesülését.
52 Másodszor azonban meg kell állapítani, hogy abban az esetben, ha valamely nemzeti versenyhatóság szükségesnek tartja, hogy az erőfölénnyel való visszaélésre vonatkozó határozat keretében arról döntsön, hogy a szóban forgó vállalkozás által végzett személyesadat‑kezelés megfelel‑e az általános adatvédelmi rendeletnek, vagy sem, e hatóságnak és az érintett felügyeleti hatóságnak vagy adott esetben az e rendelet értelmében vett illetékes fő felügyeleti hatóságnak együtt kell működnie egymással e rendelet egységes alkalmazásának biztosítása érdekében.
53 Ugyanis, noha – amint az a jelen ítélet 42. és 43. pontjában megállapításra került – sem az általános adatvédelmi rendelet, sem más uniós jogi aktus nem ír elő e tekintetben különös szabályokat, ez nem változtat azon, hogy – amint arra a főtanácsnok az indítványának 28. pontjában lényegében rámutatott – az általános adatvédelmi rendelet alkalmazása során valamennyi érintett nemzeti hatóságot köti az EUSZ 4. cikk (3) bekezdésében rögzített lojális együttműködés elve. Ezen elv szerint, az állandó ítélkezési gyakorlatának megfelelően, az uniós joghoz tartozó területeken a tagállamok, a közigazgatási hatóságaikat is beleértve, kötelesek kölcsönösen tiszteletben tartani és segíteni egymást a Szerződésekből eredő feladatok végrehajtásában, megtenni minden megfelelő intézkedést a többek között az uniós intézmények jogi aktusaiból eredő kötelezettségek teljesítésének biztosítása érdekében, valamint tartózkodni minden olyan intézkedéstől, amely veszélyeztetheti az Unió célkitűzéseinek megvalósítását (lásd ebben az értelemben a 2013. november 7‑i UPC Nederland ítélet, C‑518/11, EU:C:2013:709, 59. pont; 2022. augusztus 1‑jei Sea Watch ítélet, C‑14/21 és C‑15/21, EU:C:2022:604, 156. pont).
54 Így ezen elvre figyelemmel, amikor a nemzeti versenyhatóságoknak hatáskörük gyakorlása során meg kell vizsgálniuk, hogy valamely vállalkozás magatartása megfelel‑e az általános adatvédelmi rendelet rendelkezéseinek, konzultálniuk kell és lojálisan együtt kell működniük az érintett nemzeti felügyeleti hatóságokkal vagy a fő felügyeleti hatósággal, és ebben az összefüggésben az említett hatóságok mindegyike köteles tiszteletben tartani egymás jogköreit és hatásköreit, oly módon, hogy tiszteletben tartsák az általános adatvédelmi rendeletből eredő kötelezettségeket és e rendelet célkitűzéseit, valamint biztosítsák azok hatékony érvényesülését.
55 Valamely vállalkozás magatartásának a versenyhatóság általi, az általános adatvédelmi rendelet szabályai alapján történő vizsgálata ugyanis azzal a kockázattal járhat, hogy e hatóság és a felügyeleti hatóságok e rendeletet eltérően értelmezik.
56 Ebből következik, hogy amennyiben valamely vállalkozás EUMSZ 102. cikk értelmében vett erőfölénnyel való visszaélésének megállapítására irányuló vizsgálat keretében a nemzeti versenyhatóság úgy ítéli meg, hogy meg kell vizsgálni e vállalkozás magatartásának az általános adatvédelmi rendelet rendelkezéseivel való összeegyeztethetőségét, az említett hatóságnak ellenőriznie kell, hogy e magatartás vagy hasonló magatartás már tárgyát képezte‑e az illetékes nemzeti felügyeleti hatóság, a fő felügyeleti hatóság vagy akár a Bíróság határozatának. Ha ez az eset áll fenn, a nemzeti versenyhatóság attól nem térhet el, jóllehet szabadon vonhatja belőle a versenyjog alkalmazására vonatkozó következtetéseit.
57 Amennyiben e hatóságnak kétségei vannak az illetékes nemzeti felügyeleti hatóság vagy a fő felügyeleti hatóság által végzett értékelés terjedelmével kapcsolatban, ha a szóban forgó magatartást vagy az ahhoz hasonló magatartást e hatóságok egyidejűleg vizsgálják, vagy ha az említett hatóságok által végzett vizsgálat hiányában úgy ítéli meg, hogy a vállalkozás magatartása nem felel meg az általános adatvédelmi rendelet rendelkezéseinek, a nemzeti versenyhatóságnak konzultálnia kell e hatóságokkal, és együttműködésüket kell kérnie annak érdekében, hogy eloszlassa kétségeit, vagy eldöntse, hogy meg kell‑e várni az érintett felügyeleti hatóság határozatának meghozatalát, mielőtt megkezdené saját értékelésének elvégzését.
58 Ha a felügyeleti hatóság valamely nemzeti versenyhatósághoz fordul, e hatóságnak észszerű határidőn belül válaszolnia kell e tájékoztatásra vagy együttműködésre irányuló megkeresésre, és közölnie kell a rendelkezésére álló olyan információkat, amelyek lehetővé tehetik e hatóság azon kétségeinek eloszlatását, amelyek a felügyeleti hatóság által végzett értékelés terjedelmével kapcsolatosak, vagy adott esetben tájékoztatnia kell a nemzeti versenyhatóságot arról, hogy tervezi‑e az általános adatvédelmi rendelet 60. és azt követő cikkei alapján a többi érintett felügyeleti hatósággal vagy a fő felügyeleti hatósággal való együttműködésre irányuló eljárás megindítását annak megállapítása érdekében, hogy a szóban forgó magatartás megfelel‑e ezen rendeletnek.
59 Amennyiben a megkeresett felügyeleti hatóság észszerű határidőn belül nem válaszol, a nemzeti versenyhatóság folytathatja saját vizsgálatát. Ugyanez vonatkozik arra az esetre is, ha az illetékes nemzeti felügyeleti hatóság és a fő felügyeleti hatóság nem kifogásolja, hogy a versenyhatóság az ilyen vizsgálatot anélkül folytassa le, hogy megvárná az előbbiek döntésének meghozatalát.
60 A jelen ügyben a Bíróság rendelkezésére álló iratokból kitűnik, hogy 2018 októberében és novemberében, vagyis a 2019. február 6-i határozat elfogadását megelőzően a szövetségi versenyhatóság kapcsolatba lépett a Bundesbeauftragte für den Datenschutz und die Informationsfreiheittal (BfDI) (szövetségi adatvédelmi és információszabadság‑ügyi biztos, Németország), a Facebook Deutschland tekintetében illetékes Hamburgische Beauftragte für Datenschutz und Informationsfreiheittal (hamburgi adatvédelmi és információszabadság‑ügyi biztos, Németország) és a Data Protection Commissionnel (DPC) (adatvédelmi hatóság, Írország), hogy tájékoztassa e hatóságokat az eljárásáról. Ezenkívül úgy tűnik, hogy a szövetségi versenyhatóság megerősítést kapott arról, hogy az említett hatóságok ebben az időszakban semmilyen vizsgálatot nem folytattak az alapügyben szóban forgóhoz hasonló tényállással kapcsolatban, és e hatóságok nem emeltek kifogást az eljárása ellen. Végül 2019. február 6‑i határozatának 555. és 556. pontjában a szövetségi versenyhatóság kifejezetten hivatkozott erre az együttműködésre.
61 E körülmények között és a kérdést előterjesztő bíróság által elvégzendő vizsgálatok függvényében úgy tűnik, hogy a szövetségi versenyhatóság teljesítette az érintett nemzeti felügyeleti hatóságokkal, valamint a fő felügyeleti hatósággal való lojális együttműködésre vonatkozó kötelezettségét.
62 A fentiekre tekintettel az első és a hetedik kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 51. és azt követő cikkeit, valamint az EUSZ 4. cikk (3) bekezdését úgy kell értelmezni, hogy a tagállami versenyhatóság – feltéve, hogy tiszteletben tartja a felügyeleti hatóságokkal való lojális együttműködésre vonatkozó kötelezettségét –, valamely vállalkozás EUMSZ 102. cikk értelmében vett erőfölénnyel való visszaélésének vizsgálata keretében megállapíthatja, hogy e vállalkozásnak a személyes adatok kezelésére vonatkozó általános felhasználási feltételei és azok alkalmazása nem felel meg a fenti rendeletnek, amennyiben e megállapítás szükséges az ilyen visszaélés fennállásának bizonyításához.
63 A lojális együttműködés e kötelezettségére tekintettel a nemzeti versenyhatóság nem térhet el az illetékes nemzeti felügyeleti hatóság vagy az illetékes fő felügyeleti hatóság ezen általános feltételekre vagy hasonló általános feltételekre vonatkozó határozatától. Amennyiben a versenyhatóságnak kétségei támadnak az ilyen határozat hatályát illetően, amennyiben az említett feltételeket vagy hasonló feltételeket e hatóságok egyidejűleg vizsgálják, vagy ha az említett hatóságok által végzett vizsgálat vagy az általuk hozott határozat hiányában a versenyhatóság úgy ítéli meg, hogy a szóban forgó feltételek nem felelnek meg az általános adatvédelmi rendeletnek, az utóbbinak konzultálnia kell ezen felügyeleti hatóságokkal, és kérnie kell azok együttműködését annak érdekében, hogy eloszlassa kétségeit, vagy eldöntse, hogy meg kell‑e várnia, hogy a saját értékelésének megkezdése előtt azok határozatot hozzanak. Amennyiben nem emelnek kifogást vagy észszerű határidőn belül nem adnak választ, a nemzeti versenyhatóság folytathatja saját vizsgálatát.
A második kérdésről
64 Második kérdésének a) pontjával a kérdést előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 9. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy abban az esetben, ha az online közösségi hálózat felhasználója az e rendelkezésben említett egy vagy több adatkategóriával kapcsolatos weboldalakat vagy alkalmazásokat nyit meg, és adott esetben feliratkozás vagy online megrendelések során ott adatokat ad meg, az ezen online közösségi hálózat üzemeltetője általi személyesadat‑kezelés, amely abból áll, hogy integrált interfészek, cookie‑k vagy hasonló adatrögzítési technológiák segítségével gyűjtik az e weboldalak és ezen alkalmazások megnyitásából származó adatokat, valamint a felhasználó által bevitt adatokat, továbbá ezen adatok összességének a felhasználó közösségi hálózati fiókjával való összekapcsolásából, valamint az említett adatoknak az említett üzemeltető általi felhasználásából, az említett rendelkezés értelmében vett „személyes adatok különleges kategóriáira vonatkozó adatkezelésnek” kell tekinteni, amely főszabály szerint – az említett 9. cikk (2) bekezdésében foglalt eltérési lehetőségek mellett – tilos.
65 Igenlő válasz esetén a kérdést előterjesztő bíróság a második kérdésének b) pontjával lényegében arra vár választ, hogy az általános adatvédelmi rendelet 9. cikke (2) bekezdésének e) pontját úgy kell‑e értelmezni, hogy amennyiben egy online közösségi hálózat felhasználója olyan weboldalakat vagy alkalmazásokat nyit meg, amelyek kapcsolódnak az általános adatvédelmi rendelet 9. cikkének (1) bekezdésében felsorolt kategóriákhoz, ezen oldalakon vagy alkalmazásokon adatokat ad meg, vagy az azokba integrált kiválasztó gombokra, például a „tetszik” vagy a „megosztás” gombra, vagy pedig azon gombokra kattint, amelyek lehetővé teszik a felhasználó számára, hogy magát ezen oldalakon vagy alkalmazásokban az online közösségi hálózat felhasználói fiókjához kapcsolódó csatlakozási azonosítók, a telefonszáma vagy az e‑mail‑címe használatával azonosítsa, úgy kell tekinteni, hogy az elsőként említett rendelkezés értelmében kifejezetten nyilvánosságra hozta az ezen online közösségi hálózat üzemeltetője által a fentiek kapcsán cookie‑k vagy hasonló rögzítési technológiák útján gyűjtött adatokat
A második kérdés a) részéről
66 Az általános adatvédelmi rendelet (51) preambulumbekezdése kimondja, hogy az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak. E preambulumbekezdés pontosítja, hogy az ilyen adatok nem kezelhetők, kivéve, ha az adatkezelés az említett rendeletben meghatározott egyedi esetekben megengedett.
67 Ebben az összefüggésben az általános adatvédelmi rendelet 9. cikkének (1) bekezdése rögzíti a személyes adatok ott említett különleges kategóriáira vonatkozó adatkezelés tilalmának elvét. Ezek közé tartoznak a faji vagy etnikai származásra, politikai véleményre, vallási meggyőződésre utaló személyes adatok, valamint az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.
68 Az általános adatvédelmi rendelet 9. cikke (1) bekezdésének alkalmazása céljából a személyes adatoknak az online közösségi hálózat üzemeltetője általi kezelése esetén meg kell vizsgálni, hogy ezen adatok utalhatnak‑e az e rendelkezésben említett kategóriák valamelyikébe tartozó információkra, amely információk akár e hálózat valamely felhasználójára, akár bármely más természetes személyre vonatkoznak. Igenlő válasz esetén az ilyen személyesadat‑kezelés – az általános adatvédelmi rendelet 9. cikkének (2) bekezdésében foglalt eltérési lehetőségek mellett – tilos.
69 Amint arra a főtanácsnok az indítványának 40. és 41. pontjában lényegében rámutatott, az általános adatvédelmi rendelet 9. cikkének (1) bekezdésében előírt ezen elvi tilalom független attól, hogy a szóban forgó adatkezelés által feltárt információ helyes‑e, vagy sem, és hogy az adatkezelő az e rendelkezésben említett különleges kategóriák valamelyikébe tartozó információk megszerzése érdekében jár‑e el.
70 Figyelembe véve ugyanis az érintettek alapvető jogait és szabadságait érintő azon jelentős kockázatokat, amelyeket az általános adatvédelmi rendelet 9. cikkének (1) bekezdésében említett kategóriákba tartozó személyes adatok bármilyen kezelése idéz elő, az általános adatvédelmi rendelet célja, hogy ezen adatkezeléseket, azok kinyilvánított céljától függetlenül megtiltsa.
71 A jelen esetben a Meta Platforms Ireland által végzett, az alapügyben szóban forgó adatkezelés mindenekelőtt a Facebook közösségi hálózat felhasználói személyes adatainak annak során történő gyűjtéséből áll, amikor weboldalakat vagy alkalmazásokat nyitnak meg – ideértve azokat az adatokat is, amelyek az általános adatvédelmi rendelet 9. cikkének (1) bekezdésében említett egy vagy több kategóriába tartozó információkra utalhatnak –, és adott esetben ott feliratkozás vagy online megrendelések során információkat visznek be, majd ezen adatoknak e felhasználók közösségi hálózati fiókjával való összekapcsolásából, végül pedig az említett adatok felhasználásából áll.
72 E tekintetben a kérdést előterjesztő bíróság feladata annak meghatározása, hogy az így összegyűjtött adatok önmagukban vagy az érintett felhasználók Facebook‑fiókjával való összekapcsolásuk révén ténylegesen lehetővé teszik‑e az ilyen információk felfedését, függetlenül attól, hogy ezen információk e hálózat valamely felhasználójára vagy bármely más természetes személyre vonatkoznak. Mindazonáltal, figyelembe véve az említett bíróság kérdéseit, pontosítani kell, hogy az általa elvégzendő vizsgálatok függvényében úgy tűnik, hogy a szóban forgó weboldalak vagy alkalmazások megnyitásával kapcsolatos adatok kezelése bizonyos esetekben anélkül is felfedhet ilyen információkat, hogy szükség lenne arra, hogy az említett felhasználók ott feliratkozás vagy online megrendelések esetén információkat adjanak meg.
73 A fentiekre tekintettel a második kérdés a) pontjára azt a választ kell adni, hogy az általános adatvédelmi rendelet 9. cikkének (1) bekezdését úgy kell értelmezni, hogy abban az esetben, ha az online közösségi hálózat felhasználója az e rendelkezésben említett egy vagy több adatkategóriával kapcsolatos weboldalakat vagy alkalmazásokat nyit meg, és adott esetben feliratkozás vagy online megrendelések során ott adatokat ad meg, az ezen online közösségi hálózat üzemeltetője általi személyesadat‑kezelés, amely abból áll, hogy integrált interfészek, cookie‑k vagy hasonló adatrögzítési technológiák segítségével gyűjtik az e weboldalak és ezen alkalmazások megnyitásából származó adatokat, valamint a felhasználó által bevitt adatokat, továbbá ezen adatok összességének a felhasználó közösségi hálózati fiókjával való összekapcsolásából, továbbá az említett adatoknak ezen üzemeltető általi felhasználásából, az említett rendelkezés értelmében vett „személyes adatok különleges kategóriáira vonatkozó adatkezelésnek” kell tekinteni, amely főszabály szerint – az említett 9. cikk (2) bekezdésében foglalt eltérési lehetőségek mellett – tilos, ha ezen adatkezelés az e kategóriák valamelyikébe tartozó információra utalhat, függetlenül attól, hogy ezen információk e hálózat valamely felhasználójára vagy bármely más természetes személyre vonatkoznak.
A második kérdés b) részéről
74 A második kérdésnek a jelen ítélet 65. pontjában átfogalmazott és az általános adatvédelmi rendelet 9. cikke (2) bekezdésének e) pontjában előírt eltéréssel kapcsolatos b) részét illetően emlékeztetni kell arra, hogy e rendelkezés értelmében a személyes adatok különleges kategóriáinak kezelésére vonatkozó, az említett 9. cikk (1) bekezdésében foglalt elvi tilalom nem alkalmazandó abban az esetben, ha az adatkezelés olyan személyes adatokra vonatkozik, amelyeket „az érintett kifejezetten nyilvánosságra hozott”.
75 Előzetesen meg kell állapítani, hogy egyrészt ez az eltérés kizárólag az „érintett” által kifejezetten nyilvánosságra hozott adatokra vonatkozik. Következésképpen az ezen adatokat nyilvánosságra hozó személytől eltérő személyekre vonatkozó adatokra nem alkalmazandó.
76 Másrészt az általános adatvédelmi rendelet 9. cikkének (2) bekezdését, mivel az a személyes adatok különleges kategóriáinak kezelésére vonatkozó, főszabályszerű tilalom alóli kivételt ír elő, megszorítóan kell értelmezni (lásd ebben az értelemben:; 2014. szeptember 17‑i Baltic Agro ítélet, C‑3/13, EU:C:2014:2227, 24. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2019. június 6‑i Weil ítélet, C‑361/18, EU:C:2019:473, 43. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
77 Ebből következik, hogy az általános adatvédelmi rendelet 9. cikke (2) bekezdésének e) pontjában előírt kivétel alkalmazása céljából meg kell vizsgálni, hogy az érintett személy kifejezetten és félreérthetetlenül kifejező cselekedet útján kívánta‑e a nyilvánosság számára hozzáférhetővé tenni a szóban forgó személyes adatokat.
78 E tekintetben, egyrészt az általános adatvédelmi rendelet 9. cikkének (1) bekezdésében említett egy vagy több adatkategóriába tartozó információkkal kapcsolatos weblapok vagy alkalmazások megnyitását illetően meg kell állapítani, hogy azzal az érintett felhasználó egyáltalán nem szándékozik nyilvánosságra hozni azt a tényt, hogy megnyitotta ezen oldalakat vagy alkalmazásokat, valamint az e megtekintésre vonatkozó, a személyéhez kapcsolható adatokat. Ez utóbbi ugyanis legfeljebb arra számíthat, hogy a weblap vagy alkalmazás kezelője hozzáfér ezen adatokhoz, és azokat adott esetben – e felhasználó kifejezett hozzájárulásával – megosztja bizonyos harmadik felekkel, nem pedig a nyilvánossággal.
79 Így önmagában az ilyen weblapok vagy alkalmazások felhasználó általi megtekintéséből nem lehet arra következtetni, hogy az említett személyes adatokat e felhasználó az általános adatvédelmi rendelet 9. cikke (2) bekezdésének e) pontja értelmében kifejezetten nyilvánosságra hozta.
80 Másrészt az adatoknak az említett weboldalakon vagy az említett alkalmazásokban való bevitelében, valamint az e weboldalakba beépített olyan kiválasztási gombokra való kattintásból álló tevékenységeket illetően, mint például a „tetszik” vagy „megosztás” gombok, illetve azon gombok, amelyek lehetővé teszik a felhasználó számára, hogy valamely weboldalon vagy alkalmazásban a Facebook felhasználói fiókjához kapcsolódó csatlakozási azonosítók, telefonszáma vagy e‑mail‑címe használatával azonosítsa magát, meg kell állapítani, hogy e tevékenységek az e felhasználó és a szóban forgó weboldal vagy alkalmazás, és adott esetben az online közösségi hálózat oldala közötti interakciót foglalnak magukban, amely interakció különböző formákban kaphat nyilvánosságot, mivel az említett felhasználó egyéni beállításának tárgyát képezhetik.
81 E körülmények között a kérdést előterjesztő bíróság feladata annak vizsgálata, hogy az érintett felhasználóknak lehetőségük van‑e arra, hogy a tények ismeretében elvégzett beállítások útján úgy döntsenek, hogy a weboldalakon vagy a szóban forgó alkalmazásokban bevitt adatokat, valamint az azokba beépített kiválasztási gombokra való kattintásból származó adatokat a nyilvánosság, vagy éppen ellenkezőleg, többé‑kevésbé korlátozott számú kiválasztott személyek számára teszik hozzáférhetővé.
82 Amennyiben az érintett felhasználók ténylegesen rendelkeznek ilyen választási lehetőséggel, e felhasználók, amikor önkéntesen visznek be adatokat valamely weboldalon vagy egy alkalmazásban, vagy az azokba beépített kiválasztási gombokra kattintanak, csak abban az esetben tekinthetők úgy, mint akik az általános adatvédelmi rendelet 9. cikke (2) bekezdésének e) pontja értelmében véve kifejezetten nyilvánosságra hozzák a rájuk vonatkozó adatokat, ha a tények teljes ismeretében végzett egyéni beállítás alapján egyértelműen kifejezték azon döntésüket, hogy ezeket az adatokat korlátlan számú személy számára hozzáférhetővé teszik, aminek a vizsgálata a kérdést előterjesztő bíróság feladata.
83 Ezzel szemben, ha ilyen egyéni beállítási lehetőséget nem kínálnak fel, a jelen ítélet 77. pontjában kifejtettekre tekintettel meg kell állapítani, hogy amikor a felhasználók önként visznek be adatokat valamely weboldalon vagy valamely alkalmazásban, vagy az utóbbiakba beépített kiválasztó gombokra kattintanak, ahhoz, hogy úgy lehessen tekinteni, hogy ezeket az adatokat kifejezetten nyilvánosságra hozták, az ezen oldal vagy alkalmazás által az ilyen adatbevitelt vagy kattintást megelőzően adott kifejezett tájékoztatás alapján kifejezetten hozzá kell járulniuk ahhoz, hogy az említett adatokat az említett weboldalhoz vagy alkalmazáshoz hozzáféréssel rendelkező bármely személy megtekinthesse.
84 A fentiekre tekintettel a második kérdés b) részére azt a választ kell adni, hogy az általános adatvédelmi rendelet 9. cikke (2) bekezdésének e) pontját úgy kell értelmezni, hogy amennyiben valamely online közösségi hálózat felhasználója olyan weboldalakat vagy alkalmazásokat nyit meg, amelyek az általános adatvédelmi rendelet 9. cikkének (1) bekezdésében említett egy vagy több adatkategóriával kapcsolatos információkra utalhatnak, nem hozza az előbbi rendelkezés értelmében véve kifejezetten nyilvánosságra az e megnyitásra vonatkozó, az ezen online közösségi hálózat üzemeltetője által cookie‑k vagy hasonló adatrögzítési technológiák révén gyűjtött adatokat.
85 Amennyiben ilyen weboldalakon vagy ilyen alkalmazásokban adatokat visz be, vagy ha az e weboldalakba és alkalmazásokba beépített olyan kiválasztási gombokra kattint, mint például a „tetszik”, a „megosztás”, vagy azon gombok, amelyek lehetővé teszik a felhasználó számára, hogy magát ezen oldalakon vagy alkalmazásokban a közösségi hálózat felhasználói fiókjához kapcsolódó csatlakozási azonosítók, a telefonszáma vagy az e‑mail‑címe használatával azonosítsa, az ilyen felhasználó csak abban az esetben hozza e 9. cikk (2) bekezdésének e) pontja értelmében kifejezetten nyilvánosságra az így bevitt vagy az e gombokra való kattintásból származó adatokat, ha előzetesen – adott esetben a tények teljes ismeretében végzett egyéni beállítás alapján – kifejezetten kinyilvánította azon döntését, hogy a rá vonatkozó adatokat korlátlan számú személy számára nyilvánosan hozzáférhetővé teszi.
A harmadik, a negyedik és az ötödik kérdésről
86 Harmadik és negyedik kérdésével, amelyeket célszerű együttesen vizsgálni, a kérdést előterjesztő bíróság lényegében azt kívánja megtudni, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének b) és f) pontját úgy kell‑e értelmezni, és ha igen, milyen feltételek mellett, hogy az online közösségi hálózat üzemeltetője által végzett személyesadat‑kezelés, amely az ilyen hálózat felhasználói azon csoport más szolgáltatásaiból származó adatainak gyűjtésében áll, amelyhez ezen üzemeltető is tartozik, vagy azon adatok gyűjtésében, amelyek harmadik weboldalak vagy alkalmazások e felhasználók általi megnyitásából származnak, valamint ezen adatoknak az említett felhasználók közösségi hálózati fiókjával való összekapcsolásában és az említett adatok felhasználásában áll, úgy tekinthető, mint amely a b) pont értelmében véve olyan szerződés teljesítéséhez szükséges, amelyben az érintettek felek, vagy az f) pont értelmében véve az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges. E bíróság különösen arra keresi a választ, hogy e tekintetben bizonyos, általa kifejezetten említett érdekek az utóbbi rendelkezés értelmében vett „jogos érdeknek” minősülnek‑e.
87 Ötödik kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének c)–e) pontját úgy kell‑e értelmezni, hogy az ilyen személyesadat‑kezelés szükségesnek tekinthető a c) pont értelmében véve az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez, a d) pont értelmében véve az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt vagy az e) pont értelmében véve közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához, amennyiben ezen adatkezelésre egy bizonyos adatokra vonatkozó érvényes megkeresésre történő válaszadás, a káros magatartásokkal szembeni küzdelem és a biztonság elősegítése, illetve a közérdekű kutatás, valamint a biztonság, integritás és védelem elősegítése érdekében kerül sor.
Előzetes észrevételek
88 Előzetesen rá kell mutatni először is, hogy a harmadik, a negyedik és az ötödik kérdés azért került előterjesztésre, mert a szövetségi versenyhatóság 2019. február 6‑i határozatában tett megállapításai szerint nem tekinthető úgy, hogy a Facebook közösségi hálózat felhasználói az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének a) pontja és 9. cikke (2) bekezdésének a) pontja értelmében hozzájárultak az alapügyben szóban forgó adataik kezeléséhez. A kérdést előterjesztő bíróság tehát ebben az összefüggésben úgy véli, hogy – miközben hatodik kérdésével ezzel az előfeltevéssel kapcsolatban kérdést intéz a Bírósághoz – meg kell vizsgálnia, hogy ezen adatkezelés megfelel‑e a fenti rendelet 6. cikke (1) bekezdése első albekezdésének b)–f) pontjában említett többi jogszerűségi feltétel valamelyikének.
89 Ennek keretében meg kell állapítani, hogy a harmadik, a negyedik és az ötödik kérdésben említett, az adatok gyűjtésére, összekapcsolására és felhasználására irányuló műveletek magukban foglalhatják mind az általános adatvédelmi rendelet 9. cikkének (1) bekezdése értelmében vett különleges adatokat, mind pedig a nem különleges adatokat. Márpedig pontosítani kell, hogy abban az esetben, ha a különleges és nem különleges adatokat egyaránt tartalmazó adathalmaz képezi ilyen műveletek tárgyát, és azokat különösen együttesen gyűjtik, anélkül hogy az adatokat ezen adatgyűjtés időpontjában egymástól el lehetne választani, ezen adathalmaz kezelését az általános adatvédelmi rendelet 9. cikkének (1) bekezdése értelmében tiltottnak kell tekinteni, amennyiben az legalább egy érzékeny adatot tartalmaz, és a fenti rendelet 9. cikkének (2) bekezdésében szereplő egyik kivétel sem alkalmazható.
90 Másodszor, a harmadik, a negyedik és az ötödik kérdés megválaszolása érdekében emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének első albekezdése kimerítő és korlátozó jelleggel sorolja fel azokat az eseteket, amelyekben a személyes adatok kezelése jogszerűnek tekinthető. Így ahhoz, hogy az adatkezelést ilyennek lehessen minősíteni, annak az e rendelkezésekben előírt esetek valamelyikébe kell tartoznia (2021. június 22‑i Latvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 99. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
91 E rendelet 6. cikke (1) bekezdése első albekezdésének a) pontja értelmében a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez.
92 Ilyen hozzájárulás hiányában, vagy ha e hozzájárulást nem önkéntesen, konkrétan, megfelelő tájékoztatás alapján és egyértelműen adták meg az általános adatvédelmi rendelet 4. cikkének 11. pontja értelmében, az ilyen adatkezelés mindazonáltal akkor is indokolt, ha megfelel az e rendelet 6. cikke (1) bekezdése első albekezdésének b)–f) pontjában említett szükségességi követelmények valamelyikének.
93 Ebben az összefüggésben az utóbbi rendelkezésben előírt indokokat, amennyiben azok lehetővé teszik, hogy az érintett hozzájárulásának hiányában végzett személyesadat‑kezelést jogszerűnek lehessen tekinteni, megszorítóan kell értelmezni (lásd ebben az értelemben: 2022. február 24‑i Valsts ieņēmumu dienests [Személyes adatok adóügyi célból történő kezelése] ítélet, C‑175/20, EU:C:2022:124, 73. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
94 Ezenkívül, amint azt a Bíróság kimondta, amennyiben megállapítható, hogy valamely személyesadat‑kezelés az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének b)–f) pontjában előírt indokok valamelyikére tekintettel szükséges, nem kell meghatározni, hogy ezt az adatkezelést ezen indokok közül egy másik is indokolja‑e (lásd ebben az értelemben: 2022. augusztus 1‑jei Vyriausioji tarnybinės etikos komisija ítélet, C‑184/20, EU:C:2022:601, 71. pont).
95 Végül rá kell mutatni, hogy az általános adatvédelmi rendelet 5. cikkének megfelelően az adatkezelőre hárul annak bizonyítása, hogy ezeket az adatokat többek között meghatározott, egyértelmű és jogszerű célból gyűjtik, és hogy azok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzik. Ezenkívül e rendelet 13. cikke (1) bekezdése c) pontjának megfelelően, amennyiben a személyes adatokat az érintettől gyűjtik, az adatkezelőnek tájékoztatnia kell az érintettet ezen adatok kezelésének tervezett céljáról és ezen adatkezelés jogalapjáról.
96 Bár a kérdést előterjesztő bíróság feladata annak meghatározása, hogy az alapügyben szóban forgó adatkezelés különböző elemeit az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének b)–f) pontjában említett egyik vagy másik szükséglet igazolja‑e, a Bíróság hasznos iránymutatásokat adhat e bíróság számára annak érdekében, hogy lehetővé tegye számára az előtte folyamatban lévő jogvita eldöntését.
A harmadik és a negyedik kérdésről
97 Ami először is az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének b) pontját illeti, az azt írja elő, hogy a személyes adatok kezelése akkor jogszerű, ha „olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges”.
98 E tekintetben ahhoz, hogy a személyesadat‑kezelést e rendelkezés értelmében a szerződés teljesítéséhez szükségesnek lehessen tekinteni, annak objektíve elengedhetetlennek kell lennie az érintettnek nyújtott szerződéses szolgáltatás szerves részét képező cél megvalósításához. Az adatkezelőnek tehát képesnek kell lennie annak bizonyítására, hogy a szerződés fő célja tárgya miért nem lenne elérhető a szóban forgó adatkezelés nélkül.
99 Az a tény, hogy az ilyen adatkezelést a szerződés említi, vagy az csupán hasznos a szerződés teljesítéséhez, e tekintetben önmagában nem releváns. Az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének b) pontja szerinti igazolás alkalmazása szempontjából ugyanis az a meghatározó tényező, hogy az adatkezelő általi személyesadat‑kezelés alapvető fontosságú legyen az adatkezelő és az érintett között létrejött szerződés megfelelő teljesítéséhez, és hogy ennélfogva ne álljanak rendelkezésre más, a gyakorlatban megvalósítható és kevésbé beavatkozó jellegű megoldások.
100 E tekintetben, amint arra a főtanácsnok az indítványának 54. pontjában rámutatott, amennyiben a szerződés több szolgáltatásból vagy ugyanazon szolgáltatás különböző elemeiből áll, amelyek egymástól függetlenül teljesíthetők, az általános adatvédelmi rendelet 6. cikke (1) bekezdése b) pontjának alkalmazhatóságát minden egyes szolgáltatással összefüggésben külön–külön kell értékelni.
101 A jelen ügyben azon igazolások keretében, amelyek e rendelkezés hatálya alá tartozhatnak, a kérdést előterjesztő bíróság a Meta Platforms Ireland és a felhasználói között létrejött szerződés megfelelő teljesítésének biztosítására irányuló tényezőkként a tartalmak személyre szabására, valamint a Meta‑csoport saját szolgáltatásainak egységes és zökkenőmentes használatára hivatkozik.
102 Ami először is a tartalmak személyre szabására alapított igazolást illeti, meg kell állapítani, hogy bár az ilyen személyre szabás hasznos a felhasználó számára, amennyiben lehetővé teszi számára többek között azt, hogy az érdeklődésének nagymértékben megfelelő tartalmat lásson, ez nem változtat azon, hogy – a kérdést előterjesztő bíróság által elvégzendő vizsgálatra is figyelemmel – a tartalmak személyre szabása nem tűnik szükségesnek ahhoz, hogy e felhasználó számára online közösségi hálózati szolgáltatásokat kínáljanak. E szolgáltatásokat adott esetben olyan egyenértékű alternatíva formájában is lehet nyújtani a számára, amely nem jár ilyen személyre szabással, ezért ez utóbbi nem objektíve elengedhetetlen az ugyanezen szolgáltatások szerves részét képező cél eléréséhez.
103 Ami másodszor a Meta‑csoport szolgáltatásainak egységes és zökkenőmentes használatára alapított igazolást illeti, a Bíróság rendelkezésére álló iratanyagból kitűnik, hogy valamely személy nem köteles a Meta‑csoport által kínált különböző szolgáltatásokat igénybe venni annak érdekében, hogy felhasználói fiókot hozhasson létre a Facebook közösségi hálózaton. Az e csoport által kínált különböző termékek és szolgáltatások ugyanis egymástól függetlenül felhasználhatók, és az egyes termékek vagy szolgáltatások felhasználása külön felhasználási szerződés megkötésén alapul.
104 Ennélfogva – a kérdést előterjesztő bíróság által elvégzendő vizsgálat függvényében – a Meta‑csoport által kínált online közösségi hálózati szolgáltatástól eltérő szolgáltatásokból származó személyes adatok kezelése nem tűnik szükségesnek ez utóbbi szolgáltatás nyújtásának lehetővé tételéhez.
105 Ami másodszor az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének f) pontját illeti, az úgy rendelkezik, hogy a személyes adatok kezelése jogszerű, ha „az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek”.
106 Amint azt a Bíróság már megállapította, e rendelkezés három együttes feltételhez rendeli a személyes adatok általa említett kezelésének jogszerűségét: az első feltétel az adatkezelő vagy az adatokat megkapó harmadik fél vagy felek jogos érdekének érvényesítése, a második feltétel az, hogy a személyes adatok kezelése valamely jogos érdek érvényesítéséhez szükséges, a harmadik pedig, hogy az adatvédelemmel érintett személy alapvető jogai és szabadságai nem magasabb rendűek az adatkezelő vagy a harmadik fél jogos érdekénél (2021. június 17‑i M. I. C. M. ítélet, C‑597/19, EU:C:2021:492, 106. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
107 Ami először is a jogos érdek érvényesítésére vonatkozó feltételt illeti, rá kell mutatni, hogy az általános adatvédelmi rendelet 13. cikke (1) bekezdésének d) pontja értelmében az adatkezelő feladata, hogy az érintettre vonatkozó személyes adatok megszerzésének időpontjában tájékoztassa őt az érvényesíteni kívánt jogos érdekekről, amennyiben ezen adatkezelés e rendelet 6. cikke (1) bekezdése első albekezdésének f) pontján alapul.
108 Másodszor, ami a személyes adatok kezelésének valamely jogos érdek érvényesítéséhez való szükségességére vonatkozó feltételt illeti, az annak vizsgálatára kötelezi a kérdést előterjesztő bíróságot, hogy az adatkezeléshez fűződő, érvényesíteni kívánt jogos érdek észszerűen nem érhető‑e el ugyanilyen hatékonysággal az érintettek alapvető jogait és szabadságait, különösen a Charta 7. és 8. cikkében biztosított, a magánélet tiszteletben tartásához és a személyes adatok védelméhez való jogukat kevésbé veszélyeztető eszközök révén (lásd ebben az értelemben: 2021. június 22‑i Latvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 110. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
109 Ezen összefüggésben szintén emlékeztetni kell arra, hogy az adatkezelés szükségességére vonatkozó feltételt az általános adatvédelmi rendelet 5. cikke (1) bekezdésének c) pontjában foglalt, úgynevezett „adattakarékosság” elvével együttesen kell vizsgálni, amely szerint a személyes adatoknak „az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük, és a szükségesre kell korlátozódniuk” (lásd ebben az értelemben: 2019. december 11‑i Asociația de Proprietari bloc M5A‑ScaraA ítélet, C‑708/18, EU:C:2019:1064, 48. pont).
110 Ami harmadszor azt a feltételt illeti, hogy az adatvédelemmel érintett személy érdekei vagy alapvető jogai és szabadságai ne élvezzenek elsőbbséget az adatkezelő vagy egy harmadik fél jogos érdekével szemben, a Bíróság már kimondta, hogy ez a szóban forgó egymással ellentétes jogok és érdekek súlyozását teszi szükségessé, amely főszabály szerint az adott ügy konkrét körülményeitől függ, és hogy következésképpen a kérdést előterjesztő bíróság feladata, hogy e mérlegelést e sajátos körülmények figyelembevételével elvégezze (2021. június 17‑i M. I. C. M. ítélet, C‑597/19, EU:C:2021:492, 111. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
111 E tekintetben magából az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdése f) pontjának szövegéből kitűnik, hogy az ilyen súlyozás keretében különös figyelmet kell fordítani arra a helyzetre, amikor az érintett gyermek. E rendelet (38) preambulumbekezdése szerint ugyanis a gyermekek személyes adataik kezelése tekintetében különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, annak következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Így az ilyen különleges védelemnek többek között a gyermekekre vonatkozó személyes adatok marketing céljából, személyiség‑ illetve felhasználói profilok létrehozása céljából, vagy pedig közvetlenül a gyermekek számára történő szolgáltatásnyújtás céljából történő feldolgozása esetén kell érvényesülnie.
112 Továbbá, amint az az általános adatvédelmi rendelet (47) preambulumbekezdéséből kitűnik, az érintett érdekei és alapvető jogai különösen akkor élvezhetnek elsőbbséget az adatkezelő érdekével szemben, ha a személyes adatokat olyan körülmények között kezelik, amelyek mellett az érintettek észszerűen nem számítanak ilyen adatkezelésre.
113 A jelen ügyben, azon igazolások keretében, amelyek az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdése f) pontjának hatálya alá tartozhatnak, a kérdést előterjesztő bíróság a hirdetések személyre szabására, a hálózat biztonságára, a termékek fejlesztésére, az illetékes bűnüldöző és büntetés‑végrehajtási szervek tájékoztatására, a felhasználó kiskorúságára, a társadalmi célú kutatásra és innovációra, valamint a hirdetőknek és más szakmai partnereknek szánt, a felhasználó irányában folytatott kereskedelmi kommunikációval kapcsolatos szolgáltatások és a teljesítményük értékelésére szolgáló elemzési eszközök kínálatára hivatkozik.
114 E tekintetben először is meg kell állapítani, hogy az előzetes döntéshozatal iránti kérelem nem tartalmaz olyan magyarázatot, amely lehetővé tenné annak megértését, hogy a társadalmi célú kutatás és innováció, illetve az a tény, hogy a felhasználó kiskorú, az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének f) pontja értelmében vett jogos érdekként mennyiben igazolhatja a szóban forgó adatok gyűjtését és felhasználását. Következésképpen a Bíróság e tekintetben nem tud állást foglalni.
115 Először is a hirdetések személyre szabását illetően meg kell állapítani, hogy e rendelet (47) preambulumbekezdése szerint a személyes adatok közvetlen üzletszerzési célú kezelése úgy tekinthető, hogy az az adatkezelő jogos érdekén alapul.
116 Ugyanakkor az is szükséges, hogy az ilyen adatkezelés szükséges legyen ezen érdek érvényesítéséhez, és az érintett érdekei vagy alapvető jogai és szabadságai ne élvezzenek elsőbbséget ezen érdekkel szemben. A szóban forgó, egymással ellentétes jogok és érdekek – azaz egyrészről az adatkezelő, másrészről pedig az érintett jogainak és érdekeinek – e súlyozása keretében, amint az a jelen ítélet 112. pontjában megállapításra került, figyelembe kell venni többek között az érintett észszerű elvárásait, valamint a szóban forgó adatkezelés terjedelmét és annak az említett személyre gyakorolt hatását.
117 E tekintetben meg kell jegyezni, hogy a Facebookhoz hasonló online közösségi hálózat szolgáltatásainak ingyenessége ellenére annak felhasználója észszerűen nem számíthat arra, hogy a hozzájárulása nélkül e közösségi hálózat üzemeltetője a hirdetések személyre szabása céljából feldolgozza e felhasználó személyes adatait. E körülmények között meg kell állapítani, hogy az ilyen felhasználó érdekei és alapvető jogai elsőbbséget élveznek ezen üzemeltetőnek a tevékenységét finanszírozó hirdetések ilyen személyre szabásához fűződő érdekével szemben, így az általa e célból végzett adatkezelés nem tartozhat az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdése f) pontjának hatálya alá.
118 Egyébiránt az alapügyben szóban forgó adatkezelés különösen széles körű, mivel potenciálisan korlátlan adatokra vonatkozik, és jelentős hatással van a felhasználóra, akinek az online tevékenységeinek nagy részét, sőt szinte egészét a Meta Platforms Ireland nyomon követi, ami e felhasználóban a magánélete folyamatos megfigyelésének érzését keltheti.
119 Másodszor, ami a hálózat biztonságának biztosítására irányuló célt illeti, az – amint azt az általános adatvédelmi rendelet (49) preambulumbekezdése kimondja – a Meta Platforms Ireland olyan jogos érdekének minősül, amely igazolhatja az alapügyben szóban forgó adatkezelést.
120 Mindazonáltal, ami ezen adatkezelésnek a fenti jogos érdek érvényesítéséhez való szükségességét illeti, a kérdést előterjesztő bíróságnak meg kell vizsgálnia, hogy a Facebook közösségi hálózaton kívüli forrásokból gyűjtött személyes adatok kezelése ténylegesen szükséges‑e, és ha igen, milyen mértékben ahhoz, hogy e hálózat belső biztonsága ne kerüljön veszélybe.
121 Ebben az összefüggésben, amint az a jelen ítélet 108. és 109. pontjában megállapításra került, a kérdést előterjesztő bíróságnak azt is meg kell vizsgálnia, hogy egyrészt az adatkezeléshez fűződő jogos érdek észszerűen nem érhető‑e el ugyanolyan hatékonyan más, az érintettek szabadságait és alapvető jogait, különösen a Charta 7. és 8. cikkében biztosított, a magánélet tiszteletben tartásához és a személyes adatok védelméhez való jogot kevésbé sértő eszközökkel, másrészt pedig azt, hogy tiszteletben tartják‑e az általános adatvédelmi rendelet 5. cikke (1) bekezdésének c) pontjában rögzített, úgynevezett „adattakarékosság” elvét.
122 Harmadszor, ami a termék fejlesztésére irányuló célt illeti, nem zárható ki eleve, hogy az adatkezelő azon érdeke, hogy termékét vagy szolgáltatását annak érdekében fejlessze, hogy azt hatékonyabbá és ezáltal vonzóbbá tegye, a személyes adatok kezelésének igazolását lehetővé tévő jogos érdeket képezhet, és hogy az ilyen adatkezelés szükséges lehet ezen érdek érvényesítéséhez.
123 Ugyanakkor az e tekintetben a kérdést előterjesztő bíróság által elvégzendő végső értékelésre is figyelemmel kétségesnek tűnik, hogy az alapügyben szóban forgó adatkezelés kapcsán a termék fejlesztésére irányuló cél – figyelembe véve ezen adatkezelés terjedelmét és annak a felhasználóra gyakorolt jelentős hatását, valamint azt a körülményt, hogy ez utóbbi észszerűen számíthat arra, hogy ezeket az adatokat a Meta Platforms Ireland kezeli – elsőbbséget élvezhet az ilyen felhasználó érdekeivel és alapvető jogaival szemben, különösen abban az esetben, ha e felhasználó gyermek.
124 Negyedszer, ami a kérdést előterjesztő bíróság által hivatkozott, az illetékes bűnüldöző és büntetés‑végrehajtási szerveknek a bűncselekmények megelőzése, felderítése és üldözése érdekében történő tájékoztatásával kapcsolatos célt illeti, meg kell állapítani, hogy e cél főszabály szerint nem minősülhet az adatkezelő által követett, az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének f) pontja értelmében vett jogos érdeknek. A Meta Platforms Irelandhez hasonló magánjogi gazdasági szereplő ugyanis nem hivatkozhat ilyen, a gazdasági és kereskedelmi tevékenységétől idegen jogos érdekre. Ezzel szemben az említett cél akkor igazolhatja az ilyen gazdasági szereplő által végzett adatkezelést, ha az objektív módon szükséges az e gazdasági szereplőt terhelő jogi kötelezettség teljesítéséhez.
125 A fentiek összességére tekintettel a harmadik és a negyedik kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének b) pontját úgy kell értelmezni, hogy az online közösségi hálózat üzemeltetője által végzett személyesadat‑kezelés, amely az ilyen hálózat felhasználói azon csoport más szolgáltatásaiból származó adatainak gyűjtésében áll, amelyhez ezen üzemeltető is tartozik, vagy azon adatok gyűjtésében, amelyek harmadik weboldalak vagy alkalmazások e felhasználók általi megnyitásából származnak, valamint ezen adatoknak az említett felhasználók közösségi hálózati fiókjával való összekapcsolásában és az említett adatok felhasználásában áll, csak azzal a feltétellel tekinthető úgy, mint amely a fenti rendelkezés értelmében véve olyan szerződés teljesítéséhez szükséges, amelynek az érintettek szerződő felei, hogy ezen adatkezelés objektíve elengedhetetlen az ugyanezen felhasználóknak nyújtott szerződéses szolgáltatás szerves részét képező cél megvalósításához, és ezért a szerződés fő célja ezen adatkezelés hiányában nem érhető el.
126 Az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének f) pontját úgy kell értelmezni, hogy az ilyen adatkezelés csak azzal a feltétellel tekinthető e rendelkezés értelmében véve az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükségesnek, hogy az említett üzemeltető jelezte azon felhasználóknak, akiktől az adatokat gyűjtötték, hogy erre az adatkezelésre az adatkezeléshez feltétlenül szükséges határokon belül kerül sor, és hogy az ellentétes érdekeknek az összes releváns körülményre tekintettel történő mérlegeléséből kitűnik, hogy e felhasználók érdekei vagy alapvető jogai és szabadságai nem élveznek elsőbbséget az adatkezelő vagy valamely harmadik fél fent említett jogos érdekével szemben.
Az ötödik kérdésről
127 Először is, mivel e kérdés az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének c) és e) pontjára vonatkozik, emlékeztetni kell arra, hogy e c) pont értelmében a személyes adatok kezelése akkor jogszerű, ha az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. Ezenkívül e pont szerint szintén jogszerű az az adatkezelés, amely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.
128 Az általános adatvédelmi rendelet 6. cikkének (3) bekezdése a jogszerű adatkezelés e két esete vonatkozásában többek között pontosítja, hogy az adatkezelésnek az adatkezelőre alkalmazandó uniós vagy tagállami jogon kell alapulnia, továbbá ezen jogalapnak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.
129 A jelen ügyben a kérdést előterjesztő bíróság arra keresi a választ, hogy az olyan személyesadat‑kezelés, mint amelyről az alapügyben szó van, igazoltnak tekinthető‑e az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének c) pontjára tekintettel, amennyiben az „egy bizonyos adatokra vonatkozó érvényes megkeresésre történő válaszadásra” irányul, és e rendelet 6. cikke (1) bekezdése első albekezdésének e) pontjára tekintettel, amennyiben annak célja „közérdekű kutatás” és „a biztonság, integritás és védelem elősegítése”.
130 Meg kell azonban állapítani, hogy e bíróság nem adta meg a Bíróság számára azon információkat, amelyek lehetővé tennék a számára, hogy e tekintetben konkrétan állást foglaljon.
131 Az említett bíróság feladata tehát, hogy a jelen ítélet 128. pontjában említett feltételekre tekintettel megvizsgálja, hogy az említett adatkezelés úgy tekinthető‑e, mint amelyet az előadott célok igazolnak.
132 Közelebbről, a jelen ítélet 124. pontjában megállapítottakra figyelemmel a kérdést előterjesztő bíróságnak kell az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdése c) pontjának alkalmazása céljából megvizsgálnia, hogy a Meta Platforms Irelandet terheli‑e a személyes adatok megelőző jelleggel történő gyűjtésére és megőrzésére vonatkozó, annak érdekében fennálló jogi kötelezettség, hogy eleget tudjon tenni a nemzeti hatóságoktól érkező, a felhasználóira vonatkozó bizonyos adatok megszerzésére irányuló bármely megkeresésnek.
133 Hasonlóképpen az említett bíróság feladata, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének e) pontjára tekintettel értékelje, hogy a Meta Platforms Irelandet közérdekből végzett feladat végrehajtásával vagy közhatalmi jogosítvány gyakorlásával bízták‑e meg, különösen közérdekű kutatás, valamint a biztonság, integritás és védelem elősegítése érdekében, azzal hogy tevékenységének típusára és alapvetően gazdasági és kereskedelmi jellegére tekintettel kevéssé tűnik valószínűnek, hogy e magán gazdasági szereplőt ilyen feladattal bízzák meg.
134 Ezenkívül a kérdést előterjesztő bíróságnak adott esetben meg kell vizsgálnia, hogy a Meta Platforms Ireland által végzett adatkezelés terjedelmére és annak a Facebook közösségi hálózat felhasználóira gyakorolt jelentős hatására tekintettel erre az adatkezelésre a feltétlenül szükséges határokon belül kerül‑e sor.
135 Ami másodszor az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének d) pontját illeti, e rendelkezés előírja, hogy a személyes adatok kezelése akkor jogszerű, ha az az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.
136 Amint az e rendelet (46) preambulumbekezdéséből kitűnik, e rendelkezés arra a különleges helyzetre vonatkozik, amikor a személyes adatok kezelése az érintett vagy más fent említett természetes személy élete szempontjából alapvető jelentőségű érdek védelmében történik. E tekintetben a fenti preambulumbekezdés példaként hivatkozik a humanitárius célokra, mint például a járványok és azok terjedésének nyomon követésére, valamint a humanitárius vészhelyzetekre, mint például a természeti és ember által okozott katasztrófahelyzetekre.
137 E példákból, valamint az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdése d) pontjának megszorító értelmezéséből kitűnik, hogy az online közösségi hálózat üzemeltetője által nyújtott szolgáltatások jellegére tekintettel az ilyen üzemeltető, amelynek tevékenysége alapvetően gazdasági és kereskedelmi jellegű, nem hivatkozhat a felhasználói vagy más személyek életéhez fűződő alapvető érdek védelmére annak érdekében, hogy abszolút jelleggel és tisztán elvont és megelőző jelleggel igazolja az alapügyben szereplőhöz hasonló adatkezelés jogszerűségét.
138 A fentiekre tekintettel az ötödik kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének c) pontját úgy kell értelmezni, hogy az online közösségi hálózat üzemeltetője által végzett személyesadat‑kezelés, amely az ilyen hálózat felhasználói azon csoport más szolgáltatásaiból származó adatainak gyűjtésében áll, amelyhez ezen üzemeltető is tartozik, vagy azon adatok gyűjtésében, amelyek harmadik weboldalak vagy alkalmazások e felhasználók általi megnyitásából származnak, valamint ezen adatoknak az említett felhasználók közösségi hálózati fiókjával való összekapcsolásában és az említett adatok felhasználásában áll, e rendelkezés értelmében akkor igazolt, ha az ténylegesen az uniós jog vagy az érintett tagállam joga alapján az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges, e jogalap közérdekű célt szolgál, és arányos az elérni kívánt jogszerű céllal, valamint ezen adatkezelésre a feltétlenül szükséges határokon belül kerül sor.
139 Az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének d) és e) pontját úgy kell értelmezni, hogy a személyes adatok ilyen kezelése – főszabály szerint és a kérdést előterjesztő bíróság által elvégzendő vizsgálatra is figyelemmel – nem tekinthető szükségesnek a d) pont értelmében véve az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt, illetve az e) pont értelmében véve közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához.
A hatodik kérdésről
140 Hatodik kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének a) pontját és 9. cikke (2) bekezdésének a) pontját úgy kell‑e értelmezni, hogy az online közösségi hálózat felhasználója által az ilyen hálózat üzemeltetőjének adott hozzájárulás úgy tekinthető, mint amely megfelel az e rendelet 4. cikkének 11. pontjában előírt érvényességi feltételeknek, és különösen azon feltételnek, amely szerint e hozzájárulást önkéntesen kell megadni, amennyiben ezen üzemeltető erőfölényben van az online közösségi hálózatok piacán.
141 Az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének a) pontja és 9. cikke (2) bekezdésének a) pontja megköveteli az érintett hozzájárulását személyes adatainak egy vagy több konkrét célból történő kezelése, illetve az e 9. cikk (1) bekezdésében említett különleges adatkategóriák kezelése céljából.
142 A 4. cikk 11. pontja értelmében az „érintett hozzájárulása” „az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez”.
143 A kérdést előterjesztő bíróság kérdéseire tekintettel először is emlékeztetni kell arra, hogy az általános adatvédelmi rendelet (42) preambulumbekezdésének megfelelően hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.
144 Másodszor, e rendelet (43) preambulumbekezdése kimondja, hogy annak biztosítása érdekében, hogy hozzájárulást önkéntesen adták, a hozzájárulás olyan egyedi esetekben nem szolgálhat érvényes jogalapként a személyes adatok kezeléséhez, amelyekben az érintett és az adatkezelő között egyértelműen egyenlőtlen viszony áll fenn. Ez a preambulumbekezdés azt is egyértelművé teszi, hogy vélelmezni kell, hogy a hozzájárulást nem önkéntesen adták meg, ha nem tesz lehetővé külön‑külön hozzájárulást a különböző személyes adatkezelési műveletekhez, noha az adott esetben megfelelő.
145 Harmadszor, az általános adatvédelmi rendelet 7. cikkének (4) bekezdése úgy rendelkezik, hogy annak megállapítása során, hogy a hozzájárulás önkéntes‑e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták‑e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek e szerződés teljesítéséhez.
146 A hatodik kérdést e megfontolások alapján kell megválaszolni.
147 E tekintetben meg kell állapítani, hogy kétségtelen, hogy az a körülmény, hogy az online közösségi hálózat üzemeltetője adatkezelőként erőfölényben van a közösségi hálózatok piacán, önmagában nem zárja ki, hogy e közösségi hálózat felhasználói az általános adatvédelmi rendelet 4. cikkének 11. pontja értelmében érvényesen hozzájárulhassanak személyes adataik ezen üzemeltető általi kezeléséhez.
148 Ugyanakkor, amint arra a főtanácsnok az indítványának 75. pontjában lényegében rámutatott, az ilyen körülményt figyelembe kell venni az említett hálózat használója által adott hozzájárulás érvényességének és különösen önkéntes jellegének értékelése során, mivel az érintheti e felhasználó választási szabadságát, akinek esetleg nem áll módjában a hozzájárulást anélkül megtagadni vagy visszavonni, hogy ez kárára válna, amint arra az általános adatvédelmi rendelet (42) preambulumbekezdése utal.
149 Ezenkívül az ilyen erőfölény fennállása az érintett és az adatkezelő közötti, az általános adatvédelmi rendelet (43) preambulumbekezdése értelmében vett egyértelműen egyenlőtlen viszonyt idézhet elő, amely többek között olyan feltételek előírásához vezet, amelyek nem feltétlenül szükségesek a szerződés teljesítéséhez, amit e rendelet 7. cikke (4) bekezdésének megfelelően figyelembe kell venni. Ebben az összefüggésben emlékeztetni kell arra, hogy amint az a jelen ítélet 102–104. pontjában megállapításra került – a kérdést előterjesztő bíróság által elvégzendő vizsgálatra is figyelemmel –, nem tűnik úgy, hogy az alapügyben szóban forgó adatkezelés feltétlenül szükséges a Meta Platforms Ireland és a Facebook közösségi hálózat felhasználói közötti szerződés teljesítéséhez.
150 Így e felhasználóknak jogosultnak kell lenniük arra, hogy a szerződéskötési folyamat keretében egyedileg megtagadják a szerződés teljesítéséhez nem szükséges konkrét adatkezelési műveletekhez való hozzájárulásukat, anélkül azonban, hogy kötelesek lennének teljes egészében lemondani az online közösségi hálózat üzemeltetője által kínált szolgáltatás igénybevételéről, ami azt jelenti, hogy az említett felhasználónak – adott esetben megfelelő díjazás ellenében – olyan egyenértékű alternatívát ajánlanak fel, amelyhez nem kapcsolódnak ilyen adatkezelési műveletek.
151 Ezenfelül, figyelembe véve a szóban forgó adatok kezelésének terjedelmét és annak az e hálózat felhasználóira gyakorolt jelentős hatását, valamint azt a körülményt, hogy e felhasználók észszerűen számíthatnak arra, hogy e hálózat üzemeltetője a közösségi hálózaton belüli magatartásukra vonatkozó adatoktól eltérő adatokat kezel, úgy kell tekinteni, hogy e (43) preambulumbekezdés értelmében az a megfelelő, ha egyrészt ez utóbbi adatok, másrészt pedig az off Facebook‑adatok kezeléséhez külön hozzájárulást lehet adni. A kérdést előterjesztő bíróság feladata annak vizsgálata, hogy fennáll‑e ilyen lehetőség, amelynek hiányában vélelmezni kell, hogy az említett felhasználók nem önkéntesen adták meg az off Facebook‑adatok kezeléséhez való hozzájárulásukat.
152 Végül emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 7. cikkének (1) bekezdése értelmében abban az esetben, ha az adatkezelés hozzájáruláson alapul, az adatkezelőre hárul annak bizonyítása, hogy az érintett hozzájárulását adta a rá vonatkozó személyes adatok kezeléséhez.
153 A kérdést előterjesztő bíróságnak e kritériumok és az ügy valamennyi körülményének részletes vizsgálata alapján kell eldöntenie, hogy a Facebook közösségi hálózat felhasználói érvényesen, és különösen önkéntesen járultak‑e hozzá az alapügyben szóban forgó adatkezeléshez.
154 A fentiekre tekintettel a hatodik kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének a) pontját és 9. cikke (2) bekezdésének a) pontját úgy kell értelmezni, hogy az a körülmény, hogy az online közösségi hálózat üzemeltetője erőfölényben van az online közösségi hálózatok piacán, önmagában nem zárja ki, hogy az ilyen hálózat felhasználói a fenti rendelet 4. cikke 11. pontjának értelmében véve érvényesen hozzájárulhassanak a személyes adataik ezen üzemeltető általi kezeléséhez. E körülmény azonban fontos tényezőnek minősül annak meghatározása szempontjából, hogy a hozzájárulást ténylegesen érvényesen, és különösen önkéntesen adták‑e meg, amit az említett üzemeltetőnek kell bizonyítania.
A költségekről
155 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott:
1) A természetes személyeknek a személyes adatok kezelése vonatkozásában történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 51. és azt követő cikkeit, valamint az EUSZ 4. cikk (3) bekezdését
a következőképpen kell értelmezni:
a tagállami versenyhatóság – feltéve, hogy tiszteletben tartja a felügyeleti hatóságokkal való lojális együttműködésre vonatkozó kötelezettségét – valamely vállalkozás EUMSZ 102. cikk értelmében vett erőfölénnyel való visszaélésének vizsgálata keretében megállapíthatja, hogy e vállalkozásnak a személyes adatok kezelésére vonatkozó általános felhasználási feltételei és azok alkalmazása nem felel meg a fenti rendeletnek, amennyiben e megállapítás szükséges az ilyen visszaélés fennállásának bizonyításához.
A lojális együttműködés e kötelezettségére tekintettel a nemzeti versenyhatóság nem térhet el az illetékes nemzeti felügyeleti hatóság vagy az illetékes fő felügyeleti hatóság ezen általános feltételekre vagy hasonló általános feltételekre vonatkozó határozatától. Amennyiben a versenyhatóságnak kétségei támadnak az ilyen határozat hatályát illetően, amennyiben az említett feltételeket vagy hasonló feltételeket e hatóságok egyidejűleg vizsgálják, vagy ha az említett hatóságok által végzett vizsgálat vagy az általuk hozott határozat hiányában a versenyhatóság úgy ítéli meg, hogy a szóban forgó feltételek nem felelnek meg a 2016/679 rendeletnek, az utóbbinak konzultálnia kell ezen felügyeleti hatóságokkal, és kérnie kell azok együttműködését annak érdekében, hogy eloszlassa kétségeit, vagy eldöntse, hogy meg kell‑e várnia, hogy a saját értékelésének megkezdése előtt azok határozatot hozzanak. Amennyiben nem emelnek kifogást vagy észszerű határidőn belül nem adnak választ, a nemzeti versenyhatóság folytathatja saját vizsgálatát.
2) A 2016/679 rendelet 9. cikkének (1) bekezdését
a következőképpen kell értelmezni:
abban az esetben, ha az online közösségi hálózat felhasználója az e rendelkezésben említett egy vagy több adatkategóriával kapcsolatos weboldalakat vagy alkalmazásokat nyit meg, és adott esetben feliratkozás vagy online megrendelések során ott adatokat ad meg, az ezen online közösségi hálózat üzemeltetője általi személyesadat‑kezelés, amely abból áll, hogy integrált interfészek, cookie‑k vagy hasonló adatrögzítési technológiák segítségével gyűjtik az e weboldalak és ezen alkalmazások megnyitásából származó adatokat, valamint a felhasználó által bevitt adatokat, továbbá ezen adatok összességének a felhasználó közösségi hálózati fiókjával való összekapcsolásából, továbbá az említett adatoknak ezen üzemeltető általi felhasználásából, az említett rendelkezés értelmében vett „személyes adatok különleges kategóriáira vonatkozó adatkezelésnek” kell tekinteni, amely főszabály szerint – az említett 9. cikk (2) bekezdésében foglalt eltérési lehetőségek mellett – tilos, ha ezen adatkezelés az e kategóriák valamelyikébe tartozó információra utalhat, függetlenül attól, hogy ezen információk e hálózat valamely felhasználójára vagy bármely más természetes személyre vonatkoznak.
3) A 2016/679 rendelet 9. cikke (2) bekezdésének e) pontját
a következőképpen kell értelmezni:
amennyiben valamely online közösségi hálózat felhasználója olyan weboldalakat vagy alkalmazásokat nyit meg, amelyek az e rendelet 9. cikkének (1) bekezdésében említett egy vagy több adatkategóriával kapcsolatos információkra utalhatnak, nem hozza az előbbi rendelkezés értelmében véve kifejezetten nyilvánosságra az e megnyitásra vonatkozó, az ezen online közösségi hálózat üzemeltetője által cookie‑k vagy hasonló adatrögzítési technológiák révén gyűjtött adatokat.
Amennyiben ilyen weboldalakon vagy ilyen alkalmazásokban adatokat visz be, vagy ha az e weboldalakba és alkalmazásokba beépített olyan kiválasztási gombokra kattint mint például a „tetszik”, a „megosztás”, vagy azon gombok, amelyek lehetővé teszik a felhasználó számára, hogy magát ezen oldalakon vagy alkalmazásokban a közösségi hálózat felhasználói fiókjához kapcsolódó csatlakozási azonosítók, a telefonszáma vagy az e‑mail‑címe használatával azonosítsa, az ilyen felhasználó csak abban az esetben hozza e 9. cikk (2) bekezdésének e) pontja értelmében kifejezetten nyilvánosságra az így bevitt vagy az e gombokra való kattintásból származó adatokat, ha előzetesen – adott esetben a tények teljes ismeretében végzett egyéni beállítás alapján – kifejezetten kinyilvánította azon döntését, hogy a rá vonatkozó adatokat korlátlan számú személy számára nyilvánosan hozzáférhetővé teszi.
4) A 2016/679 rendelet 6. cikke (1) bekezdése első albekezdésének b) pontját
a következőképpen kell értelmezni:
az online közösségi hálózat üzemeltetője által végzett személyesadat‑kezelés, amely az ilyen hálózat felhasználói azon csoport más szolgáltatásaiból származó adatainak gyűjtésében áll, amelyhez ezen üzemeltető is tartozik, vagy azon adatok gyűjtésében, amelyek harmadik weboldalak vagy alkalmazások e felhasználók általi megnyitásából származnak, valamint ezen adatoknak az említett felhasználók közösségi hálózati fiókjával való összekapcsolásában és az említett adatok felhasználásában áll, csak azzal a feltétellel tekinthető úgy, mint amely a fenti rendelkezés értelmében véve olyan szerződés teljesítéséhez szükséges, amelynek az érintettek szerződő felei, hogy ezen adatkezelés objektíve elengedhetetlen az ugyanezen felhasználóknak nyújtott szerződéses szolgáltatás szerves részét képező cél megvalósításához, és ezért a szerződés fő célja ezen adatkezelés hiányában nem érhető el.
5) A 2016/679 rendelet 6. cikke (1) bekezdése első albekezdésének f) pontját
a következőképpen kell értelmezni:
az online közösségi hálózat üzemeltetője által végzett személyesadat‑kezelés, amely az ilyen hálózat felhasználói azon csoport más szolgáltatásaiból származó adatainak gyűjtésében áll, amelyhez ezen üzemeltető is tartozik, vagy azon adatok gyűjtésében, amelyek harmadik weboldalak vagy alkalmazások e felhasználók általi megnyitásából származnak, valamint ezen adatoknak az említett felhasználók közösségi hálózati fiókjával való összekapcsolásában és az említett adatok felhasználásában áll, csak azzal a feltétellel tekinthető e rendelkezés értelmében véve az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükségesnek, hogy az említett üzemeltető jelezte azon felhasználóknak, akiktől az adatokat gyűjtötték, hogy erre az adatkezelésre az adatkezeléshez feltétlenül szükséges határokon belül kerül sor, és hogy az ellentétes érdekeknek az összes releváns körülményre tekintettel történő mérlegeléséből kitűnik, hogy e felhasználók érdekei vagy alapvető jogai és szabadságai nem élveznek elsőbbséget az adatkezelő vagy valamely harmadik fél fent említett jogos érdekével szemben.
6) A 2016/679 irányelv 6. cikke (1) bekezdésének c) pontját
a következőképpen kell értelmezni:
az online közösségi hálózat üzemeltetője által végzett személyesadat‑kezelés, amely az ilyen hálózat felhasználói azon csoport más szolgáltatásaiból származó adatainak gyűjtésében áll, amelyhez ezen üzemeltető is tartozik, vagy azon adatok gyűjtésében, amelyek harmadik weboldalak vagy alkalmazások e felhasználók általi megnyitásából származnak, valamint ezen adatoknak az említett felhasználók közösségi hálózati fiókjával való összekapcsolásában és az említett adatok felhasználásában áll, e rendelkezés értelmében akkor igazolt, ha az ténylegesen az uniós jog vagy az érintett tagállam joga alapján az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges, e jogalap közérdekű célt szolgál, és arányos az elérni kívánt jogszerű céllal, valamint ezen adatkezelésre a feltétlenül szükséges határokon belül kerül sor.
7) A 2016/679 irányelv 6. cikke (1) bekezdése első albekezdésének d) és e) pontját
a következőképpen kell értelmezni:
az online közösségi hálózat üzemeltetője által végzett személyesadat‑kezelés, amely az ilyen hálózat felhasználói azon csoport más szolgáltatásaiból származó adatainak gyűjtésében áll, amelyhez ezen üzemeltető is tartozik, vagy azon adatok gyűjtésében, amelyek harmadik weboldalak vagy alkalmazások e felhasználók általi megnyitásából származnak, valamint ezen adatoknak az említett felhasználók közösségi hálózati fiókjával való összekapcsolásában és az említett adatok felhasználásában áll, – főszabály szerint és a kérdést előterjesztő bíróság által elvégzendő vizsgálatra is figyelemmel – nem tekinthető szükségesnek a d) pont értelmében véve az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt, illetve az e) pont értelmében véve közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához.
8) A 2016/679 rendelet 6. cikke (1) bekezdésének a) pontját és 9. cikke (2) bekezdésének a) pontját
a következőképpen kell értelmezni:
azon körülmény, hogy valamely online közösségi hálózat üzemeltetője erőfölényben van az online közösségi hálózatok piacán, önmagában nem zárja ki, hogy az ilyen hálózat felhasználói a fenti rendelet 4. cikke 11. pontjának értelmében véve érvényesen hozzájárulhassanak a személyes adataik ezen üzemeltető általi kezeléséhez. E körülmény azonban fontos tényezőnek minősül annak meghatározása szempontjából, hogy a hozzájárulást ténylegesen érvényesen, és különösen önkéntesen adták‑e meg, amit az említett üzemeltetőnek kell bizonyítania.
Aláírások