Language of document : ECLI:EU:C:2021:979

JEAN RICHARD DE LA TOUR

FŐTANÁCSNOK INDÍTVÁNYA

Az ismertetés napja: 2021. december 2.(1)

C319/20. sz. ügy

Facebook Ireland Limited

kontra

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

(a Bundesgerichtshof [szövetségi legfelsőbb bíróság, Németország] által benyújtott előzetes döntéshozatal iránti kérelem)

„Előzetes döntéshozatal – A természetes személyeknek a személyes adatok kezelése tekintetében történő védelme – (EU) 2016/679 rendelet – A 80. cikk (2) bekezdése – A hatékony bírósági jogorvoslathoz való jog – Az érintettek nonprofit jellegű egyesület általi képviselete – A fogyasztói érdekvédelmi egyesületeket megillető kereshetőségi jog”






I.      Bevezetés

1.        A digitális gazdaság fellendülése által fémjelzett modern gazdaságban a személyes adatok kezelése a természetes személyeket nemcsak az (EU) 2016/679 rendelet(2) által biztosított jogok kedvezményezettjeiként, hanem fogyasztói minőségükben is érintheti.

2.        E minőség következtében a fogyasztói érdekvédelmi egyesületek egyre gyakrabban indítanak keresetet annak érdekében, hogy egyes adatkezelőket magatartásaik abbahagyására kötelezzenek, amennyiben azok sértik mind az említett rendelet, mind pedig a különösen a fogyasztók védelméről és a tisztességtelen kereskedelmi gyakorlatokkal szembeni küzdelemről szóló uniós és nemzeti jogszabályból eredő szabályok által védett jogokat.

3.        A jelen előzetes döntéshozatal iránti kérelmet a Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (fogyasztói központok és szervezetek országos szövetsége – országos fogyasztói központ szövetség bejegyzett egyesület, a továbbiakban: országos szövetség) által az Írországban székhellyel rendelkező Facebook Ireland Limited ellen indított eljárás keretében terjesztették elő. Az országos szövetség azt kifogásolja, hogy e társaság megsértette a személyes adatok védelméről szóló német jogszabályt, és ezzel egyszerre tisztességtelen kereskedelmi gyakorlatot valósított meg, megsértett egy fogyasztóvédelmi törvényt, valamint megszegte az érvénytelen általános szerződési feltételek használatának tilalmát.

4.        E kérelem lényegében arra kéri a Bíróságot, hogy értelmezze a 2016/679 rendelet 80. cikkének (2) bekezdését annak megállapítása érdekében, hogy e rendelkezéssel ellentétes‑e, hogy a fogyasztói érdekvédelmi egyesületek e rendelet hatálybalépését követően megőrizzék a nemzeti jog alapján őket megillető kereshetőségi jogukat, annak érdekében, hogy az e rendeletből származó jogokat, valamint a fogyasztóvédelmi és a tisztességtelen kereskedelmi gyakorlat elleni küzdelemről szóló jogszabályokat egyszerre sértő magatartások abbahagyását követeljék. Mivel e keresetindítási jogot a Bíróság a 95/46/EK rendelettel(3) összeegyeztethetőnek nyilvánította(4) a Bíróságnak azt kell megállapítania, hogy a 2016/679 rendelet módosította‑e ezen kérdés jogi megközelítését.

II.    Jogi háttér

A.      A 2016/679 rendelet

5.        A 2016/679 rendeletnek „Az érintettek képviselete” címet viselő 80. cikke a következőképpen szól(5):

„(1)      Az érintett jogosult arra, hogy panaszának a nevében történő benyújtásával, a 77., 78. és 79. cikkben említett jogoknak a nevében való gyakorlásával, valamint – ha a tagállam joga ezt lehetővé teszi – a 82. cikkben említett kártérítési jognak a nevében történő érvényesítésével olyan nonprofit jellegű szervet, szervezetet vagy egyesületet bízzon meg, amelyet valamely tagállam jogának megfelelően hoztak létre, és amelynek az alapszabályában rögzített céljai a közérdeket szolgálják, és amely az érintettek jogainak és szabadságainak a személyes adataik vonatkozásában biztosított védelme területén tevékenykedik.

(2)      A tagállamok rendelkezhetnek úgy, hogy az adott tagállamban az e cikk (1) bekezdésében említett bármely szerv, szervezet vagy egyesület – az érintettől kapott megbízástól függetlenül – jogosult legyen arra, hogy a 77. cikk alapján eljárni jogosult felügyeleti hatósághoz panaszt nyújtson be, valamint hogy gyakorolja a 78. és 79. cikkben említett jogokat, ha megítélése szerint az érintett személyes adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait.”

B.      A nemzeti jog

6.        A 2004. július 3‑i Gesetz gegen den unlauteren Wettbewerb (a tisztességtelen verseny tilalmáról szóló törvény)(6) alapügyben alkalmazandó változata 3. §‑ának (1) bekezdése a következőket mondja ki:

„A tisztességtelen kereskedelmi gyakorlatok alkalmazása jogellenes.”

7.        Az UWG 3a. §‑ának szövege a következő:

„Tisztességtelenül jár el, aki a piaci magatartás gazdasági szereplők érdekében történő szabályozására is irányuló valamely jogszabályt megsért, ha a jogsértés alkalmas arra, hogy érzékelhetően csorbítsa a fogyasztók, a piac egyéb résztvevői vagy a versenytársak érdekeit.”

8.        Az UWG 8. §‑ának (1) és (3) bekezdése a következőképpen rendelkezik:

„(1)      Azzal szemben, aki a 3. § vagy 7. § értelmében tiltott kereskedelmi tevékenységet végez, e tevékenység azonnali megszüntetésére kötelezés (abbahagyás) iránti, ismétlődő jogsértés veszélye esetén pedig tartózkodásra kötelezés (eltiltás) iránti kérelemmel lehet fellépni. A tartózkodásra kötelezés (eltiltás) iránti kérelem már akkor is előterjeszthető, ha a 3. § vagy a 7. § ilyen megsértésének veszélye felmerül.

[…]

(3)      Az (1) bekezdésben említett intézkedések elrendelését kérelmezheti:

[…]

3.      azon feljogosított szervezet, amely bizonyítja, hogy szerepel a feljogosított szervezeteknek [a Gesetz über Unterlassungsklagen bei Verbraucherrechts‑ und anderen Verstößen (a fogyasztóvédelmi és más jogsértés megszüntetése iránti keresetekről szóló, 2001. november 26‑i törvény alapügyben alkalmazandó változata)(7)] 4. §‑a szerinti listáján, vagy a 2009. április 23‑i, a fogyasztói érdekek védelme érdekében a jogsértés megszüntetésére irányuló eljárásokról szóló, 2009/22 európai parlamenti és tanácsi irányelv[(8)] 4. cikkének (3) bekezdése szerinti bizottsági jegyzékben;

[…]”

9.        Az UKlaG 2. §‑a a következőket írja elő:

„(1)      A fogyasztók védelme érdekében tartózkodásra kötelezés és a tevékenység azonnali megszüntetésére kötelezés iránti kereset indítható azzal szemben, aki a fogyasztók védelmét célzó rendelkezéseket (fogyasztóvédelemről szóló törvények) – az általános szerződési feltételek alkalmazásától vagy az azokra vonatkozó ajánlástól eltérő esetekben – megsérti […]

(2)      E rendelkezés alkalmazásában fogyasztóvédelemről szóló törvénynek minősülnek különösen a következők:

[…]

11.      a jogszerűséget szabályozó rendelkezések az alábbiak tekintetében

a)      a fogyasztó személyes adatainak vállalkozó általi gyűjtése vagy

b)      a fogyasztóról gyűjtött személyes adatok vállalkozó általi kezelése vagy felhasználása,

ha az adatokat marketingcélra, piac– és közvéleménykutatás, tudakozó működtetése, személyi és felhasználói profil létrehozása, egyéb adatforgalmazás vagy hasonló kereskedelmi cél érdekében gyűjtötték, kezelik vagy használják.

[…]”

10.      A Bundesgerichtshof (szövetségi legfelsőbb bíróság, Németország) rámutat arra, hogy az UKlaG 3. §‑a (1) bekezdése első mondatának 1. pontja szerint az e rendelkezés értelmében kereshetőségi joggal rendelkező szervezetek felléphetnek a fogyasztóvédelmi törvényeket sértő magatartások abbahagyása érdekében, amelyek magukban foglalják az UKlaG 2. §‑a (2) bekezdése első mondatának 11. pontja szerint a vállalkozás által a fogyasztók személyes adatainak reklám céljából történő gyűjtését, kezelését és felhasználását. Ráadásul, szintén az UKlaG 3. §‑a (1) bekezdése első mondatának 1. pontja értelmében, a kereshetőségi joggal rendelkező szervezetek az UKlaG 1. §‑ával összhangban kérhetik a Bürgerliches Gesetzbuch (polgári törvénykönyv) 307. §‑a alapján érvénytelennek minősülő általános szerződési feltételek használatának abbahagyását, amennyiben úgy vélik, hogy ezen általános szerződési feltételek sértenek valamely adatvédelmi rendelkezést.

11.      A 2007. február 26‑i Telemediengesetz (az elektronikus médiáról szóló törvény)(9) 13. §‑ának (1) bekezdése a következőket tartalmazza:

„A felhasználás megkezdésekor a szolgáltatónak – amennyiben erre a tájékoztatásra korábban nem került sor – közérthető formában tájékoztatnia kell a felhasználót a személyes adatok gyűjtésének és kezelésének módjáról, terjedelméről és céljairól, valamint adatainak a [95/46/EK irányelv] hatályán kívüli államokban való kezeléséről. A felhasználó későbbi azonosítását lehetővé tévő és a személyes adatok gyűjtését vagy kezelését előkészítő automatizált eljárás esetében a felhasználót tájékoztatni kell ezen eljárás kezdetén. A tájékoztatás tartalmát folyamatosan elérhetővé kell tenni a felhasználó számára.”

III. Az alapügy tényállása és az előterjesztett kérdések

12.      Németországban az országos szövetség szerepel az UKlaG 4. §‑a alapján kereshetőségi joggal rendelkező szervezetek listáján. A Facebook Ireland a www.facebook.de címen a személyes és egyéb adatok cseréjére szolgáló Facebook internetes platformot üzemelteti.

13.      A Facebook internetes platformon található egy úgynevezett App‑Zentrum (alkalmazásközpont), amelyben a Facebook Ireland többek között külső szolgáltatók ingyenes játékait teszi hozzáférhetővé a felhasználói számára. Az alkalmazásközpontban, egyes játékok 2012. november 26‑án történő megtekintése esetén, a felhasználó a „Sofort spielen” („A játék indítása”) gomb alatt bizonyos információkat látott megjelenni. Ezen információkból lényegében az következik, hogy a szóban forgó alkalmazás használata lehetővé tette a játékokat szolgáltató vállalkozás részére, hogy hozzáférjen bizonyos személyes adatokhoz, és hogy a felhasználó nevében bizonyos bejegyzéseket tegyen közzé, többek között az elért pontjai számáról. E használat maga után vonta az alkalmazás általános feltételeinek és adatvédelmi elveinek a felhasználó általi elfogadását. Ezen túlmenően, a Scrabble játék esetében, a tájékoztatás szerint az alkalmazás a felhasználó nevében állapotfrissítéseket, fényképeket és más információkat tehet közzé.

14.      Az országos szövetség álláspontja szerint az alkalmazásközpont „Játékok” gombja alatt található tájékoztatás megjelenítése tisztességtelen, többek között a felhasználó érvényes adatvédelmi hozzájárulásának beszerzésére vonatkozó jogszabályi követelmények megsértése miatt. Ezen túlmenően, álláspontja szerint a Scrabble játék esetében a tájékoztatás záró mondata olyan általános feltételnek minősül, amely a felhasználót indokolatlanul hátrányos helyzetbe hozza.

15.      E tekintetben, az országos szövetség a jogsértés megszüntetésére irányuló keresetet indított a Landgericht Berlin (berlini regionális bíróság, Németország) előtt a Facebook Ireland ellen. A kérdést előterjesztő bíróság rámutat, hogy e keresetet valamely érintett személy személyes adatokhoz fűződő jogainak konkrét megsértésétől függetlenül és ilyen személytől kapott megbízás nélkül indították.

16.      Az országos szövetség azt kérte, hogy a Facebook Irelandet kényszerítő intézkedések terhe mellett tiltsák el attól, hogy „a […] Németországban állandó tartózkodási hellyel rendelkező fogyasztókat célzó kereskedelmi tevékenysége keretében a www.facebook.com honlapon és ezen belül az »alkalmazásközpontban« játékokat tegyen hozzáférhetővé oly módon, hogy a »[Játék]« gomb megnyomásával a fogyasztó hozzájárul ahhoz, hogy a játékot szolgáltató vállalkozás a [Facebook Ireland] által üzemeltetett internetes platformon keresztül hozzáférést kapjon az ott található egyes személyes adatokhoz és jogosulttá váljon a fogyasztó nevében egyes információkat továbbítani (megosztani) […]”.

17.      Az országos szövetség azt is kérte, hogy a Facebook Ireland számára tiltsák meg „a […] Németországban állandó tartózkodási hellyel rendelkező fogyasztókat érintő szerződéses feltételekben a következő kitétel vagy ezzel azonos kitételek alkalmazását a közösségi média keretében használt alkalmazások (appok) tekintetében, valamint a játékokat szolgáltató vállalkozások számára történő adattovábbításra vonatkozó rendelkezések feltüntetését: »Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten« (Ez az alkalmazás állapotfrissítéseket, fényképeket stb. tehet közzé a nevedben)”.

18.      A Landgericht Berlin (berlini regionális bíróság) a Facebook Irelandet az országos szövetség kérelmeinek helyt adva marasztalta. A Facebook Ireland által a Kammergericht Berlin (berlini regionális felsőbíróság, Németország) elé terjesztett fellebbezést az utóbbi elutasította.

19.      A Facebook Ireland felülvizsgálati kérelmet terjesztett elő a kérdést előterjesztő bírósághoz a fellebbviteli bíróság ítéletével szemben.

20.      Az ügy érdemét tekintve a kérdést előterjesztő bíróság úgy véli, hogy a fellebbviteli bíróság helyesen állapította meg, hogy az országos szövetség kérelmei megalapozottak. A TMG 13. §‑a (1) bekezdése első mondatának első tagmondatából eredő tájékoztatási kötelezettség megszegésével ugyanis a Facebook Ireland megsértette az UWG 3a. §‑át, valamint az UKlaG 2. §‑a (2) bekezdése első mondatának 11. pontját. A fellebbviteli bíróság helyesen állapította meg, hogy a jelen ügyben érintett TMG 13. §‑ának rendelkezései – az UWG 3a. §‑a értelmében véve – a piaci szereplők magatartását szabályozó jogi rendelkezéseknek minősülnek. Az említett rendelkezések ezenfelül az UKlaG 2. §‑a (2) bekezdése első mondata 11. pontjának a) alpontjával összhangban a fogyasztó azon személyes adatai vállalkozó általi gyűjtésének, kezelésének vagy felhasználásának jogszerűségét szabályozzák, amelyeket reklámcélokra gyűjtöttek, kezeltek vagy használtak fel. Ezenkívül, a kérdést előterjesztő bíróság szerint a Facebook Ireland a jelen ügyben szóban forgó adatvédelmi tájékoztatási kötelezettség megsértésével az UKlaG 1. §‑a értelmében vett érvénytelen általános szerződéses feltételt alkalmazott.

21.      A kérdést előterjesztő bíróság ugyanakkor bizonytalan a tekintetben, hogy a fellebbviteli bíróság helyesen állapította‑e meg, hogy az országos szövetség által indított kereset elfogadható. A kérdést előterjesztő bíróságban ugyanis felmerült a kérdés, hogy egy olyan fogyasztói érdekvédelmi egyesület, mint az országos szövetség, a 2016/679 rendelet hatálybalépését követően, e rendelet megsértése esetén továbbra is rendelkezik‑e kereshetősági joggal a polgári bíróságok előtt, valamely érintett személyes adatokhoz fűződő jogainak konkrét megsértésétől függetlenül és ilyen személytől kapott megbízás nélkül, az UWG 3a. §‑a szerinti jogsértésre, az UKlaG 2. § (2) bekezdése első mondatának 11. pontja szerinti fogyasztóvédelmi törvény megsértésére vagy az UKlaG 1. §‑a szerinti érvénytelen általános szerződési feltétel használatára hivatkozva.

22.      A kérdést előterjesztő bíróság megjegyzi, hogy a kereset elfogadhatósága a 2016/679 rendelet hatálybalépését megelőzően nem volt kétséges. Az országos szövetség ugyanis az UWG 8. §‑a (3) bekezdésének 3. pontja, valamint az UKlaG 3. §‑a (1) bekezdése első mondatának 1. pontja alapján jogosult volt jogsértés megszüntetésére irányuló keresetet indítani a polgári bíróságok előtt.

23.      Ugyanezen bíróság szerint elképzelhető, hogy a 2016/679 rendelet hatálybalépésével e jogi szabályozás módosult.

24.      Az ügy érdemével kapcsolatban a kérdést előterjesztő bíróság rámutat, hogy a TMG 13. §‑a (1) bekezdésének rendelkezései már nem alkalmazhatók e rendelet hatálybalépését követően, mivel a vonatkozó tájékoztatási kötelezettségeket immár a 2016/679 rendelet 12–14. cikke szabályozza. A kérdést előterjesztő bíróság szerint tehát a Facebook Ireland megsértette az e rendelet 12. cikke (1) bekezdése első mondata alapján őt terhelő azon kötelezettséget, amelynek értelmében az érintettet tömören, átláthatóan, érthetően és könnyen hozzáférhetően, világosan és egyszerű nyelvezettel megfogalmazva tájékoztatni kell a szóban forgó rendelet 13. cikke (1) bekezdésének c) és e) pontjában felsorolt, az adatkezelés céljára és a személyes adatok címzettjére vonatkozó információkról.

25.      A kereset elfogadhatóságát illetően, a kérdést előterjesztő bíróság szerint vita alakult ki azzal kapcsolatban, hogy az UKlaG 4. §‑a alapján kereshetőségi joggal rendelkező szervezetek – a 2016/679 rendelet hatálybalépését követően és az UWG 8. §‑a (3) bekezdésének 3. pontja értelmében – jogosultak‑e az e rendeletben szereplő, az EUMSZ 288. cikke második bekezdése alapján közvetlen hatállyal rendelkező rendelkezések megsértése esetén az UWG 3. §‑a szerinti jog megsértésére hivatkozva bírósághoz fordulni.

26.      E tekintetben a kérdést előterjesztő bíróság előadja, hogy ellentétes álláspontok állnak fel azzal a kérdéssel kapcsolatban, hogy maga a 2016/679 rendelet kimerítően szabályozza‑e a rendelkezései alkalmazásának felülvizsgálatát.

27.      A 2016/679 rendelet szövegét illetően e bíróság megállapítja, hogy a rendelet 80. cikkének (1) bekezdése nem szabályozza az országos szövetséghez hasonló szervezetnek az UWG 8. §‑a (3) bekezdésének 3. pontja szerinti keresetindítási jogát, mivel az alapügyben vizsgált jogsértés megszüntetésére irányuló keresetet nem egy érintett megbízásából és nevében indították e személy jogainak érvényesítése végett. Ezzel ellentétben arról van szó, hogy az országos szövetség saját jogán rendelkezik kereshetőségi joggal, amely lehetővé teszi számára, hogy a szóban forgó rendelet rendelkezéseinek megsértése esetén objektív alapon lépjen fel az UWG 3a. §‑a értelmében bekövetkező jogsértés esetén, az érintettek egyéni jogainak megsértésétől és ez utóbbiak megbízásától függetlenül.

28.      Márpedig a kérdést előterjesztő bíróság megállapítja, hogy az országos szövetségnek a személyes adatok védelmével kapcsolatos jogok objektív alapon történő érvényesítése céljából fennálló kereshetőségi jogát a 2016/679 rendelet 80. cikkének (2) bekezdése nem szabályozza. Ugyanis, bár e rendelkezés egy ilyen szervezet keresetindítását az érintett megbízásától függetlenül lehetővé teszi, megköveteli, hogy az adatkezelés sértse az érintettnek a rendeletből származó valamely jogát. Következésképpen, a szóban forgó rendelet 80. cikke (2) bekezdésének rendelkezései szövegük alapján nem teszik lehetővé az olyan egyesületek számára, amelyek a személyes adatok védelméhez való jog objektív megsértésére egy konkrét érintett személyes jogainak megsértésétől függetlenül hivatkoznak, hogy a jelen ügyhöz hasonló esetben az UWG 3a. §‑a és 8. §‑a (3) bekezdésének 3. pontja alapján keresetet indítsanak. Ezzel megegyező következtetés vonható le a 2016/679 rendelet (142) preambulumbekezdésének második mondatából, amely szintén hivatkozik az érintett jogainak megsértésére valamely egyesületnek a szóban forgó személy megbízásától függetlenül fennálló kereshetőségi jogának feltételeként.

29.      Másfelől, a kérdést előterjesztő bíróság szerint egy egyesület kereshetőségi joga, amint azt az UWG 8. § (3) bekezdése szabályozza, nem vezethető le a 2016/679 rendelet 84. cikkének (1) bekezdéséből, amelynek értelmében a tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó további szankciókra vonatkozó szabályokat, és meghoznak minden szükséges intézkedést ezek végrehajtására. Egy egyesület kereshetőségi joga ugyanis, amint azt az UWG 8. § (3) bekezdése szabályozza, nem tekinthető a szóban forgó rendelet hivatkozott rendelkezése értelmében vett „szankciónak”.

30.      Ezenkívül, a kérdést előterjesztő bíróság megállapítja, hogy a 2016/679 rendelet szerkezete alapján nem lehet biztosan megállapítani, hogy egy szervezetnek az UWG 8. §‑a (3) bekezdésének 3. pontja, azaz a tisztességtelen verseny elleni védelmet célzó rendelkezés szerinti kereshetőségi joga továbbra is elismerhető‑e ezen rendelet hatálybalépését követően. E bíróság szerint abból a tényből, hogy a rendelet a felügyeleti hatóságok részére kiterjedt jogosítványokat biztosít a nyomon követés, a vizsgálat és a korrekciós intézkedések elfogadása terén, levezethető az, hogy elsősorban e hatóságok feladata a szóban forgó rendelet alkalmazásának felügyelete. Mindez nem egyeztethető össze a 2016/679 rendelet 80. cikke (2) bekezdésének kiterjesztő értelmezésével. A kérdést előterjesztő bíróság ugyancsak megállapítja, hogy egy rendeletet végrehajtó nemzeti intézkedés elfogadása főszabály szerint csak akkor lehetséges, ha azt kifejezetten lehetővé tették. Mindazonáltal, az e rendelet 77. cikkének (1) bekezdésében, 78. cikkének (1) és (2) bekezdésében, valamint 79. cikkének (1) bekezdésében szereplő „[a]z egyéb […] jogorvoslatok sérelme nélkül” kitétel cáfolhatja azt az álláspontot, hogy a szóban forgó rendelet teljeskörűen szabályozza a jogalkalmazás felügyeletét.

31.      A 2016/679 rendelet célkitűzését illetően, annak hatékony érvényesülése az egyesületek versenyjogi alapon fennálló kereshetőségijoga mellett szól az UWG 8. §‑a (3) bekezdése 3. pontjának megfelelően, az érintettek konkrét jogainak megsértésétől függetlenül, mivel ez további lehetőséget adna a jogalkalmazás felügyeletére a személyes adatok lehető legmagasabb szintű védelmének biztosítása érdekében, e rendelet (10) preambulumbekezdésével összhangban. Mindazonáltal, az egyesületek versenyjogi alapon fennálló kereshetőségi jogának elismerése a szóban forgó rendelet harmonizációra irányuló céljával ellentétesnek tekinthető.

32.      A kérdést előterjesztő bíróság ugyancsak előadja kétségeit annak kapcsán, hogy az UKlaG 3. §‑a (1) bekezdése első mondatának 1. pontja által érintett szervezetek a 2016/679 rendelet hatálybalépését követően továbbra is rendelkeznek‑e az UKlaG 2. §‑a (2) bekezdése első mondatának 11. pontja értelmében vett, egy fogyasztóvédelmi tárgyú törvény megsértése esetén kereshetőségi joggal. Ugyanez vonatkozik a fogyasztói érdekvédelmi egyesületeknek az UKlaG 1. §‑a értelmében vett, a polgári törvénykönyv 307. cikke alapján érvénytelen általános szerződési feltételek használatának abbahagyására irányuló kereshetőségi jogára.

33.      Feltéve, hogy a szervezetek keresetindítási jogát a 2016/679 rendelet hatálybalépését megelőzően megalapító különböző nemzeti rendelkezéseket az e rendelet 80. cikke (2) bekezdése előzetes végrehajtásának lehet tekinteni, a kérdést feltevő bíróság szerint az országos szövetség kereshetőségi jogának a jelen ügyben történő elismeréséhez szükség van arra, hogy a szövetség hivatkozzon egy érintettnek a rendelet által biztosított jogaiban az adatkezelés folytán bekövetkezett séreleme. Márpedig e feltétel nem teljesül.

34.      E bíróság ugyanis hangsúlyozza, hogy az országos szövetség kérelmei az alkalmazásközpontban a Facebook Ireland által elérhetővé tett tájékoztatás absztrakt felülvizsgálatára vonatkoznak, az adatvédelmet érintő objektív jogra tekintettel, anélkül hogy az országos szövetség a 2016/679 rendelet 4. cikkének 1. pontja szerint azonosított vagy azonosítható természetes személy jogainak megsértésére hivatkozna.

35.      Amennyiben megállapításra kerül, hogy az országos szövetség a 2016/679 rendelet hatálybalépését követően elveszítette a német jog korábban hivatkozott rendelkezései alapján fennálló kereshetőségi jogát, a kérdést előterjesztő bíróság rámutat arra, hogy a Facebook Ireland által benyújtott felülvizsgálati kérelemnek helyt kell adnia, és az országos szövetség keresetét el kell utasítania, tekintettel arra, hogy a német eljárásjog értelmében a kereshetőségi jog a végső fokon indított eljárás befejezéséig fennáll.

36.      E megfontolásokra tekintettel a Bundesgerichthof (a szövetségi legfelsőbb bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdést terjeszti a Bíróság elé:

„Ellentétesek‑e az (EU) 2016/679 rendelet VIII. fejezetében, különösen a 80. cikkének (1) és (2) bekezdésében, valamint a 84. cikkének (1) bekezdésében foglalt rendelkezésekkel az olyan nemzeti rendelkezések, amelyek – [az e] rendelet alkalmazásának nyomon követésére és kikényszerítésére hatáskörrel rendelkező felügyeleti hatóságok beavatkozási jogkörei és az érintettek jogorvoslati lehetőségei mellett – egyrészt a versenytársak, másrészt a nemzeti jog alapján feljogosított egyesületek, szervek és kamarák számára lehetővé teszik, hogy a 2016/679 rendelet megsértése miatt az egyes érintettek konkrét jogainak megsértésétől függetlenül és a valamely érintettől kapott megbízás nélkül polgári bíróságok előtt indított kereset útján fellépjenek a jogsértővel szemben a tisztességtelen kereskedelmi gyakorlatok tilalmának vagy a valamely fogyasztóvédelemről szóló törvény megsértésének vagy az érvénytelen általános szerződési feltételek alkalmazása tilalmának szempontja alapján?”

37.      Az országos szövetség, a Facebook Ireland, az osztrák és portugál kormány, valamint az Európai Bizottság írásbeli észrevételeket terjesztett elő. E felek, a portugál kormány kivételével, valamint a német kormány a 2021. szeptember 23‑i tárgyaláson előadták szóbeli észrevételeiket.

IV.    Értékelés

38.      A kérdést előterjesztő bíróság kérdésével lényegében arra keres választ, hogy a 2016/679 rendeletet, és különösen 80. cikkének (2) bekezdését úgy kell‑e értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a fogyasztói érdekvédelmi egyesületek számára, hogy a személyes adatok védelmét állítólagosan megsértő jogsértővel szemben a tisztességtelen kereskedelmi gyakorlatok tilalmára, valamely fogyasztóvédelemről szóló törvény megsértésére vagy az érvénytelen általános szerződési feltételek alkalmazásának tilalmára hivatkozással eljárást indítsanak.

39.      A 2016/679 rendelet 4. cikkének 1. pontja értelmében, e rendelet alapján „érintett”‑nek minősül egy „azonosított vagy azonosítható természetes személy”. Amennyiben egy ilyen személy úgy ítéli, hogy személyes adatait e rendelet rendelkezéseinek megsértésével kezelték, több jogorvoslati lehetőség áll rendelkezésére.

40.      Ekképpen, ugyanezen rendelet 77. cikke alapján az érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál. Másfelől, a 2016/679 rendelet 78. cikke értelmében e személy jogosult a hatékony bírósági jogorvoslatra valamely felügyeleti hatósággal szemben. Ezen túlmenően, e rendelet 79. cikkének (1) bekezdése alapján minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.

41.      Az érintettek természetesen maguk tehetnek panaszt egy felügyeleti hatóságnál, vagy érvényesíthetik a fent említett bírósági jogorvoslathoz való jogukat. Ezzel együtt, a 2016/679 rendelet 80. cikke bizonyos feltételek mellett lehetővé teszi, hogy e személyeket egy nonprofit jellegű szerv, szervezet vagy egyesület képviselje. Az egyéni kereseteken túlmenően az uniós jog tehát különböző képviseleti keresetek lehetőségéről rendelkezik, amelyeket az érintettek képviseletére feljogosított szervezetek indítanak.(10) A 2016/679 rendelet 80. cikke ennélfogva illeszkedik ahhoz az irányvonalhoz, amelynek célja, hogy a képviseleti keresetek ilyen szervezetek általi indítása útján kiterjesszék a szóban forgó szabályok megsértésével érintettek igazságszoltatáshoz való jogát.(11)

42.      A 2016/679 rendeletnek „Az érintettek képviselete” címet viselő 80. cikke két bekezdésből áll. Az első bekezdés azt a helyzetet szabályozza, amikor egy érintett megbízást ad egy szerv, szervezet vagy egyesület részére a képviseletének ellátására. A második bekezdés egy szervezet eljárás indítására vonatkozó képviseleti jogának az érintettől kapott megbízástól függetlenül történő gyakorlását érinti.

43.      Mivel az országos szövetség által indított eljárás nem az érintett által adott megbízáson alapul, a jelen előzetes döntéshozatali eljárás során a 2016/679 rendelet 80. cikkének (2) bekezdését kell figyelembe venni.

A.      A Fashion ID ítélet

44.      A Fashion ID ítéletben a Bíróság a 95/46 irányelvet illetően a jelen előzetes döntéshozatali eljárás keretében feltetthez hasonló kérdést illetően foglalt állást. A Bíróság úgy határozott, hogy „[ezen irányelv] 22–24. cikkét úgy kell értelmezni, mint amelyekkel nem ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a fogyasztói érdekvédelmi egyesületek számára, hogy bírósági eljárást kezdeményezzenek a személyes adatok védelmét feltételezetten megsértő személlyel szemben.”(12).

45.      E következtetés eléréséhez a Bíróság abból a megállapításból indult ki, hogy a 95/46 irányelv egyetlen rendelkezése sem kötelezi vagy jogosítja fel kifejezetten a tagállamokat arra, hogy a nemzeti jogukban biztosítsák az egyesületek számára annak lehetőségét, hogy ilyen személyt bírósági eljárásban képviseljenek, vagy hogy önállóan bírósági eljárást kezdeményezzenek a személyes adatok védelmét feltételezetten megsértő személlyel szemben.(13) A Bíróság szerint ebből ugyanakkor nem következik, hogy ezen irányelvvel ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a fogyasztói érdekvédelmi egyesületek számára, hogy az ilyen jogsértés feltételezett elkövetőjével szemben bírósághoz forduljanak.(14) E tekintetben a Bíróság hangsúlyozta az irányelvek jellegzetességeit, valamint azt, hogy a címzett tagállamok kötelezettsége, hogy az érintett irányelv teljes érvényesülésének biztosítása érdekében – az irányelv által követett céllal összhangban – valamennyi szükséges intézkedést megtegyenek.(15)

46.      A Bíróság ezt követően emlékeztetett arra, hogy 95/46 irányelv egyik célja „a természetes személyek alapvető jogainak és szabadságainak, különösen a személyes adatok kezelése tekintetében a magánélet tiszteletben tartásához való joguknak a hatékony és teljes védelme biztosítására irányul”, továbbá arra, hogy „magas védelmi szintet […] biztosítson az [Európai] Unión belül”(16). Márpedig, a Bíróság szerint az a tény, hogy egy tagállam nemzeti jogszabályaiban biztosítja egy fogyasztói érdekvédelmi egyesület számára annak lehetőségét, hogy bírósági eljárást kezdeményezzen a személyes adatok védelmét feltételezetten megsértő személlyel szemben, hozzájárul e célok eléréséhez.(17) Egyébiránt a Bíróság hangsúlyozta, hogy „a tagállamok több tekintetben is mozgástérrel rendelkeznek a [95/46] irányelv átültetését illetően”(18), különösen annak 22–24. cikkére vonatkozóan, amely „általánosságban fogalmaz, és nem harmonizálja teljeskörűen a személyes adatok védelmét feltételezetten megsértő személlyel szemben kezdeményezhető bírósági jogorvoslati lehetőségekre vonatkozó nemzeti rendelkezéseket”(19). Ezért „annak a lehetőségnek az előírása, hogy egy fogyasztói érdekvédelmi egyesület bírósági eljárást kezdeményezzen a személyes adatok védelmét feltételezetten megsértő személlyel szemben, megfelelő intézkedésnek minősülhet [ezen irányelv 24. cikke] értelmében, amely […] a Bíróság ítélkezési gyakorlatának megfelelően hozzájárul az említett irányelv céljainak eléréséhez”(20).

47.      A jelen előzetes döntéshozatali kérelemmel arra kérik a Bíróságot, hogy határozzon a tekintetben, hogy ami a 95/46 irányelv hatálya alatt elfogadható volt, tilos‑e a 2016/679 rendelet hatálybalépését követően. Másként fogalmazva, e rendelet 80. cikkének (2) bekezdése rendelkezik‑e olyan jogi hatállyal, amely megszünteti egy fogyasztói érdekvédelmi egyesület kereshetőségi jogát a jelen ügyben tárgyalt eljárás tekintetében?

48.      Ez már pusztán a Fashion ID ítélet 62. pontja alapján is kétségbe vonható, amely ítéletben a Bíróság megállapította, hogy az a tény, hogy a 2016/679 rendelet „80. cikkének (2) bekezdésében kifejezetten megengedi a tagállamoknak, hogy lehetővé tegyék a fogyasztói érdekvédelmi egyesületek számára a bírósági eljárás kezdeményezését a személyes adatok védelmét feltételezetten megsértő személlyel szemben, semmiképpen nem azt jelenti, hogy a tagállamok a 95/46 irányelv alapján nem ruházhatták volna rájuk ezt a jogot, hanem éppen ellenkezőleg, megerősíti, hogy a jelen ítéletben elfogadott irányelv‑értelmezés az uniós jogalkotó szándékát tükrözi”(21).

49.      A következőkben kifejtett indokok alapján úgy vélem, hogy sem a 95/46 irányelvnek a rendelettel történő felváltása, sem az a körülmény, hogy a 2016/679 rendelet immár egy cikket szán az érintettek bírósági eljárás keretében történő képviseletére, nem alkalmas a Bíróság által a Fashion ID ítéletben kimondottak, azaz annak a megkérdőjelezésére, hogy a tagállamok nemzeti jogszabályaiban biztosíthatják egy fogyasztói érdekvédelmi egyesület számára annak lehetőségét, hogy bírósági eljárást kezdeményezzen a személyes adatok védelmét feltételezetten megsértő személlyel szemben.

B.      A 2016/679 rendelet sajátos jellemzői

50.      A 95/46 irányelvnek egy eltérő természetű jogszabállyal, azaz a 2016/679 rendelettel történő felváltásával kapcsolatban meg kell állapítani, hogy az uniós jogalkotó azon döntése, hogy a rendelet jogi formáját választja – amely az EUMSZ 288. cikke értelmében teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban ‑ azzal magyarázható, hogy a 2016/679 rendelet (13) preambulumbekezdésében kifejtettek értelmében az uniós jogalkotó akarata a természetes személyek egységes, uniós szintű védelmének biztosítása, valamint a személyes adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése. Következésképpen, e rendelet első látásra a teljes jogharmonizáció felé hajlik oly módon, hogy nem szorítkozik tehát a tagállamok által átveendő minimumszabályok megállapítására, és nem hagy választási lehetőséget a tagállamok számára arra, hogy rendelkezéseitől eltérjenek, azokat kiegészítsék, vagy azokat végrehajtsák, annak érdekében, hogy ne hiúsuljon meg a szóban forgó rendelet rendelkezéseinek egyidejű és egységes alkalmazása.

51.      A valóság ennél bonyolultabbnak bizonyul. A 2016/679 rendelet jogalapja, azaz az EUMSZ 16. cikk(22) alapján ugyanis nem képzelhető el, hogy az Unió e rendelet elfogadásával lefedte az adatvédelemnek más területeket, különösen a munkajog, a versenyjog vagy a fogyasztóvédelem területét érintő elágazásait, megfosztva a tagállamokat attól, hogy e területeken egyedi szabályokat fogadjanak el többé‑kevésbé autonóm módon, attól függően, hogy az uniós jog által szabályozott területről van‑e szó.(23) Ebben az értelemben, bár a személyes adatok védelme természeténél fogva több területet érint, a 2016/679 rendelet által megvalósított jogharmonizáció azokra a vonatkozásokra korlátozódik, amelyeket e rendelet e területen kifejezetten szabályoz. Ezeken túlmenően a tagállamok szabadon alkothatnak jogszabályokat, amennyiben azok nem sértik a szóban forgó rendelet tartalmát és célkitűzéseit.

52.      Ezenkívül, a 2016/679 rendelet rendelkezéseit részletesen megvizsgálva meg kell állapítani, hogy az e rendelet által megvalósított jogharmonizáció mértéke a vizsgált rendelkezésektől függően változik. A szóban forgó rendelet normatív tartalmának meghatározása tehát esetről esetre történő vizsgálatot igényel.(24) Bár megállapítható, hogy a 2016/679 rendelet – a 95/46 irányelvvel kapcsolatos bírói joggyakorlattal összhangban(25) ‑ „főszabály szerint teljes” jogharmonizációt valósít meg, e rendelet több rendelkezése mozgásteret biztosít a tagállamok számára, amelyet az utóbbiak, az adott esettől függően, az e rendelkezések által biztosított feltételek és korlátok között kötelezően vagy lehetőség szerint használnak ki.(26)

53.      Emlékeztetni kell arra, hogy a Bíróság állandó ítélkezési gyakorlata értelmében „az EUMSZ 288. cikk szerint és az uniós jogforrások rendszerében betöltött szerepükből és jellegükből fakadóan a rendeletek előírásainak főszabály szerint közvetlen hatályuk van a nemzeti jogrendszerekben, anélkül hogy szükség lenne arra, hogy a nemzeti hatóságok végrehajtási intézkedéseket fogadjanak el. Mindazonáltal egyes rendelkezések végrehajtása érdekében szükséges lehet végrehajtási intézkedések elfogadása a tagállamok által”(27). A rendeleti úton való szabályozás nem jelenti feltétlenül azt, hogy e rendelet rendelkezései semennyi mozgásteret sem hagynak a jogalanyok számára.(28) Egyébiránt, egy rendelet kötelező és közvetlenül alkalmazandó természete nem zárja ki, hogy egy ilyen természetű jogszabály fakultatív rendelkezéseket tartalmazzon.(29)

54.      A 2016/679 rendelet 80. cikkének (2) bekezdése – a „rendelkezhetnek” szó használata miatt – példa azon fakultatív rendelkezésekre, amelyek lehetővé teszik a tagállamok számára, hogy a rendelkezés végrehajtása során gyakorolják mérlegelési jogukat.

55.      E rendelkezés egyike az e rendeletben szereplő számos „engedő rendelkezésnek”, amelyek különös jellemzőkkel ruházzák fel a klasszikus értelemben vett rendeletekhez képest, és az irányelvekhez teszik hasonlóvá.(30) Az e rendelkezésekben szereplő, a nemzeti jogra történő utalások lehetnek kötelező erejűek,(31) azonban legtöbbször a tagállamok számára biztosított lehetőséget jelentenek(32). Megfigyelhető, hogy e számos, a nemzeti jogra történő utalás azzal a kockázattal jár, hogy a személyes adatoknak az Unión belüli védelme ismét töredezetté válik, szemben az uniós jogalkotó azon kifejezett szándékával, hogy e szabályozás még egységesebbé váljon, és kedvezőtlen hatással lehet e védelem hatékonyságára éppúgy, ahogyan az adatkezelők, valamint az adatfeldolgozók kötelezettségeinek az utóbbiak általi könnyebb megértésére(33). A 2016/679 rendelet által megvalósított harmonizáció terjedelmét ennélfogva korlátozza az e rendeletben található számos „engedő rendelkezés”.

56.      Világos, hogy a 95/46 irányelvvel összehasonlítva, az uniós jogalkotó a 2016/679 rendelet útján sokkal kiterjedtebben és pontosabban kívánta uniós szinten szabályozni az érintettek képviseletére vonatkozó feltételeket a felügyeleti hatóságok elé terjesztett panasz vagy bírósági eljárás kezdeményezése esetén.(34) E rendelet 80. cikkének (1) és (2) bekezdése ugyanakkor nem rendelkezik ugyanazon normatív hatállyal. Ugyanis, míg e cikk (1) bekezdése kötelező a tagállamok számára,(35) a (2) bekezdés pusztán lehetőséget kínál ez utóbbiak részére. Ennélfogva, ahhoz, hogy a szóban forgó rendelet 80. cikkének (2) bekezdése szerinti, megbízás nélküli képviseleti eljárás indításához való jog gyakorolhatóvá váljon, a tagállamoknak élniük kell az e rendelkezés által felkínált azon lehetőséggel, hogy a nemzeti jogukban szabályozzák az érintettek képviseletének e módját.

57.      A 2016/679 rendelet (2) bekezdése – annak fakultatív jellege, valamint ennek következtében a nemzeti jogok közötti lehetséges eltérések okán – nem tekinthető úgy, mint amely a személyes adatok védelmének területét érintő, megbízás nélküli képviseleti eljárások teljes harmonizációját valósítja meg. Mindazonáltal, amikor e rendelkezést a tagállamok nemzeti jogukban végrehajtják, tiszteletben kell tartaniuk azokat a feltételeket és korlátokat, amelyek keretén belül az uniós jogalkotó szabályozni kívánta az e rendelkezésben foglalt lehetőséget.

58.      Bár a 95/46 irányelvvel összehasonlítva a keretrendszer pontosabbá vált, a tagállamok továbbra is mérlegelési mozgástérrel rendelkeznek a 2016/679 rendelet 80. cikke (2) bekezdésének alkalmazása során.

59.      A Bíróság rendelkezésére álló adatokból megállapítható, hogy a német jogalkotó – ‑e rendelet hatálybalépését követően – nem fogadott el olyan rendelkezést, amely kifejezetten e rendelet 80. cikke (2) bekezdésének a német jogban való végrehajtását célozta volna. Mindezek alapján, ahogyan ezt a kérdést előterjesztő bíróság a Bíróságtól kéri, meg kell vizsgálni, hogy a már létező német jogi rendelkezések, amelyek egy fogyasztói érdekvédelmi szervezet számára kereshetőségi jogot biztosítanak annak érdekében, hogy a 2016/679 rendelet rendelkezéseit, valamint a többek között a fogyasztók védelmére irányuló szabályokat egyszerre sértő magatartások abbahagyását kérjék, összeegyeztethetők‑e a fenti rendelkezéssel. Másként fogalmazva, az e rendelet hatálybalépését megelőzően már létező nemzeti jog összhangban áll‑e azzal, amit a szóban forgó rendelet 80. cikkének (2) bekezdése lehetővé tesz?

60.      Amint azt a német kormány a tárgyaláson pontosította, az országos szövetséghez hasonló egyesületet a jelen ügyben vizsgálthoz hasonló képviseleti kereset indítására felhatalmazó nemzeti rendelkezések a 2009/22 irányelvet átültető intézkedéseknek minősülnek. Annak a kérdésnek a megválaszolása érdekében, hogy a 2016/679 rendelet 80. cikkének (2) bekezdése szintén lehetővé teszi‑e az ilyen kereseteket, és hogy ennélfogva ugyanezen nemzeti rendelkezések az egyes tagállamok számára biztosított mérlegelési mozgástéren belül helyezkednek‑e el,(36) célszerű e cikket többek között annak szövegét, valamint e rendelet szerkezetét és célkitűzéseit figyelembe véve értelmezni.

C.      A 2016/679 rendelet 80. cikke (2) bekezdésének nyelvtani, rendszertani és teleologikus értelmezése

61.      A 2016/679 rendelet 80. cikkének (2) bekezdése értelmében az ott szabályozott képviseleti eljárásokat az e cikk „(1) bekezdésében említett bármely szerv, szervezet vagy egyesület” kezdeményezheti. E rendelet 80. cikkének (1) bekezdése említ „olyan nonprofit jellegű szervet, szervezetet vagy egyesületet […], amelyet valamely tagállam jogának megfelelően hoztak létre, és amelynek az alapszabályában rögzített céljai a közérdeket szolgálják, és amely az érintettek jogainak és szabadságainak a személyes adataik vonatkozásában biztosított védelme területén tevékenykedik”. E meghatározás álláspontom szerint nem korlátozódik azokra a szervezetekre, amelyeknek egyetlen és kizárólagos célja a személyes adatok védelme, hanem kiterjed mindazokra a szervezetekre, amelyek céljai a személyes adatok védelméhez kapcsolódó közérdeket szolgálják. Ide tartoznak az országos szövetséghez hasonló fogyasztói érdekvédelmi egyesületek, amelyek keresetet indíthatnak minden olyan magatartás abbahagyása érdekében, amely a szóban forgó rendelet rendelkezéseinek megsértésével ugyancsak sérti a fogyasztóvédelemre vagy a tisztességtelen verseny elleni küzdelemre irányadó szabályokat.(37)

62.      A 2016/679 rendelet 80. cikke (2) bekezdésének szövege szerint a képviseleti eljárást olyan szervezet kezdeményezheti, amely megfelel az e cikk (1) bekezdésében fogalt feltételeknek, ha „megítélése szerint az érintett személyes adatainak kezelése következtében megsértették az érintett [e rendelet] szerinti jogait”. Ellentétben azzal, amit a kérdést előterjesztő bíróság sejtetni enged, álláspontom szerint ez utóbbi tagmondatot nem szükséges megszorítóan értelmezni akképpen, hogy annak érdekében, hogy a 2016/679 rendelet 80. cikkének (2) bekezdésében meghatározottakkal összhangban kereshetőségi joggal rendelkezzen, egy szervezetnek egy vagy több, a szóban forgó adatkezelés által érintett személyt kell beazonosítania. E rendelet elfogadásának előkészítő munkálatai egyáltalán nem ebbe az irányba mutatnak. Ráadásul, az „érintett”‑nek, azaz egy „azonosított vagy azonosítható természetes személy”‑nek(38) a szóban forgó rendelet 4. cikkének 1. pontja szerinti meghatározása álláspontom szerint ellentétben áll azzal a követelménnyel, amely megkívánja, hogy a 2016/679 rendelet rendelkezéseit sértő magatartás által érintett személyek már akkor azonosítottak legyenek, amikor e rendelet 80. cikkének (2) bekezdése alapján egy képviseleti eljárás megindításra kerül. Mindebből logikusan következik, hogy e rendelkezés alapján nem várható el, hogy egy szervezet egyénileg megjelölt személyeket érintő konkrét esetekre hivatkozzon annak érdekében, hogy a szóban forgó rendelkezésben foglaltaknak megfelelően jogosult legyen eljárni.

63.      Álláspontom szerint, a 2016/679 rendelet 80. cikkének (2) bekezdése szerinti képviseleti kereset indítása kizárólag azt feltételezi, hogy a személyes adatoknak az e rendelet egyéni jogokat védő rendelkezéseit sértő kezelésére hivatkozzanak; amely kezelés érintheti az azonosított vagy azonosítható személyek jogait, anélkül hogy egy szervezet képviseleti jogát esetről esetre vizsgálni kellene annak megállapítása végett, hogy egy vagy több meghatározott személy jogait megsértették‑e.(39) Mindent egybevetve, egy ilyen keresetet azon jogok megsértésére kell alapozni, amelyeket egy természetes személy a szóban forgó rendelet alapján a személyes adatainak kezelése esetén gyakorolhat. E kereset célja nem egy objektív jog, hanem kizárólag az érintetteknek a 2016/679 rendeletből közvetlenül származó alanyi jogainak védelme.(40) Más szavakkal, az e rendelet 80. cikkének (2) bekezdésében szereplő engedő rendelkezésnek az a célja, hogy lehetővé tegye a felhatalmazott szervezetek számára, hogy a szóban forgó rendeletben szereplő, az érintetteket védő szabályoknak az adatkezelésért felelős személyek általi tiszteletben tartását felülvizsgáltassák valamely felügyeleti hatósággal vagy bírósággal.(41) Ennek tükrében ahhoz, hogy egy szervezet e rendelkezés alapján kereshetőségi joggal rendelkezzen, elegendő, hogy állítsa a 2016/679 rendelet azon rendelkezéseinek megsértését, amelyek célja az érintettek alanyi jogainak védelme.

64.      Amint arra az Európai Bizottság lényegében rámutat, a 2016/679 rendelet 80. cikke (2) bekezdésének azon értelmezése, amely szerint egy szervezetnek – ahhoz, hogy megbízás nélküli képviseleti keresetet indíthasson – bizonyítania, illetve állítania kell, hogy egy adott esetben egy meghatározott személy jogai sérültek, túlságosan korlátozná e rendelkezés hatályát. A portugál kormányhoz és az Európai Bizottsághoz hasonlóan úgy vélem, hogy e rendelet 80. cikkének (2) bekezdését úgy kell értelmezni, hogy az megőrizze hatékony érvényesülését ugyanezen cikk (1) bekezdéséhez képest. Következésképpen, a szóban forgó rendelet 80. cikkének (2) bekezdését álláspontom szerint úgy kell értelmezni, mint amely túlmutat az e cikk (1) bekezdésében szabályozott, egyéni esetekben való képviseleten, lehetővé téve a személyes adatoknak a 2016/679 rendeletet sértő kezelése által érintett személyek kollektív érdekeinek – a felhatalmazott szervezetek kezdeményezésére, önállóan történő – képviseletét. E rendelet 80. cikke (2) bekezdésének hatékony érvényesülését jelentős mértékben korlátozná, ha azt kellene megállapítani, hogy az e cikk (1) bekezdésében előírtakhoz hasonlóan egy szervezet képviseleti jogosultsága a név szerint és egyénenként megjelölt személyek képviseletének két esetére korlátozódik.

65.      A 2016/679 rendelet 80. cikke (2) bekezdésének általam elfogadott értelmezése egyébként megfelel a jogsértő magatartás abbahagyására való kötelezés iránti eljárások megelőző jellegének és elrettentésre irányuló céljának, valamint bármely konkrét egyéni jogvitától való függetlenségének(42).

66.      Azon kockázat elkerülése érdekében, hogy a jogsértés megszüntetésére irányuló kereset indítására feljogosított szervezetek kereshetőségi jogának két különböző szabályozása alakuljon ki attól függően, hogy a kereset a 2016/679 rendelet 80. cikke (2) bekezdésének alkalmazási területére eső nemzeti jogszabályon vagy a 2020/1828 irányelven alapul, véleményem szerint – függetlenül attól, hogy ezen irányelv nem alkalmazható a jelen eljárásban – indokolt figyelembe venni, hogy ez utóbbi nem azt kívánja meg, hogy e szervezetek név szerint megjelölt fogyasztókat azonosítsanak a szóban forgó sérelem érintettjeiként,(43) hanem hogy e szervezetek a kereskedők által az említett irányelv 1. sz. mellékletében megjelölt uniós jogi rendelkezések ellen elkövetett szabálysértésre hivatkozzanak;(44) amely melléklet egyébiránt 56. pontjában hivatkozik a 2016/679 rendeletre.

67.      A 2016/679 rendelet 80. cikke (2) bekezdésének megszorító értelmezését támogató elmélet álláspontom szerint tévesen állítja szembe egymással a fogyasztók kollektív érdekeinek,(45) valamint az e rendeletet állítólagosan sértő adatkezelés által érintett egyes személyek jogainak védelmét. Álláspontom szerint ugyanis a fogyasztók kollektív érdekeinek védelme nem zárja ki az érintetteket a 2016/679 rendelet alapján megillető alanyi jogok védelmét, hanem ellenkezőleg, az ilyen védelmet magában foglalja.

68.      Egyébiránt a 2020/1828 irányelv (15) preambulumbekezdésében szereplő rendelkezésből – amelynek értelmében „[a] 2016/679 […] rendeletben […] meghatározott vagy azon alapuló jogérvényesítési mechanizmusok adott esetben továbbra is igénybe vehetők a fogyasztók kollektív érdekeinek védelmére”(46) – következik számomra annak megerősítése, hogy az e rendelet 80. cikkének (2) bekezdésében előírt képviseleti kereset valóban alkalmas ezen érdekek védelmére.

69.      A fenti tényekből arra következtetek, hogy a 2016/679 rendelet 80. cikkének (2) bekezdése, álláspontom szerint, lehetővé teszi a tagállamok számára, hogy a feljogosított szervezetek az érintettek megbízása nélkül indíthassanak képviseleti keresetet a fogyasztók kollektív érdekeinek védelme érdekében, abban az esetben, ha e rendeletnek az érintettek számára alanyi jogot alapító rendelkezéseit állítólagosan sérelem éri.

70.      Márpedig pontosan ez a helyzet azon jogsértés megszüntetése iránti kereset esetén, amelyet az országos szövetség indított a Facebook Irelanddal szemben.

71.      Emlékeztetek ugyanis arra, hogy a kérdést előterjesztő bíróság szerint és az országos szövetség kérelmeinek megfelelően a Facebook Ireland nem teljesítette a 2016/679 rendelet 12. cikke (1) bekezdésének első mondata alapján őt terhelő azon kötelezettséget, hogy az érintett részére a személyes adatok kezelésére vonatkozó, az e rendelet 13. cikke (1) bekezdésének c) és e) pontja szerinti tájékoztatást – amely az adatkezelés céljára és a személyes adatok címzettjeire irányul – tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa. E rendelkezések kétségkívül azok közé tartoznak, amelyek alanyi jogokat keletkeztetnek az érintettek számára, amit megerősít azon megállapítás, hogy a szóban forgó rendeletnek „Az érintett jogai” címet viselő III. fejezetében kerültek szabályozásra. Ennélfogva, e jogok védelmét mind közvetlenül az érintettek, mind pedig a 2016/679 rendelet 80. cikkének (1) bekezdése, vagy az e rendelet 80. cikkének (2) bekezdését végrehajtó nemzeti rendelkezések alapján feljogosított szervezetek érvényesíthetik.

72.      Úgy vélem továbbá, hogy a 2016/679 rendelet 80. cikkének (2) bekezdésével nem ellentétesek azon nemzeti rendelkezések, amelyek egy fogyasztói érdekvédelmi egyesületet felhatalmaznak arra, hogy jogsértés megszüntetése iránti keresetet indítsanak annak érdekében, hogy az e rendeletből származó jogok tiszteletben tartását biztosítsák olyan szabályok révén, amelyek tárgya a fogyasztók védelme vagy a tisztességtelen kereskedelmi gyakorlatok alkalmazása elleni küzdelem. Az ilyen szabályok ugyanis tartalmazhatnak a szóban forgó rendeletben szereplőkhöz hasonló rendelkezéseket, különösen az érintettek tájékoztatását és személyes adataik kezelését illetően,(47) aminek következtében a személyes adatok védelmével kapcsolatos szabályok megsértése egyúttal maga után vonhatja a fogyasztóvédelmi szabályok vagy a tisztességtelen kereskedelmi gyakorlatokra vonatkozó szabályok sérelmét is. A 2016/679 rendelet 80. cikke (2) bekezdésének szövege alapján semmi nem gátolja ezen engedő rendelkezés részleges végrehajtását abban az értelemben, hogy a képviseleti kereset azon jogok védelmét célozza, amelyek az érintetteket fogyasztói minőségükben e rendelet alapján megilletik.(48)

73.      A 2016/679 rendelet 80. cikke (2) bekezdésének ekként javasolt értelmezése álláspontom szerint a legalkalmasabb az e rendelet által megvalósítani kívánt célkitűzések eléréséhez.

74.      E tekintetben a Bíróság megállapította, hogy „amint az a 2016/679 rendelet (10), (11) és (13) preambulumbekezdésével összefüggésben értelmezett 1. cikkének (2) bekezdéséből következik, e rendelet az uniós intézményekre, szervekre és hivatalokra, valamint a tagállamok hatáskörrel rendelkező hatóságaira azt a feladatot rója, hogy biztosítsák az EUMSZ 16. cikkben és a[z Európai Unió Alapjogi Chartájának] 8. cikkében garantált jogok magas szintű védelmét”.(49) Egyébiránt, a szóban forgó rendelet a természetes személyek alapvető jogainak és szabadságainak, különösen a magánélet tiszteletben tartásához és a személyes adatok védelméhez való joguk hatékony védelmét” kívánja biztosítani.(50)

75.      Ellentétes lenne a személyes adatok magas szintű védelmének biztosítására irányuló célkitűzéssel, ha a tagállamokat megakadályoznák abban, hogy olyan intézkedéseket fogadjanak el, amelyek a fogyasztóvédelmi célok mellett hozzájárulnak a személyes adatok védelmére irányuló célkitűzések megvalósításához. A 95/46 irányelvre vonatkozó megállapításokhoz hasonlóan ezúttal is meg lehet állapítani, hogy a 2016/679 rendelet hatálybalépését követően a fogyasztói érdekvédelmi egyesületeknek az e rendelet rendelkezéseit sértő adatkezelések megszüntetésére való kötelezéssel kapcsolatos felhatalmazása hozzájárul az érintettek jogainak kollektív jogorvoslati mechanizmus útján történő védelméhez.(51)

76.      Ily módon, a fogyasztók kollektív érdekeinek egyesületek általi védelme különösen illeszkedik a személyes adatok magas szintű védelmét célzó célkitűzéshez. Ebből a szempontból, az ezen egyesületek által indított keresetek megelőző funkciója nem lenne biztosítható, ha a 2016/679 rendelet 80. cikkének (2) bekezdése szerinti képviseleti keresetben csak a jogsérelem által egyedileg és konkrétan érintett személyek jogainak sérelmére lehetne hivatkozni.

77.      Az országos szövetséghez hasonló fogyasztói érdekvédelmi egyesület által indított, a jogsértés megszüntetésére irányuló kereset tehát vitathatatlanul hozzájárul a 2016/679 rendelet által védelemben részesített jogok hatékony alkalmazásának biztosításához.(52)

78.      Másfelől legalábbis ellentmondásos helyzetet eredményezne, ha a személyes adatok védelmére vonatkozó szabályok ellenőrző intézkedéseinek az uniós jogalkotó által a 2016/679 rendelet elfogadása révén elérni kívánt megerősítése végső soron alacsonyabb szintű védelmet eredményezne, mint amit a tagállamok a 95/46 irányelv hatálya alatt biztosíthattak.

79.      Való igaz, hogy az Amerikai Egyesült Államoktól eltérően az uniós jogban az egyrészről a tisztességtelen kereskedelmi gyakorlatokra, másrészről a személyes jogok védelmére vonatkozó szabályozás külön fejlődött ki. E két jogterület tehát egymástól különböző szabályrendszer tárgyát képezi.

80.      Mindazonáltal létezik átfedés e két terület között oly módon, hogy a személyes adatok védelméről szóló szabályozás keretén belül indított keresetek egyidejűleg vagy közvetett módon hozzájárulhatnak valamely tisztességtelen kereskedelmi gyakorlat megszüntetéséhez. Az ellenkező is igaz.(53) Egyébiránt, a személyes adatok védelme – az ezen adatok kezeléséhez adott hozzájárulás szempontjából – és a fogyasztóvédelem kapcsolata kifejezésre kerül magában a 2016/679 rendeletben, többek között annak (42) preambulumbekezdésében. Egyébiránt az Európai Bizottság hangsúlyozta a személyes adatok védelméről szóló uniós szabályozás és a 2005/29/EK irányelv kölcsönhatását.(54)

81.      A személyes adatok védelmére vonatkozó jog, a fogyasztóvédelmi jog és a versenyjog gyakran és számos ponton kapcsolódik egymáshoz, mivel ugyanazon magatartás egyszerre tartozhat az említett különböző területekhez tartozó jogszabályok hatálya alá. Ezek a kapcsolódási pontok hozzájárulnak a személyes adatok védelmének hatékonyabbá tételéhez.(55)

82.      Kétségtelen, hogy a 2016/679 rendeletben szabályozott jogok jogosultjai nem korlátozódnak a fogyasztók csoportjára, mivel e rendelet a személyes adatok kezelését illetően nem a természetes személyek fogyasztói szempontú védelmén alapul,(56) hanem azon a megközelítésen, hogy az Alapjogi Charta 8. cikkének megfelelően, és amint arra a szóban forgó rendelet (1) preambulumbekezdése, valamint 1. cikkének (2) bekezdése is rámutat, ez a védelem alapvető jog.(57)

83.      Ez mit sem változtat azon a tényen, hogy a digitális gazdaság korában az érintettek gyakran egyben fogyasztók is. Ez az oka annak, hogy gyakran hivatkoznak a fogyasztóvédelmi szabályokra annak érdekében, hogy ez utóbbiak számára védelmet biztosítsanak a személyes adataiknak a 2016/679 rendelet rendelkezéseit sértő kezelése esetén.

84.      Ezen elemzés alapján úgy vélem, hogy létezhet átfedés a 2016/679 rendelet 80. cikkének (2) bekezdése szerinti, illetve a 2020/1828 rendeletben foglalt, a jogsértés megszüntetésére irányuló intézkedések elfogadását célzó képviseleti kereset között, abban az esetben, ha az e rendelet szerinti „érintettek” az irányelv 3. cikkének 1. pontja értelmében „fogyasztó” minőséggel is rendelkeznek.(58) Álláspontom szerint megfigyelhető a személyes adatok védelmére irányadó jog és más jogterületek, így a fogyasztóvédelmi jog és a versenyjog egymást kiegészítő jellege és összhangja. A szóban forgó irányelv elfogadásával az uniós jogalkotó még messzebb ment, és a fogyasztók kollektív érdekeinek a védelmét kifejezetten a 2016/679 rendelet tiszteletben tartásához kapcsolta. Az utóbbiban szereplő szabályok hatékony alkalmazása ennélfogva még jobban megerősítésre került.

V.      Végkövetkeztetés

85.      A fenti megfontolások összessége alapján azt javasolom a Bíróságnak, hogy a Bundesgerichtshof (szövetségi legfelsőbb bíróság, Németország) által feltett kérdésekre a következő választ adja:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 80. cikkének (2) bekezdésével nem ellentétes az olyan nemzeti szabályozás, amely a fogyasztói érdekvédelmi egyesületek számára lehetővé teszi, hogy bíróságok előtt indított kereset útján fellépjenek a személyes adatok védelmének állítólagos megsértőjével szemben a tisztességtelen kereskedelmi gyakorlatok tilalmának, valamely fogyasztóvédelemről szóló törvény megsértésének vagy az érvénytelen általános szerződési feltételek alkalmazása tilalmának szempontja alapján, abban az esetben, ha a szóban forgó képviseleti kereset célja a vitatott adatkezelés által érintett személyek e rendeletből közvetlenül származó jogainak érvényesítése.

1      Eredeti nyelv: francia.

2      A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27‑i európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.).

3      A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.).

4      Lásd: 2019. július 29‑i Fashion ID ítélet (C‑40/17, a továbbiakban: Fashion ID ítélet, EU:C:2019:629).

5      Lásd továbbá: e rendelet (142) preambulumbekezdése.

6      BGBl. 2004 I, 1414. o.; a továbbiakban: UWG.

7      BGBl. 2001 I, 3173. o.; a továbbiakban: UKlaG.

8      HL 2009. L 110., 30. o.

9      BGBl. 2007 I, 179. o.; a továbbiakban: TMG.

10      Az érintettek képviseletét ugyancsak lehetővé teszi a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018. október 23‑i (EU) 2018/1725 európai parlamenti és tanácsi rendelet 67. cikke (HL 2018. L 295., 39. o.), valamint a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/680 rendelet 55. cikke (HL 2016. L 119, 89. o.). E két esetben megbízáson alapuló képviseletről van szó.

11      Ez az irányvonal, amelyet többek között a 2009/22 rendelet fogalmazott meg, a fogyasztók kollektív érdekeinek védelmére irányuló képviseleti keresetekről és a 2009/22/EK irányelv hatályon kívül helyezéséről szóló, 2020. november 25‑i (EU) 2020/1828 európai parlamenti és tanácsi rendelet (HL 2020. L 409., 1. o.) elfogadását eredményezte. Ez utóbbi rendelet átültetésének határideje 2022. december 25. Lásd e tekintetben: Pato, A., „Collective Redress Mechanisms in the EU”, Jurisdiction and CrossBorder Collective Redress: A European Private International Law Perspective, Bloomsbury Publishing, London, 2019., 45–117. o. Lásd továbbá: Gsell, B., „The New European Directive on Representative Actions for the Collective Interests of Consumers – A Huge, but Blurry Step Forward”, Common Market Law Review, 58. kötet, 5. szám, Kluwer Law International, Alphen aan den Rijn, 2021., 1365–1400. o.

12      Lásd: Fashion ID ítélet (63. pont és a rendelkező rész).

13      Lásd: Fashion ID ítélet (47. pont).

14      Lásd: Fashion ID ítélet (48. pont).

15      Lásd Fashion ID ítélet (49. pont).

16      Lásd Fashion ID ítélet (50. pont).

17      Lásd Fashion ID ítélet (51. pont).

18      Lásd Fashion ID ítélet (56. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

19      Lásd Fashion ID ítélet (57. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

20      Lásd Fashion ID ítélet (59. pont).

21      Dőlt betűs kiemelés tőlem.

22      Amint azt a Bíróság a 2021. június 15‑i Facebook Ireland és társai ítéletben (C‑645/19, EU:C:2021:483, 44. pont) hangsúlyozta.

23      A 2016/679 rendelet preambuluma alapján megállapítható, hogy azt az EUMSZ 16. cikk alapján fogadták el; e cikk (2) bekezdése értelmében a természetes személyeknek az uniós intézmények, szervek és hivatalok által, illetve az uniós jog alkalmazási körébe tartozó tevékenységeik során a személyes adataiknak a tagállamok által végzett feldolgozása tekintetében történő védelmére, valamint az ilyen adatok szabad áramlására vonatkozó szabályokat rendes jogalkotási eljárás keretében az Európai Parlament és a Tanács állapítja meg.

24      A 2016/679 rendelethez hasonló jogszabály által megvalósított jogharmonizáció terjedelmének vizsgálata ennélfogva egy „mikroszintű elemzésre irányul, amelynek tárgyát valamely konkrét szabály, vagy legjobb esetben az uniós jog valamely konkrét és kellően meghatározott aspektusa képezi”; lásd: Bobek főtanácsnok Dzivev és társai ügyre vonatkozó indítványa (C‑310/16, EU:C:2018:623, 74. pont). Lásd továbbá: Mišćenić, E. és Hoffmann, A.‑L., „The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)”, EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek, 2020., 4. szám, 44–61. o., amelynek értelmében: „[i]t is […] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them” (49. o.).

25      Lásd: 2003. november 6‑i Lindqvist ítélet (C‑101/01, EU:C:2003:596, 96. pont).

26      A 95/46 irányelvvel kapcsolatban lásd: 2003. november 6‑i Lindqvist ítéletet (C‑101/01, EU:C:2003:596, 97. pont). Ellentétben néhány tévhittel, az uniós jogalkotó azon döntése, hogy irányelv helyett rendelet útján szabályozzon, nem feltétlenül jár a szóban forgó terület teljes harmonizációjával. Lásd: Mišćenić, E. és Hoffmann, A.‑L., i. m., rámutatnak arra, hogy „an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, […] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules” (48. o.).

27      Lásd többek között: 2021. június 15‑i Facebook Ireland és társai ítélet (C‑645/19, EU:C:2021:483, 110. pont, valamint az ott hivatkozott ítélkezési gyakorlat). Lásd, továbbá, korábban egy irányelv által szabályozott területet illetően: 2011. december 21‑i Danske Svineproducenter ítélet (C‑316/10, EU:C:2011:863, 42. pont), amelyben a Bíróság pontosította, hogy „az a körülmény, hogy az állatok szállítás közbeni védelmére vonatkozó uniós szabályozás már rendeletben szerepel, nem jelenti szükségszerűen azt, hogy valamennyi, e szabályozást végrehajtó nemzeti intézkedés tiltott”.

28      Lásd: 1971. október 27‑i Rheinmühlen Düsseldorf ítélet (6/71, EU:C:1971:100).

29      A Bíróság ezért határozott úgy, hogy egy tagállam azon döntése, hogy nem érvényesíti valamely rendelet által felkínált szabályozási lehetőséget, nem sérti az EUMSZ 288. cikket; lásd: 2015. december 17‑i Imtech Marine Belgium ítélet (C‑300/14, EU:C:2015:825, 27–31. pont). Hasonlóképpen, a tagállamok által engedélyezhető vagy azt megtagadható export‑visszatérítést szabályozó rendelet tekintetében lásd: 1971. október 27‑i Rheinmühlen Düsseldorf ítélet (6/71, EU:C:1971:100).

30      Az engedő rendelkezéseket illetően lásd: Wagner, J. és Benecke, A., „National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law”, European Data Protection Law Review, Lexxion, Berlin, 2. kötet, 3. szám, 2016, 353–361. o.

31      Lásd különösen: a 2016/679 rendelet 51. és 84. cikke.

32      Lásd többek között: a 2016/679 rendelet 6. cikkének (2) és (3) bekezdése, 8. cikke (1) bekezdése második sora, valamint a 85–89. cikk.

33      Lásd e tekintetben: Mišćenić, E. és Hoffmann, A.‑L., i. m., akik megállapították, hogy „[d]espite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, […] the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses […] open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation” (50–51. o.).

34      A 95/46 irányelv 28. cikkének (4) bekezdésében pusztán azt tette lehetővé, hogy egy egyesület a felügyelő hatóságok előtt panaszt nyújtson be egy olyan személy nevében, aki állítása szerint a személyes adatainak kezelése során jogsérelmet szenvedett.

35      Kivételt képez mindazonáltal a megbízáson alapuló képviseleti kereset indítása, amelynek célja az érintettek nevében történő kártérítés követelése, ami fakultatív marad a tagállamok számára.

36      Lásd analógia útján: 2011. december 21‑i Danske Svineproducenter ítélet (C‑316/10, EU:C:2011:863, 43. pont).

37      Lásd: Pato, A. „The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights”, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Luxemburg, 2019., 98–106. o. A szerző szerint: „[t]he number of actors who potentially have standing to sue is broad” és „[c]onsumer associations will usually meet those requirements easily” (99. o.).

38      Kiemelés tőlem. Ugyanezen rendelkezés értelmében „azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható”. Amint az megállapításra kerül a következő műben: Martial‑Braz, N. „Le champ d’application du RGPD”. In: Bensamoun, A. és Bertrand, B. „Le règlement général sur la protection des données, Aspects institutionnels et matériels” Mare et Martin, Párizs, 2020., 19–33. o., „az azonosíthatóság igen szélesen értelmezendő, mivel a személyt azonosító kritérium minden olyan észszerű eszköz lehet, amely valószínűsíthetően felhasználható a személy azonosítására” (24. o.). Lásd, többek között, az „azonosítható személy” fogalommal kapcsolatban, a 95/46 irányelv 2. cikkének a) alpontja értelmében: 2016. október 19‑i Breyer ítélet (C‑582/14, EU:C:2016:779).

39      Lásd: Boehm, F., „Artikel 80 Vertretung von betroffenen Personen”. In: Simitis, S., Hornung, G. és Spiecker Döhmann, I., „Datenschutzrecht, DSGVO mit BDSG”, Nomos, Baden‑Baden, 2019., különösen a 13. pont.

40      Lásd: Frenzel, E. M., „Art. 80 Vertretung von betroffenen Personen”. In: Paal, B. P. és Pauly, D. A., „DatenschutzGrundverordnung, Bundesdatenschutzgesetz”, 3. kiadás, C. H. Beck, München, 2021., különösen a 11. pont, valamint Kreße, B., „Artikel 80 Vertretung von betroffenen Personen”. In: Sydow, G., „Europäische Datenschutzverordnung”, 2. kiadás., Nomos, Baden‑Baden, 2018., különösen a 13. pont.

41      Lásd: Moos, F. és Schefzig, J., „Art. 80 Vertretung von betroffenen Personen”. In: Taeger, J. és Gabel, D., „Kommentar DSGVO – BDSG”, 3. kiadás, Deutscher Fachverlag, Majna‑Frankfurt, 2019., különösen a 22. pont.

42      Lásd többek között a szolgáltatók és fogyasztók között létrejött szerződésekben megjelenő tisztességtelen feltételeket illetően: 2016. április 14‑i Sales Sinués és Drame Ba ítélet (C‑381/14 és C‑385/14, EU:C:2016:252, 29. pont).

43      Lásd a 2020/1828 irányelv (33) preambulumbekezdését, valamint 8. cikke (3) bekezdésének a) alpontját, amelynek értelmében: „[a] feljogosított szervezet nem kötelezhető arra, hogy bizonyítsa […] a 2. cikk (1) bekezdésében említettek szerinti jogsértés által érintett egyéni fogyasztók által elszenvedett tényleges veszteséget vagy kárt”. Egyébiránt, bár ezen irányelv 7. cikkének (2) bekezdése azt kívánja meg, hogy a feljogosított szervezetnek „elegendő információt kell szolgáltatnia a bíróság vagy a közigazgatási hatóság számára a képviseleti kereset által érintett fogyasztókról”, a szóban forgó irányelv (34) preambulumbekezdése értelmében ezen információk – amelyeknek a részletezettségi szintje változó lehet attól függően, hogy milyen intézkedésért folyamodik a feljogosított szervezet – nem kívánják meg a szóban forgó jogsérelem által érintett fogyasztók egyenkénti azonosítását, hanem inkább olyan információkról van szó, hogy hol következett be a fogyasztókat hátrányosan érintő esemény, vagy hogy a képviseleti kereset milyen fogyasztói csoportot érint (lásd ugyancsak: a 2020/1828 irányelv (65) preambulumbekezdése). Egyébiránt megállapítom, hogy még akkor is, ha a képviseleti kereset jogorvoslati intézkedések meghozatalára irányul, a 2020/1828 irányelv (49) preambulumbekezdése úgy rendelkezik, hogy „nem lehet előírni a feljogosított szervezet számára, hogy egyenként azonosítsa a képviseleti kereset által érintett minden egyes fogyasztót”. Lásd e tekintetben: Gsell, B., i. m., különösen 1370. o.

44      Lásd: 2020/1828 irányelv 2. cikkének (1) bekezdése.

45      Lásd a 2009/22 irányelv (3) preambulumbekezdését, amely kifejti, hogy a hatálya alá tartozó jogsértés megszüntetésére irányuló keresetek célja a „fogyasztók kollektív érdekeinek” védelme, ez utóbbiak „nem a jogsértő magatartás következtében károsuló magánszemélyek érdekeinek egyszerű halmozódását” jelentik. A 2020/1828 irányelv 3. cikkének 3. pontja értelmében a „fogyasztók kollektív érdekei” úgy kerülnek meghatározásra mint „a fogyasztók általános érdeke, valamint – különösen a jogorvoslati intézkedések esetében – a fogyasztók egy csoportjának érdekei”.

46      Kiemelés tőlem.

47      Lásd: Helberger, N., Zuiderveen Borgesius, F. és Reyna, A., „The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law”, Common Market Law Review, 54. kötet, 5. szám, Kluwer Law International, Alphen aan den Rijn, 2017., 1427–1465. o., amely megállapítja, hogy „[o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual” (1437. o.).

48      Lásd: Neun, A. és Lubitzsch, K. „Die neue EU‑Datenschutz‑Grundverordnung – Rechtsschutz und Schadensersatz”, BetriebsBerater, Deutscher Fachverlag, Majna‑Frankfurt, 2017., 2563–2569. o., különösen 2567. o.

49      Lásd: 2021. június 15‑i Facebook Ireland és társai ítélet (C‑645/19, EU:C:2021:483, 45. pont).

50      Lásd: 2021. június 15‑i Facebook Ireland és társai ítélet (C‑645/19, EU:C:2021:483, 91. pont).

51      Lásd: Bobek főtanácsnok Fashion ID ügyre vonatkozó indítványa (C‑40/17, EU:C:2018:1039, 33. pont).

52      A fogyasztói érdekvédelmi egyesületek által indított keresetekre vonatkozó példákért lásd: Helberger, N., Zuiderveen Borgesius, F. és Reyna, A., i. m., különösen 1452. és 1453. o.

53      A személyes adatok védelmével kapcsolatos, valamint a tisztességtelen kereskedelmi gyakorlatok abbahagyása iránti keresetek egymást kiegészítő jellegét illetően lásd: van Eijk, N., Hoofnagle, C. J. és Kannekens, E. „Unfair Commercial Practices: A Complementary Approach to Privacy Protection”, European Data Protection Law Review, Lexxion, Berlin, 3. kötet, 3. szám, 2017., 325–337. o., amely megállapítja, hogy „[t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective” (336. o.).

54      A belső piacon az üzleti vállalkozások fogyasztókkal szemben folytatott tisztességtelen kereskedelmi gyakorlatairól, valamint a 84/450/EGK tanácsi irányelv, a 97/7/EK, a 98/27/EK és a 2002/65/EK európai parlamenti és tanácsi irányelvek, valamint a 2006/2004/EK európai parlamenti és tanácsi rendelet módosításáról szóló, 2005. május 11‑i 2005/29/EK európai parlamenti és tanácsi irányelv („Irányelv a tisztességtelen kereskedelmi gyakorlatokról”) (HL 2005. L 149, 22. o.). Lásd: Bizottsági szolgálati munkadokumentum – Iránymutatás a tisztességtelen kereskedelmi gyakorlatról szóló 2005/29/EK irányelv végrehajtásához/alkalmazásához, amely a következő dokumentumot kíséri: A Bizottság közleménye az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának az európai polgárokat és vállalkozásokat szolgáló elektronikus kereskedelem ösztönzésének átfogó módszere [SWD(2016) 163 final], különösen az 1.4.10. pont, 26–31. o. Az Európai Bizottság e dokumentumban kihangsúlyozza a tisztességes adatkezelés követelményét, amely azzal jár, hogy az érintettet tájékoztatják bizonyos számú lényeges információról, különösen a szóban forgó személyes adatok feldolgozásának a céljáról (28. o.). Az Európai Bizottság ugyancsak rámutat arra, hogy „[a] [95/46] irányelv és az [az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv) (HL 2002. L 201., 37. o.; magyar nyelvű különkiadás: 13. fejezet, 29. kötet, 514. o.)] kereskedő általi megsértése […] önmagában nem mindig jelenti, hogy az adott gyakorlat a [2005/29] irányelvet is sérti”. Mindazonáltal, az Európai Bizottság szerint „[a]z ilyen adatvédelmi szabálysértéseket azonban a kereskedelmi gyakorlatok általános tisztességtelenségének tisztességtelen kereskedelmi gyakorlatokról szóló irányelv értelmében történő vizsgálatakor kell mérlegelni, különösen olyan helyzetekben, ahol a kereskedő a fogyasztói adatokat az adatvédelmi előírásokat megszegve kezeli, pl. direkt marketing célokra vagy bármely más kereskedelmi célra, mint például a profilírozás, személyes árazás vagy adatbanki felhasználásra” (30. o.).

55      E témában lásd különösen: Helberger, N., Zuiderveen Borgesius, F. és Reyna, A., i. m., amelyben megállapításra kerül, hogy „data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets” (1429. o.). Lásd ugyancsak: van Eijk, N., Hoofnagle, C. J. és Kannekens, E., i. m., különösen a 336. o. A személyes adatoknak az elektronikus kommunikáció területén történő védelme, valamint a vállalkozásoknak a fogyasztókkal szembeni tisztességtelen kereskedelmi gyakorlatát tiltó szabályok kiegészítő jellegének bemutatása kapcsán lásd a StWL Städtische Werke Lauf a.d. Pegnitz ügyre vonatkozó indítványomat (C‑102/20, EU:C:2021:518).

56      Lásd: Martial‑Braz, N., i. m., különösen a 23. o.

57      Lásd: 2021. június 15‑i Facebook Ireland és társai ítélet (C‑645/19, EU:C:2021:483, 44. pont).

58      Lásd a 2020/1828 irányelv (14) preambulumbekezdését, amelynek értelmében ezen irányelvnek „kizárólag abban az esetben kell az [I. mellékletben felsorolt uniós jogi rendelkezéseket érintő] jogsértések miatt hátrányt szenvedett vagy esetlegesen hátrányt szenvedő természetes személyek érdekeit védenie, ha ezek a személyek ezen irányelv szerint fogyasztónak minősülnek”.