A BÍRÓSÁG ÍTÉLETE (második tanács)
2019. július 29.(*)
„Előzetes döntéshozatal – A természetes személyeknek a személyes adatok kezelése vonatkozásában való védelme – 95/46/EK irányelv – A 2. cikk d) pontja – Az »adatkezelő« fogalma – A honlapján olyan közösségi modult elhelyező honlap‑üzemeltető, amely a honlap látogatója személyes adatainak az említett modul szolgáltatója részére való közlését teszi lehetővé – A 7. cikk f) pontja – Az adatkezelés jogszerűsége – A honlap‑üzemeltető vagy a közösségi modul szolgáltatója érdekének figyelembevétele – A 2. cikk h) pontja és a 7. cikk a) pontja – Az érintett hozzájárulása – 10. cikk – Az érintett tájékoztatása – Fogyasztói érdekvédelmi egyesületek számára bírósági eljárás kezdeményezését lehetővé tévő nemzeti szabályozás”
A C‑40/17. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet az Oberlandesgericht Düsseldorf (düsseldorfi regionális felsőbíróság, Németország) a Bírósághoz 2017. január 26‑án érkezett, 2017. január 19‑i határozatával terjesztett elő
a Fashion ID GmbH & Co. KG
és
a Verbraucherzentrale NRW eV
között,
a Facebook Ireland Ltd,
a Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen
részvételével folyamatban lévő eljárásban,
A BÍRÓSÁG (második tanács),
tagjai: K. Lenaerts, a Bíróság elnöke, a második tanács elnökeként eljárva, A. Prechal, C. Toader, A. Rosas (előadó) és M. Ilešič bírák,
főtanácsnok: M. Bobek,
hivatalvezető: D. Dittert egységvezető,
tekintettel az írásbeli szakaszra és a 2018. szeptember 6‑i tárgyalásra,
figyelembe véve a következők által előterjesztett észrevételeket:
– a Fashion ID GmbH & Co. KG képviseletében C.‑M. Althaus és J. Nebel Rechtsanwälte,
– a Verbraucherzentrale NRW eV képviseletében K. Kruse, C. Rempe és S. Meyer Rechtsanwälte,
– a Facebook Ireland Ltd képviseletében H.‑G. Kamann, C. Schwedler és M. Braun Rechtsanwälte, valamint I. Perego avvocatessa,
– a Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen képviseletében U. Merger, meghatalmazotti minőségben,
– a német kormány képviseletében kezdetben: T. Henze és J. Möller, később: J. Möller, meghatalmazotti minőségben,
– a belga kormány képviseletében P. Cottin és L. Van den Broeck, meghatalmazotti minőségben,
– az olasz kormány képviseletében G. Palmieri, meghatalmazotti minőségben, segítője: P. Gentili avvocato dello Stato,
– az osztrák kormány képviseletében kezdetben: C. Pesendorfer, később: G. Kunnert, meghatalmazotti minőségben,
– a lengyel kormány képviseletében B. Majczyna, meghatalmazotti minőségben,
– az Európai Bizottság képviseletében H. Krämer és H. Kranenborg, meghatalmazotti minőségben,
a főtanácsnok indítványának a 2018. december 19‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) 2., 7., 10. és 22–24. cikkének értelmezésére vonatkozik.
2 E kérelmet a Fashion ID GmbH & Co. KG és a Verbraucherzentrale NRW eV között annak tárgyában folyamatban lévő jogvitában terjesztették elő, hogy a Fashion ID a honlapján elhelyezte a Facebook Ireland Ltd közösségi modulját.
Jogi háttér
Az uniós jog
3 A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (HL 2016. L 119., 1. o.; helyesbítés: HL 2016. L 314., 72. o.) 2018. május 25‑i hatállyal hatályon kívül helyezte és felváltotta a 95/46 irányelvet. Az alapügyre azonban tényállásának időpontjára tekintettel az irányelvet kell alkalmazni.
4 A 95/46 irányelv (10) preambulumbekezdése a következőképpen szól:
„[M]ivel a személyes adatok feldolgozására [helyesen: kezelésére] vonatkozó nemzeti jogszabályok célja az alapvető jogok és szabadságok, különösen a magánélet tiszteletben tartásához való jog védelme, amelyet mind [a Rómában, 1950. november 4‑én aláírt,] az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 8. cikke, mind a[z uniós] jog általános alapelvei elismernek; mivel ezért az említett jogszabályok közelítése nem vezethet az általuk nyújtott védelem szintjének csökkenéséhez, sőt, magas védelmi szintet kell biztosítson a[z Unión] belül”.
5 A 95/46 irányelv 1. cikke a következőképpen rendelkezik:
„(1) A tagállamok ezen irányelvnek megfelelően védik a természetes személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat a személyes adatok feldolgozása [helyesen: kezelése] tekintetében.
(2) A tagállamok nem korlátozhatják és nem tilthatják a személyes adatok tagállamok közötti szabad áramlását az (1) bekezdés értelmében biztosított védelemmel kapcsolatos indokok miatt.”
6 Ezen irányelv 2. cikke a következőképpen rendelkezik:
„Ezen irányelv alkalmazásában:
a) »személyes adat« az azonosított vagy azonosítható természetes személyre (»érintettre«) vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, szellemi [helyesen: mentális], gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén;
b) »személyes adatok feldolgozása« (»feldolgozás«) [helyesen: »személyes adatok kezelése« (»kezelés«)]: a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés [helyesen: lekérdezés], felhasználás, közlés, továbbítás [helyesen: továbbítás általi közlés], terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés;
[…]
d) »adatkezelő« az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának [helyesen: kezelésének] céljait és módját; ha a célokat és módokat egy adott nemzeti vagy [uniós] jogszabály határozza meg, az adatkezelőt vagy a kinevezésére vonatkozó külön szempontokat ez a nemzeti vagy [uniós] jogszabály jelöli ki;
[…]
f) »harmadik személy« az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely nem azonos az érintettel, az adatkezelővel, a feldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy a feldolgozó közvetlen felügyelete alatt felhatalmazást kaptak az adatok feldolgozására [helyesen: kezelésére];
g) »címzett« az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, akinek vagy amelynek a részére az adatot továbbítják, függetlenül attól, hogy harmadik személy‑e, vagy sem; mindazonáltal azok a hatóságok, amelyek egyedi megkeresés alapján kapnak adatokat, nem tekinthetők címzettnek;
h) »az érintett hozzájárulása« az érintett kívánságának önkéntes, kifejezett és tájékozott kinyilvánítása [helyesen: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló kinyilvánítása], amellyel beleegyezését adja az őt érintő személyes adatok feldolgozásához [helyesen: kezeléséhez].”
7 Az említett irányelv 7. cikke a következőket mondja ki:
„A tagállamok rendelkeznek arról, hogy a személyes adatok csak abban az esetben dolgozhatók fel [helyesen: kezelhetők], ha:
a) az érintett ahhoz egyértelmű hozzájárulását adta;
vagy
[…]
f) az adatfeldolgozás [helyesen: adatkezelés] az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű [helyesen: jogos] érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek az 1. cikk (1) bekezdése értelmében védelmet élvező érdekei az alapvető jogok és szabadságok tekintetében.”
8 Ugyanezen irányelv „Tájékoztatás az érintettől való adatgyűjtés esetében” című 10. cikke értelmében:
„A tagállamoknak rendelkezniük kell arról, hogy az adatkezelőnek vagy képviselőjének legalább az alábbiakról tájékoztatnia kell az érintettet, akitől a rá vonatkozó adatokat gyűjtik, kivéve, ha az érintett már rendelkezik ezen információkkal:
a) az adatkezelő, vagy ha van ilyen, képviselőjének személye;
b) az adatfeldolgozás [helyesen: adatkezelés] célja, amelyre az adatokat szánják;
c) minden olyan további adat, mint például:
– az adatok címzettjei vagy a címzettek kategóriái;
– hogy a kérdések megválaszolása kötelező vagy önkéntes, továbbá a válaszadás elmulasztásának lehetséges következményei,
– betekintési jog és az érintettre vonatkozó adatok helyesbítéséhez való jog,
amennyiben e további információk, tekintettel az adatgyűjtés sajátos körülményeire, az érintett vonatkozásában a tisztességes adatfeldolgozás [helyesen: adatkezelés] biztosításához szükségesek.”
9 A 95/46 irányelv 22. cikkének szövege a következő:
„A jogszabályban esetlegesen előírt közigazgatási jogorvoslat sérelme nélkül, amelynek keretében többek között a 28. cikkben meghatározott felügyelő hatósághoz lehet fordulni, a bíróság elé utalást megelőzően, a tagállamoknak biztosítaniuk kell mindenki számára a jogorvoslathoz való jogot bármely olyan jogának megsértése esetén, amelyet a szóban forgó adatfeldolgozásra [helyesen: adatkezelésre] alkalmazandó nemzeti jog biztosít számára.”
10 Ezen irányelv 23. cikke a következőket mondja ki:
„(1) A tagállamoknak rendelkezniük kell arról, hogy mindenki, aki jogellenes adatfeldolgozási [helyesen: adatkezelési] művelet vagy az ezen irányelv értelmében elfogadott nemzeti rendelkezésekkel összeegyeztethetetlen intézkedés eredményeképpen kárt szenvedett, az adatkezelőtől kártérítésre jogosult az elszenvedett károkért.
(2) Az adatkezelő részben vagy egészben mentesül e felelősség alól, ha bizonyítja, hogy a kárt okozó eseményért nem felelős.”
11 Az említett irányelv 24. cikke a következőket írja elő:
„A tagállamok elfogadják a megfelelő intézkedéseket ezen irányelv rendelkezéseinek maradéktalan végrehajtása érdekében és különösen megállapítják az irányelv értelmében elfogadott rendelkezések megsértése esetén kiszabható szankciókat.”
12 Az irányelv 28. cikke a következőképpen rendelkezik:
„(1) Minden tagállamnak rendelkeznie kell arról, hogy az ezen irányelv értelmében a tagállam által elfogadott nemzeti rendelkezéseknek a területén történő alkalmazását valamely hatóság vagy hatóságok felügyeljék.
E hatóságok a rájuk ruházott feladatok gyakorlása során teljes függetlenségben járnak el.
[…]
(3) A hatóságok különösen a következő jogosultságokkal rendelkeznek:
[…]
– bírósági eljárásban való részvétel joga az irányelv értelmében elfogadott nemzeti rendelkezések megsértése esetén, továbbá e jogsértések igazságszolgáltatási hatóságok elé terjesztésének joga.
[…]
(4) A felügyelő hatóságok foglalkoznak a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének jogainak vagy szabadságainak védelmével kapcsolatos, bármely személy vagy az őt képviselő szervezet által benyújtott kérelmekkel. A kérelem elbírálásáról értesíteni kell az érintett személyt.
[…]”
13 A 2009. november 25‑i 2009/136/EK európai parlamenti és tanácsi irányelvvel (HL 2009. L 337., 11. o.; helyesbítés: HL 2013. L 241., 9. o.) módosított, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv) (HL 2002. L 201., 37. o.; magyar nyelvű különkiadás 13. fejezet, 29. kötet, 514. o.; a továbbiakban: 2002/58 irányelv) 5. cikkének (3) bekezdése a következőképpen rendelkezik:
„A tagállamok gondoskodnak arról, hogy egy előfizető vagy felhasználó végberendezésében történő adattárolás, illetve az ott tárolt adatokhoz való hozzáférés csak azzal a feltétellel legyen megengedett, ha az érintett előfizető vagy felhasználó a [95/46] irányelvvel összhangban történő – többek között az adatkezelés céljairól szóló – egyértelmű és teljes körű tájékoztatás alapján ehhez előzetes hozzájárulását adta. Ez a rendelkezés nem akadályozza az olyan műszaki tárolást, illetve műszaki hozzáférést, amelynek kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közléstovábbítás, vagy amelyre az előfizető vagy felhasználó által kifejezetten kért, az információs társadalommal összefüggő szolgáltatás nyújtásához a szolgáltatónak feltétlenül szüksége van.”
14 A 2013. május 21‑i 524/2013/EU európai parlamenti és tanácsi rendelettel (HL 2013. L 165., 1. o.) módosított, a fogyasztói érdekek védelme érdekében a jogsértés megszüntetésére irányuló eljárásokról szóló, 2009. április 23‑i 2009/22/EK európai parlamenti és tanácsi irányelv (HL 2009. L 110., 30. o.; a továbbiakban: 2009/22 irányelv) 1. cikkének (1) bekezdése a következőképpen rendelkezik:
„Ennek az irányelvnek az a célja, hogy közelítse a fogyasztóknak az I. mellékletben felsorolt uniós jogi aktusokban foglalt kollektív érdekeinek védelmét célzó, a 2. cikkben említett jogsértés megszüntetésére irányuló eljárásokra vonatkozó tagállami törvényi, rendeleti és közigazgatási rendelkezéseket azért, hogy biztosítsa a belső piac zavartalan működését.”
15 Ezen irányelv 2. cikke a következőket írja elő:
„(1) A tagállamok kijelölik azokat a bíróságokat vagy közigazgatási hatóságokat, amelyek hatáskörrel rendelkeznek arra, hogy döntsenek a 3. cikk értelmében feljogosított egységek által kezdeményezett olyan eljárásokban, amelyek a következőkre irányulnak:
a) valamennyi jogsértés megszüntetése vagy megtiltása kellő gyorsasággal, adott esetben sürgősségi eljárással;
[…]”
16 Az említett irányelv 7. cikke a következőképpen rendelkezik:
„Ez az irányelv nem akadályozza meg a tagállamokat abban, hogy olyan rendelkezéseket tartsanak fenn vagy fogadjanak el, amelyek a feljogosított egységek vagy bármely más érintett személy részére nemzeti szinten szélesebb cselekvési lehetőség biztosítását célozzák.”
17 A 2016/679 rendelet 80. cikke a következőképpen szól:
„(1) Az érintett jogosult arra, hogy panaszának a nevében történő benyújtásával, a 77., 78. és 79. cikkben említett jogoknak a nevében való gyakorlásával, valamint – ha a tagállam joga ezt lehetővé teszi – a 82. cikkben említett kártérítési jognak a nevében történő érvényesítésével olyan nonprofit jellegű szervet, szervezetet vagy egyesületet bízzon meg, amelyet valamely tagállam jogának megfelelően hoztak létre, és amelynek az alapszabályában rögzített céljai a közérdeket szolgálják, és amely az érintettek jogainak és szabadságainak a személyes adataik vonatkozásában biztosított védelme területén tevékenykedik.
(2) A tagállamok rendelkezhetnek úgy, hogy az adott tagállamban az e cikk (1) bekezdésében említett bármely szerv, szervezet vagy egyesület – az érintettől kapott megbízástól függetlenül – jogosult legyen arra, hogy a 77. cikk alapján eljárni jogosult felügyeleti hatósághoz panaszt nyújtson be, valamint hogy gyakorolja a 78. és 79. cikkben említett jogokat, ha megítélése szerint az érintett személyes adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait.”
A német jog
18 A Gesetz gegen den unlauteren Wettbewerb (a tisztességtelen verseny tilalmáról szóló törvény) alapügyben alkalmazandó változata (a továbbiakban: UWG) 3. cikkének (1) bekezdése a következőket mondja ki:
„A tisztességtelen kereskedelmi gyakorlatok alkalmazása jogellenes.”
19 Az UWG 3a. cikkének szövege a következő:
„Tisztességtelenül jár el, aki a piaci magatartás gazdasági szereplők érdekében történő szabályozására is irányuló valamely jogszabályt megsért, ha a jogsértés alkalmas arra, hogy érzékelhetően csorbítsa a fogyasztók, a piac egyéb résztvevői vagy a versenytársak érdekeit.”
20 Az UWG 8. §‑a a következőképpen rendelkezik:
„(1) Azzal szemben, aki a 3. vagy 7. § értelmében tiltott kereskedelmi tevékenységet végez, e tevékenység azonnali megszüntetésére kötelezés (abbahagyás) iránti, ismétlődő jogsértés veszélye esetén pedig tartózkodásra kötelezés (eltiltás) iránti kérelemmel lehet fellépni. A tartózkodásra kötelezés (eltiltás) iránti kérelem már akkor is előterjeszthető, ha a 3. § vagy a 7. § ilyen megsértésének veszélye felmerül.
[…]
(3) Az (1) bekezdésben említett intézkedések elrendelését kérelmezheti:
[…]
3. azon feljogosított egység, amely bizonyítja, hogy szerepel a feljogosított egységeknek az Unterlassungsklagegesetz [(a jogsértés megszüntetése iránti keresetekről szóló törvény)] 4. §‑a szerinti listáján, vagy a [2009/22 irányelv] 4. cikkének (3) bekezdése szerinti bizottsági jegyzékben;
[…]”
21 A jogsértés megszüntetése iránti keresetekről szóló törvény 2. §‑a a következőket írja elő:
„(1) A fogyasztók védelme érdekében tartózkodásra kötelezés és a tevékenység azonnali megszüntetésére kötelezés iránti kereset indítható azzal szemben, aki a fogyasztók védelmét célzó rendelkezéseket (fogyasztóvédelemről szóló törvények) – az általános szerződési feltételek alkalmazásától vagy az azokra vonatkozó ajánlástól eltérő esetekben – megsérti. […]
(2) E rendelkezés alkalmazásában fogyasztóvédelemről szóló törvénynek minősülnek különösen a következők:
[…]
11. a jogszerűséget szabályozó rendelkezések az alábbiak tekintetében
a) a fogyasztó személyes adatainak vállalkozó általi gyűjtése vagy
b) a fogyasztóról gyűjtött személyes adatok vállalkozó általi kezelése vagy felhasználása,
ha az adatokat marketingcélra, piac‑ és közvéleménykutatás, tudakozó működtetése, személyi és felhasználói profil létrehozása, egyéb adatforgalmazás vagy hasonló kereskedelmi cél érdekében gyűjtötték, kezelik vagy használják.”
22 A Telemediengesetz (az elektronikus médiáról szóló törvény; a továbbiakban: TMG) 12. §‑ának (1) bekezdése a következőképpen szól:
„A szolgáltató csak akkor gyűjthet és használhat fel személyes adatokat elektronikus média hozzáférhetővé tételével összefüggésben, ha ezt e törvény vagy kifejezetten az elektronikus médiára vonatkozó más jogszabály lehetővé teszi, vagy a felhasználó ebbe beleegyezett.”
23 A TMG 13. §‑ának (1) bekezdése a következőket tartalmazza:
„A szolgáltatónak – amennyiben erre a tájékoztatásra korábban nem került sor – a használati művelet kezdetén közérthető formában tájékoztatnia kell a felhasználót a személyes adatok gyűjtésének és kezelésének módjáról, terjedelméről és céljairól, valamint adatainak a [95/46] irányelv hatályán kívüli államokban való kezeléséről. A felhasználó későbbi azonosítását lehetővé tévő és a személyes adatok gyűjtését vagy kezelését előkészítő automatizált eljárás esetében a felhasználót tájékoztatni kell ezen eljárás kezdetén. A tájékoztatás tartalmát folyamatosan elérhetővé kell tenni a felhasználó számára.”
24 A TMG 15. §‑ának (1) bekezdése a következőképpen rendelkezik:
„A szolgáltató csak akkor gyűjtheti és használhatja fel a felhasználó személyes adatait, ha ez az elektronikus médium igénybevételének lehetővé tételéhez és elszámolásához szükséges (használati adatok). Használati adatok különösen a következők:
1. a felhasználó azonosítására szolgáló jellemzők,
2. a konkrét használat kezdetére és végére, valamint terjedelmére vonatkozó adatok és
3. a felhasználó által igénybe vett elektronikus médiára vonatkozó adatok.”
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
25 A Fashion ID online divatruha‑értékesítő vállalkozás elhelyezte honlapján a Facebook közösségi oldal által biztosított „Tetszik” kiegészítő modult (a továbbiakban: Facebook „Tetszik” gomb).
26 Az előzetes döntéshozatalra utaló határozat szerint az internet egyik sajátossága, hogy az internetfelhasználó böngészője különböző forrásokból származó tartalmakat jeleníthet meg. Így például fotók, videók, hírek és a szóban forgó Facebook „Tetszik” gomb is összekapcsolódhat egy weboldallal és megjelenhet ott. Ha a honlap üzemeltetője ilyen harmadik félhez tartozó tartalmakat kíván megjeleníteni, akkor honlapján a külső tartalomra mutató hivatkozást helyez el. Amikor az említett honlap látogatójának böngészője ilyen hivatkozást talál, lekéri a külső tartalmat, és a kívánt helyen megjeleníti azt a honlapon. Ehhez a böngésző továbbítja a külső szolgáltató szerverére az említett látogató számítógépének IP‑címét és a böngésző műszaki adatait ahhoz, hogy a szerver megállapíthassa, milyen formátumban kell erre a címre rendelkezésre bocsátani a tartalmat. A böngésző ezek mellett a kért tartalomról is küld információkat. A honlapján külső tartalmat kínáló honlap‑üzemeltető nem tudja befolyásolni azt, hogy a böngésző milyen adatokat továbbít, és hogy a külső szolgáltató mit csinál ezekkel az adatokkal, például hogy tárolja és felhasználja‑e azokat.
27 Ami konkrétan a Facebook „Tetszik” gombot illeti, az előzetes döntéshozatalra utaló határozat szerint abban az esetben, ha egy látogató megtekinti a Fashion ID honlapját, akkor – abból következően, hogy a honlapon fent van az említett gomb – a személyes adatait továbbítják a Facebook Irelandnek. Ez a továbbítás az említett látogató tudomása nélkül megy végbe, függetlenül attól, hogy tagja‑e a Facebook közösségi hálózatnak, vagy hogy rákattintott‑e a Facebook „Tetszik” gombra.
28 A Verbraucherzentrale NRW közhasznú fogyasztói érdekvédelmi egyesület azt kifogásolja, hogy a Fashion ID a honlapját felkereső egyének személyes adatait – egyrészt azok tudomása nélkül, másrészt a személyes adatok védelmére vonatkozó rendelkezésekben előírt tájékoztatási kötelezettségeket megsértve – a Facebook Ireland részére továbbította.
29 A Verbraucherzentrale NRW jogsértés megszüntetése iránti keresetet indított a Landgericht Düsseldorf (düsseldorfi regionális bíróság, Németország) előtt a Fashion ID‑vel szemben annak érdekében, hogy utóbbi hagyjon fel ezzel a gyakorlattal.
30 2016. március 9‑én a Landgericht Düsseldorf (düsseldorfi regionális bíróság) részlegesen helyt adott a Verbraucherzentrale NRW által benyújtott kérelmeknek, miután elismerte az UWG 8. §‑a (3) bekezdésének 3. pontja alapján fennálló kereshetőségi jogát.
31 A Fashion ID e végzéssel szemben fellebbezést nyújtott be a kérdést előterjesztő bírósághoz, az Oberlandesgericht Düsseldorfhoz (düsseldorfi regionális felsőbíróság, Németország). A Facebook Ireland a fellebbezési eljárásban beavatkozó félként lépett fel a Fashion ID mellett. A Verbraucherzentrale NRW csatlakozó fellebbezést nyújtott be, amely a Fashion ID első fokon kimondott kötelezésének kiterjesztésére irányult.
32 A Fashion ID a kérdést előterjesztő bíróság előtt azt állítja, hogy a Landgericht Düsseldorf (düsseldorfi regionális bíróság) határozata nem egyeztethető össze a 95/46 irányelvvel.
33 A Fashion ID egyrészt arra hivatkozik, hogy az említett irányelv 22–24. cikke csak a személyes adatok kezelésével érintett egyének és az illetékes felügyelő hatóságok számára biztosít jogorvoslatot. Következésképpen a Verbraucherzentrale NRW által indított kereset nem fogadható el, mivel az egyesület a 95/46 irányelvvel összefüggésben nem rendelkezik kereshetőségi joggal.
34 A Fashion ID másrészt úgy véli, hogy a Landgericht Düsseldorf (düsseldorfi regionális bíróság) tévesen állapította meg róla, hogy a 95/46 irányelv 2. cikkének d) pontja értelmében vett adatkezelőnek minősül, mivel egyáltalán nincs befolyása a honlapjára látogató böngészője által továbbított adatokra, sem pedig arra, hogy a Facebook Ireland adott esetben felhasználja‑e azokat.
35 A kérdést előterjesztő bíróság mindenekelőtt azzal kapcsolatban támaszt kétséget, hogy a 95/46 irányelv megengedi‑e a közhasznú egyesületek számára, hogy a sértett személyek érdekeinek védelmében pereljenek. Azon az állásponton van, hogy az irányelv 24. cikke nem zárja ki, hogy az egyesületek pert indítsanak, amennyiben a tagállamok e cikk értelmében elfogadják a „megfelelő intézkedéseket” az említett irányelv rendelkezéseinek maradéktalan végrehajtása érdekében. A kérdést előterjesztő bíróság úgy ítéli meg, hogy az olyan nemzeti szabályozás, amely lehetővé teszi az egyesületek számára, hogy a fogyasztók érdekében pert indítsanak, ilyen megfelelő intézkedésnek minősülhet.
36 Az említett bíróság ezzel kapcsolatban rámutat, hogy a 95/46 irányelvet hatályon kívül helyező és felváltó 2016/679 rendelet 80. cikkének (2) bekezdése kifejezetten megengedi, hogy az ilyen egyesületek pereljenek, ami annak megerősítéseként érthető, hogy az utóbbi irányelv sem zárta ki az ilyen keresetet.
37 Arra kér továbbá választ, hogy a Fashion ID‑hoz hasonló olyan honlap‑üzemeltető, aki személyes adatok gyűjtését lehetővé tévő közösségi modult helyez el a honlapon, akkor is a 95/46 irányelv 2. cikkének d) pontja értelmében vett adatkezelőnek minősíthető‑e, ha nincs befolyása az említett modul szolgáltatójának továbbított adatok kezelésére. A kérdést előterjesztő bíróság ezzel kapcsolatban a hasonló kérdésre vonatkozó, 2018. június 5‑i Wirtschaftsakademie Schleswig‑Holstein ítélet (C‑210/16, EU:C:2018:388) alapjául szolgáló ügyre hivatkozik.
38 A kérdést előterjesztő bíróság másodlagosan arra az esetre vonatkozóan, ha a Fashion ID‑t nem lehet adatkezelőnek minősíteni, azt a kérdést teszi fel, hogy az irányelv kimerítően szabályozza‑e az említett fogalmat oly módon, hogy ellentétes vele az olyan nemzeti szabályozás, amely gyakorlatilag harmadik személy polgári jogi felelősségét írja elő a személyes adatokhoz fűződő jogok megsértése esetén. A kérdést előterjesztő bíróság ugyanis azt állítja, hogy ezen az alapon a nemzeti jog szerint meg lehet állapítani a Fashion ID mint „zavaró” („Störer”) felelősségét.
39 Amennyiben a Fashion ID adatkezelőnek minősül, vagy legalábbis mint „zavaró” felel a személyes adatok Facebook Ireland általi esetleges megsértéséért, a kérdést előterjesztő bíróság arra kér választ, hogy jogszerű‑e a szóban forgó személyesadat‑kezelés, és hogy a 95/46 irányelv 10. cikke alapján fennálló, az érintett személy tájékoztatására vonatkozó kötelezettség a Fashion ID‑t vagy a Facebook Irelandet terheli.
40 A kérdést előterjesztő bíróság így egyrészt a jogszerű adatkezelésnek a 95/46 irányelv 7. cikkének f) pontjában előírt feltételeire tekintettel azt kérdezi, hogy az alapügyhöz hasonló esetben a honlap‑üzemeltetőnek vagy a közösségi modul biztosítójának a jogos érdekét kell figyelembe venni.
41 Az említett bíróság másrészt azt kérdezi, hogy az alapügyhöz hasonló esetben kit terhel a személyes adatkezeléssel érintett egyének hozzájárulásának beszerzésére és azok tájékoztatására irányuló kötelezettség. A kérdést előterjesztő bíróság úgy véli, hogy különös jelentőséggel bír az a kérdés, hogy kit terhel a 95/46 irányelv 10. cikke alapján fennálló, az érintett személyek tájékoztatására vonatkozó kötelezettség, mivel a külső tartalmak honlapon történő bármely elhelyezése főszabály szerint olyan személyesadat‑kezelésre ad alkalmat, amelynek terjedelmét és célját az ezen tartalmakat elhelyező – vagyis az érintett honlap üzemeltetője – mindazonáltal nem ismeri. A honlap‑üzemeltető ezért – még ha köteles is lenne megtenni – nem tudja rendelkezésre bocsátani a szükséges tájékoztatást, és így az érintett személy tájékoztatására vonatkozó kötelezettségnek a honlap‑üzemeltetőre való hárítása gyakorlatilag a külső tartalmak elhelyezésének tilalmát eredményezi.
42 E körülmények között az Oberlandesgericht Düsseldorf (düsseldorfi regionális felsőbíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
„1) Ellentétes‑e a [95/46 irányelv] 22., 23. és 24. cikkében szereplő szabályozással az olyan nemzeti szabályozás, amely az adatvédelmi hatóságok beavatkozási jogkörei és az érintett jogorvoslati lehetőségei mellett a fogyasztói érdekek védelmének biztosítása érdekében lehetővé teszi nonprofit egyesületek számára, hogy jogsértés esetén fellépjenek a jogsértővel szemben?
Az első kérdésre adandó nemleges válasz esetén:
2) A jelen ügyben felmerülthöz hasonló helyzetben, amikor valaki olyan programozási kód feltüntetésével jelenít meg hivatkozást a honlapján, amely a felhasználó böngészőjének lehetővé teszi harmadik felek tartalmainak elérését és ehhez személyes adatok harmadik fél részére történő továbbítását, a tartalmat beillesztő személy tekintendő‑e a [95/46] irányelv 2. cikkének d) pontja szerinti »adatkezelőnek«, ha ő maga nem befolyásolhatja ezt az adatkezelési műveletet?
3) A második kérdésre adandó nemleges válasz esetén: Úgy kell‑e értelmezni a [95/46] irányelv 2. cikkének d) pontját, hogy abban az értelemben kimerítően szabályozza a felelősséget, hogy azzal ellentétes az olyan, adatkezelőnek nem minősülő harmadik fél polgári jogi felelősségre vonása, aki létrehozza az adatkezelési művelet okát anélkül, hogy befolyásolhatná azt?
4) Az ügyben felmerült körülmények között kinek a »jogos érdekétől« függ a [95/46] irányelv 7. cikkének f) pontja szerint elvégzendő mérlegelés? A harmadik fél tartalmainak beillesztésére irányuló érdektől vagy a harmadik fél érdekétől?
5) Az ügyben felmerült körülmények között kinek a részére kell megadni a [95/46] irányelv 7. cikkének a) pontja, valamint 2. cikkének h) pontja szerinti hozzájárulást?
6) Az ügyben felmerült körülmények között a [95/46] irányelv 10. cikke szerinti tájékoztatási kötelezettség azt a honlapfenntartót is terheli, aki harmadik fél tartalmát beillesztette, és ezzel okot teremt a személyes adatok harmadik fél általi kezelésére?”
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az első kérdésről
43 A kérdést előterjesztő bíróság első kérdése lényegében arra vonatkozik, hogy a 95/46 irányelv 22–24. cikkét úgy kell‑e értelmezni, mint amelyekkel ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a fogyasztói érdekvédelmi egyesületek számára, hogy bírósági eljárást kezdeményezzenek a személyes adatok védelmét feltételezetten megsértő személlyel szemben.
44 Elöljáróban emlékeztetni kell arra, hogy a 95/46 irányelv 22. cikke értelmében a tagállamoknak biztosítaniuk kell mindenki számára a jogorvoslathoz való jogot bármely olyan jogának megsértése esetén, amelyet a szóban forgó adatkezelésre alkalmazandó nemzeti jog biztosít számára.
45 A 95/46 irányelv 28. cikke (3) bekezdésének harmadik albekezdése szerint az ezen irányelv 28. cikkének (1) bekezdésének megfelelően az említett irányelv értelmében a tagállam által elfogadott nemzeti rendelkezéseknek a területükön történő alkalmazásával megbízott felügyelő hatóságok többek között azzal a jogosultsággal rendelkeznek, hogy az ugyanezen irányelv értelmében elfogadott nemzeti rendelkezések megsértése esetén bírósági eljárásban vegyenek részt, vagy hogy e jogsértéseket igazságszolgáltatási hatóságok elé terjesszék.
46 A 95/46 irányelv 28. cikkének (4) bekezdése pedig úgy rendelkezik, hogy a felügyelő hatóságokhoz lehet fordulni az ezen irányelv 2. cikkének a) pontja értelmében érintett személyt képviselő szervezet által a személyes adatok kezelése vonatkozásában jogainak vagy szabadságainak védelmével kapcsolatban benyújtott kérelmekkel.
47 Az említett irányelv egyetlen rendelkezése sem kötelezi vagy jogosítja fel kifejezetten a tagállamokat azonban arra, hogy a nemzeti jogukban biztosítsák az egyesületek számára annak lehetőségét, hogy ilyen személyt bírósági eljárásban képviseljenek, vagy hogy önállóan bírósági eljárást kezdeményezzenek a személyes adatok védelmét feltételezetten megsértő személlyel szemben.
48 Ebből ugyanakkor nem következik, hogy a 95/46 irányelvvel ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a fogyasztói érdekvédelmi egyesületek számára, hogy az ilyen jogsértés feltételezett elkövetőjével szemben bírósághoz forduljanak.
49 Az EUMSZ 288. cikk harmadik bekezdése alapján ugyanis a tagállamok az irányelv átültetésekor kötelesek annak teljes érvényesülését biztosítani, az irányelv végrehajtását biztosító módozatok és eszközök megválasztását illetően azonban széles mérlegelési mozgástérrel rendelkeznek. E szabadság nem érinti az egyes címzett tagállamok arra irányuló kötelezettségét, hogy az érintett irányelv teljes érvényesülésének biztosítása érdekében – az irányelv által követett céllal összhangban – valamennyi szükséges intézkedést megtegyenek (lásd ebben az értelemben: 2010. október 6‑i Base és társai ítélet, C‑389/08, EU:C:2010:584, 24. és 25. pont; 2018. február 22‑i Porras Guisado ítélet, C‑103/16, EU:C:2018:99, 57. pont).
50 E tekintetben emlékeztetni kell arra, hogy a 95/46 irányelv egyik célja a természetes személyek alapvető jogainak és szabadságainak, különösen a személyes adatok kezelése tekintetében a magánélet tiszteletben tartásához való joguknak a hatékony és teljes védelme biztosítására irányul (lásd ebben az értelemben: 2014. május 13‑i Google Spain és Google ítélet, C‑131/12, EU:C:2014:317, 53. pont; 2017. szeptember 27‑i Puškár ítélet, C‑73/16, EU:C:2017:725, 38. pont). Az irányelv (10) preambulumbekezdése szerint az ezen a téren alkalmazandó nemzeti jogszabályok közelítése nem vezethet az általuk nyújtott védelem szintjének csökkenéséhez, sőt magas védelmi szintet kell, hogy biztosítson az Unión belül (2003. november 6‑i Lindqvist ítélet, C‑101/01, EU:C:2003:596, 95. pont; 2008. december 16‑i Huber ítélet, C‑524/06, EU:C:2008:724, 50. pont; 2011. november 24‑i Asociación Nacional de Establecimientos Financieros de Crédito ítélet, C‑468/10 és C‑469/10, EU:C:2011:777, 28. pont).
51 Márpedig az a tény, hogy egy tagállam nemzeti jogszabályaiban biztosíthatja egy fogyasztói érdekvédelmi egyesület számára annak lehetőségét, hogy bírósági eljárást kezdeményezzen a személyes adatok védelmét feltételezetten megsértő személlyel szemben, semmiképpen sem sérti az irányelv célkitűzéseit, hanem épp ellenkezőleg, hozzájárul e célok eléréséhez.
52 A Fashion ID és a Facebook Ireland mindazonáltal úgy érvel, hogy mivel a 95/46 irányelv teljes mértékben harmonizálta a nemzeti adatvédelmi rendelkezéseket, minden, az irányelvben kifejezetten nem szabályozott bíróság előtti igényérvényesítést ki kell zárni. A 95/46 irányelv 22., 23. és 28. cikke pedig csak az érintett személyek és az adatvédelmi felügyelő hatóságok általi perindításról rendelkezik.
53 Ezt az érvelést azonban nem lehet elfogadni.
54 Kétségtelen, hogy a 95/46 irányelv a személyes adatok védelmére vonatkozó nemzeti jogszabályok főszabály szerint teljes harmonizációját eredményezi (lásd ebben az értelemben: 2011. november 24‑i Asociación Nacional de Establecimientos Financieros de Crédito ítélet, C‑468/10 és C‑469/10, EU:C:2011:777, 29. pont; 2013. november 7‑i IPI ítélet, C‑473/12, EU:C:2013:715, 31. pont).
55 A Bíróság ezért kimondta, hogy az említett irányelv 7. cikke kimerítő és korlátozó jellegű felsorolását írja elő azon eseteknek, amelyekben a személyes adatok kezelése jogszerűnek minősíthető, és hogy a tagállamok nem alkothatnak a személyes adatok kezelésének megengedhetőségére vonatkozó, az említett cikkben szereplőkhöz képest új elveket, és olyan további követelményeket sem írhatnak elő, amelyek módosítanák az e cikkben előírt hat elv akár egyikének a hatályát (lásd ebben az értelemben: 2011. november 24‑i Asociación Nacional de Establecimientos Financieros de Crédito ítélet, C‑468/10 és C‑469/10, EU:C:2011:777, 30. és 32. pont; 2016. október 19‑i Breyer ítélet, C‑582/14, EU:C:2016:779, 57. pont).
56 A Bíróság ugyanakkor azt is egyértelművé tette, hogy a 95/46 irányelv viszonylag általános szabályokat tartalmaz, mivel számos nagyon eltérő helyzetre alkalmazandó. Ezeket a szabályokat bizonyos fokú rugalmasság jellemzi, számos esetben a tagállamokra hagyva a részletek meghatározását vagy a lehetőségek közötti választást, és így a tagállamok több tekintetben is mozgástérrel rendelkeznek az említett irányelv átültetését illetően (lásd ebben az értelemben: 2003. november 6‑i Lindqvist ítélet, C‑101/01, EU:C:2003:596, 83., 84. és 97. pont; 2011. november 24‑i Asociación Nacional de Establecimientos Financieros de Crédito ítélet, C‑468/10 és C‑469/10, EU:C:2011:777, 35. pont).
57 Ez a helyzet a 95/46 irányelv 22–24. cikkében, amely – amint arra a főtanácsnok indítványának 42. pontjában rámutatott – általánosságban fogalmaz, és nem harmonizálja teljeskörűen a személyes adatok védelmét feltételezetten megsértő személlyel szemben kezdeményezhető bírósági jogorvoslati lehetőségekre vonatkozó nemzeti rendelkezéseket (lásd analógia útján: 2017. október 26‑i I ítélet, C‑195/16, EU:C:2017:815, 57. és 58. pont).
58 Így például, bár az irányelv 22. cikke kötelezővé teszi a tagállamok számára annak biztosítását, hogy a kérdéses személyes adatok kezelésére vonatkozó nemzeti rendelkezések által biztosított jogok megsértése esetén mindenkinek legyen joga bírósághoz fordulni, az említett irányelv nem tartalmaz olyan rendelkezést, amely kifejezetten az ilyen jogorvoslat igénybevételének feltételeit szabályozná (lásd ebben az értelemben: 2017. szeptember 27‑i Puškár ítélet, C‑73/16, EU:C:2017:725, 54. és 55. pont).
59 Emellett a 95/46 irányelv 24. cikke úgy rendelkezik, hogy A tagállamok elfogadják a „megfelelő intézkedéseket” ezen irányelv rendelkezéseinek maradéktalan végrehajtása érdekében, de nem határozza meg ezeket az intézkedéseket. Márpedig annak a lehetőségnek az előírása, hogy egy fogyasztói érdekvédelmi egyesület bírósági eljárást kezdeményezzen a személyes adatok védelmét feltételezetten megsértő személlyel szemben, megfelelő intézkedésnek minősülhet e rendelkezés értelmében, amely – ahogyan ez a jelen ítélet 51. pontjában is szerepel – a Bíróság ítélkezési gyakorlatának megfelelően hozzájárul az említett irányelv céljainak eléréséhez (lásd e tekintetben: 2003. november 6‑i Lindqvist ítélet, C‑101/01, EU:C:2003:596, 97. pont).
60 A Fashion ID állításával ellentétben továbbá az a tény, hogy egy tagállam a nemzeti jogszabályaiban előírhatja ennek lehetőségét, nem tekinthető olyan jellegűnek, amely sértené a felügyelő hatóságoknak a 95/46 irányelv 28. cikkében foglalt követelményekkel összhangban rájuk ruházott feladatok gyakorlásához kapcsolódó függetlenségét, mivel ez a lehetőség nem befolyásolja a felügyelő hatóságok döntési vagy cselekvési szabadságát.
61 Ezenkívül bár igaz, hogy a 95/46 irányelv nem szerepel a 2009/22 irányelv I. mellékletében felsorolt jogi aktusok között, 7. cikke szerint az irányelv e tekintetben nem hajtott végre teljes körű harmonizációt.
62 Végül az a tény, hogy a 95/46 irányelvet hatályon kívül helyező és annak helyébe lépő, 2018. május 25‑jétől alkalmazandó 2016/679 rendelet 80. cikkének (2) bekezdésében kifejezetten megengedi a tagállamoknak, hogy lehetővé tegyék a fogyasztói érdekvédelmi egyesületek számára a bírósági eljárás kezdeményezését a személyes adatok védelmét feltételezetten megsértő személlyel szemben, semmiképpen nem azt jelenti, hogy a tagállamok a 95/46 irányelv alapján nem ruházhatták volna rájuk ezt a jogot, hanem éppen ellenkezőleg, megerősíti, hogy a jelen ítéletben elfogadott irányelv‑értelmezés az uniós jogalkotó szándékát tükrözi.
63 A fenti megfontolások összességére tekintettel az első kérdésre azt a választ kell adni, hogy a 95/46 irányelv 22–24. cikkét úgy kell értelmezni, mint amelyekkel nem ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a fogyasztói érdekvédelmi egyesületek számára, hogy bírósági eljárást kezdeményezzenek a személyes adatok védelmét feltételezetten megsértő személlyel szemben.
A második kérdésről
64 A kérdést előterjesztő bíróság második kérdése lényegében arra vonatkozik, hogy a Fashion ID‑hoz hasonló olyan honlap‑üzemeltető, aki a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon, akkor is a 95/46 irányelv 2. cikkének d) pontja értelmében vett adatkezelőnek minősíthető‑e, ha nincs befolyása az említett szolgáltatónak továbbított adatok kezelésére.
65 E tekintetben emlékeztetni kell arra, hogy a 95/46 irányelvvel elérni kívánt azon célkitűzésnek megfelelően, hogy a személyes adatok kezelése tekintetében biztosítsa a természetes személyek alapvető jogainak és szabadságainak, különösen a magánélet tiszteletben tartásához való jognak a magas szintű védelmét, ezen irányelv 2. cikkének d) pontja tágan határozza meg az „adatkezelő” fogalmát, így az kiterjed azon természetes vagy jogi személyre, hatóságra, intézményre vagy bármely más szervre, amely önállóan vagy másokkal együtt meghatározza a személyes adatok kezelésének céljait és módját (lásd ebben az értelemben: 2018. június 5‑i Wirtschaftsakademie Schleswig‑Holstein ítélet, C‑210/16, EU:C:2018:388, 26. és 27. pont).
66 E rendelkezésnek ugyanis – ahogyan ezt a Bíróság már kimondta – az a célja, hogy az „adatkezelő” fogalmának tág meghatározása révén biztosítsa az érintettek hatékony és teljes védelmét (2014. május 13‑i Google Spain és Google ítélet, C‑131/12, EU:C:2014:317, 34. pont; 2018. június 5‑i Wirtschaftsakademie Schleswig‑Holstein ítélet, C‑210/16, EU:C:2018:388, 28. pont).
67 Továbbá, mivel – ahogyan ezt a 95/46 irányelv 2. cikkének d) pontja kifejezetten előírja – az „adatkezelő” fogalma arra a szervre vonatkozik, amely „önállóan vagy másokkal együtt” meghatározza a személyes adatok kezelésének céljait és módját, ez a fogalom nem feltétlenül egyetlen szervre utal, hanem több, az adatkezelésben részt vevő szereplőt is érinthet, és így mindegyikükre vonatkoznak a személyes adatok védelmére vonatkozó rendelkezések (lásd ebben az értelemben: 2018. június 5‑i Wirtschaftsakademie Schleswig‑Holstein ítélet, C‑210/16, EU:C:2018:388, 29. pont; 2018. július 10‑i Jehovan todistajat ítélet, C‑25/17, EU:C:2018:551, 65. pont).
68 A Bíróság azt is megállapította, hogy az a természetes vagy jogi személy, aki vagy amely a személyes adatok kezelésére saját célból befolyást gyakorol, és emiatt részt vesz a kezelés céljainak és módjának meghatározásában, a 95/46 irányelv 2. cikkének d) pontja értelmében vett adatkezelőnek minősíthető (2018. július 10‑i Jehovan todistajat ítélet, C‑25/17, EU:C:2018:551, 68. pont).
69 Egyébiránt annak, hogy ugyanazon adatkezelés tekintetében több szereplő e rendelkezés értelmében együttes felelősséget viseljen, nem előfeltétele, hogy mindegyik adatkezelő hozzáférjen az érintett személyes adatokhoz (lásd ebben az értelemben: 2018. június 5‑i Wirtschaftsakademie Schleswig‑Holstein ítélet, C‑210/16, EU:C:2018:388, 38. pont; 2018. július 10‑i Jehovan todistajat ítélet, C‑25/17, EU:C:2018:551, 69. pont).
70 Mindamellett, mivel a 95/46 irányelv 2. cikke d) pontjának az a célja, hogy az „adatkezelő” fogalmának tág meghatározása révén biztosítsa az érintettek hatékony és teljes védelmét, az együttes felelősség fennállása nem feltétlenül jelenti azt, hogy ugyanazon személyesadat‑kezelés tekintetében az egyes szereplőkre azonos felelősség hárul. Éppen ellenkezőleg, mivel e szereplők az adatkezelés eltérő szakaszaiban és különböző mértékben vehetnek részt, a felelősségük mértékét a jelen ügyre jellemző valamennyi releváns körülmény figyelembevételével kell értékelni (lásd ebben az értelemben: 2018. július 10‑i Jehovan todistajat ítélet, C‑25/17, EU:C:2018:551, 66. pont).
71 E tekintetben rá kell mutatni egyrészt arra, hogy a 95/46 irányelv 2. cikkének b) pontjában szereplő meghatározás szerint a „személyes adatok kezelése” „a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, lekérdezés, felhasználás, közléstovábbítás [helyesen: továbbítás általi közlés], terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés”.
72 Ebből a fogalommeghatározásból az következik, hogy a személyes adatok kezelése egy vagy több műveletből állhat, amelyek mindegyike különböző, esetlegesen személyesadat‑kezelést tartalmazó szakaszra irányul.
73 Másrészt az „adatkezelő” jelen ítélet 65. pontjában ismertetett, a 95/46 irányelv 2. cikkének d) pontja értelmében vett fogalmának meghatározásából az következik, hogy amennyiben több fél közösen határozza meg a személyes adatok kezelésének céljait és módját, akkor adatkezelőként vesznek részt ebben az adatkezelésben.
74 Ebből következően – amint ezt a főtanácsnok indítványának 101. pontjában lényegében kifejtette – egy természetes vagy jogi személy csak az olyan személyesadat‑kezelési műveletek tekintetében minősíthető másokkal együtt a 95/46 irányelv 2. cikkének d) pontja értelmében adatkezelőnek, amelyek céljait és módját másokkal együtt ő határozza meg. Másrészt – a nemzeti jog szerinti esetleges polgári jogi felelősséget nem érintve – ez a természetes vagy jogi személy nem tekinthető az említett rendelkezés értelmében adatkezelőnek az adatkezelési lánc olyan korábbi vagy későbbi műveletei tekintetében, amelyek céljait és módját nem ő határozza meg.
75 A jelen esetben – fenntartva, hogy a kérdést előterjesztő bíróságnak ezt még vizsgálnia kell – a Bíróság rendelkezésére álló ügyiratok alapján úgy tűnik, hogy a Fashion ID a Facebook „Tetszik” gombnak a honlapján történő elhelyezésével lehetőséget biztosított a Facebook Ireland számára arra, hogy személyes adatokat szerezzen meg a honlapjára látogatóktól, és erre a honlap megtekintésének időpontjával nyílik lehetőség, függetlenül attól, hogy a látogatók tagjai‑e a Facebook közösségi hálózatnak, hogy rákattintottak‑e a Facebook „Tetszik” gombra, vagy hogy tudomásuk van‑e erről a műveletről.
76 Ezen információk alapján meg kell állapítani, hogy azok a személyesadat‑kezelési műveletek, amelyek céljait és módját a Facebook Irelanddel együtt a Fashion ID határozhatja meg, a „személyes adatok kezelése” fogalmának a 95/46 irányelv 2. cikkének b) pontjában szereplő meghatározására tekintettel a Fashion ID honlapjára látogatókra vonatkozó személyes adatok gyűjtésének és továbbítás általi közlésének minősül. Az említett információk alapján azonban első látásra kizártnak tűnik, hogy a Fashion ID határozná meg azoknak a későbbi személyesadat‑kezelési műveleteknek a céljait és módját, amelyeket a Facebook Ireland végez el a személyes adatok Fashion ID általi továbbítását követően, és ezért a Fashion ID e műveletek tekintetében nem minősíthető a 2. cikk d) pontja értelmében vett adatkezelőnek.
77 Azzal kapcsolatban, hogy milyen módot használt a Fashion ID a honlapjára látogatók személyes adatainak gyűjtésére és továbbítás általi közlésére, a jelen ítélet 75. pontja szerint úgy tűnik, hogy a Fashion ID annak ellenére helyezte el honlapján a Facebook Ireland által a honlap‑üzemeltetők rendelkezésére bocsátott Facebook „Tetszik” gombot, hogy tisztában volt azzal, hogy olyan eszközről van szó, amely a honlap látogatóira vonatkozó személyes adatok gyűjtésére és továbbítás általi közlésére szolgál, függetlenül attól, hogy a látogatók tagjai‑e a Facebook közösségi hálózatnak.
78 A Fashion ID másfelől ennek a közösségi modulnak a honlapján történő elhelyezésével döntően az említett modul szolgáltatója, vagyis a Facebook Ireland javára befolyásolja az említett honlap látogatóira vonatkozó személyes adatok gyűjtését és továbbítás általi közlését, amelyekre az említett modul elhelyezése nélkül nem kerülne sor.
79 E körülményekre, valamint a kérdést előterjesztő bíróság által e tekintetben még elvégzendő vizsgálatokra is figyelemmel meg kell állapítani, hogy a Facebook Ireland és a Fashion ID együttesen határozzák meg a Fashion ID honlapjának látogatóira vonatkozó személyes adatok gyűjtésének és továbbítás általi közlésének alapjául szolgáló műveletek módját.
80 A személyes adatok kezelésére irányuló, említett műveletek elvégzésének céljait illetően úgy tűnik, hogy a Facebook „Tetszik” gombjának a Fashion ID által a honlapján történő elhelyezése lehetővé teszi utóbbi számára az árui reklámozásának optimalizálását azáltal, hogy láthatóbbá teszi azokat a Facebook közösségi hálózatán, amikor a honlapjának látogatója rákattint az említett gombra. Úgy tűnik, hogy a Fashion ID azért járult hozzá – legalábbis hallgatólagosan – a honlapjának látogatóira vonatkozó személyes adatok gyűjtéséhez és továbbítás általi közléséhez, hogy hasznot húzhasson az árui szélesebb körben történő reklámozására irányuló kereskedelmi előnyből, mivel ezeket az adatkezelési műveleteket mind a Fashion ID, mind pedig a Facebook Ireland gazdasági érdekében végzik, az utóbbi számára pedig az tekinthető a Fashion ID‑nak nyújtott előny ellenértékének, hogy ezekkel az adatokkal saját kereskedelmi célokból rendelkezhet.
81 E körülményekre tekintettel – a kérdést előterjesztő bíróság által elvégzendő vizsgálatokra is figyelemmel – megállapítható, hogy a Fashion ID és a Facebook Ireland együttesen határozza meg az alapügy tárgyát képező személyes adatok gyűjtésének és továbbítás általi közlésének céljait.
82 Továbbá – amint ez a jelen ítélet 69. pontjában ismertetett ítélkezési gyakorlatból is kitűnik – az a körülmény, hogy magának a Fashion ID‑nak vagy a hozzá hasonló honlap‑üzemeltetőnek nincs hozzáférése a közösségi modul azon szolgáltatója számára gyűjtött és továbbított személyes adatokhoz, akivel együttesen határozza meg a személyes adatok kezelésének módját és céljait, nem zárja ki, hogy a 95/46 irányelv 2. cikkének d) pont értelmében „adatkezelőnek” minősülhessen.
83 Fontos továbbá hangsúlyozni, hogy a Fashion ID‑éhoz hasonló honlapokat olyanok is látogatják, akik tagjai a Facebook közösségi hálózatnak és ott felhasználói fiókkal rendelkeznek, és olyanok is, akiknek nincs ilyen felhasználói fiókjuk. Ez utóbbi esetben a Fashion ID‑hoz hasonló honlap‑üzemeltetőnek az ilyen egyének személyes adatainak kezeléséhez fűződő felelőssége még fontosabbnak tekinthető, mivel az ilyen, Facebook „Tetszik” gombot tartalmazó honlap puszta megtekintése elindítja a személyes adataik Facebook Ireland általi kezelését (lásd ebben az értelemben: 2018. június 5‑i Wirtschaftsakademie Schleswig‑Holstein ítélet, C‑210/16, EU:C:2018:388, 41. pont).
84 Ezért megállapítható, hogy a Fashion ID a 95/46 irányelv 2. cikkének d) pontja értelmében a Facebook Irelanddel együtt „adatkezelőnek” minősül a honlapjára látogatókra vonatkozó személyes adatok gyűjtésére és továbbítás általi közlésére irányuló műveletek tekintetében.
85 A fenti megállapítások összességére tekintettel a második kérdésre azt a választ kell adni, hogy a Fashion ID‑hoz hasonló olyan honlap‑üzemeltető, aki a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon, a 95/46 irányelv 2. cikkének d) pontja értelmében vett adatkezelőnek minősíthető. Az adatkezelői minőség azonban csak arra a személyesadat‑kezelési műveletre vagy műveletcsoportra vonatkozik, amelynek céljait és módját ténylegesen ő határozza meg, azaz a szóban forgó adatok gyűjtésére és továbbítás általi közlésére.
A harmadik kérdésről
86 A második kérdésre adott válaszra tekintettel a harmadik kérdésre nem szükséges válaszolni.
A negyedik kérdésről
87 A kérdést előterjesztő bíróság negyedik kérdése lényegében arra vonatkozik, hogy az alapügyhöz hasonló esetben, amikor a honlap‑üzemeltető a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon, a honlap‑üzemeltetőnek vagy a közösségi modul szolgáltatójának a jogos érdekét kell figyelembe venni a 95/46 irányelv 7. cikke f) pontjának alkalmazása szempontjából.
88 Elöljáróban meg kell jegyezni, hogy a Bizottság szerint ez a kérdés az alapügy eldöntése szempontjából nem releváns, mivel az érintett személyek nem adták meg a 2002/58 irányelv 5. cikkének (3) bekezdése alapján szükséges hozzájárulást.
89 E tekintetben meg kell állapítani, hogy ez utóbbi irányelv 5. cikkének (3) bekezdése szerint a tagállamok gondoskodnak arról, hogy egy előfizető vagy felhasználó végberendezésében történő adattárolás, illetve az ott tárolt adatokhoz való hozzáférés csak azzal a feltétellel legyen megengedett, ha az érintett előfizető vagy felhasználó a 95/46 irányelvvel összhangban történő – többek között az adatkezelés céljairól szóló – egyértelmű és teljes körű tájékoztatás alapján ehhez előzetes hozzájárulását adta.
90 A kérdést előterjesztő bíróság feladata annak megállapítása, hogy az alapügyhöz hasonló esetben a közösségi modul szolgáltatója – mint például a Facebook Ireland – a 2002/58 irányelv 5. cikkének (3) bekezdése értelmében hozzáfér‑e a honlap‑üzemeltető honlapjára látogató végberendezésben tárolt adataihoz, ahogyan ezt a Bizottság állítja.
91 Ilyen körülmények között – és mivel úgy tűnik, hogy a kérdést előterjesztő bíróság szerint a jelen esetben a Facebook Ireland számára továbbított adatok a 95/46 irányelv értelmében vett személyes adatnak minősülnek, amelyek nem feltétlenül a végberendezésben tárolt információkra korlátozódnak, ám ezt még e bíróságnak meg kell erősítenie – a Bizottság észrevételei nem kérdőjelezik meg az előzetes döntéshozatalra előterjesztett negyedik kérdésnek az alapügy elbírálása szempontjából fennálló jelentőségét, amely kérdés – amint azt a főtanácsnok indítványának 115. pontjában is megjegyezte – az alapügy tárgyát képező adatok kezelésének esetleges jogszerűségére vonatkozik.
92 Következésképpen meg kell vizsgálni, hogy az irányelv 7. cikke f) pontjának alkalmazása szempontjából milyen jogos érdeket kell figyelembe venni az ilyen adatok kezeléséhez.
93 E tekintetben először is emlékeztetni kell arra, hogy a 95/46 irányelvnek „A személyes adatok feldolgozásának [helyesen: kezelésének] jogszerűségére vonatkozó általános szabályok” című II. fejezetében szereplő rendelkezéseknek megfelelően, az ezen irányelv 13. cikke alapján elfogadott eltérésekre figyelemmel a személyes adatok bármely kezelésének meg kell felelnie többek között az említett irányelv 7. cikkében felsorolt, az adatkezelés jogszerűvé tételére vonatkozó kritériumok valamelyikének (lásd ebben az értelemben: 2014. május 13‑i Google Spain és Google ítélet, C‑131/12, EU:C:2014:317, 71. pont; 2015. október 1‑jei Bara és társai ítélet, C‑201/14, EU:C:2015:638, 30. pont).
94 A 95/46 irányelv 7. cikkének a kérdést előterjesztő bíróság által értelmeztetni kívánt f) pontja szerint a személyes adatok feldolgozása akkor jogszerű, ha az adatkezelés az adatkezelő, vagy az adatokat megkapó harmadik fél vagy felek jogos érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek a 95/46 irányelv 1. cikkének (1) bekezdése értelmében védelmet élvező érdekei az alapvető jogok és szabadságok tekintetében.
95 Az említett 7. cikk f) pontja tehát három együttes feltételhez rendeli a személyes adatok kezelésének jogszerűségét: az első feltétel az adatkezelő, vagy az adatokat megkapó harmadik fél vagy felek jogos érdekének érvényesítése, a második feltétel az, hogy a személyes adatok kezelése valamely jogos érdek érvényesítéséhez szükséges, a harmadik pedig, hogy az adatvédelemmel érintett személy alapvető jogai és szabadságai nem magasabb rendűek (2017. május 4‑i Rīgas satiksme ítélet, C‑13/16, EU:C:2017:336, 28. pont).
96 Mivel a második kérdésre adott válaszra tekintettel megállapítható, hogy az alapügyhöz hasonló esetben az a honlap‑üzemeltető, aki a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon, e szolgáltatóval együttesen adatkezelőnek minősíthető a honlapjára látogatókra vonatkozó személyes adatok gyűjtésére és továbbítás általi közlésére irányuló műveletek tekintetében, mindkét adatkezelő esetében fenn kell állnia ezen adatkezelési műveletek tekintetében a 95/46 irányelv 7. cikkének f) pontja szerinti jogos érdeknek ahhoz, hogy arra tekintettel jogszerűnek lehessen minősíteni ezeket a műveleteket.
97 A fenti megfontolásokra figyelemmel a negyedik kérdésre azt a választ kell adni, hogy az alapügyhöz hasonló esetben, amikor a honlap‑üzemeltető a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon, a honlap‑üzemeltető és a közösségi modul szolgáltatója esetében is fenn kell állnia ezen adatkezelési műveletek tekintetében a 95/46 irányelv 7. cikkének f) pontja szerinti jogos érdeknek ahhoz, hogy arra tekintettel jogszerűnek lehessen minősíteni az adatkezelést.
Az ötödik és a hatodik kérdésről
98 A kérdést előterjesztő bíróság együttesen vizsgálandó ötödik és hatodik kérdése lényegében arra irányul, hogy egyrészt a 95/46 irányelv 2. cikkének h) pontját és 7. cikkének a) pontját úgy kell‑e értelmezni, hogy az alapügyhöz hasonló esetben, amikor a honlap‑üzemeltető a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon, akkor a honlap‑üzemeltetőnek vagy a közösségi modul szolgáltatójának kell beszereznie az e rendelkezések szerinti hozzájárulást, másrészt pedig, hogy az ezen irányelv 10. cikkét úgy kell‑e értelmezni, hogy a honlapfenntartót ilyen esetben az ebben a rendelkezésben előírt tájékoztatási kötelezettség terheli.
99 Amint az a második kérdésre adott válaszból is kitűnik, az a honlap‑üzemeltető, aki a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon, a 95/46 irányelv 2. cikkének d) pontja értelmében vett adatkezelőnek minősíthető, az adatkezelői minőség azonban csak arra a személyesadat‑kezelési műveletre vagy műveletcsoportra vonatkozik, amelynek céljait és módját ténylegesen ő határozza meg.
100 Ebből az állapítható meg, hogy a 95/46 irányelv alapján az ezen adatkezelőt esetlegesen terhelő kötelezettségeknek, így például az ezen irányelv 2. cikkének h) pontjában és 7. cikkének a) pontjában említett érintetti hozzájárulás beszerzésére vonatkozó kötelezettségnek, valamint az irányelv 10. cikkében előírt tájékoztatási kötelezettségnek arra a személyesadat‑kezelési műveletre vagy műveletcsoportra kell vonatkoznia, amelynek céljait és módját ténylegesen az adatkezelő határozza meg.
101 A jelen esetben ha azt a honlap‑üzemeltetőt, aki a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon, e szolgáltatóval együttesen adatkezelőnek lehet minősíteni a honlapra látogatókra vonatkozó személyes adatok gyűjtésére és továbbítás általi közlésére irányuló műveletek tekintetében, akkor a 95/46 irányelv 2. cikkének h) pontjában és 7. cikkének a) pontjában említett érintetti hozzájárulás beszerzésére vonatkozó kötelezettségének, valamint az irányelv 10. cikkében előírt tájékoztatási kötelezettségének csak ezekre a műveletekre kell vonatkoznia. Ezek a kötelezettségek azonban nem terjednek ki a személyes adatoknak az említett műveleteket megelőző vagy követő egyéb szakaszokra vonatkozó kezelésére irányuló műveletekre, amely adott esetben a szóban forgó személyes adatok kezelését is magában foglalja.
102 A 95/46 irányelv 2. cikkének h) pontjában és 7. cikkének a) pontjában említett hozzájárulással kapcsolatban megállapítható, hogy azt az érintett személyes adatainak gyűjtését és továbbítás általi közlését megelőzően kell megadni. Ilyen körülmények között a hozzájárulás beszerzése a honlap üzemeltetőjének, nem pedig a közösségi modul szolgáltatójának feladata, mivel a személyesadat‑kezelési folyamatot az indítja el, hogy a látogató megtekinti ezt a honlapot. Amint arra a főtanácsnok indítványának 132. pontjában rámutatott, nem lenne ugyanis összhangban az érintett jogainak hatékony és megfelelő időben történő védelmével, ha a hozzájárulást annak a közös adatkezelőnek kellene adni, aki csak egy későbbi szakaszban játszik szerepet, vagyis az említett modul szolgáltatójának. Az érintett honlap‑üzemeltetőnek adandó hozzájárulás azonban csak arra a személyesadat‑kezelési műveletre vagy műveletcsoportra vonatkozik, amelynek céljait és módját ténylegesen a honlap‑üzemeltető határozza meg.
103 Ugyanez vonatkozik a 95/46 irányelv 10. cikkében előírt tájékoztatási kötelezettségre is.
104 E rendelkezés szövege szerint az adatkezelőnek vagy képviselőjének legalább az említett rendelkezésben foglalt információkról tájékoztatnia kell az érintettet, akitől a rá vonatkozó adatokat gyűjtik. Ezt az információt az adatkezelőnek azonnal, már az adatgyűjtés időpontjában rendelkezésre kell bocsátania (lásd ebben az értelemben: 2009. május 7‑i Rijkeboer ítélet, C‑553/07, EU:C:2009:293, 68. pont; 2013. november 7‑i IPI ítélet, C‑473/12, EU:C:2013:715, 23. pont).
105 Ebből az következik, hogy az alapügyhöz hasonló esetben a 95/46 irányelv 10. cikkében előírt tájékoztatási kötelezettség a honlap üzemeltetőjét is terheli, az általa az érintettnek nyújtandó információnak azonban csak arra a személyesadat‑kezelési műveletre vagy műveletcsoportra kell vonatkoznia, amelynek céljait és módját ténylegesen a honlap‑üzemeltető határozza meg.
106 A fenti megfontolásokra tekintettel az ötödik és a hatodik kérdésre azt a választ kell adni, hogy a 95/46 irányelv 2. cikkének h) pontját és 7. cikkének a) pontját úgy kell értelmezni, hogy az alapügyhöz hasonló esetben, amikor a honlap‑üzemeltető a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon, a honlap üzemeltetőjének a e rendelkezésekben említett hozzájárulást csak arra a személyesadat‑kezelési műveletre vagy műveletcsoportra vonatkozóan kell beszereznie, amelynek céljait és módját az említett honlap‑üzemeltető határozza meg. Ezen túlmenően az említett irányelv 10. cikkét úgy kell értelmezni, hogy ilyen esetben az ebben a rendelkezésben előírt tájékoztatási kötelezettség a honlap üzemeltetőjét is terheli, az általa az érintettnek nyújtandó információnak azonban csak arra a személyesadat‑kezelési műveletre vagy műveletcsoportra kell vonatkoznia, amelynek céljait és módját ő határozza meg.
A költségekről
107 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (második tanács) a következőképpen határozott:
1) A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv 22–24. cikkét úgy kell értelmezni, mint amelyekkel nem ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a fogyasztói érdekvédelmi egyesületek számára, hogy bírósági eljárást kezdeményezzenek a személyes adatok védelmét feltételezetten megsértő személlyel szemben.
2) A Fashion ID GmbH & Co. KG‑hoz hasonló olyan honlap‑üzemeltető, aki a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon, a 95/46 irányelv 2. cikkének d) pontja értelmében vett adatkezelőnek minősíthető. Az adatkezelői minőség azonban csak arra a személyesadat‑kezelési műveletre vagy műveletcsoportra vonatkozik, amelynek céljait és módját ténylegesen ő határozza meg, azaz a szóban forgó adatok gyűjtésére és továbbítás általi közlésére.
3) Az alapügyhöz hasonló esetben, amikor a honlap‑üzemeltető a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon, a honlap‑üzemeltető és a közösségi modul szolgáltatója esetében is fenn kell állnia ezen adatkezelési műveletek tekintetében a 95/46 irányelv 7. cikkének f) pontja szerinti jogos érdeknek ahhoz, hogy arra tekintettel jogszerűnek lehessen minősíteni az adatkezelést.
4) A 95/46 irányelv 2. cikkének h) pontját és 7. cikkének a) pontját úgy kell értelmezni, hogy az alapügyhöz hasonló esetben, amikor a honlap‑üzemeltető a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon, a honlap üzemeltetőjének a e rendelkezésekben említett hozzájárulást csak arra a személyesadat‑kezelési műveletre vagy műveletcsoportra vonatkozóan kell beszereznie, amelynek céljait és módját az említett honlap‑üzemeltető határozza meg. Ezen túlmenően az említett irányelv 10. cikkét úgy kell értelmezni, hogy ilyen esetben az ebben a rendelkezésben előírt tájékoztatási kötelezettség a honlap üzemeltetőjét is terheli, az általa az érintettnek nyújtandó információnak azonban csak arra a személyesadat‑kezelési műveletre vagy műveletcsoportra kell vonatkoznia, amelynek céljait és módját ő határozza meg.
Aláírások