Vælg de eksperimentelle funktioner, som du ønsker at prøve

Dette dokument er et uddrag fra EUR-Lex

Dokument 62014CJ0230

A Bíróság ítélete (harmadik tanács), 2015. október 1‑je.
Weltimmo s.r.o. kontra Nemzeti Adatvédelmi és Információszabadság Hatóság.
A Kúria (Magyarország) által benyújtott előzetes döntéshozatal iránti kérelem.
Előzetes döntéshozatal iránti kérelem – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 95/46/EK irányelv – A 4. cikk (1) bekezdése, valamint a 28. cikk (1), (3) és (6) bekezdése – Formálisan más tagállam területén letelepedett adatkezelő – A természetes személyek személyes adatainak védelméhez való jog megsértése egy másik tagállamban – Az alkalmazandó jog és a joghatósággal rendelkező felügyelő hatóság meghatározása – A felügyelő hatóság hatásköreinek gyakorlása – Szankcionálási jogkör.
C-230/14. sz. ügy.

Samling af Afgørelser – Retten

ECLI-indikator: ECLI:EU:C:2015:639

A BÍRÓSÁG ÍTÉLETE (harmadik tanács)

2015. október 1‑je ( * )

„Előzetes döntéshozatal iránti kérelem — A természetes személyek védelme a személyes adatok kezelése vonatkozásában — 95/46/EK irányelv — A 4. cikk (1) bekezdése, valamint a 28. cikk (1), (3) és (6) bekezdése — Formálisan más tagállam területén letelepedett adatkezelő — A természetes személyek személyes adatainak védelméhez való jog megsértése egy másik tagállamban — Az alkalmazandó jog és a joghatósággal rendelkező felügyelő hatóság meghatározása — A felügyelő hatóság hatásköreinek gyakorlása — Szankcionálási jogkör”

A C‑230/14. sz. ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Kúria (Magyarország) a Bírósághoz 2014. május 12‑én érkezett, 2014. április 22‑i határozatával terjesztett elő az előtte

a Weltimmo s. r. o.

és

a Nemzeti Adatvédelmi és Információszabadság Hatóság

között folyamatban lévő eljárásban,

A BÍRÓSÁG (harmadik tanács),

tagjai: M. Ilešič tanácselnök, A. Ó Caoimh, C. Toader, E. Jarašiūnas és C. G. Fernlund (előadó) bírák,

főtanácsnok: P. Cruz Villalón,

hivatalvezető: Illéssy I. tanácsos,

tekintettel az írásbeli szakaszra és a 2015. március 12‑i tárgyalásra,

figyelembe véve a következők által előterjesztett észrevételeket:

a Nemzeti Adatvédelmi és Információszabadság Hatóság képviseletében Péterfalvi A., meghatalmazotti minőségben, segítője: Dudás G. ügyvéd,

a magyar kormány képviseletében Fehér M. Z., Koós G. és Pálfy A., meghatalmazotti minőségben

a lengyel kormány képviseletében B. Majczyna, M. Kamejsza és M. Pawlicka, meghatalmazotti minőségben

a szlovák kormány képviseletében B. Ricziová, meghatalmazotti minőségben

az Egyesült Királyság Kormánya képviseletében M. Holt, meghatalmazotti minőségben, segítője: J. Holmes barrister,

az Európai Bizottság képviseletében Tokár A., B. Martenczuk és J. Vondung, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2015. június 25‑i tárgyaláson történt meghallgatását követően,

meghozta a következő

Ítéletet

1

Az előzetes döntéshozatal iránti kérelem a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) 4. cikke (1) bekezdése a) pontjának, valamint 28. cikke (1), (3) és (6) bekezdésének értelmezésére irányul.

2

E kérelmet a szlovákiai székhelyű Weltimmo s. r. o. társaság (a továbbiakban: Weltimmo) és a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: magyar adatvédelmi hatóság) között, az ez utóbbi hatóság által a 95/46 irányelvet a magyar jogba átültető, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: adatvédelmi törvény) megsértése miatt kiszabott bírság tárgyában indult jogvitában terjesztették elő.

Jogi háttér

Az uniós jog

3

A 95/46 irányelv (3), (18) és (19) preambulumbekezdése a következőket mondja ki:

„(3)

mivel egy olyan belső piac kialakítása és működése, amelyben [az EUMSZ 26. cikknek] megfelelően biztosított az áruk, a személyek, a szolgáltatások és a tőke szabad mozgása, nemcsak azt kívánja meg, hogy a személyes adatok szabadon áramolhassanak egyik tagállamból a másikba, hanem azt is, hogy az egyének alapvető jogai biztosítva legyenek;

[...]

(18)

mivel annak biztosítása érdekében, hogy az egyéneket ne lehessen megfosztani attól a védelemtől, amelyre az irányelv értelmében jogosultak, a Közösség területén végzett minden személyesadat‑feldolgozási [helyesen: személyesadat‑kezelési] tevékenységet a tagállamok valamelyikének jogszabályai szerint kell végrehajtani; mivel ezzel összefüggésben, a valamely tagállamban letelepedett adatkezelő felelőssége mellett végzett adatfeldolgozásra [helyesen: adatkezelésre] ennek a tagállamnak a jogszabályai vonatkoznak;

(19)

mivel a valamely tagállamban való letelepedés magában foglalja a tevékenység tényleges gyakorlását tartós jelleggel; e letelepedés – legyen akár egyszerűen fióktelep, akár jogi személyiséggel rendelkező leányvállalat – jogi formája e tekintetben nem meghatározó tényező; mivel ha egy adatkezelő több tagállamban is letelepedett, főként leányvállalatok révén, a nemzeti szabályozás megkerülésének kizárása érdekében gondoskodnia kell arról, hogy minden egyes szervezete megfeleljen a tevékenységére alkalmazandó nemzeti jogszabályok által meghatározott kötelezettségeknek.”

4

A 95/46 irányelv 2. cikke előírja:

„Ezen irányelv alkalmazásában:

[...]

b)

»személyes adatok feldolgozása« (»feldolgozás«) [helyesen: »személyes adatok kezelése« (»kezelés«)] a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés [helyesen: lekérdezés], felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés;

[...]”

5

A 95/46 irányelv 4. cikke (1) bekezdésének a) pontja az alábbiak szerint rendelkezik:

„(1)   A személyes adatok feldolgozására [helyesen: kezelésére] minden tagállam az ezen irányelvnek megfelelően elfogadott nemzeti rendelkezéseket alkalmazza, amennyiben:

a)

az adatfeldolgozást [helyesen: adatkezelést] a tagállam területén az adatkezelő egy szervezete tevékenységeinek keretében végzik; amennyiben ugyanaz az adatkezelő több tagállam területén is letelepedett, meg kell tennie a szükséges intézkedéseket annak biztosítása érdekében, hogy szervezeteinek mindegyike megfeleljen az alkalmazandó nemzeti jog által megállapított kötelezettségeknek.”

6

A 95/46 irányelv 28. cikkének (1), (3) és (6) bekezdése értelmében:

„(1)   Minden tagállamnak rendelkeznie kell arról, hogy az ezen irányelv értelmében a tagállam által elfogadott nemzeti rendelkezéseknek a területén történő alkalmazását valamely hatóság vagy hatóságok felügyeljék.

Ezek a hatóságok a rájuk ruházott feladatok ellátása során teljes függetlenséggel járnak el.

[...]

(3)   A hatóságok különösen a következő jogosultságokkal rendelkeznek:

vizsgálati jogkör, mint például az adatfeldolgozási [helyesen: adatkezelési] műveletek tárgyát képező adatokhoz való hozzáférés joga, továbbá a felügyeleti feladatok ellátásához szükséges adatok gyűjtésének joga,

tényleges beavatkozási jogosultságok, mint például a 20. cikknek megfelelően végzett adatfeldolgozási [helyesen: adatkezelési] műveletek megkezdése előtti véleményezés joga, e vélemények megfelelő közzétételének biztosítása, az adatok zárolásának, törlésének vagy megsemmisítésének elrendelése, az adatfeldolgozás [helyesen: adatkezelés] átmeneti vagy végleges tilalmának megállapítása, az adatkezelő figyelmeztetése vagy megrovása, illetve az ügy nemzeti parlament vagy más politikai intézmény elé terjesztése,

bírósági eljárásban való részvétel joga az irányelv értelmében elfogadott nemzeti rendelkezések megsértése esetén, továbbá e jogsértések igazságszolgáltatási hatóságok elé terjesztésének joga.

A felügyelő hatóság kifogásolható határozatai bíróság előtt megtámadhatók.

[...]

(6)   A felügyelő hatóságok, függetlenül a szóban forgó adatfeldolgozásra [helyesen: adatkezelésre] alkalmazandó nemzeti jogtól, saját tagállamuk területén hatáskörrel rendelkeznek a (3) bekezdés értelmében rájuk ruházott jogosultságok gyakorlására. Valamely tagállam hatósága felkérheti egy másik állam [helyesen: tagállam] hatóságát hatáskörének gyakorlására.

A felügyelő hatóságok a feladataik teljesítéséhez szükséges mértékben együttműködnek egymással, különösen a hasznos információk cseréje révén.”

A magyar jog

7

Az adatvédelmi törvény 2. §‑ának (1) bekezdése előírja:

„E törvény hatálya a Magyarország területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik.”

8

Az adatvédelmi törvény 3. §‑ának 10. és 17. pontja az alábbi fogalommeghatározásokat tartalmazza:

„10.   adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép‑, hang‑ vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj‑ vagy tenyérnyomat, DNS‑minta, íriszkép) rögzítése;

[...]

17.   adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik.”

Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

9

A Szlovákiában bejegyzett Weltimmo társaság olyan weboldalt üzemeltet, amelyen magyarországi ingatlanok hirdetései jelennek meg. Ennek keretében kezeli a hirdetők személyes adatait. A hirdetések egy hónapig ingyenesek, majd ezt követően a hirdetésért díjat kell fizetni. Számos hirdető az ingyenes időszakot követő időszakra nézve elektronikus levélben kérte hirdetése és egyben a rá vonatkozó személyes adatok törlését. A Weltimmo azonban nem törölte ezeket az adatokat, és kiszámlázta az érintetteknek szolgáltatásainak díjait. A kiszámlázott díjak meg nem fizetésére tekintettel az érintett hirdetők személyes adatait követeléskezelő cégeknek továbbította e társaság.

10

Az említett hirdetők panaszt nyújtottak be a magyar adatvédelmi hatósághoz. E hatóság az adatvédelmi törvény 2. §‑ának (1) bekezdése alapján megállapította joghatóságát, mivel úgy ítélte meg, hogy az érintett adatok gyűjtésére Magyarország területén került sor, és az természetes személyekre vonatkozó adatok kezelésének vagy feldolgozásának minősül. Mivel ezen adatvédelmi hatóság úgy ítélte meg, hogy a Weltimmo megsértette az adatvédelmi törvényt, tízmillió magyar forint (megközelítőleg 32000 euró) bírsággal sújtotta az említett társaságot.

11

A Weltimmo ezért a Fővárosi Közigazgatási és Munkaügyi Bírósághoz fordult, amely úgy ítélte meg, hogy nem vehető figyelembe felperesi érvként az, hogy e társaság nem rendelkezett székhellyel, illetve telephellyel Magyarországon, mivel az érintett magyarországi ingatlanokra vonatkozó adatszolgáltatásra és ezen adatok kezelésére is Magyarországon került sor. E bíróság azonban más indokkal, egyes tényállási elemek tisztázatlansága miatt hatályon kívül helyezte a magyar adatvédelmi hatóság határozatát.

12

A Weltimmo felülvizsgálati eljárást kezdeményezett a kérdést előterjesztő bíróság előtt, és azt állította, hogy nincs szükség a tényállás további tisztázására, mert a jelen esetben a magyar adatvédelmi hatóságnak a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja alapján nincs hatásköre eljárni és a magyar jogot alkalmazni egy másik tagállamban letelepedett szolgáltatóval szemben. A Weltimmo azt állította, hogy a 95/46 irányelv 28. cikkének (6) bekezdése alapján e hatóságnak a szlovák adatvédelmi hatóságot kellett volna megkeresnie abból a célból, hogy az helyette eljárjon.

13

A magyar adatvédelmi hatóság azt állította, hogy a Weltimmónak egy magyar állampolgárságú képviselője van Magyarországon, mégpedig e társaság egyik tulajdonosa, aki az e tagállamban folytatott hatósági és bírósági eljárásban képviseli őt. E hatóság hozzáfűzte, hogy a Weltimmo szerverei minden valószínűség szerint Németországban vagy Ausztriában vannak, azonban e társaság tulajdonosai lakóhellyel rendelkeznek Magyarországon. Végül az említett hatóság szerint az irányelv 28. cikkének (6) bekezdéséből az következik, hogy az alkalmazandó jogtól függetlenül mindenképp volt hatásköre arra, hogy eljárjon.

14

A Kúria, mivel kétségei voltak az alkalmazandó jogot és azon jogköröket illetően, amelyekkel a magyar adatvédelmi hatóság a 95/46 irányelv 4. cikkének (1) bekezdése és 28. cikke alapján rendelkezik, úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)

Értelmezhető‑e [a 95/46 irányelv] 28. cikk[ének] (1) bekezdése akként, hogy egy tagállam területén alkalmazható[k] a nemzeti jog rendelkezései egy olyan, kizárólag a másik tagállamban letelepedett ingatlanközvetítő[‑]weboldalt üzemeltető adatkezelővel szemben, aki e tagállam területén lévő ingatlanokat is hirdet és az ingatlan tulajdonosok továbbították személyes adataikat a weboldal[‑]üzemeltető másik tagállamban lévő adattároló, adatfeldolgozó eszközére (szerverére)?

2)

Értelmezhető‑e az adatvédelmi irányelv 4. cikk[e] (1) bekezdés[ének] a) pontja úgy az adatvédelmi irányelv (18)–(20) preambulumbekezdése, az 1. cikk[ének] (2) bekezdése és a 28. cikk[ének] (1) bekezdése tükrében, hogy a [magyar adatvédelmi hatóság] a magyar adatvédelmi törvényt, mint nemzeti jogot nem alkalmazhatja a kizárólag más tagállamban letelepedett ingatlanközvetítő[‑]weboldal üzemeltető[jé]vel szemben akkor sem, ha az magyarországi ingatlanokat is hirdet, és az azokra vonatkozó adatokat az ingatlantulajdonosok feltehetően Magyarország területéről továbbították a weboldal[‑]üzemeltető másik tagállamban lévő adattároló, feldolgozó eszközére (szerverére)?

3)

Van‑e az értelmezés szempontjából jelentősége annak, hogy a weboldalt üzemeltető adatkezelő által nyújtott szolgáltatás egy másik tagállam területére irányul?

4)

Van‑e jelentősége annak az értelmezés szempontjából, hogy e másik tagállam területéről töltötték‑e fel ténylegesen e másik tagállam területén lévő ingatlanokra vonatkozó adatokat, illetve a tulajdonosok személyes adatait?

5)

Van‑e jelentősége annak az értelmezés szempontjából, hogy ezen ingatlanokhoz kapcsolódó személyes adatok másik tagállam állampolgárainak személyes adatai?

6)

Van‑e jelentősége annak az értelmezés szempontjából, hogy a Szlovákiában letelepedett vállalkozásnak a tulajdonosai magyarországi lakóhellyel rendelkeznek?

7)

Amennyiben a fenti kérdésekre adott válaszokból az következik, hogy a magyar adatvédelmi hatóság eljárhat, de nem alkalmazhatja nemzeti jogát, hanem a letelepedés szerinti tagállam jogát kell alkalmaznia, akkor úgy kell‑e értelmezni az adatvédelmi irányelv 28. cikk[ének] (6) bekezdését, hogy csak az adatvédelmi irányelv 28. cikk[ének] (3) bekezdésében foglalt jogosultságokat gyakorolhatja a letelepedés szerinti tagállam jogában foglaltak szerint a magyar adatvédelmi hatóság, és ezért bírság kiszabására nem jogosult?

8)

Mind az adatvédelmi irányelv 4. cikk[e] (1) bekezdés[ének] a) pontja, mind a 28. cikk[ének] (6) bekezdése szerinti adatfeldolgozás fogalma azonosítható‑e az adatkezelés fogalmával az adatvédelmi irányelv terminológiájában?”

Az előzetes döntéshozatalra előterjesztett kérdésekről

Előzetes megjegyzések

15

Ami legelőször is az alapjogvita ténybeli hátterét illeti, néhány további, a magyar adatvédelmi hatóság által az írásbeli észrevételeiben és a Bíróság előtt tartott tárgyaláson közölt információt kell ismertetni.

16

Ezen információkból kiderül először is, hogy e hatóság informális úton megtudta a szlovák adatvédelmi hatóságtól, hogy a Weltimmo semmilyen tevékenységet nem folytatott székhelyén, Szlovákiában. Másfelől a Weltimmo több alkalommal egyik tagállamból a másikba helyezte át székhelyét. Másodsorban a Weltimmo két weboldalt üzemeltetett, amelyeken az ingatlanok hirdetései kizárólag magyar nyelven jelentek meg. Követelései behajtása céljából bankszámlát nyitott Magyarországon, és folyó ügyei intézésére postafiókkal rendelkezett e tagállamban. A postát rendszeresen felvették és elektronikus úton továbbították a Weltimmo számára. Harmadsorban a hirdetőknek nemcsak maguknak kellett feltenniük az ingatlanjukra vonatkozó adatokat a Weltimmo weboldalára, hanem törölniük is kellett ezeket az adatokat ezen oldalról, ha nem akarták, hogy a fent említett egy hónap lejártát követően azok továbbra is szerepeljenek ott. A Weltimmo informatikai problémával magyarázta, hogy e törlésre nem kerülhetett sor. Negyedsorban a Weltimmo mindössze egy vagy két személyből álló társaság. A meg nem fizetett követelések rendezése érdekében a Weltimmo magyarországi képviselője próbált egyeztetni a hirdetőkkel.

17

Ami ezt követően az előterjesztett kérdések megfogalmazását illeti, noha a kérdést előterjesztő bíróság az első és a második kérdésben „a kizárólag más tagállamban letelepedett” kifejezést használja, az előzetes döntéshozatalra utaló határozatból, valamint a magyar adatvédelmi hatóság írásbeli és szóbeli észrevételeiből kiderül, hogy habár a Weltimmót Szlovákiában jegyezték be, és következésképpen a társasági jog értelmében e tagállamban van letelepedve, kétség merül fel azon kérdéssel kapcsolatban, hogy kizárólag e tagállamban „letelepedett‑e” a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja értelmében. A kérdést előterjesztő bíróság e rendelkezés értelmezését kérve a Bíróságtól azt kívánja valójában megtudni, hogy mire terjed ki az e rendelkezésben használt „szervezet” fogalma.

18

Végül rá kell arra mutatni, hogy a kérdést előterjesztő bíróság első és második kérdésében azt állítja, hogy a Weltimmo által használt szerver Szlovákiában található, míg az előzetes döntéshozatalra utaló határozat egy másik részében annak lehetőségét említi, hogy e társaság szerverei Németországban vagy Ausztriában vannak. E körülmények között célszerű úgy tekinteni, hogy a kérdést előterjesztő bíróság nem döntötte el azt a kérdést, hogy az említett társaság által használt szerver vagy szerverek mely tagállamban találhatók.

Az első–hatodik kérdésről

19

A kérdést előterjesztő bíróság együttesen megvizsgálandó első–hatodik kérdése lényegében arra irányul, hogy a 95/46 irányelv 4. cikke (1) bekezdésének a) pontját és 28. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy olyan körülmények között, mint amelyekről az alapügyben szó van, e rendelkezések lehetővé teszik valamely tagállam adatvédelmi hatósága számára, hogy a nemzeti adatvédelmi szabályozását egy olyan adatkezelővel szemben alkalmazza, amelynek társasága egy másik tagállamban van bejegyezve, és amely az e két tagállam közül az első tagállam területén található ingatlanokat hirdető weboldalt üzemeltet. Különösen azt a kérdést teszi fel, hogy van‑e jelentősége annak, hogy ez az a tagállam:

amelynek területére a személyes adatok kezelőjének tevékenysége irányul,

amelynek területén az érintett ingatlanok találhatók,

amelynek területéről ezen ingatlanok tulajdonosaira vonatkozó adatokat közölték,

amelynek e tulajdonosok az állampolgárai, és

amelynek területén e társaság tulajdonosai lakóhellyel rendelkeznek.

20

Az alkalmazandó joggal kapcsolatban a kérdést előterjesztő bíróság konkrétan a szlovák és a magyar jogot említi; e jogok közül az első azon tagállam joga, amelynek területén az érintett személyes adatok kezelője be van jegyezve, a második pedig azon tagállam joga, amelynek területére az alapügyben szereplő weboldalak irányulnak, és amelynek területén a közzétett hirdetések tárgyát képező ingatlanok találhatók.

21

E tekintetben meg kell állapítani, hogy a 95/46 irányelvnek „Az alkalmazandó nemzeti jog” című 4. cikke, amely ezen irányelvnek az „Általános rendelkezések” című I. részében szerepel, pontosan a feltett kérdést rendezi.

22

A 95/46 irányelvnek „A felügyelő hatóság” című 28. cikke viszont e hatóság szerepére és jogköreire vonatkozik. A 28. cikk (1) bekezdése értelmében e hatóság felügyeli az ezen irányelv értelmében a tagállam által elfogadott nemzeti rendelkezéseknek a területén történő alkalmazását. Az említett irányelv 28. cikke (6) bekezdésének megfelelően a felügyelő hatóság – a szóban forgó adatkezelésre alkalmazandó nemzeti jogtól függetlenül – saját tagállama területén hatáskörrel rendelkezik a rá ruházott jogosultságok gyakorlására.

23

Ezért tehát nem a 95/46 irányelv 28. cikke, hanem ez utóbbi irányelv 4. cikke alapján kell meghatározni az ezen adatkezelőre alkalmazandó nemzeti jogot.

24

A 95/46 irányelv 4. cikke (1) bekezdésének a) pontja értelmében a személyes adatok kezelésére minden tagállam az ezen irányelvnek megfelelően elfogadott nemzeti rendelkezéseket alkalmazza, amennyiben az adatkezelést a tagállam területén az adatkezelő egy szervezete tevékenységeinek keretében végzik.

25

Tekintettel a 95/46 irányelv által követett azon célra, amely a természetes személyek alapvető jogainak és szabadságainak, különösen a személyes adatok kezelése tekintetében a magánélet tiszteletben tartásához való joguknak a hatékony és teljes védelmét kívánja biztosítani, az „egy szervezete tevékenységeinek keretében” kifejezést nem lehet megszorítóan értelmezni (lásd ebben az értelemben: Google Spain és Google ítélet, C‑131/12, EU:C:2014:317, 53. pont).

26

E cél elérése és annak elkerülése érdekében, hogy az egyéneket meg lehessen fosztani attól a védelemtől, amelyre ezen irányelv értelmében jogosultak, az említett irányelv (18) preambulumbekezdése kimondja, hogy az Európai Unió területén végzett minden személyesadat‑kezelési tevékenységet a tagállamok valamelyikének jogszabályai szerint kell végrehajtani, és a valamely tagállamban letelepedett adatkezelő felelőssége mellett végzett adatkezelésre ennek a tagállamnak a jogszabályai vonatkoznak.

27

Az uniós jogalkotó ezért az irányelv tárgyi hatályát különösen tágan határozta meg, és azt annak 4. cikkébe foglalta (lásd ebben az értelemben: Google Spain és Google ítélet, C‑131/12, EU:C:2014:317, 54. pont).

28

Ami először is a „szervezet”, illetve „letelepedés” fogalmát illeti, emlékeztetni kell arra, hogy a 95/46 irányelv (19) preambulumbekezdése kimondja, hogy a valamely tagállamban való letelepedés magában foglalja a tevékenység tényleges gyakorlását tartós jelleggel, és e letelepedés – legyen akár egyszerűen fióktelep, akár jogi személyiséggel rendelkező leányvállalat – jogi formája e tekintetben nem meghatározó tényező (Google Spain és Google ítélet, C‑131/12, EU:C:2014:317, 48. pont). E preambulumbekezdés egyebekben kifejti, hogy ha egy adatkezelő több tagállamban is letelepedett, főként leányvállalatok révén, a nemzeti szabályozás megkerülésének kizárása érdekében gondoskodnia kell arról, hogy minden egyes szervezete megfeleljen a tevékenységére alkalmazandó nemzeti jogszabályok által meghatározott kötelezettségeknek.

29

Ebből – amint arra a főtanácsnok indítványának 28. és 32–34. pontjában lényegében rámutatott – a letelepedés fogalmának rugalmas értelmezése következik, amely elveti azon formális megközelítést, amely szerint a vállalkozás kizárólag ott van letelepedve, ahol bejegyezték. Így annak meghatározásához, hogy valamely társaság, az adatkezelő, a 95/46 irányelv értelmében szervezettel rendelkezik‑e egy attól eltérő tagállamban, mint az a tagállam vagy harmadik ország, ahol be van jegyezve, mind a létesítmény állandóságának mértékét, mind pedig a tevékenységek tényleges gyakorlását a szóban forgó gazdasági tevékenységek és szolgáltatásnyújtások sajátos jellegére figyelemmel kell értelmezni. Ez különösen érvényes azon vállalkozásokra, amelyek kizárólag az interneten nyújtanak szolgáltatásokat.

30

E tekintetben – az ezen irányelv által követett azon célra tekintettel, hogy hatékony és teljes védelmet biztosítson a magánélethez való jognak, valamint elkerülje a nemzeti szabályozás megkerülésének kizárását – különösen meg kell állapítani, hogy egyetlen képviselő jelenléte bizonyos körülmények között elegendő lehet ahhoz, hogy a tartós jelleg fennálljon, ha a kérdéses tagállamban kellő mértékű állandósággal jár el az érintett konkrét szolgáltatások nyújtásához szükséges eszközök segítségével.

31

Az említett cél megvalósításához továbbá meg kell állapítani, hogy a „szervezet”, illetve „letelepedés” 95/46 irányelv értelmében vett fogalma kiterjed minden, akár csekély mértékű valós és tényleges tevékenységre, amelyet tartós jelleggel folytatnak.

32

A jelen esetben a Weltimmo által folytatott tevékenység legalább egy vagy több olyan, magyarországi ingatlanokat hirdető weboldal üzemeltetéséből áll, amelyek magyar nyelvűek, és amely hirdetések után egy hónapot követően díjat kell fizetni. Meg kell tehát állapítani, hogy e társaság valódi és tényleges tevékenységet folytat Magyarországon.

33

A magyar adatvédelmi hatóság által adott pontosításokból továbbá kiderül, hogy a Weltimmo képviselővel rendelkezik Magyarországon, aki magyarországi lakcímmel szerepel a szlovák cégnyilvántartásban, és aki a meg nem fizetett követelések megfizetése céljából egyeztetéseket folytat a hirdetőkkel. E képviselő biztosított kapcsolatot e társaság és a panasztevők között, valamint képviselte a társaságot a hatósági és a bírósági eljárásban. Az említett társaság továbbá bankszámlát nyitott Magyarországon a követelései behajtása céljából, és postafiókkal rendelkezik e tagállam területén a folyó ügyeinek vitelére. Olyan helyzetben, mint amelyről az alapügyben szó van, ezen információk alapján – amelyeket a kérdést előterjesztő bíróságnak kell megvizsgálnia – megállapítható a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja értelmében vett „szervezet” léte.

34

Másodsorban arra kell választ kapni, hogy az érintett személyesadat‑kezelést e szervezet „tevékenységeinek keretében” végzik‑e.

35

A Bíróság már megállapította, hogy a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja nem azt követeli meg, hogy a személyes adatokat érintő szóban forgó adatkezelést az érintett szervezet „maga” valósítsa meg, hanem csupán azt, hogy „tevékenységeinek keretében” végezze (Google Spain és Google ítélet, C‑131/12, EU:C:2014:317, 52. pont).

36

A jelen esetben az alapügyben szóban forgó adatkezelés különösen a Weltimmo ingatlanhirdetéseinek és az ezen ingatlanok tulajdonosaira vonatkozó személyes adatoknak az interneten való közzétételére, valamint adott esetben ezen adatoknak a hirdetések egy hónap lejártát követően való kiszámlázásához történő felhasználására terjed ki.

37

E tekintetben emlékeztetni kell arra, hogy a Bíróságnak konkrétan az internettel kapcsolatban már alkalma nyílt megállapítani, hogy a személyes adatok internetes oldalon való feltüntetéséből álló művelet a 95/46 irányelv 2. cikkének b) pontja szerinti „adatfeldolgozásnak” [helyesen: „adatkezelésnek”] tekintendő (Lindqvist‑ítélet, C‑101/01, EU:C:2003:596, 25. pont; Google Spain és Google ítélet, C‑131/12, EU:C:2014:317, 26. pont).

38

Márpedig nem kétséges, hogy ezen adatkezelésre a jelen ítélet 32. pontjában ismertetett azon tevékenységek keretében került sor, amelyeket a Weltimmo Magyarországon folytat.

39

Ennélfogva a jelen ítélet 33. pontjában felidézett azon vizsgálatra figyelemmel, amelyet a kérdést előterjesztő bíróságnak kell elvégeznie az adatkezelő magyarországi szervezete fennállásának megállapítása tekintetében, meg kell állapítani, hogy ezen adatkezelést e szervezet tevékenységeinek keretében végezték, és hogy az olyan helyzetben, mint amelyről az alapügyben szó van, a 96/46 irányelv 4. cikke (1) bekezdésének a) pontja lehetővé teszi a személyes adatok védelmére vonatkozó magyar jog alkalmazását.

40

Az alapügyben szereplő adatok kezelésére alkalmazandó nemzeti jog meghatározása céljából semmilyen jelentősége nincs viszont azon körülménynek, hogy az ingatlanhirdetések tárgyát képező ingatlanok tulajdonosai magyar állampolgárok.

41

A fenti megfontolások összességére figyelemmel az alábbi választ kell adni az első–hatodik kérdésre:

a 95/46 irányelv 4. cikke (1) bekezdésének a) pontját úgy kell értelmezni, hogy az lehetővé teszi az attól eltérő tagállam személyes adatok védelmére vonatkozó szabályozásának alkalmazását, mint ahol ezen adatok kezelője be van jegyezve, amennyiben ezen adatkezelő tartós jelleggel olyan, akár csekély mértékű valós és tényleges tevékenységet folytat e tagállam területén, amelynek keretében ezen adatkezelésre sor kerül;

annak meghatározásához, hogy olyan körülmények között, mint amelyekről az alapügyben szó van, a fenti eset áll‑e fenn, a kérdést előterjesztő bíróság különösen figyelembe veheti egyrészt azt, hogy az említett adatkezelő azon tevékenysége, amelynek keretében a szóban forgó adatkezelést végzi, az ezen tagállam területén található ingatlanokra vonatkozó, e tagállam nyelvén megfogalmazott hirdetéseket megjelentető weboldalak üzemeltetéséből áll, és e tevékenység következésképpen főként, vagy akár teljes mértékben az említett tagállamra irányul, másrészt pedig azt, hogy ezen adatkezelő olyan képviselővel rendelkezik az említett tagállamban, aki az e tevékenységből eredő követelések behajtásával, valamint az érintett adatok kezelésével kapcsolatos hatósági és bírósági eljárásokban az adatkezelő képviseletével van megbízva;

az ezen adatkezeléssel érintett személyek állampolgárságának viszont nincs jelentősége.

A hetedik kérdésről

42

A hetedik kérdést csak arra az esetre tette fel a kérdést előterjesztő bíróság, amennyiben a magyar adatvédelmi hatóság úgy ítélné meg, hogy a Weltimmo nem Magyarországon, hanem egy másik tagállamban rendelkezik a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja értelmében vett olyan szervezettel, amelynek tevékenységei keretében végzik az érintett személyes adatok kezelését.

43

A kérdést előterjesztő bíróság e kérdéssel lényegében arra vár választ, hogy amennyiben a magyar adatvédelmi hatóság arra a következetésre jutna, hogy a személyes adatok kezelésére alkalmazandó jog nem a magyar jog, hanem valamely más tagállam joga, a 95/46 irányelv 28. cikkének (1), (3) és (6) bekezdését úgy kell‑e értelmezni, hogy e hatóság csak az ezen irányelv 28. cikkének (3) bekezdésében foglalt jogosultságokat gyakorolhatja e másik tagállam jogában foglaltak szerint, és nem jogosult bírság kiszabására.

44

Ami először is az adatvédelmi hatóság azon hatáskörét illeti, hogy ebben az esetben eljárjon, meg kell jegyezni, hogy a 95/46 irányelv 28. cikkének (4) bekezdése alapján a felügyelő hatóságok foglalkoznak a személyes adatok kezelése vonatkozásában az egyének jogainak vagy szabadságainak védelmével kapcsolatos, bármely személy által benyújtott kérelmekkel.

45

Következésképpen az olyan helyzetben, mint amelyről az alapügyben szó van, a magyar adatvédelmi hatósághoz fordulhatnak az olyan személyek, mint az alapügyben szereplő ingatlanhirdetők, akik úgy ítélik meg, hogy a rájuk vonatkozó személyes adatok jogellenes kezelésének sértettjei abban a tagállamban, ahol ezen ingatlanok találhatók.

46

Másodsorban azt kell megvizsgálni, hogy a 95/46 irányelv 28. cikkének (1), (3) és (6) bekezdése alapján milyen jogkörei vannak e felügyelő hatóságnak.

47

Ezen irányelv 28. cikkének (1) bekezdéséből következik, hogy a tagállamok által létrehozott felügyelő hatóságok felügyelik az adott tagállam területén a tagállamok által a 95/46 irányelv értelmében elfogadott nemzeti rendelkezések tiszteletben tartását.

48

A 95/46 irányelv 28. cikkének (3) bekezdése értelmében e felügyelő hatóságok különösen vizsgálati jogkörrel – mint például a felügyeleti feladatok ellátásához szükséges adatok gyűjtésének joga –, valamint tényleges beavatkozási jogosultságokkal rendelkeznek, mint például az adatok zárolásának, törlésének vagy megsemmisítésének elrendelése, az adatkezelés átmeneti vagy végleges tilalmának megállapítása, továbbá az adatkezelő figyelmeztetése vagy megrovása.

49

Az ekképp felsorolt jogkörök nem kimerítő jellegére és az e rendelkezésben említett vizsgálati jogkörök típusára, valamint a tagállamok számára a 95/46 irányelv átültetése terén biztosított mozgástérre tekintettel meg kell állapítani, hogy e beavatkozási jogkörök magukban foglalhatják az adatkezelő szankcionálására vonatkozó jogköröket, adott esetben bírság kiszabása révén.

50

A felügyelő hatóságok számára biztosított jogköröket azon tagállam eljárási jogának megfelelően kell gyakorolni, amely alá tartoznak.

51

A 95/46 irányelv 28. cikkének (1) és (3) bekezdéséből következik, hogy a felügyelő hatóságok a saját tagállamuk területén számukra biztosított összes jogosultsággal rendelkeznek annak érdekében, hogy e területen biztosítsák az adatvédelemre vonatkozó szabályok tiszteletben tartását.

52

A felügyelő hatóságok jogköreinek e területi alkalmazását megerősíti ezen irányelv 28. cikkének (6) bekezdése, amely kimondja, hogy a felügyelő hatóságok saját tagállamuk területén hatáskörrel rendelkeznek az említett irányelv 28. cikkének (3) bekezdése értelmében rájuk ruházott jogosultságok gyakorlására, mégpedig a szóban forgó adatkezelésre alkalmazandó nemzeti jogtól függetlenül. A 28. cikk (6) bekezdése azt is kimondja, hogy valamely tagállam hatósága felkérheti egy másik tagállam hatóságát hatáskörének gyakorlására, és hogy e hatóságok a feladataik teljesítéséhez szükséges mértékben együttműködnek egymással, különösen a hasznos információk cseréje révén.

53

E rendelkezés szükséges a személyes adatok Unión belüli szabad áramlásának biztosításához, ugyanakkor biztosítja a természetes személyek magánéletének a 95/46 irányelvben előírt védelmére irányuló szabályok tiszteletben tartását. Az említett rendelkezés hiányában ugyanis, ha a személyes adatok kezelőjére valamely másik tagállam joga vonatkozna, azonban ezen adatkezelő megsértené a természetes személyek magánéletük védelméhez való jogát valamely másik tagállamban, nevezetesen azáltal, hogy a tevékenységét e más tagállamra irányítja, anélkül hogy ott az irányelv értelmében letelepedne, nehéz, sőt lehetetlen lenne e személyek számára az e védelemhez való joguk tiszteletben tartásának biztosítása.

54

A 95/46 irányelv 28. cikkének (6) bekezdéséből így az következik, hogy valamely tagállam felügyelő hatósága, amelyhez természetes személyek a rájuk vonatkozó személyes adatok kezelésével kapcsolatos panaszt nyújtottak be ezen irányelv 28. cikkének (4) bekezdése alapján, az alkalmazandó nemzeti jogtól függetlenül megvizsgálhatja e panaszt, következésképpen még akkor is, ha az érintett adatok kezelésére alkalmazandó jog egy másik tagállam joga.

55

Ebben az esetben azonban e hatóság jogköreibe nem feltétlenül tartozik bele az összes olyan jogkör, amelyet a saját tagállama jogának megfelelően ruháztak rá.

56

Amint ugyanis a főtanácsnok indítványának 50. pontjában arra rámutatott, az érintett tagállam területi szuverenitásából következő követelményekből, a törvényesség elvéből és a jogállamiság fogalmából következően a szankcionálási jogkör gyakorlására főszabály szerint nem kerülhet sor azon jogi határokon túl, amelyeken belül a közigazgatási hatóság a saját nemzeti joga alapján jogosult eljárni.

57

Így amennyiben valamely felügyelő hatósághoz a 95/46 irányelv 28. cikkének (4) bekezdése szerinti panaszt nyújtanak be, e hatóság az alkalmazandó nemzeti jogtól függetlenül gyakorolhatja a vizsgálati jogköreit akár még azelőtt, hogy tudná, hogy melyik a szóban forgó adatkezelésre alkalmazandó nemzeti jog. Ha azonban arra a következtetésre jut, hogy valamely másik tagállam joga alkalmazandó, nem szabhat ki szankciókat a saját tagállamának területén kívül. Ebben a helyzetben az ezen irányelv 28. cikkének (6) bekezdésében előírt együttműködési kötelezettség teljesítése mellett az ő feladata e másik tagállam felügyelő hatóságát felkérni, hogy állapítsa meg e jog esetleges megsértését, és – amennyiben e jog lehetővé teszi – szabjon ki szankciókat adott esetben az általa átadott információk alapján.

58

Az ilyen panasz ügyében eljáró felügyelő hatóság ezen együttműködés keretében más vizsgálatok lefolytatására is köteles lehet a másik tagállam felügyelő hatóságának iránymutatásai alapján.

59

Ebből következik, hogy olyan helyzetben, mint amelyről az alapügyben szó van, amennyiben az alkalmazandó jog Magyarországon kívüli más tagállam joga, a magyar adatvédelmi hatóság nem gyakorolhatja a magyar jog által rá ruházott szankcionálási jogköröket.

60

A fenti megfontolásokból következik, hogy a hetedik kérdésre azt a választ kell adni, hogy abban az esetben, ha valamely tagállam felügyelő hatósága, amelyhez a 95/46 irányelv 28. cikkének (4) bekezdése szerinti panaszt nyújtottak be, arra a következetésre jut, hogy az érintett személyes adatok kezelésére alkalmazandó jog nem e tagállam joga, hanem valamely más tagállamé, ezen irányelv 28. cikkének (1), (3) és (6) bekezdését úgy kell értelmezni, hogy e felügyelő hatóság csak a saját tagállamának területén gyakorolhatja az említett irányelv 28. cikke (3) bekezdésének megfelelően rá ruházott tényleges beavatkozási jogköröket. Következésképpen nem szabhat ki szankciókat e tagállam joga alapján ezen adatok azon kezelőjére, aki nincs letelepedve e területen, hanem ugyanezen irányelv 28. cikkének (6) bekezdése alapján kérnie kell az alkalmazandó jog szerinti tagállam felügyelő hatóságától a beavatkozást.

A nyolcadik kérdésről

61

A kérdést előterjesztő bíróság által a Bíróságnak feltett nyolcadik kérdés az „adatfeldolgozás” (az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése) fogalmának terjedelmére irányul, amely különösen a 95/46 irányelvnek az alkalmazandó jog meghatározására vonatkozó 4. cikke (1) bekezdésének a) pontjában, és a felügyelő hatóság hatáskörére vonatkozó 28. cikkének (6) bekezdésében szerepel.

62

A 95/46 irányelv magyar nyelvű változatából kiderül, hogy az szisztematikusan az „adatfeldolgozás” kifejezést használja.

63

A kérdést előterjesztő bíróság kifejti, hogy az adatvédelmi törvény többek között a 95/46 irányelv felügyelő hatóságra vonatkozó rendelkezéseinek végrehajtására irányuló rendelkezéseiben az „adatkezelés” kifejezést használja. Márpedig, amint e törvény 3. §‑ának 10. pontjából következik, e kifejezésnek szélesebb az értelme, mint az „adatfeldolgozás” kifejezésé, amelyet az említett törvény 3. §‑ának 17. pontja határoz meg, és az felöleli ez utóbbi kifejezést.

64

Habár az „adatfeldolgozás” fogalmának – a szokásos jelentése szerint és amint az az adatvédelmi törvényből következik – szűkebb az értelme, mint az „adatkezelésnek”, rá kell mutatni, hogy a 95/46 irányelv magyar nyelvű változata az „adatfeldolgozás” kifejezést a 2. cikkének b) pontjában szélesen, az „adatkezelés” kifejezéssel megegyezően határozza meg.

65

Ebből következően azt a választ kell adni a nyolcadik kérdésre, hogy a 95/46 irányelvet úgy kell értelmezni, hogy az „adatfeldolgozás” (az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése) ezen irányelv magyar nyelvű változatában – különösen a 4. cikke (1) bekezdésének a) pontjában és 28. cikkének (6) bekezdésében – használt fogalmát az „adatkezelés” kifejezéssel azonosan kell érteni.

A költségekről

66

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

 

A fenti indokok alapján a Bíróság (harmadik tanács) a következőképpen határozott:

 

1)

A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv 4. cikke (1) bekezdésének a) pontját úgy kell értelmezni, hogy az lehetővé teszi az attól eltérő tagállam személyes adatok védelmére vonatkozó szabályozásának alkalmazását, mint ahol ezen adatok kezelője be van jegyezve, amennyiben ezen adatkezelő tartós jelleggel olyan, akár csekély mértékű valós és tényleges tevékenységet folytat e tagállam területén, amelynek keretében ezen adatkezelésre sor kerül.

Annak meghatározásához, hogy olyan körülmények között, mint amelyekről az alapügyben szó van, a fenti eset áll‑e fenn, a kérdést előterjesztő bíróság különösen figyelembe veheti egyrészt azt, hogy az említett adatkezelő azon tevékenysége, amelynek keretében a szóban forgó adatkezelést végzi, az ezen tagállam területén található ingatlanokra vonatkozó, e tagállam nyelvén megfogalmazott hirdetéseket megjelentető weboldalak üzemeltetéséből áll, és e tevékenység következésképpen főként, vagy akár teljes mértékben az említett tagállamra irányul, másrészt pedig azt, hogy ezen adatkezelő olyan képviselővel rendelkezik az említett tagállamban, aki az e tevékenységből eredő követelések behajtásával, valamint az érintett adatok kezelésével kapcsolatos hatósági és bírósági eljárásokban az adatkezelő képviseletével van megbízva.

Az ezen adatkezeléssel érintett személyek állampolgárságának viszont nincs jelentősége.

 

2)

Abban az esetben, ha valamely tagállam felügyelő hatósága, amelyhez a 95/46 irányelv 28. cikkének (4) bekezdése szerinti panaszt nyújtottak be, arra a következetésre jut, hogy az érintett személyes adatok kezelésére alkalmazandó jog nem e tagállam joga, hanem valamely más tagállamé, ezen irányelv 28. cikkének (1), (3) és (6) bekezdését úgy kell értelmezni, hogy e felügyelő hatóság csak a saját tagállamának területén gyakorolhatja az említett irányelv 28. cikke (3) bekezdésének megfelelően rá ruházott tényleges beavatkozási jogköröket. Következésképpen nem szabhat ki szankciókat e tagállam joga alapján ezen adatok azon kezelőjére, aki nincs letelepedve e területen, hanem ugyanezen irányelv 28. cikkének (6) bekezdése alapján kérnie kell az alkalmazandó jog szerinti tagállam felügyelő hatóságától a beavatkozást.

 

3)

A 95/46 irányelvet úgy kell értelmezni, hogy az „adatfeldolgozás” (az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése) ezen irányelv magyar nyelvű változatában – különösen a 4. cikke (1) bekezdésének a) pontjában és 28. cikkének (6) bekezdésében – használt fogalmát az „adatkezelés” kifejezéssel azonosan kell érteni.

 

Aláírások


( * )   Az eljárás nyelve: magyar.

Op