C‑319/20. sz. ügy

Meta Platforms Ireland Limited, korábban Facebook Ireland Limited

kontra

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

(a Bundesgerichtshof [Németország] által benyújtott előzetes döntéshozatal iránti kérelem)

A Bíróság ítélete (harmadik tanács), 2022. április 28.

„Előzetes döntéshozatal – A természetes személyeknek a személyes adatok kezelése tekintetében történő védelme – (EU) 2016/679 rendelet – 80. cikk – Az érintett személyek nonprofit egyesület általi képviselete – Fogyasztói érdekvédelmi egyesület által megbízás nélkül és az érintett személy konkrét jogainak megsértésétől függetlenül indított képviseleti kereset – A tisztességtelen kereskedelmi gyakorlatok tilalmára, valamely fogyasztóvédelmi törvény megsértésére vagy az érvénytelen általános szerződési feltételek alkalmazásának tilalmára alapított kereset”

A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Az érintett személyek képviselete – Kereshetőségi jog – Fogyasztói érdekvédelmi egyesület – Ezen egyesület által megbízás nélkül és az érintett személy konkrét jogainak megsértésétől függetlenül indított képviseleti kereset – A fogyasztóvédelemre vagy a tisztességtelen kereskedelmi gyakorlatok elleni küzdelemre vonatkozó szabályok megsértésére alapított kereset – Megengedhetőség – Feltétel

(2016/679 európai parlamenti és tanácsi rendelet, 80 cikk, (2) bekezdés)

(lásd: 57–60., 63–79., 83. pont és a rendelkező rész)

Összefoglalás

A Meta Platforms Ireland működteti a Facebook online közösségi hálózat szolgáltatásait, és kezeli az e hálózat felhasználóira vonatkozó személyes adatokat az Unióban. A Facebook internetes platformon a www.facebook.de internetes címen található egy úgynevezett „App‑Zentrum” (alkalmazásközpont), amelyben a Meta Platforms Ireland a felhasználók számára hozzáférhetővé teszi külső szolgáltatók ingyenes játékait. Néhány ilyen játék megtekintésekor a felhasználó számára megjelenik egy tájékoztatás, miszerint az érintett alkalmazás használata lehetővé teszi a játékot szolgáltató társaság részére, hogy hozzáférjen bizonyos személyes adatokhoz, és engedélyezi számára, hogy e felhasználó nevében közzétegyen bizonyos információkat. A felhasználó ezen alkalmazás használatával elfogadja annak általános szerződési feltételeit és adatvédelmi politikáját. Ezenkívül az egyik játék esetében a felhasználót arról tájékoztatják, hogy az alkalmazás a felhasználó nevében közzétehet fényképeket és más információkat.

A fogyasztói központok és szervezetek német országos szövetsége ( 1 ) úgy vélte, hogy az érintett játékok által az alkalmazásközpontban nyújtott tájékoztatások tisztességtelenek. Ennélfogva az országos szövetség mint a fogyasztóvédelmi jogszabályok ( 2 ) megsértése abbahagyásának kérelmezése érdekében kereshetőségi joggal rendelkező szervezet jogsértés megszüntetése iránti keresetet nyújtott be a Meta Platforms Irelanddel szemben. Az országos szövetség e keresetet valamely érintett személy adatvédelemhez való jogának konkrét megsértésétől függetlenül és ilyen személytől kapott megbízás nélkül indította. A Meta Platforms Ireland az e keresetnek helyt adó határozattal szemben fellebbezést nyújtott be, majd azt követően, hogy e fellebbezést elutasították, felülvizsgálati kérelmet nyújtott be a Bundesgerichtshofhoz (szövetségi legfelsőbb bíróság, Németország). E bíróság, mivel az országos szövetség keresetének elfogadhatóságát és különösen e szövetségnek a Meta Platforms Irelanddel szembeni kereshetőségi jogát illetően kétségei merültek fel, a Bírósághoz fordult.

Ítéletével a Bíróság kimondja, hogy az általános adatvédelmi rendelet ( 3 ) 80. cikkének (2) bekezdését úgy kell értelmezni, hogy azzal nem ellentétes az, ha a fogyasztói érdekvédelmi egyesületek a személyes adatok védelmét állítólagosan megsértő személlyel szemben a tisztességtelen kereskedelmi gyakorlatok tilalmára, valamely fogyasztóvédelmi törvény megsértésére vagy az érvénytelen általános szerződési feltételek alkalmazásának tilalmára hivatkozva bírósághoz fordulhatnak számukra e célból adott megbízás nélkül és az érintett személyek konkrét jogainak megsértésétől függetlenül. Az ilyen keresetindítás lehetséges, mivel az érintett adatkezelés érintheti az azonosított vagy azonosítható természetes személyek számára az általános adatvédelmi rendelet által biztosított jogokat.

A Bíróság álláspontja

Mindenekelőtt a Bíróság emlékeztet arra, hogy bár az általános adatvédelmi rendelet célja ( 4 ) a személyes adatok védelmére vonatkozó nemzeti jogszabályok főszabály szerint teljes harmonizációjának biztosítása, e rendelet 80. cikkének (2) bekezdése azon rendelkezések részét képezi, amelyek a végrehajtásukat illetően mérlegelési mozgásteret hagynak a tagállamok számára. ( 5 ) Ennélfogva ahhoz, hogy e rendelkezés értelmében vett, a személyes adatok védelmére vonatkozó megbízás nélküli képviseleti keresetet lehessen indítani, a tagállamoknak élniük kell az e rendelkezés által felkínált azon lehetőséggel, hogy a nemzeti jogukban szabályozzák az érintett személyek képviseletének e módját. Mindazonáltal a tagállamoknak, amennyiben élnek e lehetőséggel, az általános adatvédelmi rendeletben előírt feltételek mellett és korlátok között kell gyakorolniuk mérlegelési mozgásterüket, és oly módon kell jogszabályt alkotniuk, hogy e rendelet tartalmát és célkitűzéseit ne sértsék.

Ezt követően a Bíróság hangsúlyozza, hogy az általános adatvédelmi rendelet 80. cikkének (2) bekezdése, miközben lehetővé teszi a tagállamok számára, hogy a személyes adatok védelmét feltételezetten megsértő személlyel szemben alkalmazható képviseleti kereseti mechanizmusról rendelkezzenek, előírja bizonyos követelmények tiszteletben tartását. Így először is kereshetőségi jog illeti meg azt a szervet, szervezetet vagy egyesületet, amely megfelel az általános adatvédelmi rendeletben felsorolt kritériumoknak. ( 6 ) E fogalom körébe tartozhat az országos szövetséghez hasonló fogyasztói érdekvédelmi egyesület, amely az érintett személyek mint fogyasztók jogainak és szabadságainak biztosítására irányuló közérdekű célt szolgál, mivel az ilyen célkitűzés megvalósítása összefügghet az utóbbiak személyes adatainak védelmével. Másodszor az említett képviseleti kereset indítása azt feltételezi, hogy a számára adott bármely megbízástól függetlenül a szóban forgó szervezet megítélése szerint az érintett személyes adatainak kezelése következtében megsértették az érintettnek az általános adatvédelmi rendelet szerinti jogait.

Így egyrészt a képviseleti kereset indítása ( 7 ) nem követeli meg, hogy a szóban forgó szervezet előzetesen egyedileg azonosítsa az általános adatvédelmi rendelet rendelkezéseivel állítólagosan ellentétes adatkezeléssel konkrétan érintett személyt. E célból az ilyen adatkezeléssel érintett személyek kategóriájának vagy csoportjának megjelölése is elegendő lehet. ( 8 )

Másrészt az ilyen keresetindítás nem követeli meg valamely személynek az általános adatvédelmi rendeletből eredő jogai konkrét megsértésének fennállását. A szervezet kereshetőségi jogának elismerése érdekében ugyanis elegendő arra hivatkozni, hogy az érintett adatkezelés érintheti azokat a jogokat, amelyek azonosított vagy azonosítható természetes személyeket az említett rendelet alapján megilletnek, anélkül hogy az érintett személyt valamely konkrét helyzetben a jogainak megsértéséből eredően ért tényleges kárt bizonyítani kellene. Így az általános adatvédelmi rendelet által követett célkitűzésre tekintettel az országos szövetséghez hasonló fogyasztói érdekvédelmi egyesületek arra való feljogosítása, hogy képviseleti kereseti mechanizmus útján indítsanak keresetet az e rendelet rendelkezéseivel ellentétes adatkezelés megszüntetésére kötelezés érdekében – függetlenül az e jogsértés által egyedileg és konkrétan érintett személy jogainak megsértésétől –, vitathatatlanul hozzájárul az érintett személyek jogainak megerősítéséhez és magas szintű védelmének biztosításához.

Végül a Bíróság rámutat arra, hogy a személyes adatok védelmére vonatkozó valamely szabály megsértése egyidejűleg a fogyasztóvédelemre vagy a tisztességtelen kereskedelmi gyakorlatokra vonatkozó szabályok megsértését is eredményezheti. Az általános adatvédelmi rendelet ( 9 ) ugyanis lehetővé teszi a tagállamok számára, hogy éljenek azzal a lehetőséggel, hogy a fogyasztói érdekvédelmi egyesületeket feljogosítsák arra, hogy a fogyasztóvédelemre vagy a tisztességtelen kereskedelmi gyakorlatok elleni küzdelemre irányuló szabályokra hivatkozva lépjenek fel az általános adatvédelmi rendeletben biztosított jogok megsértésével szemben.

( 1 ) Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (a továbbiakban: országos szövetség).

( 2 ) A német jog értelmében a fogyasztóvédelmi törvények magukban foglalják azokat a szabályokat is, amelyek a fogyasztó személyes adatainak valamely vállalkozás vagy vállalkozó általi gyűjtésének, kezelésének vagy felhasználásának jogszerűségét szabályozzák.

( 3 ) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: általános adatvédelmi rendelet). Az általános adatvédelmi rendelet 80. cikkének (2) bekezdése értelmében „[a] tagállamok rendelkezhetnek úgy, hogy az adott tagállamban az e cikk (1) bekezdésében említett bármely szerv, szervezet vagy egyesület – az érintettől kapott megbízástól függetlenül – jogosult legyen arra, hogy az e rendelet 77. cikke alapján eljárni jogosult felügyeleti hatósághoz panaszt nyújtson be, valamint hogy gyakorolja a rendelet 78. és 79. cikkében említett jogokat, ha megítélése szerint az érintett személyes adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait”.

( 4 ) Amint az e rendelet (9), (10) és (13) preambulumbekezdésével összefüggésben értelmezett 1. cikkének (1) bekezdéséből kitűnik.

( 5 ) Az „engedő rendelkezések” értelmében.

( 6 ) Nevezetesen az általános adatvédelmi rendelet 80. cikkének (1) bekezdésében. E rendelkezés „olyan nonprofit jellegű szerv[re], szervezet[re] vagy egyesület[re] [utal], amelyet valamely tagállam jogának megfelelően hoztak létre, és amelynek az alapszabályában rögzített céljai a közérdeket szolgálják, és amely az érintettek jogainak és szabadságainak a személyes adataik vonatkozásában biztosított védelme területén tevékenykedik”.

( 7 ) Az általános adatvédelmi rendelet 80. cikkének (2) bekezdése alapján.

( 8 ) Nevezetesen az „érintettnek” az általános adatvédelmi rendelet 4. cikkének 1. pontja szerinti fogalmának terjedelmére tekintettel, amely fogalom mind az „azonosított természetes személyre”, mind pedig az „azonosítható természetes személyre” kiterjed.

( 9 ) Nevezetesen az általános adatvédelmi rendelet 80. cikkének (2) bekezdése.