1.

Az általános adatvédelmi rendelet ( 2 ) (a továbbiakban: általános adatvédelmi rendelet) lehetővé teszi‑e egy tagállam felügyeleti hatósága számára, hogy eljárást kezdeményezzen az adott állam bírósága előtt e rendeletnek a határokon átnyúló adatkezeléssel összefüggő állítólagos megsértése miatt, ha ez a hatóság nem a fő felügyeleti hatóság ezen adatkezelés tekintetében?

2.

Vagy az új „egységességi” mechanizmus, amelyre úgy tekintenek, mint az általános adatvédelmi rendelet által bevezetett egyik legfontosabb újításra, e helyzet megakadályozására irányul? Ha valamely adatkezelőt arra hívnának fel, hogy védekezzen a felügyeleti hatóság által a határokon átnyúló adatkezeléssel kapcsolatban az adatkezelő tevékenységi központján kívüli bíróság előtt indított eljárásban, az vajon „túlságosan sok ablakos ügyintézés” lenne, és ezért összeegyeztethetetlen lenne az általános adatvédelmi rendelet új mechanizmusával?

3.

Az általános adatvédelmi rendelet preambulumában többek között szerepel, hogy: „[a] 95/46/EK irányelv célkitűzései és elvei továbbra is érvényesek, azonban az irányelv nem akadályozta meg sem azt, hogy az Unió tagállamaiban az adatvédelem végrehajtása széttagolt módon valósuljon meg, sem [pedig] a jogbizonytalanságot” (a (9) preambulumbekezdés); következetes és magas szintű uniós szintű védelmet kell biztosítani (a (10) preambulumbekezdés); a felügyeleti hatóságoknak következetes módon nyomon kell követniük a szabályok alkalmazását, és hozzá kell járulniuk azok következetes alkalmazásához annak érdekében, hogy megvédjék a természetes személyeket, és megkönnyítsék a személyes adatok belső piacon belüli szabad áramlását (a (123) preambulumbekezdés); a határokon átnyúló adatkezeléssel érintett esetekben „fő hatóságként az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye szerinti felügyeleti hatóság jár el”, és e hatóság „együttműködik olyan egyéb hatóságokkal, amelyek szintén érintettek” (a (124) preambulumbekezdés).

4.

Az általános adatvédelmi rendelet 51. cikkének (1) bekezdése alapján „[a] természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam előírja, hogy e rendelet alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv (a továbbiakban: felügyeleti hatóság) felel”.

5.

Az általános adatvédelmi rendelet 55. cikkének (1) bekezdése értelmében „[a] felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására”.

6.

Az általános adatvédelmi rendelet 56. cikke a fő felügyeleti hatóság illetékességére vonatkozik. E rendelkezés (1) bekezdése kimondja:

„Az 55. cikk sérelme nélkül, az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye szerinti felügyeleti hatóság jogosult fő felügyeleti hatóságként eljárni az említett adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében, a 60. cikk szerinti eljárással összhangban.”

7.

Az 56. cikk (2)–(5) bekezdése e cikk (1) bekezdésétől eltérve úgy rendelkezik, hogy „minden felügyeleti hatóság jogosult a hozzá benyújtott panaszok kezelésére, illetve jogosult e rendelet esetleges megsértése esetén eljárni, ha az ügy tárgya kizárólag egy, a tagállamában található tevékenységi helyet érint, vagy ha kizárólag a tagállamában érint jelentős mértékben érintetteket”. Ezekkel az esetekkel az általános adatvédelmi rendelet 60. cikkében meghatározott eljárás alapján eljárva a fő felügyeleti hatóságok vagy „abban az esetben, ha a fő felügyeleti hatóság úgy határoz, hogy nem jár el az ügyben”, az általános adatvédelmi rendelet 61. és 62. cikkével összhangban eljárva a helyi felügyeleti hatóságok foglalkoznak.

8.

Az 56. cikk (6) bekezdése kimondja, hogy „[a] fő felügyeleti hatóság az adatkezelő vagy adatfeldolgozó egyetlen kapcsolattartója az általuk végzett, határokon átnyúló adatkezeléssel kapcsolatban”.

9.

Az általános adatvédelmi rendelet 58. cikkének (5) bekezdése a felügyeleti hatóságok hatásköreire vonatkozóan a következőképpen rendelkezik:

„A tagállamok jogszabályban előírják, hogy a felügyeleti hatóságuk hatáskörrel rendelkezik arra, hogy e rendelet megsértéséről tájékoztassa az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzen vagy abban más módon részt vegyen e rendelet rendelkezéseinek érvényre juttatása érdekében.”

10.

Az általános adatvédelmi rendelet „Együttműködés és egységesség” című VII. fejezete tartalmazza a 60–76. cikket. Az „Együttműködés a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság között” című 60. cikk határozza meg a fő felügyeleti hatóság által a határokon átnyúló adatkezelés esetén követendő eljárás részletes szabályait.

11.

Az általános adatvédelmi rendelet kölcsönös segítségnyújtásra vonatkozó 61. cikkének (2) bekezdése ezzel szemben megköveteli, hogy minden felügyeleti hatóság „tegye meg a megfelelő intézkedéseket annak érdekében, hogy a más felügyeleti hatóságtól érkező megkereséseket indokolatlan késedelem nélkül, de legkésőbb a megkeresés kézhezvételétől számított egy hónapon belül megválaszolja”. Az általános adatvédelmi rendelet 61. cikkének (8) bekezdése kimondja, hogy ha egy felügyeleti hatóság nem adja meg a kért információkat, a megkereső felügyeleti hatóság a saját tagállama területén ideiglenes intézkedést fogadhat el, mivel vélelmezni kell, hogy a 66. cikk (1) bekezdése szerinti sürgős fellépésre van szükség.

12.

Az általános adatvédelmi rendeletnek „A Testület vitarendezési eljárása” címet viselő 65. cikkének (1) bekezdése úgy rendelkezik, hogy annak érdekében, hogy az egyes esetekben biztosított legyen e rendelet helyes és egységes alkalmazása, az Európai Adatvédelmi Testület (a továbbiakban: Testület) kötelező erejű döntést fogad el többek között a következő esetekben: ha valamely érintett felügyeleti hatóság releváns és megalapozott kifogást emelt a fő felügyeleti hatóság döntéstervezetével szemben, vagy ha a fő felügyeleti hatóság elutasított egy ilyen kifogást arra hivatkozva, hogy az nem releváns vagy nem megalapozott.

13.

A sürgősségi eljárásra vonatkozó 66. cikk (1) bekezdése úgy rendelkezik, hogy ha egy érintett felügyeleti hatóság rendkívüli körülmények fennállása esetén úgy véli, hogy az érintettek jogainak és szabadságainak védelme érdekében sürgős fellépésre van szükség, akkor az egységességet és koherenciát biztosító mechanizmustól eltérve „haladéktalanul legfeljebb három hónapra szóló meghatározott érvényességi idejű ideiglenes intézkedéseket fogadhat el abból a célból, hogy saját tagállama területén joghatást váltson ki”.

14.

Az általános adatvédelmi rendelet „Jogorvoslat, felelősség és szankciók” című VII. fejezete tartalmazza a 77–84. cikket. A 77. cikk (1) bekezdése alapján minden érintett jogosult arra, hogy panaszt tegyen a felügyeleti hatóságnál – „különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban” – a rá vonatkozó személyes adatok kezelésével szemben a rendelet esetleges megsértése miatt. Az általános adatvédelmi rendelet 78. cikkének (1) és (2) bekezdése alapján minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra többek között a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével és azon hatósággal szemben, amely nem foglalkozik a panasszal.

15.

A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelvet ( 3 ) a módosított Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (a magánélethez való jognak a személyes adatok kezelése tekintetében történő védelméről szóló, 1992. december 8‑i törvény; a továbbiakban: WVP) ültette át. E törvény többek között felállította a magánélet védelméért felelős belga bizottságot. E törvény 32. cikkének (3) bekezdése alapján „a rendes bíróságok hatáskörének sérelme nélkül a magánélethez való jog védelmére vonatkozó általános elvek alkalmazása érdekében a [magánélet védelméért felelős bizottság] az elsőfokú bíróság elé terjesztheti az e törvény és végrehajtási intézkedéseinek alkalmazásával kapcsolatos jogvitákat”.

16.

A 2018. május 25‑én hatályba lépett Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (a belga adatvédelmi hatóság létrehozásáról szóló, 2017. december 3‑i törvény; a továbbiakban: adatvédelmi hatóságról szóló törvény) 3. cikke értelmében az adatvédelmi hatóság a magánélet védelméért felelős bizottság jogutódjaként jött létre. E törvény 6. cikkével összhangban az az adatvédelmi hatóság „hatáskörrel rendelkezik arra, hogy felhívja az igazságügyi hatóságok figyelmét e törvény és a személyes adatok kezelésének védelmére vonatkozó rendelkezéseket tartalmazó törvények keretein belül a személyes adatok védelme alapvető elveinek megsértésére, és adott esetben jogi lépéseket tegyen ezen alapelvek alkalmazása érdekében”.

17.

Az adatvédelmi hatóságról szóló törvény nem tartalmazott konkrét rendelkezéseket a WVP 32. cikkének (3) bekezdése alapján megindított, 2018. május 25‑én még folyamatban lévő bírósági eljárások vonatkozásában.

18.

A WVP‑t a Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről szóló, 2018. július 30‑i törvény) hatályon kívül helyezte. Ez a törvény hajtja végre az általános adatvédelmi rendelet azon rendelkezéseit, amelyek a közös szabályok mellett a tagállamokat részletesebb szabályok elfogadására kötelezik, vagy azt részükre engedélyezik.

19.

A magánélet védelméért felelős belga bizottság (a későbbi adatvédelmi hatóság) elnöke 2015. szeptember 11‑én eljárást indított a Facebook Inc., a Facebook Ireland Ltd. és a Facebook BVBA (a továbbiakban együttesen: Facebook) ellen a Nederlandstalige rechtbank van eerste aanleg Brussel (brüsszeli holland nyelvű elsőfokú bíróság, Belgium) előtt. Ezen eljárás az adatvédelmi rendelkezéseknek a Facebook által történő állítólagos megsértésére vonatkozik, amely jogsértések többek között a belgiumi internethasználók magánjellegű szörfölési szokásaira vonatkozó adatok olyan technológiák segítségével történő jogellenes gyűjtését és felhasználását foglalják magukban, mint a „cookie‑k”, a „social pluginek” és a „pixelek”.

20.

Az adatvédelmi hatóság lényegében azt állítja, hogy a Facebook különböző technológiákat alkalmaz személyek megfigyelése és nyomon követése céljából, miközben e személyek az egyik honlapról a következőre szörfölnek, és az összegyűjtött adatokat ezt követően arra a célra használja, hogy e személyek szörfölési szokásaira vonatkozó profilt hozzon létre, valamint ennek alapján célirányos hirdetéseket jelenítsen meg számukra, anélkül hogy a Facebook az érintett személyeket megfelelően tájékoztatná, vagy érvényes hozzájárulásukat beszerezné. Az adatvédelmi hatóság előadja, hogy a Facebook ezeket a gyakorlatokat attól függetlenül alkalmazza, hogy az érintett személy a Facebook közösségi hálózatának felhasználója‑e, vagy sem.

21.

Az adatvédelmi hatóság a Facebook arra való kötelezését kérte, hogy a Belgium területén letelepedett valamennyi internethasználó tekintetében hagyjon fel azzal, hogy beleegyezésük nélkül olyan cookie‑kat alkalmaz, amelyek két évig aktívak maradnak azokon az eszközökön, amelyeket ezen egyének akkor használnak, amikor valamely weboldalon böngésznek a Facebook.com domén alatt, vagy harmadik fél weboldalán, valamint hogy harmadik fél weboldalain túlzott mértékben gyűjtsenek adatokat a „social pluginek” és a „pixelek” segítségével. Emellett azt kérte, hogy a „cookie‑k” és a „social pluginek” segítségével a Belgium területén letelepedett egyes internethasználókról megszerzett valamennyi személyes adatot töröljenek.

22.

Az ideiglenes intézkedést elrendelő 2015. november 9‑i végzésében a Nederlandstalige rechtbank van eerste aanleg Brussel (brüsszeli holland nyelvű elsőfokú bíróság) megállapította, hogy joghatósággal rendelkezik az ügy elbírálására, és hogy a kereset mindhárom alperes esetében elfogadható. A bíróság emellett ideiglenesen arra kötelezte az alpereseket, hogy szüntessék meg bizonyos tevékenységeiket a Belgium területén tartózkodó internethasználók tekintetében.

23.

2016. március 2‑án a Facebook fellebbezést nyújtott be e végzés ellen a Hof van beroep te Brusselhez (brüsszeli fellebbviteli bíróság, Belgium). Az eljáró bíróság 2016. június 29‑i ítéletével módosította az elsőfokú végzést. E bíróság többek között úgy határozott, hogy nem rendelkezik joghatósággal a Facebook Inc. és a Facebook Ireland Ltd ellen indított keresetek tekintetében, míg a Facebook Belgium BVBA ellen indított kereset tekintetében joghatósággal rendelkezik. Az alapeljárás ennélfogva azon kereseti kérelmekre korlátozódik, amelyek a Facebook Belgium BVBA ellen irányulnak. E bíróság azt is megállapította, hogy nem áll fenn sürgősségi ok.

24.

Értelmezésem szerint a jelenleg a Hof van beroep te Brussel (brüsszeli fellebbviteli bíróság) előtt folyamatban lévő ügy az elsőfokú bíróság által hozott későbbi érdemi határozat elleni fellebbezésre vonatkozik. A fellebbezési eljárásban a Facebook Belgium többek között azt állítja, hogy az általános adatvédelmi rendelet új „egységességi” mechanizmusának bevezetése óta az adatvédelmi hatóság elvesztette illetékességét az alapeljárás folytatására, mert nem minősül fő felügyeleti hatóságnak. A szóban forgó határokon átnyúló adatkezelés tekintetében a fő felügyeleti hatóság az ír Data Protection Commission (adatvédelmi bizottság, Írország) lenne. Az adatkezelő Európai Unión belüli tevékenységi központja Írországban található (Facebook Ireland Ltd).

25.

A fentiek alapján a Hof van beroep te Brussel (brüsszeli fellebbviteli bíróság) úgy határozott, hogy felfüggeszti az eljárást, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

26.

Írásbeli észrevételeket a Facebook, a DPA, a belga, a cseh, az olasz, a lengyel, a portugál és a finn kormány, valamint az Európai Bizottság terjesztett elő. A Facebook, az adatvédelmi hatóság és a Bizottság a 2020. október 5‑i tárgyaláson szóban is előadták érvelésüket.

27.

Dióhéjban az alapeljárás során felmerült kulcskérdés az, hogy az adatvédelmi hatóság jogosult‑e a személyes adatok azon határokon átnyúló kezelése tekintetében a Facebook Belgium ellen bírósági eljárást folytatni, amelyre az általános adatvédelmi rendelet alkalmazásának kezdő időpontja után került sor, tekintettel arra, hogy az adatkezelő szerv a Facebook Ireland Ltd.

28.

E probléma megoldása érdekében meg kell vizsgálni az általános adatvédelmi rendelet (127) preambulumbekezdésében „egységességi” mechanizmusnak nevezett mechanizmus terjedelmét és működését. E mechanizmus olyan szabályokból áll, amelyek a határokon átnyúló adatkezelés esetén a fő felügyeleti hatóság (a továbbiakban: fő felügyeleti hatóság) révén létrehoznak egy központi végrehajtó pontot, amely az érintett felügyeleti hatóságokkal (a továbbiakban: érintett felügyeleti hatóságok) együtt részét képezi az együttműködési és egységességi eljárások rendszerének, mely utóbbi célja valamennyi érdekelt felügyeleti hatóság részvételének biztosítása.

29.

Az általános adatvédelmi rendelet 56. cikkének (1) bekezdése értelmében a felügyeleti hatóság fő felügyeleti hatóságként jár el azon adatkezelő vagy adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében, amelynek tevékenységi központja vagy egyetlen tevékenységi helye e hatóság illetékességi területén van. Az általános adatvédelmi rendelet 4. cikkének 22. pontja alapján a felügyeleti hatóság érintett felügyeleti hatóságként jár el, ha a következő vagylagos feltételek valamelyike teljesül: „a) az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel; b) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy c) panaszt nyújtottak be az említett felügyeleti hatósághoz”.

30.

Mielőtt az előzetes döntéshozatalra előterjesztett kérdések érdemével foglalkoznék, két előzetes észrevételt szeretnék tenni (A). Ezután rátérek a kérdést előterjesztő bíróság által felhozott jogi kérdések vizsgálatára. Különösen az előzetes döntéshozatalra előterjesztett első kérdésre fogok összpontosítani, mivel ez a kérdés képezi a kérdést előterjesztő bíróság előtti jogvita központi kérdését (B). Ezt követően csak röviden foglalkozom az előzetes döntéshozatalra előterjesztett többi kérdéssel, mivel ha az első kérdésre az általam javasolt választ kell adni, a többi kérdésre vagy szükségtelen választ adni, vagy meglehetősen egyértelmű válasz adható (C).

31.

Elsőként megjegyzem, hogy az alapeljárás néhány tényezőjét csak némi nehézséggel tudom teljességében megérteni.

32.

Először is be kell vallanom, hogy az alapeljárásban előterjesztett kérdések relevanciája nem teljesen egyértelmű számomra azon tényre figyelemmel, hogy azon felek közül, akikkel szemben az adatvédelmi hatóság keresetet nyújtott be, csak a Facebook Belgium szerepel még alperesként az alapeljárásban. ( 4 ) A Bíróság részére benyújtott iratokból kitűnik, hogy ez a társaság se nem az adatkezelő „tevékenységi központja” az általános adatvédelmi rendelet 4. cikkének 16. pontja értelmében, sem nem az általános adatvédelmi rendelet 26. cikke értelmében vett közös adatkezelő, mivel ugyanezen vállalkozás tevékenységi helyének tűnik. ( 5 )

33.

Az előzetes döntéshozatalra előterjesztett kérdések releváns voltát ugyanakkor vélelmezni kell. Így a Bíróság csak korlátozott körülmények között tagadja meg a határozathozatalt, például akkor, ha a Bíróság eljárási szabályzata 94. cikkének követelményeit nem tartják tiszteletben, vagy ha nyilvánvaló, hogy az uniós jog értelmezése semmilyen módon nem függ össze a tényállással, vagy ha a kérdések (teljesen) hipotetikus jellegűek. ( 6 ) Véleményem szerint a jelen ügy nem minősül ilyen esetnek. A „ki kicsoda” és „kivel szemben pontosan miért lehet keresetet indítani” nemcsak ténybeli értékelést jelent, amely végső soron a nemzeti bíróság feladata, hanem bizonyos értelemben a Bíróság elé terjesztett kérdések egyik vonatkozása is.

34.

Másodszor az alapeljárás időbeli vonatkozása sem könnyen érthető. A keresetet akkor indították, amikor a 95/46 irányelv volt hatályban. Még folyamatban volt, amikor az általános adatvédelmi rendelet hatályba lépett. Mindazonáltal az eljárás most nyilvánvalóan csak az új jogi keret alkalmazásának kezdő időpontját követően tanúsított magatartásra vonatkozik. Felmerül ugyanis az a probléma, hogy az eljárásnak az adatvédelmi hatóság által történő folytatása összhangban áll‑e az általános adatvédelmi rendelet rendelkezéseivel, amit a negyedik kérdés vet fel. Ezek a kérdések azonban csak akkor lennének relevánsak az alapeljárásban, ha a nemzeti hatóság az új jogi keret alkalmazásának kezdő időpontját megelőző állítólagos jogsértések vonatkozásában folyamatban lévő eljárásokat próbálta volna meg befejezni. Ha azonban a folyamatban lévő eljárások e ponton csak az általános adatvédelmi rendelet alkalmazásának kezdő időpontját követően bekövetkezett állítólagos jogsértésekre vonatkoznak, amelyek adott esetben az ilyen gyakorlatok bíróság általi (szükségszerűen jövőbeli) megtiltásának követelésével járnak együtt, nem könnyű megérteni, hogy az adatvédelmi hatóság – amennyiben úgy véli, hogy jogosult eljárni – miért nem zárta le a folyamatban lévő eljárásokat, és miért nem az általános adatvédelmi rendelet releváns rendelkezései alapján járt el.

35.

Harmadszor a tárgyaláson az adatvédelmi hatóság az ír felügyeleti hatósággal és a Testülettel a Facebook által az adatok gyűjtésére használt egyik technológiáról (cookie‑k) folytatott eszmecserére utalt. Megállapításra került, hogy a két felügyeleti hatóság nem értett egyet abban, hogy e technológia ténylegesen az általános adatvédelmi rendelet tárgyi hatálya alá tartozik‑e.

36.

Ebben az összefüggésben, és ami a jelen ügyet illeti, érdemes kiemelni, hogy bizonyos adatkezelési tevékenységek valóban egynél több uniós jogalkotási eszköz tárgyi hatálya alá tartozhatnak, ebben az esetben ezen eszközök, ha másként nem rendelkeznek, egyidejűleg alkalmazandók. ( 7 ) Más esetekben ugyanakkor, például amikor az adatkezelési tevékenység nem érint az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett személyes adatokat, az általános adatvédelmi rendeletet nyilvánvalóan nem kell alkalmazni.

37.

Ennek megfelelően, ha egyes adatkezelési típusok állítólagos jogellenessége az (uniós vagy nemzeti) jogszabályok egyéb rendelkezéseiből fakad, az általános adatvédelmi rendeletben meghatározott eljárások és mechanizmusok nem alkalmazhatók. Az általános adatvédelmi rendelet nem használható kapuként az olyan magatartásformáknak az „egységességi” mechanizmusba való bevonásához, amelyek bár tartalmaznak bizonyos adatáramlásokat vagy akár adatkezelést, az abban meghatározott kötelezettségek egyikének hatálya alá sem esnek.

38.

Annak eldöntése érdekében, hogy valamely ügy ténylegesen az általános adatvédelmi rendelet tárgyi hatálya alá tartozik‑e, a nemzeti bíróságnak, beleértve bármely kérdést előterjesztő bíróságot is, tájékozódnia kell a gazdasági szereplőt terhelő azon jogi kötelezettség pontos forrásáról, amelyet az előbbi állítólag megsértett. Ha e kötelezettség forrása nem az általános adatvédelmi rendelet, akkor az ezen eszköz által meghatározott eljárások, amelyek ezen eszköz tárgyi hatályához kapcsolódnak, logikailag szintén nem alkalmazhatók.

39.

Az első kérdéssel a kérdést előterjesztő bíróság lényegében azt kérdezi, hogy az általános adatvédelmi rendeletnek az Európai Unió Alapjogi Chartájának (a továbbiakban: Charta) 7., 8. és 47. cikkével összefüggésben értelmezett rendelkezései lehetővé teszik‑e a tagállam felügyeleti hatósága részére, hogy abban az esetben is keresetet indíthasson az ezen államban működő valamely bíróság előtt az általános adatvédelmi rendelet határokon átnyúló adatkezelésre vonatkozó állítólagos megsértése miatt, ha e hatóság nem minősül „fő felügyeleti hatóságnak”.

40.

E tekintetben az adatvédelmi hatóság, valamint a belga, az olasz, a lengyel és a portugál kormány azt javasolja, hogy a Bíróság igenlő választ adjon, míg a Facebook, a cseh és a finn kormány, valamint a Bizottság az ellenkező álláspontot képviseli.

41.

A következő szakaszban kifejtem, miért nem találom meggyőzőnek az általános adatvédelmi rendeletnek az adatvédelmi hatóság, valamint a belga, az olasz, a lengyel és a portugál kormány által javasolt értelmezését: az általános adatvédelmi rendeletnek mind a szó szerinti és rendszertani (1), mind a teleologikus és történeti (2) értelmezése egyértelműen az ellentétes irányba mutat. Ezenkívül sem a rendeletnek a Chartához igazodó értelmezése (3), sem az általános adatvédelmi rendelet esetlegesen nem megfelelő végrehajtásának állítólagos kockázata (4) nem kérdőjelezi meg az általános adatvédelmi rendelet véleményem szerint helyes értelmezését, a jelen ügyben mindenesetre biztosan nem.

42.

A fentiekre figyelemmel, véleményem szerint a rendelet e konkrét értelmezésének következményei nem olyan szélsőségesek, mint amelyeket a Facebook, a cseh és a finn kormány, valamint a Bizottság állít. Ennek megfelelően kifejtem, hogy miért kell a kérdést előterjesztő bíróságnak adandó válasznak az ezen eljárásban előadott két álláspont közötti középúton elhelyezkednie: valamely tagállam felügyeleti hatósága jogosult eljárást indítani ezen állam bírósága előtt az általános adatvédelmi rendeletnek a határokon átnyúló adatkezelés vonatkozásában történő állítólagos megsértése miatt, annak ellenére, hogy nem minősül fő felügyeleti hatóságnak, feltéve, hogy ezt az általános adatvédelmi rendeletben meghatározott helyzetekben és eljárások szerint teszi (5).

43.

Elsőként úgy tűnik számomra, hogy a vonatkozó rendelkezések szövege, különösen összefüggéseikben értelmezve azokat, alátámasztja az általános adatvédelmi rendelet olyan értelmezését, amely szerint a fő felügyeleti hatóság általános illetékességgel rendelkezik a határokon átnyúló adatkezelés vonatkozásában, és ebből adódóan az érintett felügyeleti hatóságok e tekintetben korlátozott hatáskörrel rendelkeznek.

44.

Az általános adatvédelmi rendelet 56. cikke kimondja, hogy „az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye szerinti felügyeleti hatóság jogosult fő felügyeleti hatóságként eljárni az említett adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében, a 60. cikk szerinti eljárással összhangban.” ( 8 ) Az 56. cikk (6) bekezdése értelmében „[a] fő felügyeleti hatóság az adatkezelő vagy adatfeldolgozó egyetlen kapcsolattartója az általuk végzett, határokon átnyúló adatkezeléssel kapcsolatban” ( 9 ). A (124) preambulumbekezdés e rendelkezéseket tükrözve lényegében megállapítja, hogy a határokon átnyúló adatkezelés esetében „fő hatóságként az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye szerinti felügyeleti hatósága jár el” ( 10 ).

45.

A fő felügyeleti hatóságnak a határokon átnyúló adatkezelésre vonatkozó általános illetékességét az a tény is megerősíti, hogy az általános szabály alóli kivételeknek minősülnek azok a helyzetek, amelyekben a határokon átnyúló adatkezelés tekintetében más felügyeleti hatóságok rendelkeznek illetékességgel. Közelebbről az általános adatvédelmi rendelet 55. cikkének (2) bekezdése kizárja a fő felügyeleti hatóság illetékességét a „közhatalmi szervek által végzett” meghatározott adatkezeléssel kapcsolatban. Az általános adatvédelmi rendelet 56. cikkének (2) bekezdése kimondja továbbá, hogy azon elvtől eltérve, amely szerint a fő felügyeleti hatóság az illetékes, „minden felügyeleti hatóság jogosult a hozzá benyújtott panaszok kezelésére, illetve jogosult e rendelet esetleges megsértése esetén eljárni, ha az ügy tárgya kizárólag egy, a tagállamában található tevékenységi helyet érint, vagy ha kizárólag a tagállamában érint jelentős mértékben érintetteket”.

46.

Emellett az általános adatvédelmi rendelet 66. cikke, amely a „sürgősségi eljárásra” vonatkozik, „rendkívüli körülmények fennállása esetén” felhatalmazza az egyes érintett felügyeleti hatóságokokat arra, hogy amennyiben az érintettek jogainak és szabadságainak védelme érdekében sürgős fellépésre van szükség, haladéktalanul legfeljebb három hónapra szóló meghatározott érvényességi idejű ideiglenes intézkedéseket fogadjanak el abból a célból, hogy az saját tagállamuk területén joghatást váltson ki, „eltérve” az általános adatvédelmi rendelet 60., 63., 64. és 65. cikkében foglalt együttműködési, illetve egységességi mechanizmustól.

47.

Ennélfogva az általános adatvédelmi rendelet szövegéből számomra meglehetősen egyértelműnek tűnik, hogy a határokon átnyúló adatkezelés tekintetében a fő felügyeleti hatóság illetékessége a főszabály, és a többi felügyeleti hatóság illetékessége a kivétel. ( 11 )

48.

Az adatvédelmi hatóság és egyes kormányok azonban vitatják az általános adatvédelmi rendelet ezen értelmezését. Véleményük szerint a vonatkozó rendelkezések szövege azt sugallja, hogy minden felügyeleti hatóság (szinte korlátlanul) jogosult bírósági eljárást kezdeményezni a területét érintő esetleges jogsértések esetén, függetlenül attól, hogy az adatkezelés határokon átnyúló‑e. Alapvetően két érvre támaszkodnak.

49.

Először is azzal érvelnek, hogy az „55. cikk sérelme nélkül” kifejezés, amellyel az 56. cikk (1) bekezdése kezdődik, azt jelenti, hogy az utóbbi rendelkezés által a fő felügyeleti hatóság tekintetében meghatározott illetékesség nem sértheti vagy korlátozhatja az előbbi rendelkezés által az egyes felügyeleti hatóságok számára biztosított hatásköröket, a bírósági eljárás megindítását is beleértve.

50.

Ez az érv nem tűnik számomra elfogadhatónak.

51.

Az 55. cikk (1) bekezdése megállapítja azt az elvet, hogy a felügyeleti hatóság „a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására”. E feladatok felsorolását az általános adatvédelmi rendelet 57. cikke tartalmazza. A hatáskörök felsorolását annak 58. cikke tartalmazza. A ráruházott feladatok között szerepel különösen az általános adatvédelmi rendelet alkalmazásának nyomon követése és kikényszerítése (57. cikk (1) bekezdésének a) pontja). Az 58. cikk alapján a felügyeleti hatóságok hatáskörei közé tartoznak a különböző vizsgálati (az (1) bekezdés), korrekciós (a (2) bekezdés), engedélyezési és tanácsadási hatáskörök, valamint a bírósági eljárásban való részvételre vonatkozó hatáskörök (az (5) bekezdés).

52.

Lényegében e rendelkezések – amelyekre az 55. cikk közvetve utal – minden olyan feladatot és hatáskört magukban foglalnak, amelyeket a felügyeleti hatóságok számára az általános adatvédelmi rendelet biztosít. Ha követnénk az adatvédelmi hatóság és az egyes kormányok által javasolt értelmezést, akkor gyakorlatilag semmi nem maradna a fő felügyeleti hatóság általános illetékességi körében, és ezáltal megfosztanánk értelmétől az 56. cikket. A fő felügyeleti hatóság nem lenne sem „egyedüli” kapcsolattartó, sem a többi felügyeleti hatósághoz képest valamilyen módon „fő” hatóság. Szerepe vitathatatlanul egy „információs pont” szerepére csökkenne, világosan meghatározott küldetés nélkül.

53.

A fő felügyeleti hatóság részére biztosított szerep fontossága az egységességi mechanizmus következtében még egyértelműbbé válik, amikor e rendelkezéseket együttesen és összefüggéseikben értelmezzük.

54.

Ennek első jele az 56. cikk kiemelt szerepe az általános adatvédelmi rendelet rendszerén belül. Az 56. cikk az általános adatvédelmi rendelet vonatkozó szakaszában (VI. fejezet, „Független felügyeleti hatóságok”, 2. szakasz, „Illetékesség, feladatok és hatáskörök”) megjelenő második rendelkezés, és közvetlenül az „illetékességre” vonatkozó általános rendelkezés után, valamint a „feladatokra” és „hatáskörökre” vonatkozó egyéb általános rendelkezések előtt szerepel. Ennélfogva az uniós jogalkotó úgy döntött, hogy kiemeli a fő felügyeleti hatóság illetékességének központi jelentőségét, még azelőtt, hogy az összes felügyeleti hatóság konkrét feladatait és hatásköreit részletezné.

55.

Még alapvetőbb, hogy a fő felügyeleti hatóság szerepének jelentőségét erősítik az általános adatvédelmi rendelet („Együttműködés és egységesség” címet viselő) VII. fejezetének rendelkezései is, amelyek meghatározzák azokat a különféle eljárásokat és mechanizmusokat, amelyeket a felügyeleti hatóságoknak az általános adatvédelmi rendelet egységes alkalmazásának biztosítása érdekében követniük kell. Közelebbről, a fejezetet kezdő 60. cikk, amelyre az 56. cikk (1) bekezdése hivatkozik, meghatározza „a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság közötti együttműködés” eljárását.

56.

Nyilvánvaló, hogy ezt az eljárást kell követni, amikor a határokon átnyúló adatkezelés tekintetében végrehajtási intézkedésekre van szükség. Ez az eljárás, csakúgy, mint az általános adatvédelmi rendelet VII. fejezetében foglalt többi eljárás, nem választható jellegű. Különösen az általános adatvédelmi rendelet 51. cikkének (2) bekezdésében és 63. cikkében szereplő kógens kifejezések egyértelműen azt jelzik, hogy a felügyeleti hatóságoknak együtt kell működniük, és ezt az e célra létrehozott eljárások és mechanizmusok (kötelező) igénybevételével kell megtenniük.

57.

Ennélfogva az 56. cikk (1) bekezdésében szereplő „az 55. cikk sérelme nélkül” kifejezés az adatvédelmi hatóság által javasolttól eltérő jelentéssel bír. Véleményem szerint ez a szövegfordulat az elhelyezkedésének összefüggésében egyszerűen azt jelenti, hogy még ha egyedi esetekben a fő felügyeleti hatóság is az illetékes a határokon átnyúló adatkezelést érintő ügyekben az általános adatvédelmi rendelet 56. cikke alapján, természetesen valamennyi felügyeleti hatóság megőrzi az általános adatvédelmi rendelet 55. (és 58.) cikke alapján ráruházott általános hatásköröket.

58.

Az általános adatvédelmi rendelet 55. cikkének (1) bekezdése értelmében a tagállamoknak lehetővé kell tenniük a felügyeleti hatóság számára a rendeletben foglalt feladatok végzését és hatáskörök gyakorlását. Ez a rendelkezés tehát minden felügyeleti hatóságot általános hatáskörrel (vagy illetékességgel) ruház fel a területére vonatkozóan, és ez igaz marad függetlenül attól („annak sérelme nélkül”), hogy az adatkezelés jellegénél fogva határokon átnyúló‑e, és hogy az előbbi, a szóban forgó hatóság fő felügyeleti hatóságként vagy érintett felügyeleti hatóságként jár‑e el. ( 12 ) Mindazonáltal az általános adatvédelmi rendelet 55. cikke nem szabályozza azokat a helyzeteket és módokat, amelyekben és ahogyan ezt a hatáskört valamely egyedi esetben gyakorolják. Ezeket a szempontokat az általános adatvédelmi rendelet egyéb rendelkezései szabályozzák, különösen azok, amelyek a VII. fejezetben szerepelnek. E rendelkezések szerint az, hogy a felügyeleti hatóság gyakorolhatja‑e az általános hatáskört, és e gyakorlás módja többek között attól függ, hogy az adott adatkezelő vagy adatfeldolgozó vonatkozásában ez a hatóság fő felügyeleti hatóságnak vagy érintett felügyeleti hatóságnak minősül‑e. ( 13 )

59.

E tekintetben és az eredményt illetően tehát osztom a Testület véleményét, amely egy nemrégiben kiadott véleményében az általános adatvédelmi rendelet 56. cikkének (1) bekezdését „elsődlegességet élvező szabálynak” és „lex specialisnak” nevezte: a rendelkezés „elsőbbséget élvez [az általános adatvédelmi rendelet 55. cikkének általános szabályával szemben], ha olyan adatkezelés merül fel, amely megfelel az ott meghatározott feltételeknek” ( 14 ).

60.

Ennélfogva úgy vélem, hogy az adatvédelmi hatóság és bizonyos kormányok tévesen értelmezik az általános adatvédelmi rendelet 55. cikkét és 56. cikkének (1) bekezdését. E beavatkozó felek az 56. cikk (1) bekezdésében foglalt mondat első részét kiragadják a szövegkörnyezetéből annak érdekében, hogy megfordítsák a főszabály és a kivétel közötti kapcsolatot. Ez az általános adatvédelmi rendelet több rendelkezése normatív tartalmának gyengülését eredményezi, és meghiúsítja az adatvédelmi szabályok következetesebb és egységesebb alkalmazásának biztosítására irányuló – többek között az irányelv (10) preambulumbekezdésében kiemelt – célkitűzést. Ez lényegében a 95/46 irányelv korábbi rendszeréhez való visszatérést jelentené.

61.

Másodszor az adatvédelmi hatóság és bizonyos kormányok azt állítják, hogy az általános adatvédelmi rendelet 58. cikke (5) bekezdésének megfogalmazásából az következik, hogy valamennyi felügyeleti hatóságnak biztosítani kell, hogy bírósági eljárást indíthasson az adatvédelmi szabályok bármilyen, az illetékességi területét érintő esetleges megsértése esetén, tekintet nélkül az adatkezelés (helyi vagy határokon átnyúló) jellegére. Ennek következménye – véleményük szerint – az, hogy még ha az egységességi mechanizmust úgy is értelmeznénk, hogy az korlátozza a többi felügyeleti hatóság hatáskörét a határokon átnyúló adatkezelés tekintetében, ezek a korlátok csak a közigazgatási eljárást érintik, a bírósági eljárást azonban nem.

62.

Véleményem szerint ez a második érv is elfogadhatatlan. Ez is az előző érv „hibájába” esik: az általános adatvédelmi rendelet egy különös rendelkezését a rendelet többi részétől „klinikailag elszigetelve” értelmezi, de egyúttal túl sokat is magyaráz bele.

63.

Az általános adatvédelmi rendelet 58. cikkének (5) bekezdése kimondja: „[a] tagállamok jogszabályban előírják, hogy a felügyeleti hatóságuk hatáskörrel rendelkezik arra, hogy e rendelet megsértéséről tájékoztassa az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzen vagy abban más módon részt vegyen e rendelet rendelkezéseinek érvényre juttatása érdekében”.

64.

E rendelkezés előírja a tagállamoknak, hogy egyrészt engedélyezzék a felügyeleti hatóságok számára az igazságügyi hatóságokkal (ideértve esetlegesen a bűnügyi hatóságokat is) való szoros kapcsolattartást, másrészt pedig biztosítsák a felügyeleti hatóságok számára a nemzeti bíróságok előtti (nemcsak passzív, hanem aktív) kereshetőségi jogot is. Más szavakkal, a felügyeleti hatóságok részére alapvetően biztosítani kell, hogy kapcsolatot tarthassanak az igazságügyi hatóságokkal, és szükség esetén bírósági eljárást kezdeményezhessenek. Értelmezésem szerint az uniós jogalkotó azért ítélte szükségesnek az ilyen kifejezett rendelkezést, mivel a 95/46 irányelv 28. cikke (3) bekezdésének szövege ( 15 ) ellenére jelentős különbségek voltak a tagállami jogszabályok között e kérdésben, ami viszont a nem megfelelő végrehajtás problémáját vetette fel. ( 16 ) A jelen ügy, amelyet akkor kezdeményeztek, amikor ez az irányelv még hatályban volt, példaként szolgál e tekintetben: az ügy a nemzeti jog alapján felvetette a magánélet védelméért felelős bizottság kereshetőségi jogával és az e bizottság elnöke által indított kereset jogalapjának megfelelőségével kapcsolatos kérdéseket.

65.

Mindazonáltal a fentiekben már kifejtettekhez hasonlóan ( 17 ) az általános adatvédelmi rendelet 58. cikkének (5) bekezdése olyan hatásköröket állapít meg, amelyeket kivétel nélkül minden felügyeleti hatóság részére biztosítani kell ebben a szakaszban, függetlenül annak meghatározásától (vagy annak meghatározása előtt), hogy az adott esetben ez a hatóság‑e az illetékes fő felügyeleti hatóság vagy érintett felügyeleti hatóság, vagy esetlegesen egyáltalán nem érintett. Az általános adatvédelmi rendelet 58. cikkének (5) bekezdése nem szabályozza azokat a helyzeteket és módokat, amelyekben és ahogyan a bírósági eljárás kezdeményezésére vonatkozó hatáskört gyakorolják. Feltehetőleg ezért tartalmazza e rendelkezés az „adott esetben” kifejezést. Ez az általános adatvédelmi rendelet más rendelkezéseinek tárgya.

66.

Ezenkívül sem az általános adatvédelmi rendelet 58. cikkének szövege, sem annak felépítése nem utal arra, hogy – ahogyan azt az adatvédelmi hatóság állítja –, különbség tehető a hatóságoknak (az egységességi mechanizmusból eredő korlátozások hatálya alá tartozó) közigazgatási hatáskörei és a bírósági eljárás kezdeményezésére vonatkozó (e korlátozások hatálya alá nem tartozó) hatásköre között. E rendelkezés bekezdésről bekezdésre (vizsgálati, korrekciós, tanácsadási stb.) cél szerint csoportosítva felsorolja azokat a különböző hatásköröket, amelyeket a felügyeleti hatóságok részére biztosítani kell. E bekezdések szövege meglehetősen hasonló, lényegében kimondva, hogy valamennyi felügyeleti hatóságnak rendelkeznie kell az ott meghatározott hatáskörökkel.

67.

Ennélfogva nem látok alapot az 58. cikk (5) bekezdésének az ugyanezen rendelkezés (1)–(3) bekezdésétől eltérő értelmezésére. A kettő közül csak az egyik lehet igaz: vagy minden egyes felügyeleti hatóság rendelkezik e hatáskörök összességével az egységességi mechanizmus korlátai nélkül, vagy a rendeletben meghatározott eljárások szerint és korlátok között kell gyakorolni e hatáskörök mindegyikét.

68.

A fenti 51. és 52. pontban kifejtett indokok alapján az előbbi eset nem fogadható el. Amikor ugyanis az általános adatvédelmi rendelet 58. cikkét összefüggéseiben értelmezzük, világossá válik, hogy éppen az ellenkezője igaz annak, mint amit az adatvédelmi hatóság és egyes kormányok állítanak.

69.

Valamennyi felügyeleti hatóságnak hozzá kell ugyanis járulnia a rendelet helyes és következetes alkalmazásához. Ennek érdekében minden felügyeleti hatóságnak – függetlenül az adott esetben fő felügyeleti hatóságként vagy érintett felügyeleti hatóságként betöltött szerepétől – például meg kell vizsgálnia a hozzá benyújtott panaszokat, és ezt kellő gondossággal kell megtennie. ( 18 ) Valójában még abban az esetben is, ha az állítólagos jogsértések a határokon átnyúló adatkezelést érintik, és a hatóság nem fő felügyeleti hatóság, biztosítani kell, hogy a többi felügyeleti hatóság megvizsgálhassa az ügyet annak érdekében, hogy érdemi hozzájárulást nyújtson, amikor az együttműködési és egységességi mechanizmus keretében erre ( 19 ) vagy sürgős intézkedések elfogadására kérik. Mindazonáltal, ebben az esetben a fő felügyeleti hatóság feladata, hogy általánosságban kötelező erejű döntéseket hozzon az adatfeldolgozóval vagy az adatkezelővel szemben az általános adatvédelmi rendelet végrehajtása érdekében. ( 20 ) Közelebbről, ahogyan az a közelmúltbeli Facebook Ireland és Schrems ítéletből kitűnik, az illetékes„nemzeti felügyeleti hatóság” feladata, hogy „adott esetben a nemzeti bíróságok előtt keresetet indítson” ( 21 ). Ennélfogva az az állítás, amely szerint a felügyeleti hatóságok figyelmen kívül hagyhatják az egységességi és együttműködési mechanizmusokat abban az esetben, amikor eljárást kívánnak indítani, nem összeegyeztethető az általános adatvédelmi rendelet szövegével és a Bíróság ítélkezési gyakorlatával.

70.

Ezenkívül, gyakorlati szempontból logikátlan lenne megakadályozni a hatóságot abban, hogy közigazgatási eljárást indítson annak érdekében, hogy az érintett piaci szereplőkkel megvitassa az adatvédelmi szabályok feltételezett megsértését, viszont lehetővé tenni, hogy e hatóság ugyanabban az ügyben közvetlenül bírósági eljárást kezdeményezzen. A per gyakran a legutolsó eszköz, amelyhez a hatóság valószínűleg csak akkor fordul, ha egy kérdést nem lehet (hivatalos vagy informális) megbeszélések és közigazgatási szintű döntéshozatal útján hatékonyan kezelni.

71.

Az adatvédelmi hatóság által javasolt megkülönböztetés, amely nem teszi lehetővé a felügyeleti hatóság számára, hogy (közigazgatási) vizsgálatot folytasson le, előkészítő lépéseket tegyen, eljárást indítson és döntést hozzon, de lehetővé teszi számára, hogy ehelyett közvetlenül bíróság előtt pereljen, veszélyesen közel áll ahhoz, hogy a közigazgatási hatóságokat eléggé kétes westernszereplőkké alakítsa, akik először lőnek, és (talán) később beszélnek, ha egyáltalán („amikor lőni kell, lőj; ne beszélj” ( 22 )). Nem vagyok biztos benne, hogy ez észszerű vagy megfelelő mód lenne a közigazgatási hatóságok számára az adatvédelmi szabályok feltételezett megsértésének kezelésére.

72.

Emellett, ami még ennél is fontosabb, annak szabadon való lehetővé tétele, hogy a felügyeleti hatóságok nemzeti bíróságaikhoz fordulhassanak, ha a rendeletben meghatározott együttműködési és egységességi mechanizmus igénybevétele nélkül nem tudják gyakorolni közigazgatási hatáskörüket, előkészítené az utat e mechanizmusok könnyű megkerülése előtt. Különösen abban az esetben, ha valamely határozattervezet tekintetében véleménykülönbség merül fel, mind a fő felügyeleti hatóság, mind az érintett felügyeleti hatóságok „saját kezükbe vehetik a helyzetet”, és eljárást kezdeményezhetnek a nemzeti bíróságok előtt, megkerülve ezzel az általános adatvédelmi rendelet 60. cikkének (4) bekezdésében és 65. cikkében előírt eljárást.

73.

Ezzel pedig értelmét vesztené a Testület egyik alapvető feladata, amely Testület az általános adatvédelmi rendelet által létrehozott, minden tagállam egy felügyeleti hatóságának vezetőjéből és az európai adatvédelmi biztosból álló szerv. ( 23 ) A Testület egyik feladata éppen az általános adatvédelmi rendelet helyes alkalmazásának ellenőrzése és biztosítása, amikor véleménykülönbség merül fel több felügyeleti hatóság között. ( 24 ) Ezekben az esetekben a Testület vitarendező fórumként és döntéshozó szervként jár el. Ha az adatvédelmi hatóság és egyes kormányok által képviselt értelmezést követnénk, az általános adatvédelmi rendelet 65. cikkében meghatározott mechanizmus teljes egészében mellékvágánnyá válhatna: minden hatóság a maga útját járhatja, megkerülve a Testületet.

74.

A kialakult helyzet ellentétesnek tűnik azzal, amit az uniós jogalkotó az új rendszerrel el kívánt érni, ahogyan az a következő szakaszban kifejtésre kerül.

75.

Ahogyan az az általános adatvédelmi rendelet (9) preambulumbekezdéséből következik, az uniós jogalkotó úgy ítélte meg, hogy bár „a 95/46/EK irányelv célkitűzései és elvei továbbra is érvényesek”, ez az eszköz „nem akadályozta meg sem azt, hogy az Unió tagállamaiban az adatvédelem végrehajtása széttagolt módon valósuljon meg, sem a jogbizonytalanságot, sem pedig azt, hogy széles körben az a benyomás alakuljon ki, hogy természetes személy védelme jelentős kockázatoknak van kitéve”.

76.

Az egységesség biztosításának szükségessége tehát a 95/46 irányelv helyébe lépő jogi eszköz „legfontosabb elemévé” vált. Ezt a célt két szempontból tartották fontosnak: egyrészt a természetes személyek homogén és magas szintű védelmének biztosítása érdekében, másrészt a személyes adatok Unión belüli áramlása előtti álló akadályok elhárítása érdekében, biztosítva a jogbiztonságot és átláthatóságot a gazdasági szereplők számára. ( 25 )

77.

Az utóbbi szempontot ki kell emelni. A 95/46 irányelv értelmében az Európai Unió egész területén tevékenykedő gazdasági szereplőknek be kellett tartaniuk az irányelvet végrehajtó különféle nemzeti szabályokat, és egyidejűleg egyeztetniük kellett valamennyi nemzeti adatvédelmi hatósággal. Ez a helyzet nemcsak költséges, nehéz és időigényes volt a gazdasági szereplők számára, hanem a bizonytalanság és a konfliktusok elkerülhetetlen forrása is e piaci szereplők és fogyasztóik számára. ( 26 )

78.

A 95/46 irányelv alapján felállított rendszer korlátai a Bíróság számos ítéletében is nyilvánvalóvá váltak. A Weltimmo ítéletben a Bíróság úgy vélte, hogy az adatvédelmi hatóságok hatáskörét szigorúan korlátozza a területiség elve: ezek a hatóságok csak a saját területükön elkövetett jogsértések esetén járhatnak el, minden más esetben fel kell hívniuk a többi tagállam hatóságát beavatkozásra. ( 27 ) A Wirtschaftsakademie Schleswig‑Holstein ítéletben a Bíróság megállapította, hogy határokon átnyúló adatkezelés esetén valamennyi adatvédelmi hatóság gyakorolhatja hatáskörét a területén található telephellyel szemben azon tagállam adatvédelmi hatóságának álláspontjától és fellépésétől függetlenül, amelynek területén az ezen adatkezelésért felelős szervezet székhelye található. ( 28 )

79.

Az adatkezelés virtuális világában ugyanakkor gyakran problémás a különböző hatóságok illetékességének területi alapon történő megosztása. ( 29 ) Ezenkívül a nemzeti hatóságok közötti egyértelmű koordinációs mechanizmusok hiánya következetlenségekhez és bizonytalansághoz vezetett.

80.

Az egységességi mechanizmus bevezetése – a fő felügyeleti hatóság részére biztosított jelentős szereppel és a többi felügyeleti hatóság bevonása céljából létrehozott együttműködési mechanizmusokkal – e jelentős problémák kezelésére szolgált. ( 30 ) A Google (A linkek törlésének területi hatálya) ítéletben a Bíróság kiemelte az együttműködési és egységességi mechanizmusoknak az általános adatvédelmi rendelet helyes és koherens alkalmazása szempontjából fennálló fontosságát, valamint azok kötelező jellegét. ( 31 ) A közelmúltban a Facebook Ireland és Schrems ügyben Saugmandsgaard Øe főtanácsnok ugyanígy hangsúlyozta, hogy az általános adatvédelmi rendelet VII. fejezetében előírt együttműködési és egységességi mechanizmusok célja annak elkerülése, hogy a különböző felügyeleti hatóságok eltérő megközelítést kövessenek a határokon átnyúló adatkezeléssel kapcsolatban. ( 32 )

81.

Igaz, hogy – ahogyan azt az adatvédelmi hatóság kiemeli – a jogalkotási folyamat során mind a Tanács, mind a Parlament megpróbálta korlátozni a fő felügyeleti hatóságnak a Bizottság által eredetileg javasolt hatáskörét. Az általános adatvédelmi rendelet végleges szövegébe végül bevezetett változások ugyanakkor nem támasztanak kétségeket a rendelet fent bemutatott értelmezését illetően, hanem inkább megerősítik azt.

82.

A Bizottság eredeti javaslata szerint az egységességi mechanizmus azt jelentette, hogy a határokon átnyúló adatkezelés tekintetében egyetlen felügyeleti hatóságnak (fő felügyeleti hatóság) kellett felelnie az adatkezelő vagy az adatfeldolgozó tevékenységének az Európai Unió egészében történő nyomon követéséért és az ezzel kapcsolatos döntések meghozataláért. ( 33 ) Ez a javaslat ugyanakkor a Tanácsban és a Parlamentben vitát eredményezett.

83.

A Tanács végül az elnökség által benyújtott javaslat alapján állapodott meg a szövegben. ( 34 ) Ez a javaslat egyáltalán nem kérdőjelezte meg magát az egységességi mechanizmust, amelyet a Tanács az új jogi keret „egyik központi pillérének” nevezett. ( 35 ) Az elnökség javaslata végül két meglehetősen különös módosításhoz vezetett.

84.

Először is, a Tanács a fő felügyeleti hatóság általános illetékessége alóli bizonyos kivételeket kívánt bevezetni a hatóságok által végzett adatkezelésre és a helyi körülményekre tekintettel. A Tanács ezért két olyan rendelkezés bevezetését javasolta, amelyek nem szerepeltek a Bizottság javaslatában, ( 36 ) és amelyek jelenleg az általános adatvédelmi rendelet 55. cikkének (2) bekezdésében és 56. cikkének (2) bekezdésében találhatók. ( 37 )

85.

Másodszor, a Tanács az eljárás más szereplők bevonásának lehetővé tételével kívánta mérsékelni a fő felügyeleti hatóság szerepét és illetékességét. A Bizottság javaslatának szövegét úgy ítélték meg, hogy e tekintetben kissé ellentmondásos, és esetlegesen a fő felügyeleti hatóság kizárólagos illetékességéhez vezet a határokon átnyúló adatkezelés tekintetében. Néhány helyen módosították a szöveget az érintettek és a felügyeleti hatóságok közötti „közelség” szorosabbá tétele érdekében. ( 38 ) Többek között jelentősen megnőtt a többi felügyeleti hatóságnak a döntéshozatali folyamatba való bevonásával járó esetek száma.

86.

Az Európai Parlament a maga részéről szintén támogatta az egységességi mechanizmus felállítását, amelyben a fő felügyeleti hatóság jelentősebb szerepet játszik, de javasolta a felügyeleti hatóságok közötti együttműködés rendszerének megerősítését. Mind a Parlament jelentéstervezetéhez fűzött indokolás, ( 39 ) mind az Európai Parlament 2014. március 12‑i jogalkotási állásfoglalása ( 40 ) meglehetősen világos e tekintetben.

87.

Lényegében a Tanács és a Parlament hozzájárulásával az egységességi mechanizmus, amelynek súlypontja korábban erőteljesen a fő felügyeleti hatóság felé tolódott, kiegyensúlyozottabb kétpilléres mechanizmussá vált: a fő felügyeleti hatóság vezető szerepe a határokon átnyúló adatkezelés tekintetében megmaradt, de mellette most már a többi felügyeleti hatóság is megerősített szerepet játszik, amelyek az együttműködési és egységességi mechanizmusokon keresztül aktívan részt vesznek a folyamatban, és ahhoz véleményeltérés esetén a Testület döntőbíró és útmutató szerepe is társul.

88.

Ennélfogva az általános adatvédelmi rendelet teleológiai és történeti értelmezése megerősíti az egységességi mechanizmus fontosságát, és ennek következtében a fő felügyeleti hatóság általános illetékességét a határokon átnyúló adatkezelés tekintetében. Az általános adatvédelmi rendelet rendelkezéseinek az adatvédelmi hatóság és bizonyos kormányok által javasolt értelmezése nem egyeztethető össze az uniós jogalkotó szándékával, ahogyan erre a rendelet preambulumából és rendelkezéseiből, valamint az előkészítő munkálatokból következtetni lehet.

89.

Ennélfogva arra a következtetésre jutottam, hogy az általános adatvédelmi rendelet releváns rendelkezéseinek értelmezésére vonatkozó szó szerinti, rendszertani, teleológiai és történeti megközelítés megerősíti, hogy a felügyeleti hatóságok kötelesek betartani a rendeletben az illetékességre, az együttműködési és egységességi mechanizmusokra és eljárásokra vonatkozóan meghatározott szabályokat. A határokon átnyúló adatkezelés tekintetében ezeknek a hatóságoknak az általános adatvédelmi rendelet által meghatározott keretek között kell eljárniuk.

90.

Az adatvédelmi hatóság és bizonyos kormányok ugyanakkor az érvek további két csoportját terjesztették elő, amelyek véleményük szerint az összes felügyeleti hatóság egyoldalú fellépésre vonatkozó hatáskörének megerősítése mellett szólnak, még a határokon átnyúló adatkezelés tekintetében is. A következő szakaszokban kifejtem, hogy ezek az érvek miért nem kérdőjelezik meg az általános adatvédelmi rendelet fentebb javasolt értelmezését, legalábbis biztosan nem a jelen esetben.

91.

Az adatvédelmi hatóság fenntartja azt az álláspontját, hogy a Charta 7., 8. és 47. cikkének való megfelelés biztosításához szükséges, hogy a felügyeleti hatóságok korlátlan hatáskörrel rendelkezzenek arra, hogy eljárást kezdeményezzenek az adatfeldolgozókkal és az adatkezelőkkel szemben, a határokon átnyúló jellegű adatkezelés esetét is beleértve. Úgy tűnik, hogy két fő aggály támasztja alá az adatvédelmi hatóság e kérdéssel kapcsolatos érveit, bár észrevételeiben ezek egyikét sem fejtette ki teljes mértékben. ( 41 )

92.

Úgy tűnik, hogy az adatvédelmi hatóság első aggálya az adott magatartás miatt fellépni jogosult hatóságok számának csökkenésével függ össze. Úgy látszik, hogy ebben a javaslatban egy hallgatólagos feltételezés rejlik, nevezetesen az, hogy a magas szintű védelemhez a hatóságok sokasága szükséges, amelyek akár párhuzamosan is eljárva kikényszeríthetik az általános adatvédelmi rendelet betartását. Leegyszerűsítve: minél több hatóságot vonnak be, annál magasabb szintű a védelem.

93.

Úgy gondolom, hogy ennek nem feltétlenül kell így lennie, legalábbis ami a védelem szintjét illeti.

94.

Igaz, hogy – ahogyan azt a Bíróság megállapította – az adatvédelemre vonatkozó uniós jogszabályok a Charta 7. és 8. cikkének fényében értelmezve kívánják biztosítani többek között a magánélet tiszteletben tartásához való alapvető jog magas szintű védelmét a személyes adatok kezelése tekintetében. ( 42 )

95.

Mindazonáltal, az uniós jogalkotó álláspontja szerint a „természetes személyek magas szintű védelmének” biztosításához „szilárd és az eddiginél következetesebb uniós adatvédelmi keretre” van szükség. ( 43 ) Ennek érdekében az általános adatvédelmi rendelet által létrehozott keretrendszer célja az egységesség biztosítása minden szinten: a természetes személyek, a gazdasági szereplők, az adatkezelők és az adatfeldolgozók, valamint a felügyeleti hatóságok számára egyaránt. ( 44 ) Ez utóbbi vonatkozásában az általános adatvédelmi rendelet „szorosabb együttműködés” előmozdítására törekszik, ahogyan azt a (116) preambulumbekezdés megerősíti. ( 45 )

96.

Következésképpen, az adatvédelmi hatóság állításával ellentétben az érintettek jogainak és szabadságainak magas szintű védelmére való törekvés – az uniós jogalkotó szemében – teljes mértékben összhangban áll a fentiekben ismertetett egységességi mechanizmus működésével. Azáltal, hogy lehetővé teszik a kérdés koherensebb, hatékonyabb és átláthatóbb megközelítését, az általános adatvédelmi rendeletben meghatározott együttműködési és egységességi mechanizmusoknak hozzá kell járulniuk a többek között a Charta 7. és 8. cikkében rögzített jogok előmozdításának és védelmének erősebb kihangsúlyozásához.

97.

Másképpen fogalmazva: a védelem koherens és egységes szintje kétségkívül nem zárja ki, hogy e védelem magas szintű legyen. A kérdés egyszerűen az, hogy mi legyen az egységesség fokmérője. Mindezek után kétséges, hogy a felügyeleti hatóságok több, egymással össze nem függő és esetlegesen ellentmondásos fellépése együtt valóban elősegítené az egyének jogai magas szintű védelmének biztosítására irányuló cél elérését. Úgy tekinthető, hogy az összehangoltan eljáró felügyeleti hatóságok által biztosított következetesség és egyértelműség jobban szolgálná ezt a célt.

98.

Az adatvédelmi hatóság által kifejezett második aggály felveti a panaszt benyújtó személyek és a panaszra válaszul végül intézkedő hatóságok közötti közelség kérdéseit. A kérdés lényegében az, hogy az egyének hatékonyan indíthatnak‑e eljárást a felügyeleti hatóságoknak a panaszukat érintő fellépésével vagy annak elmulasztásával szemben.

99.

Az általános adatvédelmi rendelet 78. cikke valóban megerősíti a természetes vagy jogi személyeknek a felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jogát. Ezenkívül a Charta 47. cikkével való összhang érdekében az általános adatvédelmi rendeletben előírt jogorvoslatok nem követelhetik meg az érintettektől olyan részletszabályok betartását, amelyek természetes személy státuszukra tekintettel a bírósági jogorvoslathoz való joguk aránytalan sérelmét eredményezhetik (például a költségek növelése vagy a bírósági jogorvoslat előterjesztésének késedelme folytán). ( 46 )

100.

Márpedig az egyes felek által e tekintetben előadott (meglehetősen homályos) érvek egyike sem magyarázza meg egyértelműen, hogy az általános adatvédelmi rendeletnek a Facebook, a cseh és a finn kormány, valamint a Bizottság által javasolt értelmezése miért sértené a Charta 47. cikkét.

101.

Mindenekelőtt az általános adatvédelmi rendelet kifejezetten rendelkezik az érintettek azon jogáról, hogy mind az adatkezelővel és az adatfeldolgozóval, mind pedig a felügyeleti hatóságokkal szemben eljárást indíthassanak. Szerkesztési szempontból tehát nem nyilvánvaló, hogy az általános adatvédelmi rendelet miért ne felelne meg a Charta 47. cikkének.

102.

Ami az érintettek azon jogát illeti, hogy az adatkezelőkkel és az adatfeldolgozókkal szemben eljárást indítsanak, lehetőséget kapnak arra, hogy eljárást indítsanak az adatkezelő vagy az adatfeldolgozó tevékenységi helye vagy az érintett szokásos tartózkodási helye szerinti tagállam bíróságai előtt. ( 47 ) Ez a szabály meglehetősen kedvezőnek vagy legalábbis problémamentesnek tűnik az érintett számára. ( 48 )

103.

Ami az érintettek azon jogát illeti, hogy a felügyeleti hatóságokkal szemben eljárást indítsanak, a helyzet összetettebb. Mindenekelőtt, az érintettek rendelkeznek a felügyeleti hatóságok fellépésének és annak elmulasztásának megtámadásához való joggal. Közelebbről, az érintett bármely olyan felügyeleti hatósággal szemben felléphet, amely „nem jár el valamely panasza alapján, illetve részben vagy egészben elutasítja vagy megalapozatlannak tekinti a panaszát, vagy nem jár el olyan esetben, amikor fellépése az érintett jogainak védelmében szükséges lenne” ( 49 ).

104.

A felügyeleti hatósággal szembeni eljárást – az adatkezelőkkel és az adatfeldolgozókkal szembeni eljárással ellentétben – a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani. ( 50 ) Bár ez a szabály a magánszemélyek számára kevésbé kedvezőnek tűnhet, nem szabad megfeledkezni arról, hogy az általános adatvédelmi rendelet 60. cikkének (8) és (9) bekezdése értelmében, amennyiben a panaszt részben vagy egészben elutasították vagy visszautasították, az a felügyeleti hatóság fogadja el a döntést és közli a panaszossal, amelyhez a panaszt benyújtották. Így van ez függetlenül attól, hogy ez a hatóság fő felügyeleti hatóság‑e, vagy sem, és ezáltal (adott esetben) lehetővé teszi az érintett számára, hogy eljárást indítson a saját tagállamában.

105.

Úgy tűnik, hogy a határozatok meghozatalára vonatkozó illetékesség átadásának és a szükség szerint esetlegesen kétszintű határozathozatalnak (a fő felügyeleti hatóság jár el az adatkezelő vagy az adatfeldolgozó tekintetében, valamint a helyi hatóság a panaszos tekintetében) e mechanizmusai kifejezetten annak elkerülésére irányulnak, hogy az érintetteknek „körbe kelljen járniuk” az Európai Unió tárgyalótermeit az eljárni elmulasztó felügyeleti hatósággal szembeni eljárás megindítása érdekében.

106.

Mindazonáltal elismerem, hogy egy ilyen megoldás számos gyakorlati kérdéshez vezethet. Mi lesz az egyes határozatok pontos tartalma? E tartalom vajon azonos ( 51 ) vagy eltérő lesz? Megengedhető‑e az érintett részére, hogy megkérdőjelezze mindazt, ami véleménye szerint az ügyével kapcsolatos, még azt is, ami gyakorlatilag a fő felügyeleti hatóság döntésének részét képezi? Vagy az érintett panaszát elbíráló felügyeleti hatóság döntése jórészt üres kagylóhéj lenne, egyszerűen csak formálisan foglalkozna az egyedi panasszal, míg a tényleges tartalmat a fő felügyeleti hatóság határozata tartalmazná? Ebben az esetben az érintettnek az általános adatvédelmi rendelet 78. cikke és a Charta 47. cikke értelmében vett ténylegesen „hatékony bírósági jogorvoslathoz” való hozzáférése érdekében mindenképpen a fő felügyeleti hatóság székhelye szerinti tagállam bíróságán kell eljárást indítania? Hogyan érvényesülnek a hatékony bírósági jogorvoslathoz való hozzáférés szabályai az alapul szolgáló határozatok felülvizsgálata tekintetében, legyen szó horizontális szintről (a közösen eljáró felügyeleti hatóságok között) vagy vertikális szintről (ami a Testület véleményét vagy határozatát érinti a felügyeleti hatóság végleges határozatát megelőző és valószínűleg ténylegesen meghatározó egységességi mechanizmus során)? ( 52 )

107.

Nincs hiány esetlegesen kényes kérdésekben. A gyakorlati tapasztalatok egy napon valódi problémákat tárhatnak fel az új rendszer lényegéhez tartozó jogi védelem minőségével vagy akár szintjével kapcsolatban. Jelenleg azonban minden ilyen kérdés a feltételezés szintjén marad. Ebben a szakaszban és ebben az eljárásban bizonyosan egyetlen olyan bizonyítékot sem terjesztettek a Bíróság elé, amely e tekintetben bármilyen tényleges kérdésre utalna.

108.

Az adatvédelmi hatóság lényegében azzal érvel, hogy az általános adatvédelmi rendelet végrehajtása a határokon átnyúló helyzetekben nem hagyható szinte kizárólag a fő felügyeleti hatóságra és az adatkezeléssel esetlegesen érintettekre. Minden egyes felügyeleti hatóság feladata ugyanis, hogy az adatkezelés által érintett egyének jogainak védelme érdekében fellépjen. Közelebbről, egy felügyeleti hatóság nem tudja megfelelően ellátni a feladatát, ha az, hogy a feltételezett jogsértéssel szembeni fellépjen‑e vagy sem, illetve a fellépés módja minden esetben egy másik hatóság mérlegelési jogkörben hozott döntésétől függ.

109.

Véleményem szerint ez az érv lényegében közvetlenül az általános adatvédelmi rendelet által bevezetett új együttműködési mechanizmust kérdőjelezi meg. Az erre adott válaszom két rétegben fogalmazódik meg: egyrészt, ami a hatályos jogszabály rétegét illeti, az általános adatvédelmi rendeletről azt lehet mondani, hogy olyan mechanizmusokat tartalmaz, amelyek célja az ilyen helyzetek elkerülése. Másrészről, ami az új rendszerek valódi működését és hatásait illeti, az ilyen félelmek ebben a szakaszban koraiak és hipotetikusak.

110.

Először is azt kell tisztázni már az elején, hogy az a tény, hogy a felügyeleti hatóság nem fő felügyeleti hatóság egy adott adatkezelő vagy adatfeldolgozó tekintetében, semmiképpen nem jelenti azt, hogy – ahogyan azt az adatvédelmi hatóság állítja – az általános adatvédelmi rendelet bűncselekményt megalapozó megsértése esetén nem lehet megfelelően eljárni. Az 58. cikk (5) bekezdésében meghatározott, „az igazságügyi hatóságoknak az e rendelet megsértéséről való tájékoztatására” vonatkozó hatáskör nyilvánvalóan magában foglalja a bűnügyi hatóságokkal, például az ügyészséggel való kapcsolattartás jogát is. Ez a hatáskör megfelel a felügyeleti hatóságok azon feladatának, hogy az illetékességi területén nyomon követi és kikényszeríti e rendelet alkalmazását, és nem befolyásolja hátrányosan az általános adatvédelmi rendelet VII. fejezetében meghatározott együttműködési és egységességi mechanizmus hatékony működését. Ezzel kapcsolatban aligha szükséges arra emlékeztetni, hogy bár ezek a mechanizmusok kötelezőek a felügyeleti hatóságok részére, nem vonatkoznak más tagállami hatóságokra, különösen azokra nem, amelyeknek a bűnüldözés a feladata.

111.

Másodszor és legfőképpen, amikor az általános adatvédelmi rendelet által felállított rendszert teljes egészében vizsgáljuk, meglehetősen egyértelmű, hogy a határokon átnyúló helyzetekben nem egyedül a fő felügyeleti hatóság hajtja végre az általános adatvédelmi rendeletet. A fő felügyeleti hatóság inkább „első az egyenlők között”. Általában a fő felügyeleti hatóság csak az érintett felügyeleti hatóságok beleegyezésével járhat el (közigazgatási vagy bírósági úton). Az általános adatvédelmi rendelet 60. cikkében meghatározott eljárás keretében a fő felügyeleti hatóságnak konszenzus elérésére kell törekednie. ( 53 ) Nem hagyhatja figyelmen kívül az érintett felügyeleti hatóságok álláspontját. A fő felügyeleti hatóság nem csupán köteles „kellően figyelembe venni” ezeket az álláspontokat, de az érintett felügyeleti hatóságok által megfogalmazott bármely hivatalos kifogás ideiglenesen megakadályozza a fő felügyeleti hatóság határozattervezetének elfogadását. Végül a hatóságok álláspontjai között tartósan fennálló különbségeket egy külön szerv (a Testület) rendezi, amely az összes uniós felügyeleti hatóság képviselőiből áll. Ennélfogva a fő felügyeleti hatóság álláspontja e tekintetben nem erősebb, mint bármely más hatóságé. ( 54 )

112.

Ahogyan azt P. Hustinx, volt európai adatvédelmi biztos kijelentette, az általános adatvédelmi rendelet rendszerén belül a fő felügyeleti hatóság szerepét „nem kizárólagos illetékességnek kell tekinteni, hanem a helyi szinten illetékes más felügyeleti hatóságokkal való együttműködés strukturált módjának”. ( 55 ) Az általános adatvédelmi rendelet megosztott felelősséget ír elő az általános adatvédelmi rendelet alkalmazásának nyomon követése és következetes alkalmazásának biztosítása tekintetében. E célból a felügyeleti hatóságokat feladatokkal látják el, és bizonyos hatáskörökkel ruházzák fel; bizonyos jogokat kapnak, de bizonyos kötelezettségek is terhelik őket. E feladatok között szerepel különösen az egységesség biztosítására szolgáló meghatározott eljárások és mechanizmusok követésének kötelezettsége. A hatóság azon szándéka, hogy „önálló” megközelítést ( 56 ) alkalmaz az általános adatvédelmi rendelet (bíróság előtti) érvényesítése tekintetében anélkül, hogy a többi hatósággal együttműködne, nem egyeztethető össze sem a rendelet szövegével, sem annak szellemével.

113.

Ahogyan az a fenti 76. és 77. pontban említésre került, az általános adatvédelmi rendelet a természetes személyek magas szintű védelme biztosításának és a személyes adatok Unión belüli áramlása előtti álló akadályok elhárításának szükségessége közötti kényes egyensúlyra épül. Ez a két célkitűzés – ahogyan azt az általános adatvédelmi rendelet (10) preambulumbekezdése és 1. cikkének (1) bekezdése bizonyítja – elválaszthatatlanul összefügg egymással. A nemzeti felügyeleti hatóságoknak tehát biztosítaniuk kell az említett két cél közötti helyes egyensúlyt, ahogyan azt a Bíróság az adatvédelem területén hozott első ítéleteitől kezdve következetesen hangsúlyozza. ( 57 ) Az általános adatvédelmi rendelet 51. cikkének (1) bekezdése a felügyeleti hatóságok küldetésének meghatározásakor ezt a megközelítést tükrözi. ( 58 )

114.

Harmadszor, az általános adatvédelmi rendelet nem csak a végrehajtás módjára vonatkozó eltérések kezelésére szolgáló mechanizmusokról, azaz a felügyeleti hatóságok által kifejezett álláspontok és vélemények közötti összeütközések rendezéséről rendelkezik. Ugyanígy magában foglalja a közigazgatási szerv mulasztásának leküzdésére szolgáló mechanizmusokat is. Ezek különösen azok a helyzetek, amikor a fő felügyeleti hatóság – szakértelem és/vagy személyzet hiányában vagy bármilyen más okból – egyszerűen elmulasztja az érdemi intézkedést az általános adatvédelmi rendelet esetleges megsértésének kivizsgálása és adott esetben szabályainak érvényesítése érdekében.

115.

Az általános adatvédelmi rendelet alapelvként előírja, hogy a határokon átnyúló adatkezeléssel kapcsolatos ügyekben a fő felügyeleti hatóságnak haladéktalanul cselekednie kell. Különösen az általános adatvédelmi rendelet 60. cikkének (3) bekezdése alapján a fő felügyeleti hatóság „késedelem nélkül közli a többi érintett felügyeleti hatósággal az üggyel kapcsolatos releváns információkat, [és] a döntés tervezetét haladéktalanul benyújtja a többi érintett felügyeleti hatóságnak, hogy azok véleményezhessék, és véleményüket kellően figyelembe veszi” ( 59 ).

116.

Ha a fő felügyeleti hatóság elmulasztja teljesíteni ezt a kötelezettségét, vagy még általánosabban elmulasztja a fellépést abban az esetben, ha ez szükséges, felmerül a kérdés, hogy van‑e jogorvoslat azon érintett felügyeleti hatóságok számára, amelyek folytatni kívánják a vizsgálatot és esetleg végrehajtási intézkedéseket kívánnak tenni. ( 60 ) Azt hiszem, hogy e hatóságok legalább két különböző utat követhetnek, és ezek az utak nem zárják ki egymást.

117.

Egyrészt az általános adatvédelmi rendelet 61. cikkének (1) és (2) bekezdése alapján a felügyeleti hatóság az [általános adatvédelmi rendelet] végrehajtása és alkalmazása érdekében megkereshet egy másik felügyeleti hatóságot releváns információk megszerzése és annak érdekében, hogy kölcsönösen segítséget nyújtsanak egymásnak. ( 61 ) Ez a megkeresés lehet információkérés, beleértve azt is, ha a „vizsgálat lefolytatására” vonatkozik, vagy egyéb segítségnyújtási intézkedés (például ellenőrzések és vizsgálatok elvégzése vagy a hatékony együttműködésre vonatkozó intézkedések bevezetése). A megkeresett hatóságnak minden ilyen megkeresésre „indokolatlan késedelem nélkül, de legkésőbb a megkeresés kézhezvételétől számított egy hónapon belül kell válaszolnia”.

118.

Az általános adatvédelmi rendelet 61. cikkének (5) és (8) bekezdése szerint az adott határidőn belüli válaszadás elmulasztása vagy a megkeresés teljesítésének elutasítása lehetővé teszi a megkereső hatóság számára, hogy „az 55. cikk (1) bekezdésével összhangban a saját tagállama területén ideiglenes intézkedést fogadjon el”. Ebben az esetben „vélelmezni kell, hogy a 66. cikk (1) bekezdése szerinti sürgős fellépésre van szükség, és a Testület sürgősségi eljárás keretében kötelező erejű döntést fogad el a 66. cikk (2) bekezdésével összhangban” ( 62 ).

119.

Úgy tűnik számomra, hogy ezt a mechanizmust egy érintett felügyeleti hatóság is alkalmazhatja (és valószínűleg alkalmaznia is kell ( 63 )) a fő felügyeleti hatósággal szemben. A határokon átnyúló adatkezelés konkrét eseteiben való fellépésnek a fő felügyeleti hatóság által az érintett felügyeleti hatóság ilyen irányú megkeresése ellenére történő elmulasztása tehát lehetővé teheti az utóbbi számára az érintettek érdekeinek védelméhez szükségesnek tartott sürgős intézkedések meghozatalát. A sürgős fellépés iránti igényt alátámasztó kivételes körülmények fennállását valójában vélelmezik, és azokat nem szükséges bizonyítani.

120.

Másrészt az általános adatvédelmi rendelet 64. cikkének (2) bekezdése lehetővé teszi, hogy bármely felügyeleti hatóság (vagy a Testület elnöke vagy a Bizottság) „kérhesse, hogy a Testület vizsgáljon meg egy általános érvényű vagy egynél több tagállamban hatással bíró ügyet, és bocsásson ki róla véleményt, különösen, ha valamely illetékes felügyeleti hatóság nem teljesíti a 61. cikk szerinti kölcsönös segítségnyújtás […] kötelezettségeit” ( 64 ).

121.

Nem teljesen világos, hogy a Testület határozata jogilag kötelező erejű‑e az érintett fő felügyeleti hatóság tekintetében. ( 65 ) Az általános adatvédelmi rendelet 65. cikke (1) bekezdésének c) pontja szerint azonban, ha valamely illetékes felügyeleti hatóság nem a Testület által a 64. cikk alapján kibocsátott vélemény alapján jár el, bármely érintett felügyeleti hatóság (vagy a Bizottság) a Testület tudomására hozhatja az ügyet, és megindíthatja az e célból meghatározott vitarendezési eljárást. Ez utóbbi eljárás végül kötelező erejű határozatot eredményez. ( 66 )

122.

Ezt követően el kell ismerni, hogy a fent bemutatott két mechanizmus (egyrészről az általános adatvédelmi rendelet 61. és 66. cikke, másrészt az általános adatvédelmi rendelet 64. és 65. cikke) kissé nehézkes. A konkrét működésük nem mindig teljesen világos. Ennélfogva, ha papíron a fent említett rendelkezések alkalmasnak is tűnnek e problémák elkerülésére, csak e rendelkezések jövőbeni alkalmazása fogja megmutatni, hogy a gyakorlatban ezek a rendelkezések „papírtigriseknek” bizonyulnak‑e.

123.

Ezzel visszatérek a nem megfelelő végrehajtás kapcsán kifejtett érv második rétegéhez, és annak a jelen esetben kétségkívül meglehetősen feltételes és megalapozatlan jellegéhez. El kell ismernem, hogy véleményem szerint, ha felmerülnének az általános adatvédelmi rendelet nem megfelelő végrehajtásával kapcsolatos, az adatvédelmi hatóság és néhány más beavatkozó fél által felvázolt veszélyek, akkor az egész rendszer érett lenne egy átfogóbb felülvizsgálatra.

124.

Strukturális szempontból valóban ez lehetne a helyzet, ha az új struktúra „szabályozási fészket” eredményezne egyes piaci szereplők számára, akiket, miután ténylegesen megválasztották maguknak a nemzeti szabályozó hatóságukat azzal, hogy megfelelően helyezték el tevékenységük központját az Unióban, az adott fő felügyeleti hatóság nem ellenőrizné, hanem valójában védene a többi szabályozó hatósággal szemben. Kevesen nem értenének egyet azzal, hogy a tagállamok közötti csökkentési verseny formájában megnyilvánuló szabályozási verseny ugyanolyan egészségtelen és veszélyes, mint a szabályozás következetlensége – az együttműködés és az egységes alkalmazás olyan típusú hiánya, ami a korábbi elgondolást jellemezte. A hálózati szabályozási rendszerek a konszenzus és az együttműködés elősegítése révén alkalmasak lehetnek a következetlenség és az eltérő gyakorlatok megelőzésére. A konszenzus ára jellemzően a tevékeny hatóságok blokkolása, különösen egy olyan rendszerben, ahol fokozott együttműködésre van szükség a döntések meghozatalához. Az ilyen rendszereken belül a kollektív felelősség kollektív felelőtlenséget és ebből következő tétlenséget idézhet elő.

125.

Az ilyen veszélyek tekintetében azonban az általános adatvédelmi rendelet által létrehozott jogi keret még mindig gyerekcipőben jár. Nem könnyű megjósolni – különösen az eljáró bíróság számára valamely egyedi vagy tulajdonképpen inkább egyedülálló eljárás keretében –, hogy a rendelet által létrehozott mechanizmusok hogyan működnek a gyakorlatban, és mennyire lesznek hatékonyak. Ilyen keretek között, az alapvető jogok védelméhez és a Chartához igazodó értelmezéshez kapcsolódó lehetséges kérdésekhez hasonlóan, ( 67 ) ajánlott óvatosnak lenni.

126.

Véleményem szerint rossz ötlet lenne, ha a Bíróság jelentősen megváltoztatná ezt a keretet – amely egy hosszadalmas és intenzív jogalkotási folyamat (kényes odafigyeléssel és gondosan kidolgozott) eredménye – a szövegkörnyezetükből kiragadott egyes mondatok értelmezése révén, és e ponton feltételezésekre és elméletekre alapozva. Ez még inkább így van, ha az egyes felek által javasolt értelmezés egyszerűen abban áll, hogy lényegében kiemel a rendeletből néhány kulcsfontosságú részt, és ezáltal de facto visszatér a 95/46 irányelv szerinti régi rendszerhez, amelyet intézményi szempontból az uniós jogalkotó kifejezetten és egyértelműen elvetett.

127.

Ez a rendkívül egyértelmű jogalkotói elgondolás, amely – ahogyan a jelen indítvány előző pontjaiból következik – mind az általános adatvédelmi rendelet szövegében és felépítésében, mind a dokumentált jogalkotói szándékban igazolást nyer, választ ad más lehetséges strukturális aggályokra is, például azokra, amelyek az adatvédelmi szabályok és az általános adatvédelmi rendelet közjogi és magánjogi érvényesítése közötti megfelelő egyensúlyhoz kapcsolódnak. Van‑e értelme a közjogi jogérvényesítést egyetlen hatóságra és ezáltal egyetlen tagállamra korlátozni, amely jogérvényesítés csak hosszadalmas és nehézkes közigazgatási eljárás után fog megvalósulni, míg ugyanezen szabályok magánjogi érvényesítése valószínűleg gyorsabban zajlana a gyakorlatban és valamennyi tagállam (polgári) bíróságai előtt? A nemzeti felügyeleti hatóságok bíróságokhoz való hozzáférésének szűkebbnek kellene lennie annál, mint amellyel bármely magánfogyasztó rendelkezik? Vajon az adatvédelmi ügyek többsége nem közvetlenül a magánjogi peres felek által benyújtott kereset alapján kerül‑e a nemzeti bíróságok (és esetlegesen előzetes döntéshozatali eljárás útján a Bíróság) elé, teljesen megkerülve az erre a célra létrehozott nemzeti szabályozó hatóságokat, mert e nemzeti szabályozó hatóságok még az együttműködés és az álláspontok összehangolásának folyamatában vannak? Egy ilyen rendszeren belül nem áll‑e fenn annak a veszélye, hogy a magánjogi jogérvényesítés teljes mértékben feleslegessé teszi a közjogi jogérvényesítést?

128.

Mindenesetre az uniós jogalkotó egyértelmű intézményi és strukturális döntést hozott, és véleményem szerint kétségtelen, hogy mit kívánt elérni. Ilyen körülmények között, metaforikusan fogalmazva, kétség esetén a gyermek javára kell dönteni, legalábbis egyelőre. Ha azonban a gyermek mégis rosszul viselkedik, amit tényekkel és határozott érvekkel kell bizonyítani, akkor nem hiszem, hogy a Bíróság szemet hunyna minden olyan hiányosság felett, amely ezáltal a Charta által biztosított alapvető jogok védelme és e jogoknak az illetékes szabályozó hatóságok által történő tényleges érvényesítése tekintetében felmerülhet. Hogy továbbra is a másodlagos jog rendelkezéseinek a Chartához igazodó értelmezésével kapcsolatos kérdésről vagy egy másodlagos jogi eszköz vonatkozó rendelkezéseknek vagy akár szakaszainak érvényességével kapcsolatos kérdésről van‑e szó, az már egy másik kérdés.

129.

Ennélfogva az összes vázolt értelmezési elem ugyanazon eredményre mutat: a fő felügyeleti hatóság általános illetékességgel rendelkezik a határokon átnyúló adatkezeléssel kapcsolatban. Valamennyi felügyeleti hatóságnak (függetlenül fő felügyeleti hatóságként vagy érintett felügyeleti hatóságként betöltött szerepétől) az általános adatvédelmi rendeletben meghatározott eljárások és mechanizmusok szerint kell eljárnia, különösen a határokon átnyúló adatkezelés esetén.

130.

Ebből következik‑e az, hogy az a felügyeleti hatóság, amely nem fő felügyeleti hatóság, főszabály szerint sosem járhat el a nemzeti bíróságok előtt az adatkezelővel vagy az adatfeldolgozóval szemben abban az esetben, ha az adatkezelés határokon átnyúló jellegű?

131.

Nem, nem következik.

132.

Először is, a felügyeleti hatóságok természetesen nemzeti bírósághoz fordulhatnak, amikor az általános adatvédelmi rendelet tárgyi hatályán kívül járnak el, feltéve, hogy ezt a nemzeti jog megengedi, és az uniós jog nem zárja ki, például azért, mert az adatkezelés nem tartalmaz személyes adatokat, vagy mert a személyes adatok kezelése az általános adatvédelmi rendelet 2. cikkének (2) bekezdésében említett tevékenységekkel összefüggésben történik. ( 68 )

133.

Másodszor, az adatkezelés határokon átnyúló jellege ellenére az általános adatvédelmi rendelet 55. cikkének (2) bekezdésében meghatározott helyzetekben (a közhatalmi szervek által végzett adatkezelés, de a közérdekből vagy közhatalmi jogosítvány gyakorlása keretében végzett adatkezelés is ide tartozik) a szabályozás tekintetében továbbra is a helyi felügyeleti hatóság illetékes, amely illetékesség természetesen szükség esetén magában foglalja a bírósági eljárás kezdeményezésének lehetőségét is.

134.

Harmadszor, vannak olyan esetek, amikor noha a személyes adatok olyan, határokon átnyúló kezeléséről van szó, amely az általános adatvédelmi rendelet hatálya alá tartozik, egyetlen felügyeleti hatóság sem járhat el fő felügyeleti hatóságként. Mivel az általános adatvédelmi rendeletben meghatározott együttműködési és egységességi mechanizmus csak az olyan adatkezelőkre vonatkozik, amelyek egy vagy több tevékenységi hellyel rendelkeznek az Európai Unióban, az Európai Unióban tevékenységi hellyel nem rendelkező adatkezelők által történő határokon átnyúló adatkezelés tekintetében nincsen fő felügyeleti hatóság. Ez azt jelenti, hogy az Unióban tevékenységi hellyel nem rendelkező adatkezelőknek kapcsolatba kell lépniük minden olyan tagállam helyi felügyeleti hatóságaival, amelyben tevékenykednek. ( 69 )

135.

Negyedszer, bármely felügyeleti hatóság sürgős intézkedéseket fogadhat el, ha a megfelelő feltételek teljesülnek. Vannak továbbá olyan helyzetek is, amelyekben vélelmezik az intézkedések sürgősségét. Ez valósulhat meg például azokban az esetekben, amikor az érintett felügyeleti hatóság esetlegesen az illetékes fő felügyeleti hatóság tartós tétlenségével szembesül. Mivel az általános adatvédelmi rendelet 66. cikkének (1) bekezdése az egységességi mechanizmus általános mellőzését írja elő, észszerűen feltételezhető, hogy ilyen kivételes helyzetben a felügyeleti hatóságra ruházott valamennyi hatáskör (amelyeket normál körülmények között nem gyakorolhat, mert azt a fő felügyeleti hatóságnak a határon átnyúló adatkezelésre vonatkozó illetékességére vonatkozó külön szabályok megakadályozzák) újjáéled és ideiglenesen gyakorolható. Ez természetesen magában foglalja az általános adatvédelmi rendelet 58. cikkének (5) bekezdése szerinti, a bírósági eljárás kezdeményezésére vonatkozó hatáskört is.

136.

Végül, ötödször, csak a teljesség kedvéért, megjegyezhető, hogy fennáll annak a lehetősége is, hogy a fő felügyeleti hatóságot tájékoztató felügyeleti hatóság is megszerezheti (vagy inkább megtarthatja) a bírósághoz fordulás jogát abban az esetben, ha a fő felügyeleti hatóság úgy határoz, hogy nem jár el az ügyben az általános adatvédelmi rendelet 56. cikkének (5) bekezdése alapján. Ez utóbbi rendelkezés alapján látszólag könnyen elérhető a két felügyeleti hatóság közötti tényleges megállapodás arról, hogy melyikük alkalmasabb arra, hogy az ügyben eljárjon.

137.

Összességében az általános adatvédelmi rendelet rendelkezései nem tartalmaznak arra vonatkozó általános korlátozást, hogy más felügyeleti hatóságok, különösen az érintett felügyeleti hatóságok, eljárást kezdeményezhessenek az adatvédelmi szabályok esetleges megsértése esetén. Éppen ellenkezőleg, azokról a helyzetekről, amelyek esetében erre felhatalmazást kaptak, az általános adatvédelmi rendelet kifejezetten rendelkezik, vagy e helyzetek közvetetten következnek abból. ( 70 )

138.

Általánosságban azonban rendkívül fontos, hogy ha az általános adatvédelmi rendeletben foglalt (különösen a VI. és VII. fejezetében található) eljárások és mechanizmusok alkalmazandók, mind a fő felügyeleti hatóság, mind az érintett felügyeleti hatóságok kötelesek pontosan követni azokat. Az általános adatvédelmi rendelet szabályai igencsak egyértelműek a tekintetben, hogy egyik hatóság sem járhat el az említett jogi kereten kívül vagy annak figyelmen kívül hagyásával.

139.

Mindemellett, annak ellenőrzése, hogy az adatvédelmi hatóság a jelen ügyben betartotta‑e ezeket az eljárásokat és mechanizmusokat – ez egy olyan kérdés, amely némi vitát váltott ki a tárgyaláson, de a jelen ügy sajátos eljárási hátterére tekintettel kissé homályos maradt ( 71 ) –, a kérdést előterjesztő bíróság feladata.

140.

Ennek megfelelően az első kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet rendelkezései lehetővé teszik valamely tagállam felügyeleti hatósága részére, hogy eljárást kezdeményezzen e tagállam bírósága előtt az általános adatvédelmi rendeletnek a határokon átnyúló adatkezelés vonatkozásában történő állítólagos megsértése miatt, annak ellenére, hogy nem minősül fő felügyeleti hatóságnak, feltéve, hogy ezt az általános adatvédelmi rendeletben meghatározott helyzetekben és eljárások szerint teszi.

141.

Második kérdésével a kérdést előterjesztő bíróság azt kérdezi, hogy az első kérdésre eltérő választ kellene‑e adni, ha a határokon átnyúló adatkezelés szempontjából adatkezelőnek minősülő személy vagy szerv tevékenységének központja nem az említett tagállamban található, de az adatkezelő e tagállamban másik tevékenységi hellyel rendelkezik.

142.

Az első kérdésre javasolt válasz fényében a második kérdésre adandó válasz meglehetősen egyértelmű: főszabály szerint nem, feltéve, hogy az általános adatvédelmi rendelet 4. cikkének 16. pontja értelmében vett „tevékenységi központ” valóban egy másik tagállamban található.

143.

Az a tény, hogy valamely adatkezelőnek másodlagos tevékenységi helye van egy tagállamban, főszabály szerint nem befolyásolja azt, hogy a helyi felügyeleti hatóság az általános adatvédelmi rendelet 58. cikkének (5) bekezdésével összhangban bírósági eljárást kezdeményezhessen az adott határokon átnyúló adatkezelési helyzet vonatkozásában. Más szavakkal, határokon átnyúló adatkezelés esetén a felügyeleti hatóságra ruházott hatáskörök terjedelme és e hatáskörök gyakorlásának módja általában nem attól függ, hogy az adatkezelő vagy az adatfeldolgozó, amelynek tevékenységi központja egy másik tagállamban van, az adott hatóság szerinti tagállamban is rendelkezik‑e tevékenységi hellyel.

144.

Mindazonáltal, a fentiekben megállapítottakhoz hasonlóan, ( 72 ) e következtetés előzetes elemeként a nemzeti bíróságnak először meg kell vizsgálnia, hogy mely tevékenységi hely minősül valójában az adott adatkezelési művelet szempontjából tevékenységi központnak. E tekintetben az általános adatvédelmi rendelet 4. cikke 16. pontjának a) alpontja a tevékenységi központ fogalmának dinamikus értelmezését ( 73 ) foglalja magában, amely tevékenységi központnak nem feltétlenül kell megfelelnie a vállalkozás statikus vállalati szerkezetének.

145.

Ezenkívül az a tény, hogy az adatkezelő vagy az adatfeldolgozó (másodlagos) tevékenyégi helye a felügyeleti hatóság illetékességi területén van, azt jelenti, hogy ez a hatóság az általános adatvédelmi rendelet 4. cikkének 22. pontja értelmében vett érintett felügyeleti hatóság. Az érintett felügyeleti hatóságok jelentős hatáskörökkel rendelkeznek az általános adatvédelmi rendelet VII. fejezetében meghatározott eljárások keretében. ( 74 )

146.

Ráadásul az általános adatvédelmi rendelet 56. cikkének (2) bekezdése a fő felügyeleti hatóság általános illetékessége alóli kivételről rendelkezik a határokon átnyúló adatkezelés tekintetében: „minden felügyeleti hatóság jogosult a hozzá benyújtott panaszok kezelésére, illetve jogosult [az általános adatkezelési rendelet] esetleges megsértése esetén eljárni, ha az ügy tárgya kizárólag egy, a tagállamában található tevékenységi helyet érint, vagy ha kizárólag a tagállamában érint jelentős mértékben érintetteket”. Ezt az illetékesség azonban az ugyanezen rendelkezés (3)–(5) bekezdésében meghatározott eljárásnak megfelelően illeti meg. ( 75 )

147.

Harmadik kérdésével a kérdést előterjesztő bíróság azt kérdezi, hogy az első kérdésre eltérő választ kellene‑e adni, ha a nemzeti felügyeleti hatóság az adatkezelő tevékenységének központja vagy a saját tagállamában található tevékenységi helye ellen indítja a keresetet.

148.

Az első kérdésre javasolt válasz fényében és amennyiben a harmadik kérdés valójában nem fedi le a második kérdést, a harmadik kérdésre szintén nemleges választ kell adni.

149.

Ismételten, feltéve, hogy valóban tisztázták az ügy tényállását illetően, hogy az adott adatkezelési művelet esetében az általános adatvédelmi rendelet 4. cikkének 16. pontja szerinti tevékenységi központ ténylegesen egy másik tagállamban található, az adatkezelő tevékenységi helye szerinti nemzeti felügyeleti hatóság nem a fő felügyeleti hatóság, hanem az érintett felügyeleti hatósággá válhat. Ezen értékelés keretén belül azonban a felügyeleti hatóság illetékessége nem attól függ, hogy a bírósági eljárást az adatkezelő tevékenységi központja vagy a saját tagállamában található tevékenységi helye ellen indítják‑e. ( 76 )

150.

A teljesség kedvéért hozzátehető, hogy az általános adatvédelmi rendelet 58. cikkének (5) bekezdése tágan került megfogalmazásra, és nem határozza meg azokat a jogalanyokat, amelyek ellen a felügyeleti hatóságok kötelesek eljárni vagy eljárhatnak. Ez érdekes vitát eredményezett néhány fél beadványában egy olyan kérdésre vonatkozóan, amely bár véleményem szerint nem lényegtelen, de amellyel a Bíróságnak a jelen ügyben nem kell foglalkoznia. A kérdés a következő: a felügyeleti hatóságok, feltéve, hogy az általános adatvédelmi rendelet szabályai szerint valóban illetékességgel rendelkeznek, csak az adatkezelőnek vagy adatfeldolgozónak az illetékességi területükön található tevékenységi helye(i) ellen léphetnek‑e fel, vagy a külföldön található tevékenységi helyek ellen is felléphetnek?

151.

A belga, az olasz és a lengyel kormány egyrészt azt hangsúlyozza, hogy az általános adatvédelmi rendelet 55. cikkének (1) bekezdése az egyes felügyeleti hatóságok területi illetékességét a saját területére korlátozza. Ebből arra következtetnek, hogy a felügyeleti hatóságok csak a helyi tevékenységi helyekkel szemben léphetnek fel.

152.

Mindazonáltal, véleményem szerint a szöveg nem ilyen egyértelmű: a rendelet által ráruházott hatásköröknek a „saját tagállamának területén” történő gyakorlására utal. Én nem úgy értelmezem ezt a rendelkezést, hogy az szükségszerűen kizárná a más tagállamban található tevékenységi hely elleni fellépést. Az általános adatvédelmi rendelet 55. cikkének – az e rendeletnek az 1. cikkének (1) bekezdése és a 3. cikke szerinti átfogó hatályának fényében értelmezett – (1) bekezdésében szereplő, a felügyeleti hatóság illetékességét az adott esetben eredményező területi elem összefüggésben áll az adatkezelésnek a tagállam területén kiváltott hatásaival. Ez az elem nem korlátozza a nemzeti határokon kívül található adatkezelők vagy adatfeldolgozók elleni fellépést.

153.

Másrészt az adatvédelmi hatóság arra hivatkozik, hogy minden hatóság jogosult fellépni az általános adatvédelmi rendeletnek a területén bekövetkező megsértése ellen, függetlenül attól, hogy az adatkezelő vagy az adatfeldolgozó tevékenységi helye a területén található‑e. Ez azt jelenti, hogy a hatóságnak jogosultnak kell lennie arra is, hogy eljárást kezdeményezzen a külföldön található tevékenységi helyek ellen. Ebben az összefüggésben az adatvédelmi hatóság a Bíróság Wirtschaftsakademie Schleswig‑Holstein ítéletére hivatkozik. ( 77 ) Ebben a határozatban a Bíróság megállapította, hogy a 95/46 irányelv 4. és 28. cikke lehetővé tette a tagállam felügyeleti hatósága számára, hogy a bírósági eljárásban való részvételre vonatkozó hatáskörét gyakorolja a vállalkozásnak az adott tagállam területén található tevékenységi helyét illetően. Ez akkor is így volt, ha ez a tevékenységi hely e tagállam területén kizárólag a hirdetések értékesítéséért és az egyéb marketingintézkedésekért felelt, míg a valamely más tagállamban lévő tevékenységi hely felelt kizárólagosan az Unió teljes területén a személyes adatok gyűjtéséért és kezeléséért.

154.

Az adatvédelmi hatóság helyesen érvel azzal, hogy amennyiben az általános adatvédelmi rendelet ebben a kérdésben a 95/46 irányelv rendelkezéseihez hasonló rendelkezéseket tartalmaz, ( 78 ) a Bíróság által a Wirtschaftsakademie Schleswig‑Holstein ítéletben megállapított elvek megfelelően érvényesek az általános adatvédelmi rendelet vonatkozásában. Ez az ítélet azonban csak arra az esetre adott magyarázatot, amikor a hatóság eljárást indíthat a helyi tevékenységi hellyel szemben, annak ellenére, hogy az Európai Unió más részén található tevékenységi hely végzi az adatkezelés (fő részét). Ez az ítélet, legalábbis kifejezetten, nem erősítette meg, és nem is zárta ki, hogy a felügyeleti hatóság felléphet ez utóbbi tevékenységi hellyel szemben is.

155.

Mindazonáltal úgy tűnik számomra, hogy az új egységességi mechanizmus a központi végrehajtó pont létrehozásával szükségszerűen azt jelenti, hogy a felügyeleti hatóság felléphet a külföldön található tevékenységi helyek ellen is. Nem vagyok biztos abban, hogy az új rendszer megfelelően működhet, ha kizárja annak lehetőségét, hogy a hatóságok és különösen a fő felügyeleti hatóság eljárást indítsanak a máshol található tevékenységi hely ellen. ( 79 )

156.

Negyedik kérdésével a kérdést előterjesztő bíróság azt kérdezi, hogy eltérő választ kellene‑e adni az első kérdésre, ha a nemzeti felügyeleti hatóság a keresetet már e rendelet hatálybalépése előtt benyújtotta volna.

157.

Előzetesen ki kell emelni, hogy az általános adatvédelmi rendeletben nincsenek átmeneti vagy egyéb olyan szabályok, amelyek az új keretrendszer hatálybalépésekor folyamatban lévő bírósági eljárások helyzetét szabályozzák.

158.

A fentiekre tekintettel álláspontom szerint a kérdésre azt kell válaszolni, hogy „attól függ”.

159.

Egyrészt, ami az adatvédelmi szabályoknak az adatkezelők vagy az adatfeldolgozók által történő azon megsértését illeti, amelyre az általános adatvédelmi rendelet alkalmazásának kezdő időpontja előtt került sor, úgy gondolom, hogy ezek az eljárások folytatódhatnak. Nem látom megfelelő indokát, hogy a hatóságokat arra kényszerítsék, hogy vessenek véget azon végrehajtási intézkedéseknek, amelyek olyan múltbeli magatartáshoz kapcsolódnak, amely annak elkövetésekor (állítólagosan) jogellenes volt, és amely tekintetében (abban az időben) illetékesek voltak eljárni. Egy ettől eltérő megoldás egyfajta közkegyelmet eredményezne az adatvédelmi jogszabályok megsértésének bizonyos esetei tekintetében.

160.

Másrészt, eltérő helyzet áll fenn a még meg nem valósult jogsértések miatt indított keresetekkel kapcsolatban, mivel azokra az általános adatvédelmi rendelet alkalmazásának kezdő időpontját követően kerül sor. ( 80 ) E tekintetben, mint bármely más olyan helyzetben, amikor új jogi szabályokat kell alkalmazni az új jogi szabályozás alapján felmerülő helyzetekre, az új anyagi jogi szabályok csak azon tényállásokra alkalmazhatók, amelyek az új jogi aktus alkalmazásának kezdő időpontját követően valósultak meg. ( 81 )

161.

A kérdést előterjesztő bíróság feladata megvizsgálni, hogy a két helyzet közül melyik tükrözi ténylegesen az alapeljárás jelenlegi állását. ( 82 ) Az első helyzet esetében azt javasolnám, hogy folytatódjon a folyamatban lévő eljárás, kétségkívül az uniós jog szempontjából, feltéve, hogy múltbeli jogsértések esetleges megállapítására szorítkozik. A második helyzet esetében a nemzeti eljárást meg kell szüntetni. Az új keret valóban eltérő illetékességi és hatásköri rendszert hozott létre, aminek következtében az érintett felügyeleti hatóság nem léphet fel a határokon átnyúló adatkezelésekből eredő jogsértések ellen a különös helyzeteken kívül, és hacsak nem az e célból előírt eljárások és mechanizmusok szerint jár el.

162.

Az ellenkező megoldás a 95/46 irányelv által létrehozott rendszer tényleges meghosszabbítását vonja maga után, annak ellenére, hogy mind az uniós, mind a nemzeti jog kifejezetten hatályon kívül helyezte azt, és azt új rendszerrel váltotta fel. Végül is, ha az adatvédelmi hatóság kérelmére valóban eltiltanák ideiglenes intézkedésben a Facebookot attól, hogy a jövőben (és egyébként mennyi ideig?) az alapeljárásban szóban forgó gyakorlatot alkalmazza, az nem sértené az (ugyanezen) magatartásra vonatkozó azon illetékességet, amelyet az általános adatvédelmi rendelet 2018. május 25‑től ruházott a fő felügyeleti hatóságra és az érintett felügyeleti hatóságokra, amihez esetlegesen a különböző tagállamokból eredő, egymással ellentétes határozatok (vagy bírósági végzések) társulnak?

163.

Az ötödik kérdésével – amely az első kérdésre adandó igenlő válasz függvénye – a kérdést előterjesztő bíróság annak tisztázását kéri, hogy az általános adatvédelmi rendelet 58. cikkének (5) bekezdése közvetlen hatállyal rendelkezik‑e, és következésképpen hivatkozhat‑e a nemzeti felügyeleti hatóság e rendelkezésre annak érdekében, hogy bírósági eljárást indítson vagy folytasson bizonyos felek ellen, még akkor is, ha e rendelkezést nem ültették át a nemzeti jogba.

164.

Szeretnék emlékeztetni arra, hogy az 58. cikk (5) bekezdése a következőképpen szól: „A tagállamok jogszabályban előírják, hogy a felügyeleti hatóságuk hatáskörrel rendelkezik arra, hogy e rendelet megsértéséről tájékoztassa az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzen vagy abban más módon részt vegyen e rendelet rendelkezéseinek érvényre juttatása érdekében.”

165.

A Facebook, valamint a cseh és a portugál kormány rámutat arra, hogy ez a rendelkezés egyértelműen előírja a tagállamok részére, hogy tegyenek valamit: hozzanak olyan rendelkezéseket, amelyek lehetővé teszik a hatóságok számára az eljárás kezdeményezését. A teljes működőképességhez az eljárás kezdeményezésére vonatkozó hatáskör szükségessé tehet néhány nemzeti szabályt is, amelyek többek között meghatározzák az illetékes bíróságokat, az eljárás kezdeményezésének feltételeit és a követendő eljárásokat.

166.

Az előzetes döntéshozatalra előterjesztett első kérdésre javasolt válaszom tulajdonképpen feleslegessé teszi az előzetes döntéshozatalra előterjesztett ötödik kérdés megválaszolását. A teljesség kedvéért azonban a magam részéről nem látom akadályát annak, hogy egyetértsek az adatvédelmi hatósággal a tekintetben, hogy ezen uniós jogi rendelkezés normatív tartalma meglehetősen egyértelmű, és magában alkalmazható. E tekintetben nem szabad megfeledkezni arról, hogy általában valamely uniós jogi rendelkezés közvetlen hatállyal bír, amennyiben a tartalma alapján kellően világos, pontos és feltétlen ahhoz, hogy arra hivatkozni lehessen valamely ütköző nemzeti rendelkezéssel szemben vagy amennyiben az adott rendelkezések olyan jogokat állapítanak meg, amelyeket magánszemélyek a tagállammal szemben érvényesíthetnek. ( 83 )

167.

Eltekintve attól a ténytől, hogy a rendelkezés egy rendeletben szerepel (amely eszköz az EUMSZ 288. cikk szerint „[t]eljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban” ( 84 )), számomra úgy tűnik, hogy egy konkrét és azonnal alkalmazandó szabály valóban leszűrhető az általános adatvédelmi rendelet 58. cikkének (5) bekezdéséből. Ez a szabály nagyon egyszerű: a felügyeleti hatóságoknak rendelkezniük kell a nemzeti bíróságok előtti kereshetőségi joggal, a nemzeti jog alapján jogosultnak kell lenniük arra, hogy bírósági eljárást kezdeményezzenek. A nemzeti bíróság előtt benyújtott keresetet nem lehet a jogi személyiség hiánya miatt elfogadhatatlannak nyilvánítani.

168.

Noha egyetértek a Facebookkal, valamint a cseh és a portugál kormánnyal abban, hogy a tagállamok konkrétabb szabályokat, feltételeket vagy joghatósági rendelkezéseket is előírhatnak a felügyeleti hatóságok által benyújtott keresetek tekintetében, ezek a szabályok egyáltalán nem szükségesek az 58. cikk alapján közvetlen hatállyal bíró szabály alkalmazhatóságához. A nemzeti jogalkotó által bevezetett ad hoc szabályok hiányában a megfelelő nemzeti eljárásjogi törvénykönyvek (akár a közigazgatási eljárásról szóló törvénykönyv, akár alapértelmezetten a polgári eljárásról szóló törvénykönyv) eltérő rendelkezés hiányában alkalmazandó általános szabályait természetesen a felügyeleti hatóságok által benyújtott minden keresetre alkalmazni kell. Így például, ha a joghatóságra vonatkozóan nem lennének konkrét végrehajtási szabályok, akkor biztonsággal feltételezhetjük, hogy az az általános szabály alkalmazandó, amely valószínűleg megtalálható bármely (polgári) eljárásjogi törvénykönyvben, és amely szerint – hacsak másképp nem rendelkezik –, az alapértelmezett bíróság az alperes székhelye szerinti bíróság.

169.

A hatodik kérdéssel a kérdést előterjesztő bíróság azt kérdezi, hogy abban az esetben, ha a nemzeti felügyeleti hatóság jogosult eljárni, az ilyen eljárások eredménye kizárhatja‑e a fő felügyeleti hatóság ellentétes megállapítását, ha ez a fő felügyeleti hatóság az azonos vagy hasonló határokon átnyúló adatkezelési műveleteket az általános adatvédelmi rendelet 56. és 60. cikkében előírt mechanizmus szerint vizsgálja?

170.

Az első kérdésre javasolt válasz alapján ezt a kérdést nem szükséges megválaszolni.

171.

Az e kérdés által felvetett probléma azonban ismét megmutatja, miért kell az első kérdésre a fentebb javasolt módon válaszolni. Ha eltörölnénk az általános adatvédelmi rendeletben meghatározott egységességi és együttműködési mechanizmusok kötelező jellegét, és ezáltal az egységességi mechanizmust „opcionálissá”, vagy a valóságban nemlétezővé tennénk, az jelentősen befolyásolná az egész rendszer egységességét. Az illetékességre vonatkozó, az általános adatvédelmi rendeletben jelenleg szereplő szabályokat lényegében az összes felügyeleti hatóságnak „az első ítéletig tartó párhuzamos versenye” váltaná fel. Végül, aki a joghatóságának keretei között „először hozna jogerős ítéletet”, az válna az Európai Unió többi részén tényleges fő felügyeleti hatósággá, amint arra a hatodik kérdés utal?

172.

Azt javasolom tehát a Bíróságnak, hogy a Hof van beroep te Brussel (brüsszeli fellebbviteli bíróság, Belgium) által előzetes döntéshozatalra előterjesztett kérdésekre a következő válaszokat adja: