–

UF és AB képviseletében R. Rohrmoser és S. Tintemann Rechtsanwälte,

–

a Land Hessen képviseletében M. Kottmann és G. Ziegenhorn Rechtsanwälte,

–

a SCHUFA Holding AG képviseletében G. Thüsing és U. Wuermeling Rechtsanwalt,

–

a német kormány képviseletében J. Möller és P.‑L. Krüger, meghatalmazotti minőségben,

–

a portugál kormány képviseletében P. Barros da Costa, J. Ramos és C. Vieira Guerra, meghatalmazotti minőségben,

–

az Európai Bizottság képviseletében A. Bouchagiar, F. Erlbacher, H. Kranenborg és W. Wils, meghatalmazotti minőségben,

1

Az előzetes döntéshozatal iránti kérelmek az Európai Unió Alapjogi Chartája (a továbbiakban: Charta) 7. és 8. cikkének, valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: általános adatvédelmi rendelet) 6. cikke (1) bekezdése első albekezdése f) pontjának, 17. cikke (1) bekezdése d) pontjának, 40. cikkének, 77. cikke (1) bekezdésének és 78. cikke (1) bekezdésének értelmezésére vonatkoznak.

2

E kérelmeket az egyrészről UF (C‑26/22. sz. ügy), illetőleg AB (C‑64/22. sz. ügy), másrészről a Land Hessen (Hessen tartomány, Németország) közötti, azon kérelmeknek a Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Hessen tartomány adatvédelmi és információszabadságért felelős biztosa, Németország; a továbbiakban: adatvédelmi biztos) általi megtagadásával kapcsolatos két eljárás keretében nyújtották be, hogy az kötelezze a SCHUFA Holding AG‑t (a továbbiakban: SCHUFA) a fennálló tartozások UF és AB esetében történő elengedésére vonatkozó, általa tárolt adatok törlésére.

3

A fogyasztói hitelmegállapodásokról és a 87/102/EGK tanácsi irányelv hatályon kívül helyezéséről szóló, 2008. április 23‑i 2008/48/EK európai parlamenti és tanácsi irányelv (HL 2008. L 133., 66. o.; helyesbítések: HL 2009. L 207., 14. o.; HL 2010. L 199., 40. o.; HL 2011. L 234., 46. o.) (26)–(28) preambulumbekezdése értelmében:

[…]

4

Ezen irányelvnek „A fogyasztó hitelképességének értékelésére vonatkozó kötelezettség” című 8. cikkének (1) bekezdése a következőképpen rendelkezik:

„A tagállamoknak biztosítaniuk kell, hogy a hitelmegállapodás megkötését megelőzően a hitelező az adott esetben a fogyasztótól kapott megfelelő információ és a szükség esetén a vonatkozó adatbázisban végzett keresés alapján értékeli a fogyasztó hitelképességét. Az olyan tagállamok, amelyekben jogszabály már most is előírja, hogy a hitelező vonatkozó adatbázisban végzett keresés alapján értékelje a fogyasztó hitelképességét, fenntarthatják ezt az előírást.”

5

A lakóingatlanokhoz kapcsolódó fogyasztói hitelmegállapodásokról, valamint a 2008/48/EK és a 2013/36/EU irányelv és az 1093/2010/EU rendelet módosításáról szóló, 2014. február 4‑i 2014/17/ЕU európai parlamenti és tanácsi irányelv (HL 2014. L 60., 34. o.; helyesbítés: HL 2015. L 246., 11. o.) (55) és (59) preambulumbekezdése értelmében:

[…]

6

Ezen irányelv „A fogyasztó hitelképességének vizsgálatára vonatkozó kötelezettség” című 18. cikkének (1) bekezdése a következőképpen rendelkezik:

„A tagállamok biztosítják, hogy a hitelező a hitelmegállapodás megkötése előtt alaposan megvizsgálja a fogyasztó hitelképességét. E vizsgálat során megfelelően figyelembe kell venni az annak ellenőrzése szempontjából lényeges tényezőket, hogy a fogyasztó a jövőben is képes lesz‑e teljesíteni a hitelmegállapodás értelmében őt terhelő kötelezettségeket.”

7

Az említett irányelv „Az adatbázisokhoz való hozzáférés” című 21. cikkének (1) és (2) bekezdése a következőket mondja ki:

„(1)   Kizárólag annak figyelemmel kísérése céljából, hogy a fogyasztók a hitelmegállapodás időtartama során teljesítik‑e hitelkötelezettségeiket, minden tagállam az összes, valamely tagállambeli hitelező számára biztosítja a hozzáférést az adott tagállamban a fogyasztók hitelképességének vizsgálata céljára használt adatbázisokhoz. Az említett hozzáférés feltételei nem lehetnek megkülönböztető jellegűek.

(2)   Az (1) bekezdés mind a magántulajdonú hitelirodák vagy hitelinformációs társaságok által működtetett adatbázisokra, mind az állami hitelinformációs rendszerekre alkalmazandó.”

8

A fizetésképtelenségi eljárásról szóló, 2015. május 20‑i (EU) 2015/848 európai parlamenti és tanácsi rendelet (HL 2015. L 141., 19. o.; helyesbítés: HL 2016. L 349., 40. o.) (76) preambulumbekezdése értelmében:

„Az érintett hitelezők és bíróságok tájékoztatásának javítása, és a párhuzamos fizetésképtelenségi eljárások megindításának megelőzése érdekében a tagállamok számára elő kell írni, hogy nyilvánosan elérhető elektronikus nyilvántartásban tegyék közzé a határokon átnyúló fizetésképtelenségi esetekkel kapcsolatos tájékoztatást. Annak érdekében, hogy a más tagállamban lakó vagy található hitelezők és bíróságok könnyebben érhessék el az ilyen információkat, e rendeletnek rendelkeznie kell az ilyen fizetésképtelenségi nyilvántartásoknak az európai e‑igazságügyi portálon keresztül történő összekapcsolásáról. […]”

9

E rendeletnek „A tagállamok felelőssége a személyes adatoknak a nemzeti fizetésképtelenségi nyilvántartásokban történő feldolgozása során” című 79. cikkének (4) és (5) bekezdése a következőket írja elő:

„(4)   A [személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló] 95/46/EK európai parlamenti és tanácsi irányelvnek [(HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.)] megfelelően a tagállamok felelnek az adatok gyűjtéséért és a nemzeti adatbázisban való tárolásáért, valamint a szóban forgó adatoknak az összekapcsolt és az európai e‑igazságügyi portálon keresztül megtekinthető nyilvántartásban való közzétételével kapcsolatos határozatokért.

(5)   Azon tájékoztatás részeként, amelyet az érintettek részére jogaik – különösen az adattörléshez való jog – gyakorlásának lehetővé tétele érdekében kell nyújtani, a tagállamok tájékoztatják az érintetteket arról, hogy a fizetésképtelenségi nyilvántartásokban tárolt személyes adataikhoz való hozzáférés céljára milyen időtartam áll a rendelkezésükre.”

10

Az általános adatvédelmi rendelet (10), (11), (47), (50), (98), (141) és (143) preambulumbekezdése értelmében:

[…]

[…]

[…]

[…]

[…]

11

E rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke a következőképpen szól:

„(1)   A személyes adatok:

[…]

[…]

(2)   Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

12

Az említett rendeletnek „Az adatkezelés jogszerűsége” című 6. cikke kimondja:

„(1)   A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

[…]

[…]

(4)   Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető‑e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

13

Az általános adatvédelmi rendelet „A törléshez való jog (»az elfeledtetéshez való jog«)” című 17. cikkének (1) bekezdése szerint:

„Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

[…]

[…]”

14

E rendeletnek „A tiltakozáshoz való jog” című 21. cikke az (1) és (2) bekezdésében a következőképpen rendelkezik:

„(1)   Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

(2)   Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.”

15

Az említett rendelet „Magatartási kódexek” című 40. cikkének (1), (2) és (5) bekezdése a következőket mondja ki:

„(1)   A tagállamok, a felügyeleti hatóságok, a Testület és a[z Európai] Bizottság ösztönzik olyan magatartási kódexek kidolgozását, amelyek – a különböző adatkezelő ágazatok egyedi jellemzőinek, valamint a mikro‑, kis‑ és középvállalkozások sajátos igényeinek figyelembevételével – segítik e rendelet helyes alkalmazását.

(2)   Az adatkezelők vagy az adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek magatartási kódexeket dolgozhatnak ki, illetve a már meglévő magatartási kódexeket módosíthatják vagy bővíthetik abból a célból, hogy pontosítsák e rendelet alkalmazását, így például az alábbiakkal kapcsolatban:

[…]

(5)   Ha az e cikk (2) bekezdésében említett egyesületek és egyéb szervezetek magatartási kódexet kívánnak kidolgozni vagy meglévő kódexet kívánnak módosítani vagy kibővíteni, a kódextervezetet, a módosítást vagy a kiegészítést benyújtják az 55. cikk alapján illetékes felügyeleti hatóságnak. A felügyeleti hatóság véleményt bocsát ki arról, hogy a kódextervezet, a módosítás vagy a kiegészítés összhangban van‑e ezzel a rendelettel, és jóváhagyja a kódextervezetet, a módosítást vagy a kiegészítést, amennyiben megállapítja, hogy az elegendő és megfelelő garanciát nyújt.”

16

Az általános adatvédelmi rendeletnek „Felügyeleti hatóság” című 51. cikke az (1) bekezdésében a következőket írja elő:

„A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam előírja, hogy e rendelet alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv (felügyeleti hatóság) felel.”

17

E rendelet „Függetlenség” című 52. cikke az (1), (2) és (4) bekezdésében a következőképpen rendelkezik:

„(1)   A felügyeleti hatóságok az e rendelet alapján rájuk ruházott feladatok elvégzése és hatáskörök gyakorlása során teljesen függetlenül járnak el.

(2)   Az egyes felügyeleti hatóságok tagja vagy tagjai az e rendelettel összhangban rájuk ruházott feladatok végzése és hatáskörök gyakorlása során bármilyen – közvetlen vagy közvetett – külső befolyástól mentesen járnak el, és utasítást senkitől sem kérhetnek vagy fogadhatnak el.

[…]

(4)   A tagállamok biztosítják, hogy mindegyik felügyeleti hatóság rendelkezésére áll a feladataik és hatásköreik – ideértve a kölcsönös segítségnyújtást, az együttműködést és a Testületben való részvételt – eredményes ellátásához, illetve gyakorlásához szükséges emberi, műszaki és pénzügyi források, helyiségek és infrastruktúra.”

18

Az említett rendelet „Feladatok” című 57. cikke az (1) bekezdésében a következőket mondja ki:

„Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, a felügyeleti hatóság a saját területén ellátja a következő feladatokat:

[…]

[…]”

19

Az általános adatvédelmi rendelet „Hatáskörök” című 58. cikkének (1) bekezdése felsorolja az egyes felügyeleti hatóságokat megillető vizsgálati hatásköröket, a (2) bekezdésében pedig azokat a korrekciós intézkedéseket, amelyeket a felügyeleti hatóság elfogadhat.

20

E rendeletnek „A felügyeleti hatóságnál történő panasztételhez való jog” című 77. cikke kimondja:

„(1)   Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.

(2)   Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni.”

21

Az említett rendelet „A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog” című 78. cikkének (1) és (2) bekezdése a következőképpen rendelkezik:

„(1)   Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.

(2)   Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha az 55. vagy 56. cikk alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a 77. cikk alapján benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.”

22

Az általános adatvédelmi rendeletnek „Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog” című 79. cikke az (1) bekezdésében a következőket írja elő:

„A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.”

23

Az 1994. október 5-i Insolvenzordnung (a fizetésképtelenségről szóló rendelet, BGBl. 1994. I, 2866. o.) 9. §‑a (1) bekezdésének az alapeljárás tényállására vonatkozó változata szerint:

„A nyilvános közzététel az interneten, központi és tartományokon átnyúló közzététellel történik; e közzététel lehet kivonatos is. Ennek során pontosan meg kell jelölni az adóst, különösen címének és üzletágának feltüntetésével. A közzététel az annak napjától számított további két nap elteltével tekintendő megtörténtnek.”

24

A 2002. február 12‑i Verordnung öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (a fizetésképtelenségi eljárásokhoz kapcsolódó, az interneten közzétett hirdetményekről szóló rendelet, BGBl. I, 677. o.; a továbbiakban: InsoBekV) 3. §‑a az (1) és (2) bekezdésében a következőket mondja ki:

„(1)   A fizetésképtelenségi eljárással kapcsolatos adatok – köztük az eljárás megindítása – elektronikus információs és kommunikációs rendszerben történő közzétételét legkésőbb hat hónappal a fizetésképtelenségi eljárás befejezése vagy megszüntetésének jogerőre emelkedése után törlik. Az eljárás megindításának hiányában a határidő a közzétett biztosítási intézkedések hatályon kívül helyezésével kezdődik.

(2)   A tartozáselengedési eljárással kapcsolatos hirdetmények esetében – beleértve a fizetésképtelenségi eljárásról szóló törvény 289. §‑a szerinti határozatot is – az (1) bekezdés első mondata alkalmazandó azzal, hogy a határidő a tartozáselengedésről szóló határozat jogerőre emelkedésével kezdődik.”

25

2020. december 17‑én, illetőleg 2021. március 23‑án az UF‑et és AB‑t érintő fizetésképtelenségi eljárásokban a fennálló tartozások idő előtti elengedéséről szóló bírósági határozatokat hoztak. Az Insolvenzordnung 9. §‑a (1) bekezdésének, valamint az InsoBekV 3. §‑a (1) és (2) bekezdésének megfelelően e határozatoknak az interneten való hivatalos közzétételét az említett határozatoktól számított hat hónapos határidőn belül törölték.

26

A SCHUFA egy üzleti információkat nyújtó magánvállalat, amely saját adatbázisaiban rögzíti és tárolja a közhiteles nyilvántartásokból származó információkat, így különösen a fennálló tartozások elengedésére vonatkozó információkat. A SCHUFA ez utóbbi információkat – a üzleti információkat nyújtó vállalatok szövetsége által Németországban kidolgozott és az illetékes felügyeleti hatóság által jóváhagyott magatartási kódexnek megfelelően – a nyilvántartásba vételtől számított három év elteltével törli.

27

UF és AB a SCHUFA‑hoz fordult, kérve a fennálló tartozásaik elengedéséről szóló határozatokra vonatkozó bejegyzések törlését. E vállalat megtagadta a kérésük teljesítését, miután kifejtette, hogy a tevékenységét az általános adatvédelmi rendeletnek megfelelően végzi, és hogy az InsoBekV 3. §‑ának (1) bekezdésében előírt hat hónapos törlési határidő nem vonatkozik rá.

28

UF és AB egyaránt panaszt nyújtott be az adatvédelmi biztoshoz mint illetékes felügyeleti hatósághoz.

29

2021. március 1‑jei, illetve 2021. július 9‑i határozataival az adatvédelmi biztos jogszerűnek minősítette a SCHUFA által végzett adatkezelést.

30

Az adatvédelmi biztos határozatával szemben mind UF, mind AB keresetet nyújtott be a Verwaltungsgericht Wiesbadenhez (wiesbadeni közigazgatási bíróság, Németország), a kérdést előterjesztő bírósághoz. Keresetük alátámasztására arra hivatkoztak, hogy az adatvédelmi biztosnak kötelessége lett volna feladat‑ és hatáskörén belül intézkedéseket hozni a SCHUFA‑val szemben annak érdekében, hogy kötelezze azt a rájuk vonatkozó bejegyzések törlésére.

31

Ellenkérelmében az adatvédelmi biztos a keresetek elutasítását kérte.

32

Az adatvédelmi biztos egyrészt azt állította, hogy az általános adatvédelmi rendelet 77. cikkének (1) bekezdése szerinti panasztételhez való jogot csupán petíciós jogként alakították ki. Így a bírósági felülvizsgálat annak ellenőrzésére korlátozódik, hogy a felügyeleti hatóság foglalkozott‑e a panasszal, és tájékoztatta‑e a panaszost e panasz állásáról és eredményéről. Ezzel szemben az eljáró bíróságnak nem feladata a panaszról hozott határozat tartalmi helytállóságának felülvizsgálata.

33

Az adatvédelmi biztos másrészt hangsúlyozta, hogy azok az adatok, amelyekhez az üzleti információkat nyújtó vállalatok hozzáférhetnek addig tárolhatók, ameddig az a tárolás céljához szükséges. A nemzeti jogalkotó általi szabályozás hiányában a felügyeleti hatóságok magatartási kódexeket fogadtak el, és az üzleti információkat nyújtó vállalatok szövetsége által kidolgozott magatartási kódex az ilyen adatok törlését pontosan három évvel az adatbázisba való bejegyzést követően írja elő.

34

E tekintetben a kérdést előterjesztő bíróság először is szükségesnek tartja azon határozat jogi jellegének tisztázását, amelyet a felügyeleti hatóság a hozzá benyújtott, az általános adatvédelmi rendelet 77. cikkének (1) bekezdése szerinti panasz alapján hoz.

35

E bíróságnak különösen az adatvédelmi biztos érvelésével kapcsolatban vannak kétségei, mivel az sérti az általános adatvédelmi rendelet 78. cikkének (1) bekezdésében említett jogorvoslat hatékonyságát. Ezenfelül, tekintettel e rendelet céljára, amely a Charta 7. és 8. cikkének végrehajtása keretében a természetes személyek alapvető jogai és szabadságai hatékony védelmének biztosítása, az említett rendelet 77. és 78. cikke nem értelmezhető megszorítóan.

36

Az említett bíróság olyan értelmezést javasol, amely szerint a felügyeleti hatóság által az ügy érdemében hozott határozatot a bíróságnak teljeskörűen felül kell vizsgálnia. E hatóság azonban mind mérlegelési jogkörrel, mind pedig diszkrecionális jogkörrel rendelkezik, és csak akkor köteles eljárni, ha nem állapíthatók meg jogszerű alternatívák.

37

Másodszor, a kérdést előterjesztő bíróság két szempontból is arra keresi a választ, hogy jogszerű‑e valamely személy fizetőképességére vonatkozó, közhiteles nyilvántartásokból – például fizetésképtelenségi nyilvántartásból – származó adatok üzleti információkat nyújtó vállalatok általi tárolása.

38

Először is, kétségek merülnek fel azzal kapcsolatban, hogy jogszerű‑e a SCHUFA‑hoz hasonló magánvállalat által a közhiteles nyilvántartásokból továbbított adatok saját adatbázisaiban való tárolása.

39

Mindenekelőtt ugyanis e tárolásra nem egy konkrét alkalommal kerül sor, hanem arra az esetre, ha a szerződéses partnereik ilyen információkat kérnének tőlük, ami végső soron ezen adatok tárolását eredményezi, különösen akkor, ha az adatokat a tárolási határidő lejárta miatt már törölték a közhiteles nyilvántartásból.

40

Továbbá valamely adatkezelés, így az adattárolás csak akkor megengedett, ha az általános adatvédelmi rendelet 6. cikkének (1) bekezdése szerinti feltételek valamelyike teljesül. A jelen esetben csak az e rendelet 6. cikke (1) bekezdése első albekezdésének f) pontjában foglalt feltétel jöhet szóba. Márpedig kétséges, hogy a SCHUFA‑hoz hasonló üzleti információkat nyújtó vállalat az e rendelkezés értelmében vett jogos érdeket követ‑e.

41

Végül pedig a SCHUFA csak egyike a számos üzleti információkat nyújtó vállalatnak, így Németországban az adatokat többszörözött formában tárolják, ami a Charta 7. cikkében foglalt alapvető jog súlyos megsértését jelenti.

42

Másodszor, még ha feltételezzük is, hogy önmagában véve jogszerű a közhiteles nyilvántartásokból származó adatok magánvállalatok általi tárolása, felmerül az ilyen tárolás lehetséges időtartamának kérdése.

43

E tekintetben a kérdést előterjesztő bíróság úgy véli, hogy e magánvállalatoktól meg kell követelni, hogy tartsák tiszteletben az InsoBekV 3. §‑a szerinti, a fennálló tartozásaik elengedéséről szóló határozatoknak a fizetésképtelenségi nyilvántartásban való tárolásra vonatkozó hat hónapos határidőt. Ez azt jelenti, hogy a közhiteles nyilvántartásból törlendő adatokat egyidejűleg törölni kell minden olyan üzleti információkat nyújtó magánvállalatnál is, amely ezeket az adatokat tárolta.

44

Végezetül felmerül a kérdés, hogy az általános adatvédelmi rendelet 40. cikkének megfelelően jóváhagyott magatartási kódexet, amely hároméves törlési határidőt ír elő a fennálló tartozások elengedésére vonatkozó bejegyzés tekintetében, figyelembe kell‑e venni az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének f) pontja szerinti értékelés keretében elvégzendő mérlegelés során.

45

E körülmények között a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

46

A Bíróság elnöke 2022. február 11‑i határozatával az eljárás írásbeli és szóbeli szakaszának lefolytatása, valamint az ítélethozatal céljából egyesítette a C‑26/22. és a C‑64/22. sz. ügyeket.

47

Első kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a általános adatvédelmi rendelet 78. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy a felügyeleti hatóság által elfogadott, panaszra vonatkozó határozat bírósági felülvizsgálata arra a kérdésre korlátozódik, hogy e hatóság kezelte‑e a panaszt, megfelelően vizsgálta‑e annak tárgyát, és tájékoztatta‑e a panaszost a vizsgálat eredményéről, vagy e határozat teljes körű bírósági felülvizsgálat tárgyát képezi-e, amely magában foglalja az eljáró bíróság arra vonatkozó hatáskörét, hogy a felügyeleti hatóságot konkrét intézkedés meghozatalára kötelezze.

48

E kérdés megválaszolása érdekében elöljáróban emlékeztetni kell arra, hogy valamely uniós jogi rendelkezés értelmezéséhez nemcsak annak szövegét, hanem azt a kontextust is figyelembe kell venni, amelybe illeszkedik, valamint azon jogi aktus céljait is, amelynek az a részét képezi (2023. június 22‑iPankki S ítélet, C‑579/21, EU:C:2023:501, 38. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

49

Az általános adatvédelmi rendelet 78. cikke (1) bekezdésének szövegét illetően e rendelkezés előírja, hogy az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.

50

E tekintetben először is meg kell jegyezni, hogy a jelen esetben az adatvédelmi biztos által elfogadott határozatok az említett 78. cikk (1) bekezdése értelmében jogilag kötelező erejű döntéseknek minősülnek. E hatóság ugyanis, miután megvizsgálta az elé terjesztett panaszok megalapozottságát, megállapította, hogy a személyes adatoknak az alapeljárások felperesei által vitatott kezelése az általános adatvédelmi rendelet értelmében jogszerű volt. E döntések jogilag kötelező jellegét továbbá e rendelet (143) preambulumbekezdése is megerősíti, amely szerint a panasz felügyeleti hatóság általi megalapozatlannak tekintése vagy elutasítása olyan döntésnek minősül, amely a panasz benyújtójára nézve jogkövetkezményekkel jár.

51

Arra is rá kell mutatni, hogy e rendelkezésből, együttesen e rendelet (141) preambulumbekezdésével, kifejezetten kitűnik, hogy a Charta 47. cikkével összhangban minden érintett jogosult a „hatékony” bírósági jogorvoslathoz.

52

A Bíróság tehát már kimondta, hogy az általános adatvédelmi rendelet 78. cikkének az e rendelet (143) preambulumbekezdésével összefüggésben értelmezett rendelkezéséből az következik, hogy azoknak a bíróságoknak, amelyekhez a felügyeleti hatóság döntése elleni keresetet nyújtottak be, teljes jogkörrel kell rendelkezniük, amely magában foglalja az általuk tárgyalt jogvita szempontjából releváns összes ténybeli és jogi kérdés vizsgálata tekintetében fennálló jogkört is (lásd: 2023. január 12‑iNemzeti Adatvédelmi és Információszabadság Hatóság ítélet, C‑132/21, EU:C:2023:2, 41. pont).

53

Ennélfogva az általános adatvédelmi rendelet 78. cikkének (1) bekezdése nem értelmezhető úgy, hogy a felügyeleti hatóság által elfogadott, panaszra vonatkozó döntés bírósági felülvizsgálata arra a kérdésre kell korlátozódik, hogy e hatóság kezelte‑e a panaszt, megfelelően vizsgálta‑e annak tárgyát, és tájékoztatta‑e a panaszost a vizsgálat eredményéről. Éppen ellenkezőleg, ahhoz, hogy a bírósági jogorvoslat „hatékony” legyen, amint azt e rendelkezés megköveteli, az ilyen döntésnek teljes körű bírósági felülvizsgálat alá kell tartoznia.

54

Ezt az értelmezést támasztja alá az általános adatvédelmi rendelet 78. cikke (1) bekezdésének kontextusa, valamint e rendelet céljai.

55

E rendelkezés kontextusát illetően meg kell állapítani, hogy a Charta 8. cikke (3) bekezdésének, valamint az általános adatvédelmi rendelet 51. cikke (1) bekezdésének és 57. cikke (1) bekezdése a) pontjának megfelelően a nemzeti felügyeleti hatóságok feladata a személyes adatok kezelése vonatkozásában a természetes személyek védelmére vonatkozó uniós szabályok tiszteletben tartásának ellenőrzése (2020. július 16‑iFacebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 107. pont).

56

Ezenkívül az általános adatvédelmi rendelet 57. cikke (1) bekezdésének f) pontja értelmében minden felügyeleti hatóság a saját területén köteles kezelni azokat a panaszokat, amelyeket bármely személy e rendelet 77. cikke (1) bekezdésének megfelelően jogosult benyújtani, amennyiben úgy ítéli meg, hogy a rá vonatkozó személyes adatok kezelése sérti az említett rendeletet, továbbá a szükséges mértékben köteles kivizsgálni e panaszok tárgyát. A felügyeleti hatóságnak az ilyen panaszt a kellő gondossággal kell kezelnie (2020. július 16‑iFacebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 109. pont).

57

A benyújtott panaszok elbírálása érdekében az általános adatvédelmi rendelet 58. cikkének (1) bekezdése az egyes felügyeleti hatóságokat jelentős vizsgálati hatáskörökkel ruházza fel. Ha az ilyen hatóság a vizsgálata során e rendelet rendelkezéseinek megsértését állapítja meg, köteles megfelelően reagálni a megállapított hiányosság orvoslására. E célból az említett rendelet 58. cikkének (2) bekezdése felsorolja azokat a különböző korrekciós intézkedéseket, amelyeket a felügyeleti hatóság elfogadhat (lásd ebben az értelemben: 2020. július 16‑iFacebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 111. pont).

58

Ebből következik, amint arra a főtanácsnok az indítványának 42. pontjában rámutatott, hogy a panaszeljárást, amely nem hasonlít a petíciós eljáráshoz, olyan mechanizmusként alakították ki, amely alkalmas az érintett személyek jogainak és érdekeinek hatékony védelmére.

59

Márpedig a felügyeleti hatóságot az általános adatvédelmi rendelet alapján megillető kiterjedt hatáskörökre tekintettel nem teljesülne a hatékony bírói jogvédelem követelménye, ha az ilyen felügyeleti hatóság vizsgálati vagy korrekciós jogköreinek gyakorlására vonatkozó határozatok csak korlátozott bírósági felülvizsgálat tárgyát képeznék.

60

Ugyanez vonatkozik a panaszt elutasító határozatokra, mivel az általános adatvédelmi rendelet 78. cikkének (1) bekezdése nem tesz különbséget a felügyeleti hatóság által elfogadott határozat jellege szerint.

61

Ami az általános adatvédelmi rendelet által követett célokat illeti, többek között annak (10) preambulumbekezdéséből kitűnik, hogy e rendelet célja a személyes adatok kezelése vonatkozásában a természetes személyek Unión belüli magas szintű védelmének biztosítása. E rendelet (11) preambulumbekezdése ezenkívül kimondja, hogy ezen adatok hatékony védelme érdekében az érintettek jogainak megerősítése szükséges.

62

Márpedig, ha az említett rendelet 78. cikkének (1) bekezdését úgy kellene értelmezni, hogy az általa elérni kívánt bírósági felülvizsgálat annak ellenőrzésére korlátozódik, hogy a felügyeleti hatóság kezelte‑e a panaszt, megfelelően vizsgálta‑e annak tárgyát, és tájékoztatta‑e a panaszost a vizsgálat eredményéről, szükségszerűen veszélybe kerülne e rendelet céljainak megvalósítása.

63

Ezen túlmenően e rendelkezés azon értelmezése, amely szerint a felügyeleti hatóság panaszról hozott határozatának teljes körű bírósági felülvizsgálat tárgyát képezi, nem kérdőjelezi meg a felügyeleti hatóságokat megillető függetlenségi garanciákat, sem pedig az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jogot.

64

Először is igaz, hogy a Charta 8. cikke (3) bekezdésének megfelelően a személyes adatok védelmére vonatkozó szabályok tiszteletben tartását független hatóságnak kell ellenőriznie. Ebben az összefüggésben az általános adatvédelmi rendelet 52. cikke többek között kifejti, hogy a felügyeleti hatóságok az e rendelet alapján rájuk ruházott feladatok elvégzése és hatáskörök gyakorlása során teljesen függetlenül járnak el (az (1) bekezdés), hogy feladataik végzése és hatásköreik gyakorlása során bármilyen külső befolyástól mentesen járnak el (a (2) bekezdés), és hogy a tagállamok biztosítják, hogy minden felügyeleti hatóság rendelkezzen a feladatai és hatáskörei hatékony ellátásához szükséges erőforrásokkal (a (4) bekezdés).

65

Ezeket a függetlenségi garanciákat azonban egyáltalán nem veszélyezteti az a tény, hogy a felügyeleti hatóság jogilag kötelező erejű döntései teljes körű bírósági felülvizsgálat tárgyát képezik.

66

Másodszor, az adatkezelővel vagy adatfeldolgozóval szembeni, az általános adatvédelmi rendelet 79. cikkének (1) bekezdése szerinti hatékony bírósági jogorvoslathoz való jogot illetően meg kell állapítani, hogy a Bíróság ítélkezési gyakorlata szerint az e rendelet 78. cikkének (1) bekezdése, illetve 79. cikkének (1) bekezdése szerinti jogorvoslatok párhuzamosan és egymástól függetlenül is gyakorolhatók (lásd ebben az értelemben: 2023. január 12‑iNemzeti Adatvédelmi és Információszabadság Hatóság ítélet, C‑132/21, EU:C:2023:2, 35. pont és a rendelkező rész). Ebben az összefüggésben a Bíróság többek között megállapította, hogy a körülmény, hogy több jogorvoslati lehetőség is rendelkezésre áll, az említett rendelet (141) preambulumbekezdésében kimondott azon célkitűzést is megerősíti, hogy minden olyan érintett, aki úgy véli, hogy az e rendelet által számára biztosított jogokat megsértették, a Charta 47. cikkével összhangban hatékony bírósági jogorvoslathoz való joggal rendelkezzen (lásd: 2023. január 12‑iNemzeti Adatvédelmi és Információszabadság Hatóság ítélet, C‑132/21, EU:C:2023:2, 44. pont).

67

Ennélfogva, noha a tagállamok feladata, hogy az eljárási autonómia elvével összhangban meghatározzák az e jogorvoslati lehetőségek közötti kapcsolat részletes szabályait (2023. január 12‑iNemzeti Adatvédelmi és Információszabadság Hatóság ítélet, C‑132/21, EU:C:2023:2, 45. pont és a rendelkező rész), az általános adatvédelmi rendelet 79. cikkének (1) bekezdése szerinti, az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog fennállása nem befolyásolja a felügyeleti hatóság által a panasz tárgyában hozott határozat feletti – az e rendelet 78. cikkének (1) bekezdése alapján előterjesztett kereset keretében gyakorolt – bírósági felülvizsgálat terjedelmét.

68

Hozzá kell azonban tenni, hogy noha – amint azt a jelen ítélet 56. pontja felidézi – a felügyeleti hatóságnak kellő gondossággal kell kezelnie a panaszt, e hatóság az általános adatvédelmi rendelet 58. cikkének (2) bekezdésében felsorolt korrekciós intézkedéseket illetően mérlegelési mozgástérrel rendelkezik a megfelelő és szükséges eszközök megválasztását illetően (lásd ebben az értelemben: 2020. július 16‑iFacebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 112. pont).

69

Márpedig, noha az általános adatvédelmi rendelet 78. cikkének (1) bekezdése alapján benyújtott keresetet elbíráló nemzeti bíróságnak – amint az a jelen ítélet 52. pontjában megállapításra került – teljes jogkörrel kell rendelkeznie az érintett jogvitára vonatkozó valamennyi ténybeli és jogi kérdés vizsgálatára, a hatékony bírói jogvédelem biztosítása nem jelenti azt, hogy jogosult lenne a saját értékelésével helyettesíteni e hatóságnak a megfelelő és szükséges korrekciós intézkedések kiválasztására vonatkozó értékelését, hanem azt követeli meg, hogy e bíróság vizsgálja meg, hogy a felügyeleti hatóság tiszteletben tartotta‑e mérlegelési jogkörének korlátait.

70

A fenti megfontolások összességére tekintettel az első kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 78. cikkének (1) bekezdését úgy kell értelmezni, hogy valamely felügyeleti hatóság által elfogadott, panaszról szóló határozat teljes körű bírósági felülvizsgálat alá tartozik.

71

Az együttesen vizsgálandó második, harmadik, negyedik és ötödik kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy

72

Az általános adatvédelmi rendelet 5. cikke (1) bekezdésének a) pontja szerint a személyes adatokat jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell kezelni.

73

Ebben az összefüggésben e rendelet 6. cikke (1) bekezdésének első albekezdése tartalmazza azon esetek kimerítő és korlátozó jellegű felsorolását, amelyekben a személyes adatok kezelése jogszerűnek minősíthető. Így ahhoz, hogy azt jogszerűnek lehessen minősíteni, az adatkezelésnek az e rendelkezésben előírt esetek valamelyikébe kell tartoznia (2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 90. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

74

A jelen esetben nem vitatott, hogy az alapeljárásokban szóban forgó személyesadat‑kezelés jogszerűségét kizárólag az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének f) pontja fényében kell értékelni. E rendelkezés értelmében a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben ezen adatkezelés az adatkezelő vagy egy harmadik személy jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

75

Így az említett rendelkezés három együttes feltételt ír elő a személyes adatok kezelésének jogszerűségéhez: először is az adatkezelő vagy harmadik személy jogos érdekének érvényesítése, másodszor a személyes adatok kezelése valamely jogos érdek érvényesítéséhez szükséges, és harmadszor, hogy az adatvédelemmel érintett személy érdekei vagy alapvető jogai és szabadságai nem magasabb rendűek (2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 106. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

76

Ami először is a „jogos érdek” érvényesítésére vonatkozó feltételt illeti, mivel az általános adatvédelmi rendelet nem határozza meg e fogalmat, hangsúlyozni kell – amint azt a főtanácsnok az indítványának 61. pontjában megjegyezte –, hogy főszabály szerint az érdekek széles köre jogszerűnek tekinthető.

77

Másodszor, ami a személyes adatok kezelésének valamely jogos érdek érvényesítéséhez való szükségességére vonatkozó feltételt illeti, az annak vizsgálatára kötelezi a kérdést előterjesztő bíróságot, hogy az adatkezeléshez fűződő, érvényesíteni kívánt jogos érdek észszerűen nem érvényesíthető‑e ugyanilyen hatékonysággal az érintettek alapvető jogait és szabadságait, különösen a Charta 7. és 8. cikkében biztosított, a magánélet tiszteletben tartásához és a személyes adatok védelméhez való jogukat kevésbé veszélyeztető eszközök révén (2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 108. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

78

Ezen összefüggésben szintén emlékeztetni kell arra, hogy az adatkezelés szükségességére vonatkozó feltételt az általános adatvédelmi rendelet 5. cikke (1) bekezdésének c) pontjában foglalt, úgynevezett „adattakarékosság” elvével együttesen kell vizsgálni, amely szerint a személyes adatoknak „az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük, és a szükségesre kell korlátozódniuk” (2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 109. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

79

Ami harmadszor azt a feltételt illeti, hogy az adatvédelemmel érintett személy érdekei vagy alapvető jogai és szabadságai ne élvezzenek elsőbbséget az adatkezelő vagy valamely harmadik személy jogos érdekével szemben, a Bíróság már kimondta, hogy ez a szóban forgó egymással ellentétes jogok és érdekek súlyozását teszi szükségessé, amely főszabály szerint az adott ügy konkrét körülményeitől függ, és hogy következésképpen a kérdést előterjesztő bíróság feladata, hogy e mérlegelést e sajátos körülmények figyelembevételével elvégezze (2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 110. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

80

Ezenkívül, amint az az általános adatvédelmi rendelet (47) preambulumbekezdéséből kitűnik, az érintett érdekei és alapvető jogai elsőbbséget élvezhetnek az adatkezelő érdekével szemben, ha a személyes adatokat olyan körülmények között kezelik, amelyek között az érintettek észszerűen nem számítanak ilyen adatkezelésre (2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 112. pont).

81

Bár végső soron a kérdést előterjesztő bíróság feladata annak mérlegelése, hogy alapeljárásokban szóban forgó személyesadat‑kezelést illetően teljesül‑e a jelen ítélet 75. pontjában felidézett három feltétel, a Bíróság az előzetes döntéshozatal iránti kérelem elbírálása során jogosult az említett mérlegeléssel kapcsolatban az e bíróságnak nyújtandó iránymutatás érdekében felvilágosítást adni (lásd ebben az értelemben: 2022. október 20‑iDigi ítélet, C‑77/21, EU:C:2022:805, 39. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

82

A jelen esetben a jogos érdek érvényesítését illetően a SCHUFA arra hivatkozik, hogy az üzleti információkat nyújtó vállalatok a személyek vagy vállalkozások fizetőképességének értékeléséhez szükséges adatokat annak érdekében kezelik, hogy ezeket az információkat szerződéses partnereik rendelkezésére bocsáthassák. Márpedig azonkívül, hogy e tevékenység azon vállalkozások gazdasági érdekeit védi, amelyek hitelezéssel összefüggő szerződéseket kívánnak kötni, a fizetőképesség meghatározása és a fizetőképességre vonatkozó információk nyújtása a hitelezés és a gazdaság működőképességének alapját képezi. Az említett vállalatok tevékenysége hozzájárul a hitelezési ügyletekben érdekelt személyek gazdasági elképzeléseinek megvalósításához is, mivel az információk lehetővé teszik ezen ügyletek gyors és bürokráciamentes vizsgálatát.

83

E tekintetben, noha az alapeljárásban szereplőhöz hasonló személyesadat‑kezelés a SCHUFA gazdasági érdekeit szolgálja, ez az adatkezelés egyúttal a SCHUFA magánszemélyekkel hitelszerződést kötni szándékozó szerződéses partnereinek jogos érdekét is szolgálja, hogy értékelni tudják e magánszemélyek fizetőképességét, és így társadalmi‑gazdasági szempontból a hitelszektor érdekeit.

84

Ami ugyanis a fogyasztói hitelmegállapodásokat illeti, a 2008/48 irányelv (28) preambulumbekezdésével összefüggésben értelmezett 8. cikkéből kitűnik, hogy a hitelmegállapodás megkötését megelőzően a hitelezőnek a fogyasztó fizetőképességét megfelelő mennyiségű információ – ideértve adott esetben a magán‑ vagy állami fenntartású adatbázisokból származó információkat is – alapján kell értékelnie.

85

Ezenkívül, ami a lakóingatlanokhoz kapcsolódó fogyasztói hitelmegállapodásokat illeti, a 2014/17 irányelv 18. cikkének (1) bekezdéséből és 21. cikkének (1) bekezdéséből – az (55) és (59) preambulumbekezdésével összefüggésben értelmezve – kitűnik, hogy a hitelezőnek alaposan meg kell vizsgálnia a fogyasztó fizetőképességét, és hozzáféréssel kell rendelkeznie a hiteladatbázisokhoz, mivel a hiteladatbázis lekérdezése hasznos e vizsgálat során.

86

Hozzá kell tenni, hogy a fogyasztók fizetőképességének vizsgálatára vonatkozó, a 2008/48 és a 2014/17 irányelvben előírt kötelezettség célja nem csupán a hiteligénylő védelme, hanem – amint azt a 2008/48 irányelv (26) preambulumbekezdése hangsúlyozza – a teljes hitelezési rendszer megfelelő működésének biztosítása is.

87

Az is szükséges azonban, hogy az adatkezelés szükséges legyen az adatkezelő vagy egy harmadik személy jogos érdekeinek érvényesítéséhez, és hogy az érintett érdekei vagy alapvető jogai és szabadságai ne élvezzenek elsőbbséget ezekkel szemben. A szóban forgó ellentétes jogok és érdekek, azaz egyrészről az adatkezelő és az érintett harmadik személyek, másrészről pedig az érintett személy jogai és érdekei e súlyozása keretében – amint az a jelen ítélet 80. pontjában megállapításra került – figyelembe kell venni többek között az érintett észszerű elvárásait, valamint a szóban forgó adatkezelés terjedelmét és annak az e személyre gyakorolt hatását (lásd: 2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 116. pont).

88

Az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének f) pontját illetően a Bíróság kimondta, hogy e rendelkezést úgy kell értelmezni, hogy az adatkezelés csak akkor tekinthető szükségesnek az adatkezelő vagy valamely harmadik személy által e rendelkezés értelmében vett jogos érdekek érvényesítéséhez, ha erre az adatkezelésre az e jogos érdek érvényesítéséhez feltétlenül szükséges határokon belül kerül sor, és az ellentétes érdekeknek az összes releváns körülményre tekintettel történő mérlegeléséből kitűnik, hogy a szóban forgó adatkezeléssel érintett személyek érdekei vagy alapvető jogai és szabadságai élveznek elsőbbséget az adatkezelő vagy harmadik személy említett jogos érdekével szemben (lásd ebben az értelemben: 2017. május 4‑iRīgas satiksme ítélet, C‑13/16, EU:C:2017:336, 30. pont; 2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 126. pont).

89

Ebben az összefüggésben a kérdést előterjesztő bíróság az alapeljárásokban szóban forgó személyesadat‑kezelés két szempontra hivatkozik. Először is, ez az adatkezelés az adatok többféle módon történő tárolását jelenti, azaz nem csak egy közhiteles nyilvántartásban, hanem az üzleti információkat nyújtó vállalatok adatbázisaiban is azzal, hogy ezek a vállalatok az adatokat nem egy konkrét esetben, hanem arra az esetre tárolják, ha a szerződéses partnereik ilyen információkat kérnek tőlük. Másodszor, az említett társaságok három évig tárolták ezeket az adatokat, mégpedig az általános adatvédelmi rendelet 40. cikke szerinti magatartási kódex alapján, noha a nemzeti szabályozás a közhiteles nyilvántartást illetően mindössze hat hónapos tárolási időt ír elő.

90

E szempontok közül az elsővel kapcsolatban a SCHUFA arra hivatkozik, hogy lehetetlen lenne megfelelő időben információt szolgáltatni, ha az üzleti információkat nyújtó vállalatoknak meg kellene várnia egy konkrét kérést az adatgyűjtés megkezdése előtt.

91

E tekintetben a kérdést előterjesztő bíróság feladata annak vizsgálata, hogy a szóban forgó adatoknak a SCHUFA általi, saját adatbázisaiban történő tárolása a jogos érdek érvényesítéséhez feltétlenül szükséges mértékre korlátozódik‑e, amennyiben a szóban forgó adatok a közhiteles nyilvántartásban anélkül is megtekinthetők, hogy egy kereskedelmi vállalat konkrét esetben tájékoztatást kérne. Ellenkező esetben ezen adatoknak a SCHUFA általi tárolása nem tekinthető szükségesnek abban az időszakban, amikor az adatok a nyilvánosság számára hozzáférhetőek.

92

Az adattárolás időtartamát illetően meg kell állapítani, hogy a jelen ítélet 75. pontjában felidézett második és harmadik feltétel vizsgálata egybeesik, hiszen azon kérdés vizsgálata, hogy a jelen esetben az alapeljárásokban szóban forgó személyesadat‑kezeléssel érvényesíteni kívánt jogos érdekek érvényesíthetők‑e észszerűen rövidebb adattárolási időszakkal, a szóban forgó ellentétes jogok és érdekek mérlegelését igényli.

93

Az elérni kívánt jogos érdekek mérlegelését illetően meg kell állapítani, hogy ha az üzleti információkat nyújtó vállalatok által adott elemzés segítségével objektíven és megbízhatóan lehet vizsgálni az ezen üzleti információkat nyújtó vállalat potenciális ügyfeleinek fizetőképességét, akkor ez az elemzés lehetővé teszi az információk közötti eltérések ellensúlyozását, és ezáltal a csalás és egyéb bizonytalanságok kockázatának csökkentését.

94

Az érintett jogai és érdekei tekintetében viszont a fennálló tartozások elengedésével kapcsolatos adatoknak egy üzleti információkat nyújtó vállalat általi kezelése, mint például ezen adatok tárolása, elemzése és harmadik személlyel való közlése az érintettnek a Charta 7. és 8. cikkében foglalt alapvető jogaiba való súlyos beavatkozásnak minősül. Az ilyen adatok ugyanis negatív tényezőként szolgálnak az érintett fizetőképességének értékelésénél, és ezért a magánéletére vonatkozó érzékeny információknak minősülnek (lásd ebben az értelemben: 2014. május 13‑iGoogle Spain és Google ítélet, C‑131/12, EU:C:2014:317, 98. pont). Az ilyen információk kezelése alkalmas arra, hogy jelentős mértékben sértse az érintett érdekeit, mivel nyilvánosságra hozataluk jelentősen megnehezítheti számára a szabadságai gyakorlását, különösen az alapvető szükségletek tekintetében.

95

Továbbá, amint arra a Bizottság rámutatott, minél hosszabb ideig tárolják a szóban forgó adatokat az üzleti információkat nyújtó vállalatok, annál nagyobb hatással vannak az érintett érdekeire és magánéletére, és annál magasabbak az ezen információk tárolásának jogszerűségére vonatkozó követelmények.

96

Azt is meg kell jegyezni, hogy – amint az a 2015/848 rendelet (76) preambulumbekezdéséből kitűnik – a fizetésképtelenség közhiteles nyilvántartásának célja az érintett hitelezők és bíróságok tájékoztatásának javítása. Ebben az összefüggésben e rendelet 79. cikkének (5) bekezdése pusztán arról rendelkezik, hogy a tagállamok tájékoztatják az érintetteket arról, hogy a fizetésképtelenségi nyilvántartásokban tárolt személyes adataikhoz való hozzáférés céljára milyen időtartam áll a rendelkezésükre anélkül, hogy meghatározná az említett adatok tárolására vonatkozó határidőt. E rendelet 79. cikkének (4) bekezdéséből viszont kitűnik, hogy ezen irányelvnek megfelelően a tagállamok felelnek az adatok gyűjtéséért és a nemzeti adatbázisban való tárolásáért. Az ilyen adatok tárolására vonatkozó határidőt tehát az említett rendeletnek megfelelően kell meghatározni.

97

A jelen esetben a német jogalkotó úgy rendelkezik, hogy a fennálló tartozásainak elengedésére vonatkozó információt csak hat hónapig tárolják a fizetésképtelenségi nyilvántartásban. A német jogalkotó álláspontja szerint tehát a hat hónapos határidő lejártát követően az érintett jogai és érdekei elsőbbséget élveznek a nyilvánosság azon jogaival és érdekeivel szemben, hogy ezen információkkal rendelkezzen.

98

Ezenkívül, amint azt a főtanácsnok az indítványának 75. pontjában megjegyezte, a fennálló tartozás elengedésének az a célja, hogy lehetővé tegye az abban részesülő személy számára, hogy ismét részt vehessen a gazdasági életben, ezért általában egzisztenciális jelentősége van e személy számára. E cél elérését azonban veszélyeztetné, ha az üzleti információkat nyújtó vállalatok egy személy gazdasági helyzetének vizsgálata céljából tárolhatnák a fennálló tartozás elengedésére vonatkozó adatokat, és ezeket az adatokat a közhiteles fizetésképtelenségi nyilvántartásból való törlésük után is felhasználhatnák, mivel az említett adatokat továbbra is negatív tényezőként használják fel az ilyen személy fizetőképességének vizsgálata során.

99

E körülmények között a hitelágazat azon érdeke, hogy rendelkezzen a fennálló tartozásainak elengedésére vonatkozó információkkal, nem igazolhatja a személyes adatoknak az alapeljárásokban szóban forgóhoz hasonló, a közhiteles fizetésképtelenségi nyilvántartásban való adattárolási határidőn túli kezelését, így ezen adatoknak az üzleti információkat nyújtó vállalatok általi tárolása nem alapulhat az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének f) pontján az említett adatoknak a közhiteles fizetésképtelenségi nyilvántartásból való törlését követő időszak tekintetében.

100

Ami azt a hat hónapos időszakot illeti, amely alatt a szóban forgó adatok e közhiteles nyilvántartásban is rendelkezésre állnak, meg kell jegyezni, hogy bár az említett adatoknak az ilyen vállalatok adatbázisaiban történő párhuzamos tárolásának hatásai kevésbé súlyosnak tekinthetők, mint a hat hónap eltelte után, az ilyen tárolás mindazonáltal a Charta 7. és 8. cikkében foglalt jogokba való beavatkozást jelent. E tekintetben a Bíróság már kimondta, hogy ugyanazon személyes adatoknak több forrásban való jelenléte fokozza az érintett személy magánélethez való jogába történő beavatkozást (2014. május 13‑iGoogle Spain ítélet, C‑131/12, EU:C:2014:317, 86. és 87. pont). A kérdést előterjesztő bíróság feladata, hogy az érintett személy érdekeit és a rá gyakorolt hatásokat mérlegelje annak megállapítása érdekében, hogy ezen adatok üzleti információkat nyújtó magánvállalatok általi párhuzamos tárolása a feltétlenül szükséges mértékre korlátozódónak tekinthető‑e, ahogyan azt a Bíróságnak a jelen ítélet 88. pontjában hivatkozott ítélkezési gyakorlata előírja.

101

Végül, ami a jelen ügyhöz hasonlóan egy olyan magatartási kódex meglétét illeti, amely előírja, hogy az üzleti információkat nyújtó vállalatoknak három év elteltével törölnie kell a fennálló tartozások elengedésére vonatkozó adatokat, emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 40. cikkének (1) és (2) bekezdésével összhangban a magatartási kódexek célja, hogy a különböző adatkezelő ágazatok egyedi jellemzőinek, valamint a mikro‑, kis‑ és középvállalkozások sajátos igényeinek figyelembevételével – segítsék e rendelet helyes alkalmazását. Így adatkezelők vagy az adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek magatartási kódexeket dolgozhatnak ki, illetve a már meglévő magatartási kódexeket módosíthatják vagy bővíthetik abból a célból, hogy pontosítsák az említett rendelet alkalmazását, például az alábbiakkal kapcsolatban: tisztességes és átlátható adatkezelés, az adatkezelők jogos érdekei meghatározott körülmények között, az személyes adatok gyűjtése.

102

Ezenkívül az általános adatvédelmi rendelet 40. cikkének (5) bekezdése értelmében a kódex tervezetét be kell nyújtani az illetékes felügyeleti hatósághoz, amely jóváhagyja azt, ha megállapítja, hogy az elegendő és megfelelő garanciát nyújt.

103

A jelen ügyben az alapeljárásokban szóban forgó magatartási kódexet az üzleti információkat nyújtó vállalatok szövetsége dolgozta ki, és az illetékes felügyeleti hatóság hagyta jóvá.

104

Ha tehát az általános adatvédelmi rendelet 40. cikkének (1) és (2) bekezdésével összhangban egy magatartási kódex célja, hogy segítse e rendelet helyes alkalmazását, és meghatározza a rendelet alkalmazásának részletes szabályait, akkor – amint azt a főtanácsnok indítványának 103. és 104. pontjában megjegyezte – a személyes adatok kezelése jogszerűségének az ilyen kódexben meghatározott feltételei nem térhetnek el az általános adatvédelmi rendelet 6. cikkének (1) bekezdésében meghatározott feltételektől.

105

Így az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének f) pontja alapján végzett értékeléstől eltérő értékelést eredményező magatartási kódex nem vehető figyelembe az e rendelkezés alapján végzett mérlegelés során.

106

Végül a kérdést előterjesztő bíróság lényegében arra keresi a választ, hogy milyen kötelezettségek terhelik az üzleti információkat nyújtó vállalatot az általános adatvédelmi rendelet 17. cikke alapján.

107

E tekintetben emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 17. cikke (1) bekezdésének d) pontja értelmében, amelyre a kérdést előterjesztő bíróság hivatkozik, az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha a személyes adatokat jogellenesen kezelték.

108

Ezért e rendelkezés egyértelmű megfogalmazása szerint, ha a nemzeti bíróság az alapeljárásban szóban forgó személyes adatok kezelésének jogszerűségére vonatkozó értékelésének végén arra a következtetésre jutna, hogy az adatkezelés nem jogszerű, az adatkezelő, jelen esetben a SCHUFA kötelessége lenne, hogy az érintett adatokat indokolatlan késedelem nélkül törölje. A jelen ítélet 99. pontjában megállapítottaknak megfelelően ez a helyzet a szóban forgó személyes adatoknak a közhiteles fizetésképtelenségi nyilvántartásban való hat hónapos adattárolási határidőn túli kezelése esetén.

109

Ami az azon hat hónapos időszak alatti adatkezelést illeti, amikor az adatok a közhiteles fizetésképtelenségi nyilvántartásban rendelkezésre állnak, ha a kérdést előterjesztő bíróság azt állapítaná meg, hogy az adatkezelés megfelel az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdése f) pontjának, az említett rendelet 17. cikke (1) bekezdésének c) pontját kell alkalmazni.

110

E rendelkezés az adatok azon esetben történő törléséhez való jogot írja elő, amikor az érintett személy az általános adatvédelmi rendelet 21. cikkének (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs „elsőbbséget élvező jogszerű ok” az adatkezelésre. Ez utóbbi rendelkezés értelmében az érintettnek joga van ahhoz, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon a rá vonatkozó személyes adatoknak az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének e) vagy f) pontján alapuló kezelése ellen. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

111

E rendelkezések együttes olvasatából következik, amint arra a főtanácsnok indítványának 93. pontjában rámutatott, hogy az érintettnek joga van tiltakozni az adatkezelés ellen, és joga van a törléshez, kivéve ha az általános adatvédelmi rendelet 21. cikkének (1) bekezdése szerinti érdekeivel, jogaival és szabadságaival szemben elsőbbséget élvező jogszerű okok állnak fenn, amit az adatkezelőnek kell bizonyítania.

112

Következésképpen, ha az adatkezelő nem tudja ezt bizonyítani, az érintett jogosult arra, hogy az általános adatvédelmi rendelet 17. cikke (1) bekezdésének c) pontja alapján kérje az adatok törlését, amennyiben a rendelet 21. cikkének (1) bekezdésével összhangban tiltakozik az adatkezelés ellen. A kérdést előterjesztő bíróság feladata annak vizsgálata, hogy fennállnak‑e, kivételes esetben, olyan kényszerítő erejű jogos okok, amelyek alkalmasak a szóban forgó adatkezelés igazolására.

113

A fenti megfontolások összességére tekintettel a második, harmadik, negyedik és ötödik kérdésre a következő választ kell adni:

114

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (első tanács) a következőképpen határozott: