Ideiglenes változat

MACIEJ SZPUNAR

FŐTANÁCSNOK INDÍTVÁNYA

Az ismertetés napja: 2024. július 11.(1)

C‑394/23. sz. ügy

Association Mousse

kontra

Commission nationale de l’informatique et des libertés (CNIL),

SNCF Connect

(a Conseil d’État [államtanács, Franciaország] által benyújtott előzetes döntéshozatal iránti kérelem)

„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – A 6. cikk (1) bekezdése – Az adatkezelés jogszerűségének elve – Az 5. cikk (1) bekezdésének c) pontja – Az adattakarékosság elve – Megszólítás – Szállítási szolgáltatások online vásárlása – 21. cikk – A tiltakozáshoz való jog”

I.      Bevezetés

1.        Az (EU) 2016/679 rendelet(2) (a továbbiakban: GDPR) célja, hogy magas szintű védelmet biztosítson a természetes személyek számára a személyes adataik kezelése tekintetében. Ennek érdekében megköveteli az adatkezelőktől, hogy a személyes adatok kezelése során tartsanak tiszteletben bizonyos elveket, köztük az úgynevezett „adattakarékosság” elvét és az adatkezelés jogszerűségének elvét.

2.        E két elv áll a jelen, egy egyesület és egy nemzeti felügyeleti hatóság között egy közlekedési vállalat ügyfeleinek megszólításával kapcsolatos adatok e vállalat általi, a kereskedelmi kommunikációban való felhasználás kifejezett céljából való kezelése tárgyában folyamatban lévő jogvitára vonatkozó ügy középpontjában, amely ügy így lehetőséget kínál a Bíróság számára ezen elvek hatályának pontosítására.

II.    Jogi háttér

A.      Az uniós jog

3.        A GDPR (4), (10), (39), (40), (44), (47), (69) és (75) preambulumbekezdése a következőket mondja ki:

„(4)      A személyes adatok kezelését az emberiség szolgálatába kell állítani. A személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban, a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyensúlyban más alapvető jogokkal. Ez a rendelet minden alapvető jogot tiszteletben tart, és szem előtt tartja [az Európai Unió Alapjogi Chartájában (a továbbiakban: Charta)] elismert és a Szerződésekben rögzített szabadságokat és elveket, különösen ami a magán‑ és a családi élet, az otthon és a kapcsolattartás tiszteletben tartásához és a személyes adatok védelméhez, a gondolat‑, a lelkiismeret‑ és a vallásszabadsághoz, a véleménynyilvánítás szabadságához és a tájékozódás szabadságához, a vállalkozás szabadságához, a hatékony jogorvoslathoz és a tisztességes eljáráshoz, és a kulturális, vallási és nyelvi sokféleséghez való jogot illeti.

[…]

(10)      A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. […]

[…]

(39)      […] A személyes adatoknak a kezelésük céljára alkalmasaknak és relevánsaknak kell lenniük, az adatok körét pedig a célhoz szükséges minimumra kell korlátozni. […] Személyes adatok csak abban az esetben kezelhetők, ha az adatkezelés célját egyéb eszközzel észszerű módon nem lehetséges elérni. […]

(40)      Annak érdekében, hogy a személyes adatok kezelése jogszerű legyen, annak az érintett hozzájárulásán kell alapulnia, vagy valamely egyéb jogszerű, jogszabály által megállapított – akár e rendeletben, akár más, az e rendeletben említettek szerinti uniós vagy tagállami jogban foglalt – alappal kell rendelkeznie, ideértve […] az érintett által kötött esetleges szerződés teljesítését, illetve az érintett által kért, a szerződéskötést megelőzően megteendő lépéseket.

(44)      Az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség.

[…]

(47)      Az adatkezelő – ideértve azt az adatkezelőt is, akivel a személyes adatokat közölhetik – vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, figyelembe véve az adatkezelővel való kapcsolata alapján az érintett észszerű elvárásait. Az ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele […]. A jogos érdek fennállásának megállapításához mindenképpen körültekintően meg kell vizsgálni többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat‑e észszerűen arra, hogy adatkezelésre az adott célból kerülhet sor. […] Személyes adatoknak a csalások megelőzése céljából feltétlenül szükséges kezelése szintén az érintett adatkezelő jogos érdekének minősül. Személyes adatok közvetlen üzletszerzési célú kezelése szintén jogos érdeken alapulónak tekinthető.

[…]

(69)      Bármely érintett számára akkor is biztosítani kell a jogot arra, hogy az egyedi helyzetükre vonatkozó adatok kezelése ellen tiltakozzon, ha a személyes adatok jogszerűen kezelhetők, mert az adatkezelésre közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához, illetve az adatkezelő vagy egy harmadik fél jogos érdekei alapján van szükség. Az adatkezelő bizonyítja, hogy az érintett érdekeivel vagy alapvető jogaival és szabadságaival szemben az ő kényszerítő erejű jogos érdeke elsőbbséget élvezhet.

[…]

(75)      A természetes személyek jogait és szabadságait érintő – változó valószínűségű és súlyosságú – kockázatok származhatnak a személyes adatok kezeléséből, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek, különösen, ha az adatkezelésből hátrányos megkülönböztetés […] fakadhat […].”

4.        A GDPR 2. cikkének (1) bekezdése értelmében e rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

5.        A GDPR „Fogalommeghatározások” című 4. cikke a következőképpen rendelkezik:

„E rendelet alkalmazásában:

1.      »személyes adat«: azonosított vagy azonosítható természetes személyre […] vonatkozó bármely információ; […]

2.      »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés […];

[…]

7.      »adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; […]

[…]

11.      »az érintett hozzájárulása«: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

[…]”

6.        A GDPR‑nak „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke a következőket írja elő:

„(1)      A személyes adatok:

a)      kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (»jogszerűség, tisztességes eljárás és átláthatóság«);

[…]

c)      az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk (»adattakarékosság«);

d)      pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék (»pontosság«);

[…]”

7.        A GDPR‑nak „Az adatkezelés jogszerűsége” című 6. cikke az (1) bekezdésében a következőképpen rendelkezik:

„A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a)      az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b)      az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c)      az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d)      az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e)      az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f)      az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

[…]”

8.        A GDPR „Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik” című 13. cikke a következőket írja elő:

„(1)      Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

[…]

d)      a 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;

[…]”

9.        A GDPR‑nak „A tiltakozáshoz való jog” című 21. cikke az (1) bekezdésében a következőképpen rendelkezik:

„Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.”

10.      A GDPR „Beépített és alapértelmezett adatvédelem” című 25. cikke a (2) bekezdésében a következőket írja elő:

„Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. […]”

B.      A francia jog

11.      Az 1978. január 6‑i loi n^o 78–17 relative à l’informatique, aux fichiers et aux libertés (az informatikáról, a fájlokról és a szabadságjogokról szóló 78–17. sz. törvény)(3) 8. cikke a következőképpen rendelkezik:

„A Commission nationale de l’informatique et des libertés [adatvédelmi hatóság, CNIL] független közigazgatási hatóság.

[A GDPR] értelmében és alkalmazásában nemzeti felügyeleti hatóságnak minősül. A következő feladatokat látja el:

[…]

2°      biztosítja, hogy a személyes adatok kezelését a jelen törvény rendelkezéseivel és a személyes adatok védelmére vonatkozó egyéb, törvényi és rendeleti rendelkezéseknek, az európai uniós jognak és Franciaország nemzetközi kötelezettségvállalásainak megfelelően végezzék.

Ennek keretében:

[…]

d)      elbírálja az érintett személy, vagy valamely szerv, szervezet vagy egyesület által benyújtott kifogásokat, petíciókat és panaszokat, szükség esetén megvizsgálja vagy kivizsgálja a panasz tárgyát, és észszerű időn belül tájékoztatja a panaszost a vizsgálat előrehaladásáról és eredményéről, különösen, ha további vizsgálatra vagy egy másik felügyeleti hatósággal való együttműködésre van szükség. […]”

III. Az alapeljárás tényállása, a Bíróság előtti eljárás és az előzetes döntéshozatalra előterjesztett kérdések

12.      Az SNCF Connect társaság az internetes oldalán és alkalmazásain keresztül vasúti menetjegyeket, így vonatjegyeket, bérleteket és kedvezménykártyákat forgalmaz. E menetjegyek megvásárlásakor e társaság ügyfelei kötelesek az „Úr” vagy „Hölgy” megjelölést választva feltüntetni a megszólításukat.

13.      Az alapeljárás felperese, a Mousse egyesület (a továbbiakban: Mousse) panaszt nyújtott be a CNIL‑hez az SNCF Connecttel szemben, mivel úgy vélte, hogy azok a feltételek, amelyek mellett az ügyfelek megszólítását a menetjegyek megvásárlásakor gyűjtötték és rögzítették, nem felel meg a GDPR követelményeinek. E panasz alátámasztására a Mousse arra hivatkozott, hogy az érintett adatok gyűjtése nem felelt meg az említett rendelet 5. cikke (1) bekezdésének a) pontjában foglalt jogszerűség elvének, mivel nem alapult az említett rendelet 6. cikkének (1) bekezdésében előírt egyik jogalapon sem. Az ilyen adatgyűjtés sértette továbbá az ugyanezen rendelet 5. cikke (1) bekezdésének c), illetve d) pontjában foglalt adattakarékosság, illetve pontosság elvét, valamint a különösen a rendelet 13. cikkéből eredő átláthatósági és tájékoztatási kötelezettségeket. Ebben az összefüggésben a Mousse azzal érvelt, hogy az SNCF Connectnek nem lenne szabad ilyen adatokat gyűjtenie, vagy legalábbis további – például „semleges nemű” vagy „egyéb” megjelölések – lehetőségeket is fel kellene kínálnia az ügyfeleinek.

14.      A CNIL 2021. március 23‑i határozatával lezárta az elé terjesztett panasszal kapcsolatos eljárást, mivel úgy vélte, hogy az SNCF Connectnek felrótt tények sértik a GDPR vonatkozó rendelkezéseit. A CNIL megállapította, hogy az adatkezelés e rendelet 6. cikke (1) bekezdésének b) pontja értelmében jogszerű volt, mivel az szükséges volt a szállítási szolgáltatások nyújtására vonatkozó szerződés teljesítéséhez. A CNIL ezenfelül rámutatott arra, hogy az ilyen adatkezelés a céljait tekintve megfelelt az adattakarékosság elvének, mivel az ügyfeleknek a megszólításuk használatával történő megkeresése megfelel a polgári, kereskedelmi és közigazgatási kommunikációban alkalmazott szokásoknak.

15.      2021. május 21‑én a Mousse a CNIL 2021. március 23‑i határozatának megsemmisítése iránti keresetet nyújtott be a Conseil d’État‑hoz (államtanács, Franciaország). Keresetlevelében a Mousse többek között arra hivatkozik, hogy az online vásárlás során az „Úr” vagy a „Hölgy” megjelölés választására vonatkozó kötelezettség nem felel meg a GDPR 5. cikke (1) bekezdése a), illetve c) pontjában foglalt jogszerűség, illetve adattakarékosság elvének, mivel e megjelölés nem szükséges a szerződés teljesítéséhez vagy az SNCF Connect jogos érdekeinek érvényesítéséhez. Az a körülmény, hogy az említett megjelöléseket használják a kereskedelmi levelezésben, nem elegendő ahhoz, hogy szükségessé tegye ezen adatok gyűjtését. Végül egy ilyen kötelezettség alkalmas arra, hogy sértse a megszólításának megadása nélküli utazáshoz való jogot, a magánélet tiszteletben tartásához való jogot és a nemi önkifejezés szabadságát. Különösen azon országok állampolgárai esetében, amelyeknek a családi állapottal kapcsolatos nyilvántartása elismeri a „semleges nemet”, e megjelölés nem felelne meg a valóságnak, és ezért ellentétesnek bizonyulhatna az e rendelet 5. cikke (1) bekezdésének d) pontjában foglalt pontosság elvével, mindemellett pedig sértené az uniós jog által biztosított mozgásszabadságukat.

16.      A CNIL a kereset elutasítását kéri, és azt állítja, hogy a megszólítással kapcsolatos adatok kezelése a GDPR 6. cikke (1) bekezdésének f) pontja értelmében az SNCF Connect jogos érdekeinek érvényesítése érdekében is szükségesnek minősíthető, és hogy az érintettek – saját helyzetük függvényében – érvényesíthetik az e rendelet 21. cikkében biztosított, tiltakozáshoz való jogukat.

17.      A kérdést előterjesztő bíróságban egyrészt az a kérdés merül fel, hogy az adatgyűjtés megfelelősége, releváns jellege és a szükséges mértékre korlátozódó jellege, valamint az adatkezelés szükségességének értékelése céljából figyelembe lehet‑e venni a polgári, kereskedelmi és közigazgatási kommunikáció terén általánosan elfogadott gyakorlatokat, aminek eredményeként az ügyfelek megszólítására vonatkozó, az „Úr” és a „Hölgy” megszólításokra korlátozott adatgyűjtés „jogszerűnek” és az adattakarékosság elvének „megfelelőnek” minősíthető. E bíróságban másrészt felmerül az a kérdés, hogy az ügyfelek megszólítására vonatkozó adatok kötelező gyűjtése és ezt követő kezelése szükségességének értékelése érdekében, és annak ellenére, hogy egyes ügyfelek úgy vélik, hogy rájuk nem vonatkozik e két megszólítás egyike sem, figyelembe kell‑e venni, hogy ezen ügyfelek, miután ezeket az adatokat az adatkezelőnek a kínált szolgáltatás igénybevétele céljából szolgáltatták, a saját helyzetükre való hivatkozással a GDPR 21. cikke alapján gyakorolhatják az ilyen adatok felhasználásával szembeni tiltakozáshoz való jogukat.

18.      E körülmények között a Conseil d’État (államtanács, Franciaország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)      Az adatgyűjtésnek [a GDPR] 5. cikke (1) bekezdésének c) pontja értelmében vett megfelelősége, releváns jellege és a szükséges mértékre korlátozódó jellege, valamint az adatkezelés [e] rendelet 6. cikke (1) bekezdésének b) és f) pontja értelmében vett szükségességének értékelése céljából figyelembe lehet‑e venni a polgári, kereskedelmi és közigazgatási kommunikáció terén általánosan elfogadott gyakorlatokat, amelynek folytán az ügyfeleknek az »Úr« vagy » Hölgy« megjelölésre korlátozott megszólítására vonatkozó adatgyűjtés jogszerűnek tekintendő, és ezt az adattakarékosság elve sem korlátozza?

2)      Az ügyfelek megszólítására vonatkozó adatok kötelező gyűjtése és ezen adatok kezelése szükségességének értékelése érdekében, és annak ellenére, hogy egyes ügyfelek úgy vélik, hogy rájuk nem vonatkozik e két megszólítás egyike sem, és hogy ezen adatok gyűjtése rájuk nézve nem releváns, figyelembe kell‑e venni, hogy az ügyfelek, miután ezt az adatot az adatkezelőnek a kínált szolgáltatás igénybevétele céljából szolgáltatták, a saját helyzetükre való hivatkozással [a GDPR] 21. cikke alapján gyakorolhatják az ezen adat felhasználásával és megőrzésével szembeni tiltakozáshoz való jogukat?”

19.      A Mousse, az SNCF Connect, a francia kormány és az Európai Bizottság nyújtottak be írásbeli észrevételeket. Ugyanezen felek vettek részt a 2024. április 29‑i tárgyaláson.

IV.    Elemzés

A.      Az előzetes döntéshozatalra előterjesztett első kérdésről

20.      A kérdést előterjesztő bíróság az előzetes döntéshozatalra előterjesztett első kérdésével lényegében arra vár választ, hogy a GDPR 5. cikke (1) bekezdésének c) pontját és 6. cikke (1) bekezdésének b) és f) pontját úgy kell‑e értelmezni, hogy a valamely közlekedési vállalat ügyfeleinek megszólítására vonatkozó személyes adatok kezelését úgy kell tekinteni, hogy az egy szerződés teljesítéséhez vagy a szerződés megkötését megelőző lépések megtételéhez szükséges, vagy pedig az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, ha e kezelés célja, hogy a kereskedelmi kommunikációban általánosan elfogadott gyakorlatoknak való megfelelés biztosításával személyre szabott kereskedelmi kommunikációt tegyen lehetővé.

21.      E tekintetben mindenekelőtt két előzetes megjegyzést kívánok tenni.

22.      Egyrészt rámutatok arra, hogy a felek egyetértenek abban, és nem kétséges, hogy a közlekedési vállalat ügyfeleinek megszólítására vonatkozó adatok a GDPR 4. cikkének (1) bekezdése értelmében vett személyes adatoknak minősülnek, és hogy ezen túlmenően az SNCF Connect által történő gyűjtésüket és rögzítésüket az e rendelet 4. cikkének (2) bekezdése értelmében vett adatkezelésnek kell tekinteni, így azokat az említett rendelet rendelkezései fényében kell vizsgálni.

23.      Másrészt az SNCF Connect és a francia kormány azt az álláspontot képviseli, hogy az előzetes döntéshozatalra előterjesztett első kérdésre adott nemleges válasz a GDPR‑nak az e rendelettől idegen összefüggésben történő alkalmazásához vezetne, mivel a jogalkotó e rendelet elfogadásával nem kívánta szabályozni a kommunikációs gyakorlatokat vagy a nemek kérdését. Bár Bobek főtanácsnokhoz hasonlóan én is készséggel elismerem, hogy a magánélet védelmére vonatkozó szabályok olykor „igencsak meglepő körülmények” között alkalmazhatóak,(4) úgy tűnik számomra, hogy a jelen helyzet nem tartozik az ilyen esetek közé. Az a tény, hogy a személyazonossággal kapcsolatos adatokról van szó, és hogy ezáltal a nemzeti jogrendszerekben a nemi identitás binaritásának kérdését övező viták sejlenek fel a háttérben, nem homályosíthatja el azt, hogy a jelen esetben egy közlekedési vállalat ügyfeleire vonatkozó személyes adatoknak az e vállalat általi automatikus kezeléséről van szó, amely adatkezelés amellett, hogy objektíve a GDPR hatálya alá tartozik, egyúttal olyan adatkezelési műveletnek minősül, amelynek szabályozása az uniós jogalkotó célkitűzése volt.(5)

24.      Az előzetes döntéshozatalra előterjesztett első kérdés elemzését ezért az adatkezelés jogszerűségére vonatkozó – az adatkezelőkre a GDPR értelmében alkalmazandó – feltétellel kapcsolatos néhány általános megjegyzéssel kezdem, majd meghatározom, hogy az ismertetett elvek fényében e feltételt teljesítettnek kell‑e tekinteni egy közlekedési vállalat ügyfeleinek megszólítására vonatkozó adatok olyan kezelése tekintetében, amelynek célja az ezen ügyfelekkel a kereskedelmi kommunikációban általánosan elfogadott gyakorlatok alkalmazásával történő kommunikáció.

1.      A személyes adatok kezelésének jogszerűsége

25.      A GDPR 5. cikke a személyes adatok kezelésével kapcsolatos bizonyos elveket határoz meg. Ez a rendelkezés előírja különösen azt, hogy az ilyen adatok kezelését „jogszerűen […] kell végezni”(6), valamint hogy ezen adatok „az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk”(7). Másként fogalmazva, valamennyi adatkezelésnek meg kell felelnie többek között a jogszerűség és az adattakarékosság elvének.

26.      A GDPR 6. cikke pontosítja az adatkezelés jogszerűsége elvének hatályát. E rendelet 6. cikkének (1) bekezdése – amennyiben lehetővé teszi a személyes adatok védelméhez való jog korlátozását(8) – megfelel a Charta 52. cikkének (1) bekezdésében meghatározott feltételeknek: a szóban forgó korlátozást törvény írja elő, és az tiszteletben tartja e jog lényeges tartalmát. Ezenfelül e korlátozás elengedhetetlen és ténylegesen az Unió által elismert általános érdekű célkitűzést vagy mások jogainak és szabadságainak védelmét szolgálja.(9)

27.      A jogalkotó emellett meghatározott hat olyan indokot, amelyek alapján az adatkezelés jogszerű, kifejtve azon általános érdekű célkitűzéseket és védelmet igénylő jogokat és szabadságokat, amelyek indokolhatják a személyes adatok védelméhez való jog korlátozását. A GDPR 6. cikkének (1) bekezdése tehát „kimerítő és korlátozó jelleggel sorolja fel azokat az eseteket, amelyekben a személyes adatok kezelése jogszerűnek tekinthető”(10).

28.      A GDPR 6. cikkének (1) bekezdése nem állít fel szigorú hierarchiát(11) azon indokok között, amelyek alapján az adatkezelést jogszerűnek kell tekinteni. A Bíróság tehát az ítélkezési gyakorlatában határozta meg az ezen indokok közötti kapcsolatot.

29.      A Bíróság egyrészt emlékeztetett arra, hogy a GDPR 6. cikke (1) bekezdésének a) pontja szerint a „személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben […] az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez”. A Bíróság hozzátette, hogy „[i]lyen hozzájárulás hiányában […] az ilyen adatkezelés mindazonáltal akkor is indokolt, ha megfelel az e rendelet 6. cikke (1) bekezdés[ének] […] b)–f) pontjában említett szükségességi követelmények valamelyikének”(12). A Bíróság ezenkívül kimondta, hogy „[a szóban forgó] indokokat, amennyiben azok lehetővé teszik, hogy az érintett hozzájárulásának hiányában végzett személyesadat‑kezelést jogszerűnek lehessen tekinteni, megszorítóan kell értelmezni”(13). A személyes adatok kezelésének az említett rendelet 6. cikkének (1) bekezdésében előírt indokai tehát egyenértékűek, és egyik sem tekinthető a többihez képest másodlagosnak.

30.      Másrészt a Bíróság pontosította, hogy a GDPR 6. cikkének (1) bekezdésében előírt indokok nem kumulatívak. Így kimondta, hogy „amennyiben megállapítható, hogy valamely személyesadat‑kezelés [a GDPR] 6. cikke (1) bekezdés[ének] […] b)–f) pontjában előírt indokok valamelyikére tekintettel szükséges, nem kell meghatározni, hogy ezt az adatkezelést ezen indokok közül egy másik is indokolja‑e”(14). Más szóval, ahogy korábban említettem,(15) a személyes adatok kezelése egyetlen indok alapján is jogszerű, anélkül, hogy egy indok a másikhoz képest másodlagosnak lenne tekinthető.

31.      A GDPR 6. cikkének (1) bekezdésében foglalt jogszerűség elvét azonban nem lehet elszigetelten elemezni. A Bíróság következetesen úgy ítélte meg, hogy ezt a feltételt „az [e] rendelet 5. cikke (1) bekezdésének c) pontjában foglalt, úgynevezett »adattakarékosság« elvével együttesen kell vizsgálni”(16). Ez az elv a Bíróság ítélkezési gyakorlata – és az általam már hangsúlyozottak(17) – szerint az arányosság elvét fejezi ki,(18) amely a francia kormány által az írásbeli észrevételeiben állítottakkal összhangban megköveteli, hogy az alkalmazott eszközök alkalmasak legyenek a kitűzött cél elérésére, és ne lépjék túl a cél eléréséhez szükséges mértéket.(19)

32.      Másként fogalmazva, az adattakarékosság elve feltételezi annak megvizsgálását, hogy a kezelt adatok alkalmasak‑e a kezelésük céljának elérésére – a GDPR 6. cikkének (1) bekezdésében meghatározott indokok szerint –, és hogy az adatok kezelésére csak akkor kerül‑e sor, ha a kezelés célja észszerűen nem érhető el más eszközökkel. Az így kezelt adatok köre sem mennyiségi, sem tartalmi szempontból nem haladhatja meg az e cél eléréséhez szükséges mértéket.(20)

33.      E tekintetben egy további megjegyzést kívánok tenni. Rámutatok arra, hogy a Bíróság az adattakarékosság elvét csupán olyan helyzetekben értelmezte az adatkezelés jogszerűségének elvével együttesen, amelyekben a szóban forgó adatkezelés a GDPR 6. cikke (1) bekezdésének b)‑f) pontjában meghatározott okok egyikén alapult. Más szóval, a Bíróság nem határozta meg egyértelműen, hogy az adattakarékosság elve akkor is alkalmazandó‑e, ha az érintett hozzájárult a személyes adatainak kezeléséhez. Kétségtelenül védhető azon elképzelés, amely szerint az érintett hozzájárulása esetén az adatkezelő bármilyen adatot kezelhet anélkül, hogy az ellentétes lenne az adattakarékosság elvével.

34.      Egy ilyen értelmezés azonban nem tűnik számomra összeegyeztethetőnek sem a GDPR azon célkitűzésével, amely szerint a természetes személyek számára magas szintű védelmet kell biztosítani a személyes adataik kezelése tekintetében, sem pedig a szóban forgó rendelkezések szövegével.

35.      Megjegyzem ugyanis, hogy a GDPR 6. cikke (1) bekezdése a) pontjának előírása szerint az adatkezelés jogszerű, ha az érintett „hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez”(21). E tekintetben hangsúlyozom, hogy a beleegyezés alatt az érintett „akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítását”(22) kell érteni. Másként fogalmazva nem lehet szó egy valamennyi adat kezeléséhez adott általános hozzájárulásról. Ezenkívül az érintett személyt tájékoztatni kell arról, hogy milyen célból járul hozzá az adatkezeléshez. E rendelet 5. cikke (1) bekezdésének c) pontja előírja, hogy a kezelt adatok „az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk”(23). E körülmények között úgy tűnik számomra, hogy az adattakarékosság elve még abban az esetben is alkalmazandó, ha ezen adatok kezelésére az érintett személy hozzájárulásával kerül sor, és ezen elv annak megvizsgálásához vezet, hogy a szóban forgó adatok valóban az adatkezelés konkrét céljának eléréséhez szükséges mértékre korlátozódnak‑e.

36.      E megfontolásokra tekintettel kell megvizsgálni – a GDPR 6. cikke (1) bekezdésének b) és f) pontja fényében – az ügyfelek megszólításával kapcsolatos személyes adatok SNCF Connect általi kezelését, azzal, hogy a kérdést előterjesztő bíróság az adatkezelésnek kizárólag e két céljára hivatkozik.

2.      A GDPR 6. cikke (1) bekezdésének b) pontjáról: az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges

37.      A GDPR 6. cikke (1) bekezdésének b) pontja előírja, hogy a személyes adatok kezelése akkor jogszerű, ha az „olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges”.

38.      A Bíróság a Meta Platforms és társai ítéletben pontosította e rendelkezés hatályát. Így kimondta, hogy „ahhoz, hogy a személyesadat‑kezelést e rendelkezés értelmében a szerződés teljesítéséhez szükségesnek lehessen tekinteni, annak objektíve elengedhetetlennek kell lennie az érintettnek nyújtott szerződéses szolgáltatás szerves részét képező cél megvalósításához. Az adatkezelőnek tehát képesnek kell lennie annak bizonyítására, hogy a szerződés fő célja miért nem lenne elérhető a szóban forgó adatkezelés nélkül”(24).

39.      A felek egyetértenek abban, hogy a szerződés fő célja a menetjegyek szolgáltatása és végső soron az ügyfelek vasúti szállítása. Meg kell tehát vizsgálni, hogy egyrészt az ügyfél megszólításával kapcsolatos adatokat a szállítási szolgáltatás szerves részét képező célból kezelik‑e, másrészt pedig hogy ez az adatkezelés objektíve elengedhetetlen‑e e cél eléréséhez.

a)      Az adatkezelés céljának azonosítása

40.      Az SNCF Connect és a francia kormány azt állítja, hogy a szállítási szerződés teljesítése mind a foglaláskor, mind a szóban forgó utazás során és azt követően feltételezi az ügyféllel való kommunikációt, továbbá maga után vonja az ügyfél megszólításának ismeretét annak érdekében, hogy személyre szabottan és a kereskedelmi kommunikációban szokásos gyakorlatnak megfelelően kommunikálhassanak az ügyféllel.

41.      Az SNCF Connect hozzáteszi, hogy a szállítási szerződés teljesítéséhez ismernie kell az érintett személy nemét annak érdekében, hogy a szolgáltatást különleges esetekben – például a mozgáskorlátozott személyeknek nyújtott segítség vagy az éjszakai vonatokon a nők számára fenntartott kocsikhoz való hozzáférés – kiigazíthassa. E tekintetben rámutatok arra, hogy e cél nem tartozik szorosan az előzetes döntéshozatalra előterjesztett – az előterjesztő bíróság által megfogalmazott – első kérdés tárgyához, amely kérdés kifejezetten a kereskedelmi kommunikáció terén általánosan elfogadott gyakorlatok alkalmazására utal. Mindazonáltal, amennyiben a kérdést előterjesztő bíróság általánosabban, a személyes adatoknak az adattakarékosság és az adatkezelés jogszerűségének elvére tekintettel történő gyűjtéséről kérdezi a Bíróságot, megvizsgálom ezt az érvet.

42.      Ami az ügyféllel való kommunikáció célját illeti, véleményem szerint azt a szállítási szerződés szerves részének kell tekinteni. Egy ilyen szerződés ugyanis feltételezi a menetjegy szolgáltatását, vagyis e menetjegy megküldése érdekében az ügyféllel való kapcsolattartást. Úgy tűnik számomra, hogy az ügyféllel való kapcsolattartás szükségessége ezenfelül a szállítás teljesítése során is fennáll, különösen annak érdekében, hogy értesítsék az ügyfelet minden olyan eseményről, amely hatással lehet az utazására, valamint a szállítást követően is, különösen az ügyfélszolgálatnak az utazással kapcsolatos megkeresése esetén.

43.      E tekintetben pontosítanom kell, hogy el kell utasítani a francia kormány által felhozott azon érvet, amely szerint az adatkezelés célja nem csupán az ügyféllel való kommunikáció, hanem konkrétabban az ügyféllel a kereskedelmi kommunikáció terén alkalmazott gyakorlatoknak megfelelően folytatott kommunikáció. Egyrészt nem tűnik úgy számomra, hogy az így meghatározott cél a szállítási szolgáltatás nyújtásának szerves része lenne: semmi sem utal arra, hogy a szolgáltatás ne lenne nyújtható a kereskedelmi kommunikáció terén alkalmazott gyakorlatoknak megfelelő kommunikáció nélkül. Másrészt ez az érv körkörös érvelésen alapul. Az így meghatározott adatkezelés célja – az általánosan elfogadott kereskedelmi kommunikációs gyakorlatnak megfelelő kommunikáció – ugyanis egybeolvad az e cél eléréséhez használt eszközökkel, azaz a kereskedelmi kommunikáció terén általánosan elfogadott gyakorlatok alkalmazásával.

44.      Ami a szállítási szolgáltatásnak az SNCF Connect által említett különleges esetekhez való hozzáigazítását illeti, szintén nehezen vitathatónak tűnik számomra, hogy e kiigazítás e szolgáltatás szerves részét képezi, mivel az éppen e szolgáltatás teljesítésének biztosítására irányul.

45.      Ugyanakkor, még ha a szóban forgó adatkezelés céljai véleményem szerint a szállítási szolgáltatás nyújtásának velejárói is, és a GDPR 6. cikke (1) bekezdésének b) pontja alapján azok elfogadhatóak, a személyes adatok kezelésének emellett elengedhetetlennek kell lennie a hivatkozott cél eléréséhez oly módon, hogy a szerződés fő célja nem érhető el ezen adatkezelés nélkül, és nem állnak rendelkezésre más, a gyakorlatban megvalósítható és kevésbé beavatkozó jellegű megoldások ugyanazon cél elérésére.

46.      Márpedig véleményem szerint a megszólítással kapcsolatos adatok kezelése túlmutat a szerződés megfelelő teljesítéséhez szükséges mértéken.

b)      Az adatkezelésnek az azonosított célok eléréséhez való szükségessége

47.      Először is, ami a kommunikáció célját illeti, a szállítási szerződés megfelelő teljesítése nem függhet attól, hogy a közlekedési vállalat az ügyfelekkel folytatott kommunikációjában használja‑e ezen ügyfelek megszólítását, még akkor sem, ha az adatkezelő személyre szabott módon kíván kommunikálni az ügyfeleivel. A közlekedési vállalat ugyanis a megszólításuk használata nélkül is nehézség nélkül kommunikálhat személyre szabott módon az ügyfeleivel.

48.      Ezenfelül, bár a tárgyaláson az SNCF Connect hangsúlyozta annak szükségességét, hogy a kereskedelmi kommunikációban általánosan elfogadott kifejezések alkalmazásával megőrizze a márka imázsát, ez az eredmény az ügyféllel szembeni figyelmességet mutató és a megszólítástól független más kifejezések használatával is elérhető.

49.      Ez annál is inkább így van, hogy – a Mousse állításával összhangban és a kérdést előterjesztő bíróság által folytatott vizsgálat mellett – az SNCF Connect a gyakorlatban nem használja módszeresen a kereskedelmi kommunikáció terén általánosan elfogadott, az ügyfelek megszólításának ismeretét feltételező gyakorlatokat, hanem olyan más, általánosabb kifejezéseket használ, mint „Köszönjük, jó utat!” vagy „Jó napot kívánunk!”. Az, hogy az SNCF Connect kommunikációjában nem szerepel módszeresen az ügyfelek megszólításának használata, nemcsak azt jelzi számomra, hogy ezen adatok kezelése nem szükséges a szóban forgó szerződés teljesítéséhez, hanem – az adattakarékosság elvének fényében – azt is, hogy az adatok kezelése a szükségesnél nagyobb terjedelmű.

50.      Ugyanezen gondolatmenetet követve megjegyzem, hogy a tárgyaláson erre vonatkozóan feltett kérdésre válaszul az SNCF Connect elismerte, hogy az érintett személy tényleges megszólításától eltérő megszólítás célzott használata valójában nem befolyásolja a szállítási szolgáltatás nyújtását. E körülmények között meg kell állapítani, hogy a szerződés fő célja a szóban forgó adatok kezelése nélkül is elérhető.

51.      Másodszor, ami a szállítási szolgáltatás kiigazítására irányuló célt illeti, ismét azon a véleményen vagyok, hogy a személyes adatok kezelése túlmutat a szolgáltatás nyújtásának lehetővé tételéhez szükséges mértéken. Egyrészt az ilyen kiigazítás szempontjából releváns személyes adatok számomra nem a megszólítással kapcsolatos adatoknak – amely adatok a francia kormány véleménye szerint nem képezik egy személy családi állapotának elemét –, hanem az ügyfelek nemére vonatkozó, a személyek anyakönyvében szereplő adatoknak tűnnek. Másrészt ugyanezen cél akkor is elérhető lenne, ha ezen adatokat nem minden menetjegyrendelésnél gyűjtenék és kezelnék, hanem csupán az ilyen adatkezelést és –gyűjtést igénylő különleges esetekben, például az éjszakai vonatokon a nők számára fenntartott kocsiban való utazásra szóló menetjegy megrendelése vagy a mozgáskorlátozott személyek számára nyújtandó segítség iránti kérelem esetében.

52.      E körülmények között úgy vélem, hogy a GDPR 6. cikke (1) bekezdésének b) pontját és e rendelet 5. cikke (1) bekezdésének c) pontját úgy kell értelmezni, hogy a személyes adatok módszeres kezelése nem tekinthető szükségesnek egy olyan szerződés teljesítéséhez, amelyben az érintett az egyik fél, illetve nem tekinthető szükségesnek a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez, amennyiben ezen adatkezelés célja az, hogy a kereskedelmi kommunikáció terén általánosan elfogadott gyakorlatoknak való megfelelés biztosítása révén személyre szabott kereskedelmi kommunikációt tegyen lehetővé, vagy hogy az érintett nemének figyelembevételével biztosítsa a szállítási szolgáltatás kiigazítását.

3.      A GDPR 6. cikke (1) bekezdésének f) pontjáról: az adatkezelésnek az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez való szükségessége

53.      A GDPR 6. cikke (1) bekezdésének f) pontja szerint a személyes adatok kezelése jogszerű, ha az „az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek”.

54.      A Bíróság állandó ítélkezési gyakorlata szerint e rendelkezésből kitűnik, hogy három kumulatív feltételnek kell teljesülnie ahhoz, hogy a személyes adatok e rendelkezés alá tartozó kezelése jogszerű legyen. Először is, az adatkezelőnek vagy valamely harmadik félnek jogos érdeket kell érvényesítenie. Másodszor, a személyes adatok kezelése valamely jogos érdek érvényesítéséhez szükséges. Harmadszor, az adatvédelemmel érintett személy érdekei vagy alapvető szabadságai és jogai nem élveznek elsőbbséget az adatkezelő vagy valamely harmadik fél jogos érdekével szemben.(25)

55.      Az első, a jogos érdek érvényesítésére vonatkozó feltételt illetően a Bíróság a Meta Platforms és társai ügyben hozott ítéletében hangsúlyozta, hogy „az általános adatvédelmi rendelet 13. cikke (1) bekezdésének d) pontja értelmében az adatkezelő feladata, hogy az érintettre vonatkozó személyes adatok megszerzésének időpontjában tájékoztassa őt az érvényesíteni kívánt jogos érdekekről, amennyiben ezen adatkezelés e rendelet 6. cikke (1) bekezdés[ének] […]f) pontján alapul”(26). Ugyanebben az ítéletben a Bíróság ezért kimondta, hogy ezen utóbbi rendelkezést úgy kell értelmezni, hogy a személyes adatok kezelése „csak azzal a feltétellel tekinthető e rendelkezés értelmében véve az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükségesnek, hogy az említett üzemeltető jelezte azon felhasználóknak, akiktől az adatokat gyűjtötték”, hogy az adatkezelés milyen jogos érdeket érvényesít.(27)

56.      Másként fogalmazva, a GDPR 13. cikke (1) bekezdésének d) pontjában meghatározott tájékoztatási kötelezettség tiszteletben tartásának hiánya a szóban forgó személyes adatok kezelésének jogellenességét eredményezi.

57.      Márpedig, amint arra a Bizottság rámutat – és a kérdést előterjesztő bíróság által folytatott vizsgálatra figyelemmel – úgy tűnik számomra, hogy az SNCF Connect nem tett eleget ennek a kötelezettségnek.

58.      Amint azt a Bizottság hangsúlyozza, az SNCF Connect az internetes oldalán elérhető „bizalmassági chartájában” a megszólítással kapcsolatos adatok kezelésének jogalapjaként a „jogos érdeket” említi. Ezzel kapcsolatban két megjegyzést kívánok tenni. Egyrészt a jogos érdeknek e jogos érdek pontos meghatározása nélkül történő puszta említése nem felel meg a GDPR 13. cikke (1) bekezdésének d) pontjábankimondott tájékoztatási kötelezettségnek, amely pont előírja, hogy az adatkezelőnek meg kell jelölnie a követett jogos érdeket. Másrészt a jogos érdek egy olyan „bizalmassági chartában” történő általános jellegű említése, amely kétségtelenül elérhető az adatkezelő internetes oldalán, de amelyet az ügyfélnek önként kell felkeresnie, mindenesetre szintén nem felel meg az említett rendelet 13. cikke (1) bekezdése d) pontjának. E rendelkezés ugyanis megköveteli, hogy a személyes adatok gyűjtésének időpontjában tájékoztassák az érintettet az érvényesíteni kívánt jogos érdekről, ami értelmezésem szerint feltételezi, hogy e tájékoztatást az ügyfélre vonatkozó, szóban forgó adatok megadásakor közvetlenül az ügyfél tudomására hozzák.

59.      Ezenfelül a tárgyaláson a tájékoztatási kötelezettséggel kapcsolatban feltett kérdésre válaszul az SNCF Connect nem tudta bizonyítani, hogy a megszólítással kapcsolatos adatok gyűjtésekor ténylegesen tájékoztatta az ügyfeleit az adatkezelés által érvényesíteni kívánt jogos érdekről.

60.      Következésképpen nem teljesül a GDPR – az említett rendelet 13. cikke (1) bekezdése d) pontjában előírt tájékoztatási kötelezettség fényében értelmezett – 6. cikke (1) bekezdése f) pontjának első, a jogos érdek fennállására vonatkozó feltétele. A személyes adatok ilyen helyzetben történő kezelése ezért nem tekinthető az említett rendelkezés értelmében jogszerűnek annak vizsgálata nélkül, hogy teljesül‑e a rendelet 6. cikke (1) bekezdésének f) pontjában meghatározott másik két feltétel.

a)      A GDPR 6. cikke (1) bekezdése f) pontjának értelmezésével kapcsolatban levont következtetés

61.      A fentiekből álláspontom szerint az következik, hogy a GDPR 6. cikke (1) bekezdésének f) pontját és e rendelet 5. cikke (1) bekezdésének c) pontját úgy kell értelmezni, hogy a közlekedési vállalat ügyfeleinek megszólításával kapcsolatos személyes adatok kezelése az említett rendelkezés értelmében nem tekinthető szükségesnek az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez, amennyiben e vállalat nem jelölte meg az adatkezelés által követett jogos érdeket azon felhasználók számára, akiktől az adatokat gyűjtötték.

b)      Kiegészítő észrevételek

62.      A teljesség kedvéért, és amennyiben a Bíróság arra a következtetésre jutna, hogy a GDPR 13. cikke (1) bekezdése d) pontjának megfelelően sor került a szóban forgó jogos érdek közlésére, tovább elemzem azoknak a feltételeknek az elemzését, amelyeknek teljesülniük kell ahhoz, hogy a személyes adatok kezelése e rendelet 6. cikke (1) bekezdésének f) pontja alapján jogszerűnek legyen tekinthető.

63.      Ami először is a jogos érdek fennállásával kapcsolatos feltételt illeti, az SNCF Connect és a francia kormány azt állítja, hogy az érvényesíteni kívánt jogos érdek az ügyféllel való kommunikáció.

64.      Megjegyzem, hogy a Bíróság a „jogos érdek” fogalmával kapcsolatban megállapította, hogy „mivel az általános adatvédelmi rendelet nem határozza meg e fogalmat, hangsúlyozni kell […], hogy főszabály szerint az érdekek széles köre jogszerűnek tekinthető”(28).

65.      E tekintetben emlékeztetek arra, hogy az SNCF Connect egy vasúti menetjegyek online értékesítésével foglalkozó vállalat. Amint azt említettem,(29) e szolgáltatás feltételezi – legalábbis a jegy átadása érdekében – az ügyféllel való kommunikációt. Ezért számomra úgy tűnik, hogy az ügyféllel való kommunikáció célja a GDPR 6. cikke (1) bekezdésének f) pontja szerinti jogos érdeket képezhet e vállalat számára, így az első, az ilyen jogos érdek fennállására vonatkozó feltételt meglátásom szerint teljesítettnek kell tekinteni.

66.      Ami másodszor azon feltételt illeti, amely szerint a személyes adatok kezelésének valamely jogos érdek érvényesítéséhez szükségesnek kell lennie, e feltétel számomra nem tűnik teljesítettnek. Amint azt a GDPR 6. cikke (1) bekezdése b) pontjának elemzése keretében szemléltettem, a személyes adatok kezelése meghaladja az ügyféllel való kommunikáció céljának eléréséhez szükséges mértéket, mivel e kommunikáció ezen adatok felhasználása nélkül is megvalósulhat.(30)

67.      Harmadszor és utoljára, ami azon feltételt illeti, amely szerint az érintett személy érdekei vagy alapvető jogai és szabadságai nem élveznek elsőbbséget az adatkezelő vagy egy harmadik fél jogos érdekeivel szemben, hangsúlyozom, hogy a Bíróság kimondta, hogy ez „a szóban forgó egymással ellentétes jogok és érdekek súlyozását teszi szükségessé, amely főszabály szerint az adott ügy konkrét körülményeitől függ, és hogy következésképpen a kérdést előterjesztő bíróság feladata, hogy e mérlegelést e sajátos körülmények figyelembevételével elvégezze”(31). A kérdést előterjesztő bíróság által folytatandó vizsgálat elősegítése érdekében ugyanakkor néhány megjegyzést kívánok tenni.

68.      A Bíróság így kimondta, hogy a „szóban forgó, egymással ellentétes jogok és érdekek – azaz egyrészről az adatkezelő, másrészről pedig az érintett jogainak és érdekeinek – e súlyozása keretében […] figyelembe kell venni többek között az érintett észszerű elvárásait, valamint a szóban forgó adatkezelés terjedelmét és annak az említett személyre gyakorolt hatását.(32)

69.      Ezenfelül a GDPR (47) preambulumbekezdéséből kitűnik, hogy a „jogos érdek fennállásának megállapításához mindenképpen körültekintően meg kell vizsgálni többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat‑e észszerűen arra, hogy adatkezelésre az adott célból kerülhet sor”.

70.      E tekintetben nem látom, hogy egy közlekedési vállalat ügyfele milyen mértékben számíthatott észszerűen arra, hogy a megszólításával kapcsolatos adatait a közlekedési vállalat a menetjegyvásárlással kapcsolatos szolgáltatás keretében való kommunikáció céljából kezeli.

71.      Mindenesetre nem hiszem, hogy az észszerű elvárások puszta megléte elegendő annak biztosításához, hogy az adatkezelő jogos érdeke elsőbbséget élvez az érintett személy érdekeivel vagy alapvető jogaival és szabadságaival szemben. Noha egy ilyen elem kétségtelenül releváns az elvégzendő súlyozás keretében, az nem vezethet módszeresen az adatkezelő jogos érdeke elsőbbségének megállapításához, különösen ha a szóban forgó személyes adatok kezelése sértheti az érintett személy Chartában biztosított valamely alapvető jogát vagy szabadságát.

72.      Márpedig a Mousse állítása alapján úgy tűnik számomra, hogy a jelen esetben ez a helyzet. Az egyesület ugyanis azt állítja, hogy a megszólítással kapcsolatos adatok kezelése miatt fennáll a nemen alapuló hátrányos megkülönböztetés veszélye, különösen a transznemű vagy a semleges nemet elismerő állam állampolgárságával rendelkező személyek tekintetében.

73.      E körülmények között és a kérdést előterjesztő bíróság által folytatandó vizsgálatra figyelemmel úgy vélem, hogy az ügyféllel való kommunikációhoz fűződő jogos érdek nem élvezhet elsőbbséget az érintett személy érdekeivel vagy alapvető jogaival és szabadságaival szemben.

B.      Az előzetes döntéshozatalra előterjesztett második kérdésről

74.      Második kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 6. cikke (1) bekezdésének f) pontját úgy kell‑e értelmezni, hogy a személyesadat‑kezelés e rendelkezés értelmében vett szükségességének értékelése során figyelembe kell venni az érintettnek az e rendelet 21. cikke (1) bekezdése szerinti esetleges tiltakozáshoz való jogát.

75.      A GDPR 21. cikke (1) bekezdésének előírása szerint az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak az e rendelet 6. cikke (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

76.      Az állandó ítélkezési gyakorlat szerint valamely uniós jogi rendelkezés értelmezéséhez nemcsak annak kifejezéseit, hanem szövegkörnyezetét, és annak a szabályozásnak a célkitűzéseit is figyelembe kell venni, amelynek az részét képezi.(33)

77.      A GDPR 21. cikkének (1) bekezdésében foglaltakat illetően rámutatok arra, hogy az uniós jogalkotó által hangsúlyozottaknak megfelelően a tiltakozáshoz való jog a személyes adatoknak többek között az e rendelet 6. cikke (1) bekezdése f) pontján alapuló kezelésére vonatkozik. Másként fogalmazva, amint arra a Mousse és a Bizottság rámutat, a tiltakozáshoz való jog feltételezi a jogszerű, különösen az adatkezelő jogos érdekén alapuló adatkezelés meglétét. Ez a jog tehát csupán a jogszerű adatkezelés megtörténtét követően, annak megszüntetése érdekében gyakorolható.

78.      Ezt véleményem szerint a GDPR 21. cikke (1) bekezdésének második része is megerősíti, amely előírja, hogy az érintett e rendelkezés szerinti tiltakozása esetén az adatkezelő a szóban forgó adatokat nem kezelheti tovább.(34) Ez a megfogalmazás véleményem szerint egyértelműen azt jelenti, hogy a szóban forgó adatok kezelése az e rendelet 6. cikke (1) bekezdésének f) pontjában meghatározott feltételek szerint jogszerű, azonban a tiltakozás benyújtását követően nem kerülhet sor az adatok további ilyen kezelésére.

79.      Másként fogalmazva a GDPR 21. cikkének (1) bekezdése csupán az adatkezelés jogszerűségének megállapítását követően alkalmazható.

80.      A GDPR 21. cikkének (1) bekezdéséből tehát az következik, hogy a tiltakozáshoz való jog fennállása semmiképpen sem releváns az ilyen adatkezelés szükségességének az e rendelet 6. cikke (1) bekezdésének f) pontja szerinti értékelése szempontjából, mivel az említett rendelet 21. cikke (1) bekezdésének alkalmazása feltételezi az ugyanezen rendelet 6. cikke (1) bekezdésének f) pontjában foglalt feltételek teljesülését.

81.      A GDPR 21. cikke (1) bekezdésének ilyen szó szerinti értelmezését e rendelkezésnek az e rendelet rendszere és céljai fényében történő elemzése is megerősíti.

82.      Ami e rendelkezés rendszertani értelmezését illeti, rámutatok arra, hogy a személyes adatok kezelésének alapjául szolgáló indokokat a GDPR jogszerűség elvére hivatkozó 6. cikke határozza meg e rendeletnek az adatkezelésre irányadó elvekre vonatkozó II. fejezetén belül. Az említett rendelet 21. cikke a maga részéről az érintettek jogairól szóló III. fejezet alá tartozik. Ezenfelül, amint arra már rámutattam, az ugyanezen rendelet 6. cikkében kimondott indokok az állandó ítélkezési gyakorlat értelmében kimerítő jellegűek.(35) E körülmények között a szóban forgó két rendelkezés két különböző szerepet tölt be, és nem tekinthető úgy, hogy a GDPR 21. cikke figyelembe vehető az adatkezelés– – kizárólag e rendelet 6. cikke által szabályozott – jogszerűségének vizsgálata során.

83.      Ami a GDPR 6. cikke (1) bekezdése f) pontjának és 21. cikkének teleologikus értelmezését illeti, az adatkezelés e rendelet 6. cikke szerinti jogszerűségének értékelése céljából a tiltakozáshoz való jog meglétének figyelembevétele annak elismerését jelentené, hogy az adatkezelés jogszerű lenne pusztán azon okból, hogy az érintett később tiltakozhat ezen adatkezelés ellen. Ez tehát kiterjesztené a jogszerű adatkezelés indokait a rendelet 6. cikkében meghatározott eseteken túlra, és az érintettek számára biztosított védelem szintjét ezen érintettek azzal kapcsolatos gondosságától tenné függővé, hogy tiltakozzanak a személyes adataik kezelése ellen, ami nélkül az adatkezelés jogszerűnek lenne tekinthető. Ezért úgy tűnik számomra, hogy egy ilyen értelmezés sérti azon célkitűzést, amely szerint a természetes személyek számára magas szintű védelmet kell biztosítani a személyes adataik kezelése tekintetében.

84.      Ennélfogva úgy vélem, hogy az előzetes döntéshozatalra előterjesztett második kérdésre azt a választ kell adni, hogy a GDPR 6. cikke (1) bekezdésének f) pontját úgy kell értelmezni, hogy azzal ellentétes, ha a személyesadat‑kezelés e rendelkezés értelmében vett szükségességének értékelése során figyelembe veszik az érintettnek az e rendelet 21. cikke (1) bekezdése szerinti esetleges tiltakozáshoz való jogát.

V.      Végkövetkeztetés

85.      Az előző megállapítások összességére tekintettel azt javasolom a Bíróságnak, hogy a Conseil d’État (államtanács, Franciaország) által előzetes döntéshozatalra előterjesztett kérdésekre a következőképpen válaszoljon:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 6. cikke (1) bekezdésének b) pontját és 5. cikke (1) bekezdésének c) pontját

a következőképpen kell értelmezni:

a személyes adatok módszeres kezelése nem tekinthető szükségesnek egy olyan szerződés teljesítéséhez, amelyben az érintett az egyik fél, illetve nem tekinthető szükségesnek a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez, amennyiben ezen adatkezelés célja az, hogy a kereskedelmi kommunikáció terén általánosan elfogadott gyakorlatoknak való megfelelés biztosítása révén személyre szabott kereskedelmi kommunikációt tegyen lehetővé, vagy hogy az érintett nemének figyelembevételével biztosítsa a szállítási szolgáltatás kiigazítását.

A 2016/679 rendelet 6. cikke (1) bekezdésének f) pontját és 5. cikke (1) bekezdésének c) pontját

a következőképpen kell értelmezni:

a közlekedési vállalat ügyfeleinek megszólításával kapcsolatos személyes adatok kezelése az említett rendelkezés értelmében nem tekinthető szükségesnek az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez, amennyiben e vállalat nem jelölte meg az adatkezelés által követett jogos érdeket azon felhasználók számára, akiktől az adatokat gyűjtötték.

A 2016/679 rendelet 6. cikke (1) bekezdésének f) pontját

a következőképpen kell értelmezni:

e rendelkezéssel ellentétes, ha a személyesadat‑kezelés e rendelkezés értelmében vett szükségességének értékelése során figyelembe veszik az érintettnek az e rendelet 21. cikke (1) bekezdése szerinti esetleges tiltakozáshoz való jogát.

1      Eredeti nyelv: francia.

2      A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o. és HL 2021. L 74., 35. o.).

3      JORF, 1978. január 7., 227. o., módosította: a 2018. december 12‑i 2018–1125. sz. rendelet (a JORF 2018. december 13‑i 288. száma.).

4      Bobek főtanácsnok Rīgas satiksme ügyre vonatkozó indítványa (C‑13/16, EU:C:2017:43, 93. pont).

5      Ezzel szemben a 2017. május 4‑i Rīgas satiksme ítélet (C‑13/16, EU:C:2017:336) alapjául szolgáló ügyben az ahhoz szükséges személyes adatoknak egy természetes személy számára való továbbításáról volt szó, hogy egy másik, állítólagosan közigazgatási szabálysértést elkövető természetes személlyel szemben polgári bíróság előtt eljárást indíthassanak.

6      A GDPR 5. cikke (1) bekezdésének a) pontja.

7      A GDPR rendelet 5. cikke (1) bekezdésének c) pontja.

8      A Charta 8. cikkének (1) bekezdésében és az EUMSZ 16. cikk (1) bekezdésében rögzítettek szerint.

9      A GDPR 6. cikkének (1) bekezdése és a Charta 52. cikkének (1) bekezdése közötti összefüggésről lásd: Kotschy, W., „Article 6. Lawfulness of processing”, The EU General Data Protection Regulation (GDPR), A Commentary, Kuner, C., Bygrave, L. A., és Docksey, C., (szerk.), Oxford University Press, Oxford, 2020, 325. és 326. o.

10      2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet (C‑439/19, EU:C:2021:504, 99. pont)2023. július 4‑i Meta Platforms és társai (Közösségi hálózat általános felhasználási feltételei) ítélet (C‑252/21, EU:C:2023:537, a továbbiakban: Meta Platforms és társai ítélet, 90. pont).

11      Lásd: Kotschy, W., „Article 6. Lawfulness of processing”, The EU General Data Protection Regulation (GDPR), a Commentary, i. m., 329. o.

12      Meta Platforms és társai ítélet (91. és 92. pont).

13      Meta Platforms és társai ítélet (93. pont).

14      Meta Platforms és társai ítélet (94. pont).

15      Lásd: a Latvijas Republikas Saeima (Büntetőpontok) ügyre vonatkozó indítványom (C‑439/19, EU:C:2020:1054, 93. pont).

16      Meta Platforms és társai ítélet (109. pont); 2023. december 7‑i SCHUFA Holding (A fennálló tartozás elengedése) ítélet (C‑26/22 és C‑64/22, EU:C:2023:958, 78. pont).

17      Lásd: a Latvijas Republikas Saeima (Büntetőpontok) ügyre vonatkozó indítványom (C‑439/19, EU:C:2020:1054, 109. pont).

18      2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet (C‑439/19, EU:C:2021:504, 98. pont). Ennek kapcsán lásd még: Lubasz, D.: Lubasz D. (szerk.), Ochrona danych osobowych, Wolters Kluwer, Varsó, 2020, 202. o.

19      Lásd például: 2010. november 9‑i Volker und Markus Schecke és Eifert ítélet (C‑92/09 és C‑93/09, EU:C:2010:662, 74. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

20      Lásd: de Terwangne, C., „Article 5. Principles relating to processing of personal data”, The EU General Data Protection Regulation (GDPR), A Commentary, i. m., 317. o.

21      Kiemelés tőlem.

22      A GDPR 4. cikkének 11. pontja.

23      Kiemelés tőlem.

24      Meta Platforms és társai ítélet (98. pont). Kiemelés tőlem.

25      Lásd: 2021. június 17‑i M. I. C. M. ítélet (C‑597/19, EU:C:2021:492, 106. pont); Meta Platforms és társai ítélet (106. pont).

26      Meta Platforms és társai ítélet (107. pont).

27      Meta Platforms és társai ítélet (126. pont és rendelkező rész).

28      A 2023. december 7‑i SCHUFA Holding (A fennálló tartozás elengedése) ítélet (C‑26/22 és C‑64/22, EU:C:2023:958, 76. pont).

29      Lásd: a jelen indítvány 2. pontja.

30      Lásd: a jelen indítvány 7. és azt követő pontja.

31      Meta Platforms és társai ítélet (110. pont).

32      Meta Platforms és társai ítélet (116. pont).

33      2017. május 11‑i Krijgsman ítélet (C‑302/16, EU:C:2017:359, 24. pont); 2022. szeptember 29‑i LOT (A közigazgatási hatóság által előírt kártalanítás) ítélet (C‑597/20, EU:C:2022:735, 21. pont); 2024. február 29‑i Eventmedia Soluciones ítélet (C‑11/23, EU:C:2024:194, 24. pont).

34      Lásd a német („Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr […]”), az angol („The controller shall no longer process the personal data […]”) vagy a lengyel („Administratorowi nie wolno już przetwarzać tych danych osobowych […]”) nyelvi változatot. Kiemelés tőlem.

35      Lásd: a jelen indítvány 27. pontja. Lásd továbbá: Meta Platforms és társai ítélet (90. pont).