–

a Mousse képviseletében E. Deshoulières avocat, Y. El Kaddouri, J. Heymans és D. Holemans advocaten,

–

az SNCF Connect képviseletében E. Drouard, J.‑J. Gatineau és A. Ligot, avocats,

–

a francia kormány képviseletében R. Bénard, B. Dourthe és B. Fodda, meghatalmazotti minőségben,

–

az Európai Bizottság képviseletében A. Bouchagiar és H. Kranenborg, meghatalmazotti minőségben,

1

Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 5. cikke (1) bekezdése c) pontjának, 6. cikke (1) bekezdése első albekezdése b) és f) pontjának, valamint 21. cikkének értelmezésére vonatkozik.

2

E kérelmet a Mousse egyesület és a Commission nationale de l’informatique et des libertés (CNIL) (adatvédelmi hatóság, Franciaország) között annak tárgyában folyamatban lévő jogvita keretében terjesztették elő, hogy ez utóbbi elutasította a Mousse által az ügyfeleinek a menetjegyek online értékesítése során az ügyfelei megszólításával kapcsolatos adatoknak az SNCF Connect társaság általi kezelésével kapcsolatban benyújtott panaszt.

3

A GDPR (1), (4), (10), (47) és (75) preambulumbekezdésének szövege a következő:

[…]

[…]

[…]

[…]

4

E rendelet „Tárgy” című 1. cikkének (2) bekezdése az alábbiak szerint rendelkezik:

„Ez a rendelet a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.”

5

A 2. cikk (1) bekezdése szerint:

„E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.”

6

E rendelet „Fogalommeghatározások” című 4. cikke a következőképpen rendelkezik:

„E rendelet alkalmazásában:

[…]

[…]

[…]”

7

A GDPR‑nak „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke a következőket írja elő:

„(1)   A személyes adatok:

[…]

[…]”

8

E rendeletnek „Az adatkezelés jogszerűsége” című 6. cikke az (1) bekezdésében a következőket írja elő:

„A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

[…]”

9

A GDPR „Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik” című 13. cikke a következőket írja elő:

„(1)   Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

[…]

[…]”

10

E rendeletnek „A tiltakozáshoz való jog” című 21. cikke az (1) bekezdésében a következőképpen rendelkezik:

„Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.”

11

A nők és férfiak közötti egyenlő bánásmód elvének az árukhoz és szolgáltatásokhoz való hozzáférés, valamint azok értékesítése, illetve nyújtása tekintetében történő végrehajtásáról szóló, 2004. december 13‑i 2004/113/EK tanácsi irányelv (HL 2004. L 373., 37. o.) 1. cikke értelmében a férfiak és nők közötti egyenlő bánásmód elvének a tagállamokban történő megvalósítására tekintettel az árukhoz és szolgáltatásokhoz való hozzáférés, valamint azok értékesítése, illetve nyújtása terén a nemi alapon történő hátrányos megkülönböztetés elleni küzdelem keretrendszerének kialakítása.

12

A 1978. január 6‑i loi no 78‑17 relative à l’informatique, aux fichiers et aux libertés (az informatikáról, a fájlokról és a szabadságjogokról szóló, 78‑17. sz. törvény, JORF 1978. január 7., 227. o.) alapügyre alkalmazandó változatának 8. cikke a következőképpen rendelkezik:

„I A. A [CNIL] független közigazgatási hatóság.

I. [A GDPR] értelmében és alkalmazásában nemzeti felügyeleti hatóságnak minősül. A következő feladatokat látja el:

[…]

2° biztosítja, hogy a személyes adatok kezelését a jelen törvény rendelkezéseivel és a személyes adatok védelmére vonatkozó egyéb, törvényi és rendeleti rendelkezéseknek, az […] uniós jognak és [a Francia Köztársaság] nemzetközi kötelezettségvállalásainak megfelelően végezzék.

Ennek keretében:

[…]

13

Az SNCF Connect az internetes oldalán és online alkalmazásain keresztül vasúti menetjegyeket, így vonatjegyeket, bérleteket és kedvezménykártyákat forgalmaz. E vállalkozás ügyfeleinek az „Úr” vagy „Hölgy” megjelölés kiválasztásával kötelezően fel kell tüntetniük megszólításukat, amikor e menetjegyeket ezen a honlapon vagy ezen online alkalmazásokban vásárolják meg.

14

Mivel a Mousse úgy ítélte meg, hogy az ezen ügyfelek megszólítására vonatkozó adatok gyűjtésének és rögzítésének feltételei nem felelnek meg az általános adatvédelmi rendelet követelményeinek, panaszt nyújtott be a CNIL‑hez az SNCF Connect ellen. E panasz alátámasztására a Mousse arra hivatkozott, hogy ezen adatok gyűjtése nem felel meg a GDPR 5. cikke (1) bekezdésének a) pontjában foglalt jogszerűség elvének, mivel a GDPR 6. cikkének (1) bekezdésében előírt egyik jogalapon sem alapul. Az ilyen adatgyűjtés sértette továbbá a GDPR 5. cikke (1) bekezdésének c), illetve d) pontjában foglalt adattakarékosság elvét, valamint a különösen a GDPR 13. cikkéből eredő átláthatósági és tájékoztatási kötelezettséget.

15

2021. március 23‑i határozatában a CNIL megállapította, hogy az SNCF Connect terhére rótt tények nem minősülnek a GDPR‑ben említett rendelkezések megsértésének, és az említett panasz vizsgálatára irányuló eljárást meg kell szüntetni. E határozat alátámasztása érdekében a CNIL megállapította, hogy az alapügyben szóban forgó adatkezelés a GDPR 6. cikke (1) bekezdése első albekezdésének b) pontja értelmében jogszerű volt, mivel az szükséges volt az érintett szállítási szolgáltatások nyújtására vonatkozó szerződés teljesítéséhez. A CNIL ezenfelül rámutatott arra, hogy ez az adatkezelés a céljait tekintve megfelelt az adattakarékosság elvének, mivel az ügyfelek személyre szabott módon, a megszólításuk használatával történő megkeresése megfelel a kereskedelmi, polgári és közigazgatási kommunikáció területén elfogadott szokásoknak.

16

2021. május 21‑én a Mousse a CNIL e határozatának megsemmisítése iránti keresetet nyújtott be a kérdést előterjesztő bírósághoz, a Conseil d’État‑hoz (államtanács, Franciaország). Keresetlevelében a Mousse többek között arra hivatkozik, hogy az online vásárlás során az „Úr” vagy a „Hölgy” megjelölés választására vonatkozó kötelezettség nem felel meg a GDPR 5. cikke (1) bekezdése a) foglalt jogszerűség, illetve e rendelet 5. cikke (1) bekezdésének c) pontjában foglalt adattakarékosság elvének, mivel e megjelölés nem szükséges sem a szállítási szolgáltatások nyújtására vonatkozó szerződés teljesítéséhez, sem pedig az SNCF Connect jogos érdekeinek érvényesítéséhez. Az, hogy az üzleti levelezésben ilyen jellegű kifejezéseket használnak, nem elegendő ahhoz, hogy ezt a kötelezettséget szükségessé tegye. Végül egy ilyen kötelezettség alkalmas arra, hogy sértse a megszólításának megadása nélküli utazáshoz való jogot, a magánélet tiszteletben tartásához való jogot és a nemi önkifejezés szabadságát, továbbá a megkülönböztetés veszélyét hordozza magában. Azon országok állampolgárai esetében, amelyek nyilvántartása elismeri a „semleges nemet”, ez nem felel meg a valóságnak, és sértheti többek között az uniós jog által biztosított szabad mozgáshoz való jogukat.

17

A CNIL a kereset elutasítását kéri, és azt állítja, hogy a megszólítással kapcsolatos adatok kezelése a GDPR 6. cikke (1) bekezdése első albekezdésének f) pontja értelmében az SNCF Connect jogos érdekeinek érvényesítése érdekében is szükségesnek minősíthető, és hogy az érintettek saját helyzetük szerint érvényesíthetik a GDPR 21. cikkében biztosított, tiltakozáshoz való jogukat.

18

Ebben az összefüggésben a kérdést előterjesztő bíróságban különösen az a kérdés merül fel, hogy az alapügyben szóban forgó adatok kezelése szükségességének értékelése céljából figyelembe lehet‑e venni a kereskedelmi, polgári és közigazgatási kommunikációban elfogadott gyakorlatokat, aminek eredményeként az ügyfelek megszólítására vonatkozó, az „Úr” és a „Hölgy” megjelölésre korlátozott adatgyűjtés jogszerű és az adattakarékosság elvének megfelelő lehet. E bíróságban másrészt felmerül az a kérdés, hogy az ügyfelek megszólítására vonatkozó adatok ezen kötelező gyűjtése és ezt követő kezelése szükségességének értékelése érdekében, és annak ellenére, hogy egyes ügyfelek úgy vélik, hogy rájuk nem vonatkozik e két megszólítás egyike sem, figyelembe kell‑e venni, hogy ezen ügyfelek, miután ezeket az adatokat az adatkezelőnek az adott szolgáltatás igénybevétele céljából szolgáltatták, a saját helyzetükből eredően a GDPR 21. cikke alapján gyakorolhatják az ilyen adatok felhasználásával szembeni tiltakozáshoz való jogukat.

19

E körülmények között a Conseil d’État (államtanács, Franciaország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

20

Első kérdésével az előterjesztő bíróság lényegében arra keresi a választ, hogy a GDPR 6. cikke (1) bekezdése első albekezdésének b) és f) pontját e rendelet 5. cikke (1) bekezdésének c) pontjával összefüggésben úgy kell‑e értelmezni, hogy a valamely közlekedési vállalat ügyfeleinek megszólítására vonatkozó személyes adatoknak a kereskedelmi kommunikáció nemi identitáson alapuló személyre szabását célzó kezelése olyannak tekinthető, mint amely az e b) pont értelmében vett szerződés teljesítéséhez, vagy az adatkezelő vagy harmadik személy által ezen f) pont értelmében vett jogos érdekek érvényesítéséhez szükséges.

21

Előzetesen emlékeztetni kell arra, hogy a GDPR által követett, a rendelet 1. cikkéből, valamint (1) és (10) preambulumbekezdéséből következő célkitűzés többek között arra irányul, hogy biztosítsa a természetes személyek alapvető jogainak és szabadságainak, különösen a magánélet tiszteletben tartásához való jognak a magas szintű védelmét a személyes adatok kezelése tekintetében, amelyet a Charta 8. cikkének (1) bekezdése és az EUMSZ 16. cikk (1) bekezdése rögzít (2024. október 4‑iSchrems [Nagy nyilvánosság előtti adatközlés] ítélet, C‑446/21, EU:C:2024:834, 45. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

22

E célkitűzésnek megfelelően a személyes adatok kezelésének meg kell felelnie többek között az e rendelet 5. cikkében foglalt, az ilyen adatok kezelésére vonatkozó elveknek, és meg kell felelnie a jogszerűségre vonatkozóan az említett rendelet 6. cikkében felsorolt feltételeknek (2024. október 4‑iKoninklijke Nederlandse Lawn Tennisbond ítélet, C‑621/22, EU:C:2024:857, 27. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

23

A GDPR 5. cikke (1) bekezdésének a) pontja előírja, hogy a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.

24

E rendeletnek az adattakarékosság elvét rögzítő 5. cikke (1) bekezdésének c) pontja értelmében ezeknek az adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük, és a szükségesre kell korlátozódniuk. Ez az elv az arányosság elvének kifejeződése (lásd ebben az értelemben: 2024. október 4‑iSchrems [Nagy nyilvánosság előtti adatközlés] ítélet, C‑446/21, EU:C:2024:834, 49–50. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

25

Ami az adatkezelés jogszerűségének feltételeit illeti, amint azt a Bíróság megállapította, az általános adatvédelmi rendelet 6. cikke (1) bekezdésének első albekezdése kimerítő és korlátozó jelleggel sorolja fel azokat az eseteket, amelyekben a személyes adatok kezelése jogszerűnek tekinthető. Így ahhoz, hogy az adatkezelést ilyennek lehessen minősíteni, annak az e rendelkezésekben előírt esetek valamelyikébe kell tartoznia (2024. október 4‑iKoninklijke Nederlandse Lawn Tennisbond ítélet, C‑621/22, EU:C:2024:857, 29. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

26

A GDPR 6. cikke (1) bekezdése első albekezdésének a) pontja értelmében a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez. Ilyen hozzájárulás hiányában, vagy ha e hozzájárulást nem önkéntesen, konkrétan, megfelelő tájékoztatás alapján és egyértelműen adták meg a GDPR 4. cikkének 11. pontja értelmében, az ilyen adatkezelés mindazonáltal akkor is indokolt, ha megfelel az említett rendelet 6. cikke (1) bekezdése első albekezdésének b)‑f) pontjában említett szükségességi követelmények valamelyikének (lásd ebben az értelemben: 2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 91. és 92. pont).

27

Ebben az összefüggésben az utóbbi rendelkezésben előírt indokokat, amennyiben azok lehetővé teszik, hogy a személyes adatoknak az érintett hozzájárulásának hiányában végzett kezelését jogszerűnek lehessen tekinteni, megszorítóan kell értelmezni (2024. október 4‑iKoninklijke Nederlandse Lawn Tennisbond ítélet, C‑621/22, EU:C:2024:857, 31. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

28

Ezenkívül, amint azt a Bíróság kimondta, amennyiben megállapítható, hogy valamely személyesadat‑kezelés az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének b)–f) pontjában előírt indokok valamelyikére tekintettel szükséges, nem kell meghatározni, hogy ezt az adatkezelést ezen indokok közül egy másik is indokolja‑e. E tekintetben pontosítani kell, hogy az elfogadott igazoláshoz kapcsolódó szükségesség követelménye nem teljesül, ha az ezen adatkezeléssel elérni kívánt cél egyéb olyan eszközzel is észszerűen és hasonló hatékonysággal elérhető, amely nem sérti az érintett alapvető jogait, különösen a magánélet tiszteletben tartásához és a személyes adatok védelméhez való, a Charta 7. és 8. cikkében biztosított jogokat, azzal, hogy az ilyen adatok védelmére vonatkozó elvtől való eltérésnek és ezen elv korlátozásának a feltétlenül szükséges mértékre kell korlátozódnia (lásd ebben az értelemben: 2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 110. pont; 2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, a továbbiakban: Meta Platforms és társai ítélet, 94. pont).

29

Végül pontosítani kell, hogy a GDPR 13. cikke (1) bekezdése c) pontjának megfelelően, amennyiben a személyes adatokat az érintettől gyűjtik, az adatkezelőnek tájékoztatnia kell az érintettet ezen adatok kezelésének tervezett céljáról és ezen adatkezelés jogalapjáról (l2024. október 4‑i Koninklijke Nederlandse Lawn Tennisbond ítélet, C‑621/22, EU:C:2024:857, 33. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

30

A jelen ügyben meg kell jegyezni, hogy nem vitatott, hogy a férfi vagy női nemi azonosságnak megfelelő megszólítás „személyes adatnak” minősíthető, amennyiben az a GDPR 4. cikkének 1. pontja értelmében vett azonosított személyre vonatkozik, és ez az adat a GDPR 4. cikkének 2. pontja értelmében vett „adatkezelés” tárgyát képezi, mivel azt az SNCF Connect a menetjegyek online értékesítésével összefüggésben gyűjti és rögzíti. Következésképpen ez az adatkezelés, amely egyébiránt automatizált, e rendelet 2. cikkének (1) bekezdése értelmében e rendelet tárgyi hatálya alá tartozik.

31

Ezenkívül a kérdést előterjesztő bíróság által feltett kérdés két előfeltevésen alapul, nevezetesen egyrészt azon, hogy az alapügyben szóban forgó adatkezelésre az érintettek hozzájárulása nélkül kerül sor a GDPR 4. cikkének 11. pontja és 6. cikke (1) bekezdése első albekezdésének a) pontja értelmében, másrészt pedig, hogy ezen adatkezelés nem szükséges a GDPR 6. cikke (1) bekezdése első albekezdésének c) pontja értelmében az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez. Az előterjesztett kérdés tehát az alapügyben szóban forgó adatkezelés keretében kizárólag a GDPR 6. cikke (1) bekezdése első albekezdésének b) és f) pontjában említett indokokra való hivatkozás lehetőségére vonatkozik.

32

A GDPR 6. cikke (1) bekezdése első albekezdésének b) pontja úgy rendelkezik, hogy a személyes adatok kezelése jogszerű, ha „olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges”.

33

E tekintetben ahhoz, hogy a személyes adatok kezelését e rendelkezés értelmében a szerződés teljesítéséhez szükségesnek lehessen tekinteni, annak objektíve elengedhetetlennek kell lennie az érintettnek nyújtott szerződéses szolgáltatás szerves részét képező cél megvalósításához. Az ezen adatkezelésért felelős adatkezelőnek tehát képesnek kell lennie annak bizonyítására, hogy e szerződés fő tárgya miért nem lenne elérhető a szóban forgó adatkezelés nélkül (2024. szeptember 12‑iHTB Neunte Immobilien Portfolio és Ökorenta Neue Energien Ökostabil IV ítélet, C‑17/22 és C‑18/22, EU:C:2024:738, 43. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

34

Az a tény, hogy az ilyen adatkezelést a szerződés említi, vagy az csupán hasznos a szerződés teljesítéséhez, e tekintetben önmagában nem releváns. A GDPR 6. cikke (1) bekezdése első albekezdésének b) pontja szerinti igazolás alkalmazása szempontjából ugyanis az a meghatározó tényező, hogy a személyes adatoknak az adatkezelő általi kezelése alapvető fontosságú legyen az adatkezelő és az érintett között létrejött szerződés megfelelő teljesítéséhez, és hogy ennélfogva ne álljanak rendelkezésre más, a gyakorlatban megvalósítható és kevésbé beavatkozó jellegű megoldások (2024. szeptember 12‑iHTB Neunte Immobilien Portfolio és Ökorenta Neue Energien Ökostabil IV ítélet, C‑17/22 és C‑18/22, EU:C:2024:738, 44. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

35

Ebben az összefüggésben, amennyiben a szerződés több szolgáltatásból vagy ugyanazon szolgáltatás különböző elemeiből áll, amelyek egymástól függetlenül teljesíthetők, a GDPR 6. cikke (1) bekezdése első albekezdése b) pontjának alkalmazhatóságát minden egyes szolgáltatással összefüggésben külön‑külön kell értékelni (lásd ebben az értelemben: 2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 100. pont).

36

A jelen ügyben nem vitatott, hogy az alapügyben szóban forgó szerződés elsődleges tárgya vasúti szállítási szolgáltatás nyújtása az ügyfelek részére. A kérdést előterjesztő bíróság szerint az alapügyben szóban forgó adatkezelés célja az ügyféllel folytatott kereskedelmi kommunikációnak az e területen általánosan elfogadott szokások tiszteletben tartásával történő személyre szabása.

37

Amint azt a főtanácsnok indítványának 42. pontjában lényegében megjegyezte, a kereskedelmi kommunikáció az érintett szerződéses szolgáltatás szerves részét képezheti, mivel az ilyen vasúti szállítási szolgáltatás nyújtása főszabály szerint magában foglalja többek között a menetjegynek az ügyfél részére történő elektronikus megküldését, az adott utazást érintő esetleges változásokról való tájékoztatást, valamint az ügyfélszolgálat utazással kapcsolatos megkeresésének lehetővé tételét is. E kommunikációhoz szükség lehet a szokások betartására, és az tartalmazhat különösen udvariassági kifejezéseket annak érdekében, hogy az érintett vállalkozás részéről tiszteletet mutasson az ügyfél iránt, és ezáltal megőrizze e vállalkozás arculatát.

38

Ugyanakkor úgy tűnik, hogy az ilyen kommunikációnak nem kell feltétlenül az érintett ügyfél nemi identitása alapján személyre szabottnak lennie. Az ítélkezési gyakorlat szerint ugyanis a tartalmak személyre szabása nem tűnik szükségesnek ahhoz, hogy valamely ügyfélnek szolgáltatásokat nyújtsanak, amennyiben e szolgáltatásokat adott esetben olyan egyenértékű alternatíva formájában is lehet nyújtani a számára, amely nem jár ilyen személyre szabással, ezért ez utóbbi nem objektíve elengedhetetlen az említett szolgáltatások szerves részét képező cél eléréséhez. (lásd ebben az értelemben: 2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 102. pont).

39

Ami az alapügyben szóban forgó szolgáltatásokat illeti, a kereskedelmi kommunikációnak a megszólítás alapján feltételezett nemi azonosságon alapuló személyre szabása a jelen ítélet 33. és 34. pontjában felidézett ítélkezési gyakorlat értelmében nem bizonyul sem objektíve elengedhetetlennek, sem alapvetőnek az érintett szerződés megfelelő teljesítésének lehetővé tételéhez.

40

Úgy tűnik ugyanis, hogy létezik más, a gyakorlatban megvalósítható és kevésbé beavatkozó jellegű megoldás, mivel az érintett vállalkozás olyan ügyfelekkel, akik nem akarják megjelölni a megszólításukat, vagy akár általánosságban is olyan kommunikációt választhat, amely általános, inkluzív és az ügyfelek feltételezett nemi identitásával össze nem függő udvariassági kifejezéseken alapul. Egyebekben, amint azt a főtanácsnok indítványának 49. és 50. pontjában megjegyezte, a kérdést előterjesztő bíróság által elvégzendő vizsgálatra is figyelemmel úgy tűnik, hogy az SNCF Connect már használ ilyen udvariassági kifejezéseket, és ezenkívül a pontatlan megszólítás megjelölése nincs hatással az érintett szállítási szolgáltatások nyújtására, ami azt erősíti meg, hogy az alapügyben szereplő adatkezelés objektíve nem elengedhetetlen a szerződés elsődleges tárgyának teljesítéséhez.

41

Ebben az összefüggésben pontosítani kell továbbá, hogy a tárgyaláson az SNCF Connect arra hivatkozott, hogy az alapügyben szóban forgó adatkezelésnek egy másodlagos célja nevezetesen az éjszakai vonatokkal kapcsolatos közlekedési szolgáltatásának átalakítása volt, amely az azonos nemű személyek számára fenntartott kocsikat és a fogyatékossággal élő utasok számára történő segítségnyújtást foglalja magában. Az SNCF Connect szerint a szállítási szolgáltatások átalakításának e célja szükségessé teheti az érintett ügyfelek nemi identitásának megismerését.

42

Márpedig e második cél nem igazolhatja az érintett vállalkozás valamennyi ügyfelének megszólítására vonatkozó adatok szisztematikus és általános kezelését, beleértve a nappal utazó vagy fogyatékossággal nem rendelkező ügyfeleket is. Az ilyen adatkezelés ugyanis aránytalan, és ennek alapján ellentétes lenne az adattakarékosságnak a jelen ítélet 24. pontjában felidézett elvével, mivel az kizárólag azon ügyfelek nemi identitására vonatkozó adatokra korlátozódhatott volna, akik éjszakai vonaton kívánnak utazni, vagy fogyatékosság miatt személyes segítségben kívánnak részesülni.

43

Így a GDPR 6. cikke (1) bekezdése első albekezdésének b) pontját az általános adatvédelmi rendelet 5. cikke (1) bekezdésének c) pontjával összefüggésben úgy kell értelmezni, hogy a valamely közlekedési vállalat ügyfeleinek megszólítására vonatkozó személyes adatoknak a kereskedelmi kommunikáció nemi identitáson alapuló személyre szabását célzó kezelése nem bizonyul sem objektíve elengedhetetlennek, sem lényegesnek a szerződés megfelelő teljesítésének lehetővé tételéhez, és ennélfogva nem tekinthető szükségesnek e szerződés teljesítéséhez.

44

A GDPR 6. cikke (1) bekezdése első albekezdésének f) pontja úgy rendelkezik, hogy a személyes adatok kezelése jogszerű, ha „az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek”.

45

Az állandó ítélkezési gyakorlat értelmében az említett rendelkezés három együttes feltételt ír elő a személyes adatok kezelésének jogszerűségéhez, azaz először is az adatkezelő vagy harmadik személy jogos érdekének érvényesítése, másodszor a személyes adatok kezelése valamely jogos érdek érvényesítéséhez szükséges, és harmadszor, hogy az adatvédelemmel érintett személy érdekei vagy alapvető jogai és szabadságai nem magasabb rendűek az adatkezelő vagy a harmadik fél jogos érdekénél (2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 106. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2024. október 4‑iKoninklijke Nederlandse Lawn Tennisbond ítélet, C‑621/22, EU:C:2024:857, 37. pont).

46

Ami először is a jogos érdek érvényesítésére vonatkozó feltételt illeti, rá kell mutatni, hogy az általános adatvédelmi rendelet 13. cikke (1) bekezdésének d) pontja értelmében az adatkezelő feladata, hogy az érintettre vonatkozó személyes adatok megszerzésének időpontjában tájékoztassa őt az érvényesíteni kívánt jogos érdekekről, amennyiben ezen adatkezelés e rendelet 6. cikke (1) bekezdése első albekezdésének f) pontján alapul. Mivel a GDPR nem határozza meg a „jogos érdek” fogalmát, az érdekek széles köre főszabály szerint jogszerűnek tekinthető. E fogalom különösen nem korlátozódik a jogszabály által elismert és meghatározott érdekekre (lásd ebben az értelemben: 2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 107. pont; 2024. október 4‑iKoninklijke Nederlandse Lawn Tennisbond ítélet, C‑621/22, EU:C:2024:857, 38., 40. és 41. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

47

Így a GDPR (47) preambulumbekezdéséből kitűnik, hogy ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele.

48

Másodszor, ami a személyes adatok kezelésének a jogos érdek érvényesítéséhez való szükségességére vonatkozó feltételt illeti, és tekintettel a jelen ítélet 28. pontjában felidézett ítélkezési gyakorlatra, a kérdést előterjesztő bíróság feladata annak vizsgálata, hogy az adatkezeléshez fűződő, érvényesíteni kívánt jogos érdek észszerűen nem érhető‑e el ugyanolyan hatékonyan más, az érintettek szabadságait és alapvető jogait kevésbé sértő eszközökkel, mivel az ilyen adatkezelést az e jogos érdek érvényesítéséhez feltétlenül szükséges határokon belül kell elvégezni.

49

Ezen összefüggésben szintén emlékeztetni kell arra, hogy az adatkezelés szükségességére vonatkozó feltételt a GDPR 5. cikke (1) bekezdésének c) pontjában foglalt adattakarékosság elvével együttesen kell vizsgálni, amely szerint a személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük, és a szükségesre kell korlátozódniuk (2024. szeptember 12‑iHTB Neunte Immobilien Portfolio és Ökorenta Neue Energien Ökostabil IV ítélet, C‑17/22 és C‑18/22, EU:C:2024:738, 52. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

50

Végül ami harmadszor azt a feltételt illeti, hogy az adatvédelemmel érintett személy érdekei vagy alapvető jogai és szabadságai ne élvezzenek elsőbbséget az adatkezelő vagy valamely harmadik személy jogos érdekével szemben, a Bíróság kimondta, hogy ez a jelen, egymással ellentétes jogok és érdekek súlyozását teszi szükségessé, amely főszabály szerint az adott ügy konkrét körülményeitől függ, és hogy következésképpen a kérdést előterjesztő bíróság feladata, hogy e mérlegelést e sajátos körülmények figyelembevételével elvégezze. Amint az a GDPR (47) preambulumbekezdéséből kitűnik, az érintett érdekei és alapvető jogai különösen akkor élvezhetnek elsőbbséget az adatkezelő érdekével szemben, ha a személyes adatokat olyan körülmények között kezelik, amelyek mellett az érintettek észszerűen nem számítanak ilyen adatkezelésre (lásd ebben az értelemben:2024. szeptember 12‑iHTB Neunte Immobilien Portfolio és Ökorenta Neue Energien Ökostabil IV ítélet, C‑17/22 és C‑18/22, EU:C:2024:738, 53. és 54. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

51

A jelen ügyben bár végső soron a kérdést előterjesztő bíróság feladata annak mérlegelése, hogy a személyes adatok alapeljárásokban szóban forgó kezelését illetően teljesül‑e a jelen ítélet 45. pontjában felidézett három feltétel, a Bíróság az előzetes döntéshozatal iránti kérelem elbírálása során jogosult az említett mérlegeléssel kapcsolatban az e bíróságnak nyújtandó iránymutatás érdekében felvilágosítást adni (lásd analógia útján: 2024. szeptember 12‑iHTB Neunte Immobilien Portfolio és Ökorenta Neue Energien Ökostabil IV ítélet, C‑17/22 és C‑18/22, EU:C:2024:738, 55. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

52

Ami a jelen ítélet 46. pontjában említett első feltételt illeti, a kérdést előterjesztő bíróság feladata annak vizsgálata, hogy az SNCF Connect a GDPR 13. cikke (1) bekezdése d) pontjának megfelelően az alapügyben szóban forgó adatgyűjtés szakaszában jelezte‑e jogos érdek fennállását ügyfeleinek. Amint arra a főtanácsnok az indítványának 58. pontjában rámutatott, e rendelkezés előírja, hogy az érintett személyeket közvetlenül tájékoztatni kell az ezen adatgyűjtés időpontjában fennálló jogos érdekről, amely nélkül az említett adatgyűjtés nem igazolható e rendelet 6. cikke (1) bekezdése első albekezdésének f) pontja alapján. A Bíróság rendelkezésére álló iratok alapján nem lehet megítélni, hogy e követelményt a.z alapügy keretében tiszteletben tartották‑e.

53

Ebben az összefüggésben pontosítani kell, hogy az SNCF Connect írásbeli észrevételeiben olyan kereskedelmi üzletszerzési célra hivatkozott, amely szükségessé teheti a közlés személyre szabását, és következésképpen az alapügyben szóban forgó adatok kezelését.

54

Ebben a tekintetben a GDPR (47) preambulumbekezdésének utolsó mondata szerint a személyes adatok közvetlen üzletszerzési célú kezelése szintén jogos érdeken alapulónak tekinthető. Közelebbről, a hirdetések személyre szabása ilyen összefüggésben a kereskedelmi üzletszerzéssel azonos megítélés alá eshet (lásd ebben az értelemben: 2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 115. pont).

55

A jelen ítélet 48. pontjában említett második feltételt illetően – a kérdést előterjesztő bíróság által elvégzendő vizsgálat fenntartása mellett – úgy tűnik, hogy a kereskedelmi kommunikáció személyre szabása csupán az ügyfelek családi nevének és utóneveinek kezelésére korlátozódhat, mivel megszólításuk és/vagy nemi identitásuk olyan információ, amely ebben az összefüggésben – különösen az adattakarékosság elvére tekintettel – nem tűnik feltétlenül szükségesnek.

56

Írásbeli észrevételeiben az SNCF Connect és a francia kormány arra hivatkozik, hogy a személyes adatok kezelése szükségességének értékelése érdekében figyelembe kell venni az egyes tagállamokra jellemző társadalmi szokásokat és konvenciókat, különösen a GDPR (4) preambulumbekezdésében hivatkozott nyelvi és kulturális sokszínűség megőrzése érdekében. Meg kell azonban állapítani egyrészt, hogy a GDPR 6. cikke (1) bekezdése első albekezdésének f) pontja nem írja elő a társadalmi szokásokat és konvenciók figyelembevételét az ilyen adatkezelés szükséges jellegének értékelése során, és pontosítja, hogy e cikket – amint arra a jelen ítélet 27. pontja emlékeztet – megszorítóan kell értelmezni.

57

Másrészt az érintett ügyfelek megszólítására vagy nemi identitására vonatkozó adatok kezelésének hiánya nem tűnik olyan jellegűnek, amely e sokféleséget befolyásolná. Ugyanis, amint az a jelen ítélet 40. pontjából kitűnik, az adatkezelő tiszteletben tarthatja e szokásokat és a szociális érintkezés konvencióit azáltal, hogy azon ügyfelekkel, akik nem akarják megjelölni megszólításukat, vagy akár általánosságban is általános, inkluzív és az ügyfelek feltételezett nemi identitásával össze nem függő udvariassági kifejezést használhat, így az SNCF Connect és a francia kormány által kifejtett érvelésnek semmi esetre sem lehet helyt adni.

58

Ami a jelen ítélet 50. pontjában említett harmadik feltételt, valamint az egymással ellentétes jelen jogok és érdekek, azaz egyrészről az adatkezelő, másrészről pedig az érintett személy jogainak és érdekeinek e súlyozása keretében figyelembe kell venni többek között az érintett észszerű elvárásait, valamint az érintett adatkezelés terjedelmét és annak az e személyre gyakorolt hatását (lásd: 2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 116. pont).

59

Amint azt a főtanácsnok indítványának 70. pontjában lényegében megjegyezte, a kérdést előterjesztő bíróság által elvégzendő vizsgálatra is figyelemmel, a közlekedési vállalat ügyfele nem számíthat arra, hogy e vállalkozás a megszólítására vonatkozó adatokat menetjegy megvásárlásával összefüggésben kezeli. Ez a helyzet állna fenn különösen akkor, ha ezt az adatkezelést kizárólag kereskedelmi üzletszerzési célból végzik.

60

A kereskedelmi üzletszerzéshez fűződő jogos érdek semmiképpen nem érvényesülhet az érintett személy alapvető jogai és szabadságai megsértésének kockázata esetén. Amint ugyanis az a GDPR (75) preambulumbekezdéséből kitűnik, a természetes személyek jogait és szabadságait érintő – változó valószínűségű és súlyosságú – kockázatok származhatnak a személyes adatok kezeléséből, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek, különösen, ha az adatkezelésből hátrányos megkülönböztetés fakadhat.

61

Ebben az összefüggésben különösen a kérdést előterjesztő bíróság feladata annak vizsgálata, hogy fennáll‑e a nemi identitáson alapuló hátrányos megkülönböztetésnek a Mousse által hivatkozott veszélye, különösen a 2004/113 irányelv fényében, amely utóbbi irányelv az árukhoz és szolgáltatásokhoz való hozzáférés, valamint azok értékesítése tekintetében alkalmazza a férfiak és nők közötti egyenlő bánásmód elvét.

62

E tekintetben pontosítani kell, hogy ezen irányelv hatályát nem lehet csak az olyan megkülönböztetésre korlátozni, amely azon a tényen alapul, hogy a személy az egyik vagy a másik nemhez tartozik. Tekintettel azon jogok céljaira és jellegére, amelyeket biztosítani hivatott, az említett irányelv olyan megkülönböztetésre is alkalmazandó, amely, mint ebben az esetben is, valamely személy nemi identitásának megváltoztatásából ered (lásd analógia útján: 2006. április 27‑iRichards ítélet, C‑423/04, EU:C:2006:256, 24. cikk, valamint az ott hivatkozott ítélkezési gyakorlat).

63

Következésképpen a GDPR 6. cikke (1) bekezdése első albekezdésének f) pontját e rendelet 5. cikke (1) bekezdésének c) pontjával összefüggésben úgy kell értelmezni, hogy a valamely közlekedési vállalat ügyfeleinek megszólítására vonatkozó személyes adatoknak a kereskedelmi kommunikáció nemi identitáson alapuló személyre szabását célzó kezelése nem tekinthető olyannak, mint amely a jogos érdekeknek az adatkezelő vagy harmadik személy általi érvényesítéséhez szükséges, amennyiben:

64

A fenti megfontolásokra tekintettel az első kérdésre azt a választ kell adni, a GDPR 6. cikke (1) bekezdése első albekezdésének b) és f) pontját e rendelet 5. cikke (1) bekezdésének c) pontjával összefüggésben úgy kell értelmezni, hogy:

65

Második kérdésével az előterjesztő bíróság lényegében arra keresi a választ, hogy a GDPR 6. cikke (1) bekezdése első albekezdésének f) pontját úgy kell‑e értelmezni, hogy a személyes adatok kezelésének e rendelkezés értelmében vett szükségességének értékelése során figyelembe kell venni az érintettnek a GDPR 21. cikke szerinti tiltakozáshoz való jogának esetleges fennállását.

66

A GDPR 21. cikkének (1) bekezdése úgy rendelkezik, hogy az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak e rendelet 6. cikke (1) bekezdése első albekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az ilyen adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, valamint jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

67

A GDPR 21. cikkének alkalmazhatósága, és következésképpen a tiltakozáshoz való jog esetleges fennállása jogszerű adatkezelés fennállását feltételezi, amely a jelen esetben e rendelet 6. cikke (1) bekezdése első albekezdésének f) pontján alapul. Márpedig ahhoz, hogy jogszerű legyen, az ilyen adatkezelésnek előzetesen meg kell felelnie a jelen ítélet 48. pontjában említett szigorú szükségesség feltételének.

68

Amint azt a főtanácsnok indítványának 80. és 82. pontjában megjegyezte, az érintett rendelkezések szövegéből és rendszeréből az következik, hogy a tiltakozáshoz való jog fennállása nem vehető figyelembe a jogszerűség, és különösen az alapügyben szóban forgó személyes adatok kezelése szükségességének értékelése céljából.

69

Ezt az értelmezést megerősíti a GDPR által követett cél, amely a (10) preambulumbekezdés fényében a természetes személyek alapvető jogai és szabadságai magas szintű védelmének biztosítása a személyes adatok kezelése tekintetében. Minden más értelmezés ugyanis gyengítené a GDPR 6. cikke (1) bekezdése első albekezdésének f) pontjában említett követelményeket, kiterjesztve az érintett adatkezelés jogszerűségének indokait, holott e rendelkezést a jelen ítélet 27. pontjában felidézett ítélkezési gyakorlatra tekintettel megszorítóan kell értelmezni.

70

A fenti megfontolások összességére tekintettel a második kérdésre azt a választ kell adni, hogy a GDPR 6. cikke (1) bekezdése első albekezdésének f) pontját úgy kell értelmezni, hogy a személyes adatok kezelésének e rendelkezés értelmében vett szükségességének értékelése során nem kell figyelembe venni az érintettnek a GDPR 21. cikke szerinti tiltakozáshoz való jogának esetleges fennállását.

71

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (első tanács) a következőképpen határozott: