C‑645/19. sz. ügy

Facebook Ireland Ltd,
Facebook Inc.
és
Facebook Belgium BVBA

kontra

Gegevensbeschermingsautoriteit

(a hof van beroep te Brussel [Belgium] által benyújtott előzetes döntéshozatal iránti kérelem)

A Bíróság ítélete (nagytanács), 2021. június 15.

„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – Az Európai Unió Alapjogi Chartája – 7., 8. és 47. cikk – (EU) 2016/679 rendelet – A személyes adatok határokon átnyúló kezelése – »Egyablakos ügyintézési« mechanizmus – A felügyeleti hatóságok közötti lojális és hatékony együttműködés – Illetékesség és hatáskörök – Bírósági eljárás kezdeményezésére vonatkozó hatáskör”

1. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Egyablakos ügyintézési mechanizmus – Nemzeti felügyeleti hatóságok – Hatáskörök – Valamely tagállam vezető felügyeleti hatóságnak nem minősülő felügyeleti hatóságának bírósági eljárás kezdeményezésére vonatkozó hatásköre – Határokon átnyúló adatkezelés – A joggyakorlás feltételei – A fő felügyeleti hatóság ezen adatkezelés tekintetében fennálló illetékessége – A felügyeleti hatóságok közötti lojális és hatékony együttműködés

   (Az Európai Unió Alapjogi Chartája, 7., 8. és 47. cikk, (1) bekezdés; 2016/679 európai parlamenti és tanácsi rendelet, 55. cikk, (1) bekezdés, 56–58. és 60–66. cikk)

   (lásd: 50–53., 56–59., 63–69., 75. pont és a rendelkező rész 1. pontja)

2. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Egyablakos ügyintézési mechanizmus – Nemzeti ellenőrző hatóságok – Hatáskörök – Valamely tagállam vezető felügyeleti hatóságnak nem minősülő felügyeleti hatóságának bírósági eljárás kezdeményezésére vonatkozó hatásköre – Határokon átnyúló adatkezelés – A joggyakorlás feltételei – Annak szükségessége, hogy az adatkezelő vagy adatfeldolgozó az adott tagállam területén tevékenységi központtal vagy más tevékenységi hellyel rendelkezzen – Hiány

   (2016/679 európai parlamenti és tanácsi rendelet, 3. cikk, (1) bekezdés, 56. cikk, (1) bekezdés, és 58. cikk, (5) bekezdés)

   (lásd: 79–84. pont és a rendelkező rész 2. pontja)

3. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Egyablakos ügyintézési mechanizmus – Nemzeti ellenőrző hatóságok – Hatáskörök – Valamely tagállam vezető felügyeleti hatóságnak nem minősülő felügyeleti hatóságának bírósági eljárás kezdeményezésére vonatkozó hatásköre – Határokon átnyúló adatkezelés – Mind az adatkezelő e hatóság tagállamában található tevékenyégi központja, mind pedig az ezen adatkezelő más tevékenyégi helye tekintetében gyakorolt hatáskör – A joggyakorlás feltételei

   (2016/679 európai parlamenti és tanácsi rendelet, 56. cikk, (1) bekezdés, és 58. cikk, (5) bekezdés)

   (lásd: 88–91., 94–96. pont és a rendelkező rész 3. pontja)

4. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Egyablakos ügyintézési mechanizmus – Nemzeti ellenőrző hatóságok – Hatáskörök – Valamely tagállam fő felügyeleti hatóságnak nem minősülő felügyeleti hatósága – Határokon átnyúló adatkezelés – Az e felügyeleti hatóság által a rendelet hatálybalépését megelőzően benyújtott, ezen adatkezeléssel kapcsolatos bírósági kereset – A bírósági eljárás kezdeményezésére vonatkozó hatásköre gyakorlásának feltételeire gyakorolt hatás – E kereset fenntartása – Feltételek

   (2016/679 európai parlamenti és tanácsi rendelet, 56. cikk, (1) bekezdés, és 58. cikk, (5) bekezdés; 95/46 európai parlamenti és tanácsi irányelv)

   (lásd: 99–105. pont és a rendelkező rész 4. pontja)

5. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Nemzeti felügyeleti hatóságok – Hatáskörök – Tagállami felügyeleti hatóság bírósági eljárás kezdeményezésére vonatkozó hatáskörét biztosító rendelkezés – Közvetlen hatály

   (EUMSZ 288. cikk, második bekezdés; 2016/679 európai parlamenti és tanácsi rendelet, 58. cikk, (5) bekezdés)

   (lásd: 109–113. pont és a rendelkező rész 5. pontja)

Összefoglalás

Általános adatvédelmi rendelet: A Bíróság pontosítja a nemzeti felügyeleti hatóságoknak a határokon átnyúló adatkezelés tekintetében fennálló hatáskörei gyakorlásának feltételeit

Bizonyos feltételek mellett a nemzeti felügyeleti hatóság akkor is gyakorolhatja azon hatáskörét, hogy az általános adatvédelmi rendelet bármely állítólagos megsértése esetén e tagállam bíróságához forduljon, ha ezen adatkezelés tekintetében nem minősül fő felügyeleti hatóságnak

2015. szeptember 11‑én a belga Commissie ter bescherming van de persoonlijke levenssfeer (a magánélet védelméért felelős bizottság, Belgium; a továbbiakban: CBPL) elnöke keresetet indított a Nederlandstalige rechtbank van eerste aanleg Brussel (brüsszeli holland nyelvű elsőfokú bíróság, Belgium) előtt a Facebook Ireland, a Facebook Inc. és a Facebook Belgium ellen az adatvédelemre vonatkozó jogszabályok Facebook általi feltételezett megsértésének megszüntetése iránt. E jogsértések többek között a Facebook‑fiókkal rendelkező, illetve nem rendelkező belga internethasználók szörfölési szokásaira vonatkozó adatok sütik (cookies), közösségi média beépülő modulok (social plug ins) ( 1 ) és képpontok (pixels) útján történő gyűjtésében és felhasználásában álltak.

2018. február 16‑án e bíróság megállapította az e kereset elbírálására vonatkozó illetékességét, és érdemben megállapította, hogy a Facebook közösségi hálózat nem tájékoztatta kellőképpen a belga internethasználókat az érintett adatok gyűjtéséről és felhasználásáról. Egyébiránt az internethasználók által az említett adatok gyűjtéséhez és kezeléséhez adott hozzájárulást érvénytelennek nyilvánította.

2018. március 2‑án a Facebook Ireland, a Facebook Inc. és a Facebook Belgium fellebbezést nyújtott be ezen ítélettel szemben a a jelen ügyben kérdést előterjesztő bíróság, a Hof van beroep te Brussel (brüsszeli fellebbviteli bíróság, Belgium) előtt. E bíróság előtt a belga Gegevensbeschermingsautoriteit (adatvédelmi hatóság, Belgium; a továbbiakban: GBA) a CBPL elnökének jogutódjaként járt el. A kérdést előterjesztő bíróság kizárólag a Facebook Belgium által benyújtott fellebbezés elbírálása vonatkozásában állapította meg illetékességét.

A kérdést előterjesztő bíróságnak kétségei merültek fel az adatvédelmi rendeletben ( 2 ) előírt „egyablakos ügyintézési” mechanizmus alkalmazása által a GBA illetékességére gyakorolt hatást illetően, és különösen arra keresi a választ, hogy az általános adatvédelmi rendelet hatálybalépésének időpontját, azaz 2018. május 25‑ét követően bekövetkező tények vonatkozásában eljárhat‑e a Facebook Belgiummal szemben, amennyiben a Facebook Irelandet tekintették az érintett adatok adatkezelőjének. Ezen időpont óta, és különösen az általános adatvédelmi rendelet által előírt „egyablakos ügyintézés” elvének alkalmazása alapján ugyanis kizárólag az ír adatvédelmi biztos rendelkezik hatáskörrel arra, hogy abbahagyásra kötelezés iránti eljárást indítson, amely felett az ír bíróságok gyakorolnak felülvizsgálatot.

Nagytanácsban hozott ítéletében a Bíróság pontosítja a nemzeti felügyeleti hatóságoknak az általános adatvédelmi rendelet alapján fennálló hatásköreit. Ily módon többek között úgy ítéli meg, hogy e rendelet bizonyos feltételek mellett lehetővé teszi a tagállami felügyeleti hatóság számára azon hatáskörének gyakorlását, hogy határokon átnyúló adatkezelés ( 3 ) vonatkozásában az általános adatvédelmi rendelet bármely állítólagos megsértése esetén jogosult e tagállam bíróságait tájékoztatni és adott esetben keresetet indítani akkor is, ha ezen adatkezelés tekintetében nem minősül fő felügyeleti hatóságnak.

A Bíróság álláspontja

Először is, a Bíróság pontosítja azokat a feltételeket, amelyek mellett a határokon átnyúló adatkezelés vonatkozásában fő felügyeleti hatóságnak nem minősülő nemzeti felügyeleti hatóságnak gyakorolnia kell azon hatáskörét, hogy az általános adatvédelmi rendelet bármely állítólagos megsértéséről tájékoztassa az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzen e rendelet rendelkezéseinek érvényre juttatása érdekében. Egyrészt tehát az általános adatvédelmi rendeletnek hatáskört kell biztosítania e felügyeleti hatóság számára egy azt megállapító határozat elfogadására, hogy ezen adatkezelés sérti a rendeletben előírt szabályokat, másrészt pedig e hatáskört a rendeletben előírt együttműködési és egységességi eljárások ( 4 ) tiszteletben tartásával kell gyakorolni.

A határokon átnyúló adatkezelések tekintetében ugyanis az általános adatvédelmi rendelet előírja az „egyablakos ügyintézési” mechanizmust, ( 5 ) amely az illetékességnek a „fő felügyeleti hatóság” és a többi érintett nemzeti felügyeleti hatóság közötti megosztásán alapul. E mechanizmus szoros, lojális és hatékony együttműködést követel meg e hatóságok között a személyes adatok védelmére vonatkozó szabályok következetes és egységes alkalmazásának biztosítása, és ily módon e védelem hatékony érvényesülésének megőrzése érdekében. Az általános adatvédelmi rendelet e tekintetben kimondja, hogy a fő felügyeleti hatóság főszabály szerint jogosult azt megállapító határozat elfogadására, hogy a határokon átnyúló adatkezelés sérti az e rendeletben előírt szabályokat, ( 6 ) míg a többi nemzeti felügyeleti hatóság ilyen határozat elfogadására vonatkozó, akár csak ideiglenesen fennálló jogosultsága kivételt képez. ( 7 ) Közelebbről, a fő felügyeleti hatóság a hatáskörének gyakorlása során nem mentesülhet a többi érintett felügyeleti hatósággal folytatott elengedhetetlen párbeszéd, valamint a többi érintett felügyeleti hatósággal való lojális és hatékony együttműködés kötelezettsége alól. Ennélfogva, ezen együttműködés keretében a fő felügyeleti hatóság nem hagyhatja figyelmen kívül a többi érintett felügyeleti hatóság álláspontját, és az utóbbi hatóságok egyike által emelt bármely releváns és megalapozott kifogás legalábbis ideiglenesen megakadályozza a fő felügyeleti hatóság döntéstervezetének elfogadását.

A Bíróság egyébiránt pontosítja, hogy az a körülmény, miszerint az olyan tagállami felügyeleti hatóság, amely nem minősül fő felügyeleti hatóságnak, a határokon átnyúló adatkezelést illetően csak a döntéshozatal tekintetében fennálló illetékességnek a fő felügyeleti hatóság és a többi felügyeleti hatóság közötti megosztására vonatkozó szabályok ( 8 ) tiszteletben tartása mellett gyakorolhatja azt a hatáskört, hogy az általános adatvédelmi rendelet bármely állítólagos megsértéséről e tagállam bíróságát tájékoztassa, és bírósági eljárást kezdeményezzen, megfelel az Európai Unió Alapjogi Chartája 7., 8 és 47. cikkének, amelyek az érintett személy részére a személyes adatok védelméhez való jogot és a hatékony jogorvoslathoz való jogot biztosítják.

Másodszor, a Bíróság úgy ítéli meg, hogy határokon átnyúló adatkezelés esetén a fő felügyeleti hatóságtól eltérő tagállami felügyeleti hatóság bírósági eljárás kezdeményezésére vonatkozó hatáskörének gyakorlása ( 9 ) nem követeli meg, hogy a határokon átnyúló személyesadat‑kezelés szempontjából adatkezelőnek vagy adatfeldolgozónak minősülő azon személy, aki ellen ezen eljárást kezdeményezik, e tagállam területén tevékenységi központtal vagy más tevékenységi hellyel rendelkezzen. E hatáskör gyakorlásának azonban az általános adatvédelmi rendelet területi hatálya alá kell tartoznia, ( 10 ) ami azt feltételezi, hogy a határokon átnyúló adatkezelést végző adatkezelő vagy adatfeldolgozó az Unió területén tevékenységi hellyel rendelkezik.

Harmadszor, a Bíróság kimondta, hogy határokon átnyúló adatkezelés esetén a fő felügyeleti hatóságtól eltérő tagállami felügyeleti hatóság azon hatásköre, hogy az általános adatvédelmi rendelet bármely állítólagos megsértése esetén jogosult e tagállam bíróságait tájékoztatni és adott esetben keresetet indítani, mind az adatkezelőnek az említett hatóság tagállamában található tevékenységi központja, mind pedig ezen adatkezelő más tevékenységi helye tekintetében gyakorolható, amennyiben a bírósági kereset az említett tevékenységi hely tevékenységével összefüggésben végzett adatkezelésre vonatkozik, és az említett hatóság jogosult e hatáskör gyakorlására.

A Bíróság ugyanakkor pontosítja, hogy e hatáskör gyakorlása azt feltételezi, hogy az általános adatvédelmi rendelet alkalmazandó. A jelen ügyben, mivel a Facebook csoport Belgiumban található tevékenységi helyének tevékenységei elválaszthatatlanul kapcsolódnak az alapügyben szóban forgó személyesadat‑kezeléshez, amely tekintetében az Unió területét illetően a Facebook Ireland minősül adatkezelőnek, ezen adatkezelést „az adatkezelő tevékenységeivel összefüggésben” végzik, és az ennélfogva az általános adatvédelmi rendelet hatálya alá tartozik.

Negyedszer, a Bíróság úgy ítéli meg, hogy amennyiben valamely tagállam felügyeleti hatósága, amely nem minősül „fő felügyeleti hatóságnak”, e rendelet hatálybalépésének időpontja előtt bírósági eljárást kezdeményezett személyes adatok határokon átnyúló kezelése vonatkozásában, az uniós jog szempontjából e kereset az adatvédelmi irányelv ( 11 ) rendelkezései alapján fenntartható, amely irányelv az általa előírt szabályoknak a hatályon kívül helyezéséig elkövetett megsértése vonatkozásában továbbra is alkalmazandó. Ezenkívül e hatóság e keresetet annyiban terjesztheti elő az általános adatvédelmi rendelet hatálybalépésének időpontját követően elkövetett jogsértések miatt, amennyiben az olyan helyzetet érint, amelyben e rendelet kivételesen nem „fő felügyeleti hatóságnak” minősülő tagállami felügyeleti hatóságnak biztosít illetékességet az azt megállapító határozat elfogadása tekintetében, hogy a szóban forgó adatkezelés sérti az említett rendeletben szereplő szabályokat, és hogy tiszteletben tartják az ugyanezen rendeletben előírt együttműködési eljárásokat.

Ötödször és utolsósorban, a Bíróság elismeri az általános adatvédelmi rendelet azon rendelkezésének közvetlen hatályát, amelynek értelmében a tagállamok jogszabályban előírják, hogy a felügyeleti hatóságuk hatáskörrel rendelkezik arra, hogy e rendelet megsértéséről tájékoztassa az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzen. Következésképpen az ilyen hatóság akkor is hivatkozhat az említett rendelkezésre magánszemélyek elleni kereset indítása vagy folytatása érdekében, ha azt kifejezetten nem hajtották végre az érintett tagállam jogszabályaiban.

( 1 ) Például a „Tetszik” vagy „Megosztás” gombok.

( 2 ) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; a továbbiakban: általános adatvédelmi rendelet). Az általános adatvédelmi rendelet 56. cikkének (1) bekezdése szerint: „Az 55. cikk sérelme nélkül, az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye szerinti felügyeleti hatóság jogosult fő felügyeleti hatóságként eljárni az említett adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében […].”

( 3 ) Lásd különösen az általános adatvédelmi rendelet 4. cikkének 23. pontját.

( 4 ) Ezen eljárásokat az az általános adatvédelmi rendelet GDPR 56. és 60. cikke írja elő.

( 5 ) Az általános adatvédelmi rendelet 56. cikkének (1) bekezdése.

( 6 ) Az általános adatvédelmi rendelet 60. cikkének (7) bekezdése.

( 7 ) Az általános adatvédelmi rendelet 56. cikkének (2) bekezdése és 66. cikke a fő felügyeleti hatóság illetékességének elve alóli kivételeket ír elő.

( 8 ) E szabályokat az általános adatvédelmi rendelet 60. cikkével együttesen értelmezett 55. és 56. cikke írja elő.

( 9 ) Az általános adatvédelmi rendelet 58. cikkének (5) bekezdése alapján.

( 10 ) Az általános adatvédelmi rendelet 3. cikkének (1) bekezdése úgy rendelkezik, hogy e rendeletet kell alkalmazni a személyes adatoknak „az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett kezelésére, függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem”.

( 11 ) A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.).