1.

A jelen előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) ( 2 ) 51. cikke (1) bekezdésének, 52. cikke (1) bekezdésének, 77. cikke (1) bekezdésének és 79. cikke (1) bekezdésének értelmezésére vonatkozik.

2.

E kérelmet BE és a Nemzeti Adatvédelmi és Információszabadság Hatóság (Magyarország; a továbbiakban: felügyeleti hatóság) között folyamatban lévő jogvita keretében terjesztették elő, amelynek tárgya BE arra irányuló kérelmének elutasítása, hogy közöljék vele egy, a részvételével megtartott részvénytársasági közgyűlés hangfelvételének bizonyos részeit.

3.

A GDPR célja a személyes adatok védelmére vonatkozó szabályok hatékony alkalmazásának biztosítása azáltal, hogy olyan jogorvoslati rendszerről rendelkezik, amely lehetővé teszi az érintett számára, hogy panaszt nyújtson be a felügyeleti hatósághoz, bírósági jogorvoslatot nyújtson be az említett hatóság által hozott határozat ellen, valamint bírósági jogorvoslatot nyújtson be az adatkezelővel vagy annak adatfeldolgozójával szemben, ha e személy úgy véli, hogy a rendelet szerinti jogait megsértették a személyes adatainak a rendeletbe ütköző kezelése következtében.

4.

A Fővárosi Törvényszék (Magyarország) azt kéri, hogy a Bíróság tisztázza e jogorvoslatok egymáshoz való viszonyát, pontosabban azt, hogy miként lehet elkerülni, hogy a GDPR által védett jogok megsértését illetően egy tagállamon belül egymásnak ellentmondó határozatok szülessenek.

5.

Ez fontos kérdés, hiszen az uniós jogalkotó azon szándéka, hogy biztosítsa az GDPR által garantált jogok hatékony bírósági védelmét, valamint e jogok magas szintű és koherens védelmét, nem tűnik összeegyeztethetőnek a tagállamokon belüli, egymásnak ellentmondó határozatok fennállásával, amely jogbizonytalanság forrása.

6.

A jelen indítványban annak megállapítására teszek javaslatot a Bíróságnak, hogy a GDPR 78. cikkének (1) bekezdését az Európai Unió Alapjogi Chartája ( 3 ) 47. cikkével összefüggésben úgy kell értelmezni, hogy abban az esetben, ha az érintett gyakorolja az e rendelet 77. cikkének (1) bekezdése és 79. cikkének (1) bekezdése szerinti jogorvoslatokat, a felügyeleti hatóság határozatával szemben benyújtott keresetről döntő bíróságot nem köti az utóbbi rendelkezés alapján eljáró bíróság határozata abban a kérdésben, hogy megsértették‑e, vagy sem, e személynek az említett rendeletből eredő jogait.

7.

Ebben a tekintetben kifejtem, hogy miért gondolom úgy, hogy a GDPR 77. cikkének (1) bekezdését és 79. cikkének (1) bekezdését úgy kell értelmezni, hogy az azokban foglalt jogorvoslatok párhuzamosan is gyakorolhatók, és az említett rendelet alapján egyik sem élvez elsőbbséget a másikkal szemben.

8.

Ezt a választ azzal egészítem ki, hogy a GDPR 77–79. cikke szerinti jogorvoslatok egymáshoz való viszonyára vonatkozó uniós szabályozás hiányában az eljárási autonómia elve alapján, valamint az említett rendelet által biztosított jogok magas szintű és következetes védelmének biztosítására irányuló célkitűzésre, továbbá a Charta 47. cikkében foglalt hatékony bírósági jogorvoslathoz való jogra tekintettel a tagállamok feladata, hogy nemzeti szinten hozzák létre az e jogorvoslatok egymáshoz való viszonyának rendezésére szolgáló mechanizmusokat, amelyek révén elkerülhető, hogy ugyanazon tagállamon belül ugyanazon személyesadat‑kezeléssel kapcsolatban egymásnak ellentmondó határozatok szülessenek.

9.

A GPDR 51. cikkének (1) bekezdése a következőképpen rendelkezik:

„A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam előírja, hogy e rendelet alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv (felügyeleti hatóság) felel.”

10.

A GDPR 52. cikkének (1) bekezdése szerint:

„A felügyeleti hatóságok az e rendelet alapján rájuk ruházott feladatok elvégzése és hatáskörök gyakorlása során teljesen függetlenül járnak el.”

11.

A GDPR 58. cikkének (4) bekezdése a következőképpen rendelkezik:

„Az e cikk alapján a felügyeleti hatóságra ruházott hatáskörök gyakorlására megfelelő garanciák mellett kerülhet sor, ideértve az uniós és a tagállami jogban a Chartával összhangban meghatározott hatékony bírósági jogorvoslatot és tisztességes eljárást is.”

12.

A GDPR „A felügyeleti hatóságnál történő panasztételhez való jog” című 77. cikkének szövege a következő:

„(1)   Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.

(2)   Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni.”

13.

A GDPR 78. cikkének címe „A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog”. E cikk (1) bekezdése értelmében:

„Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.”

14.

A GDPR 79. cikkének címe „Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog”. E cikk (1) bekezdésének szövege a következő:

„A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.”

15.

A 2011. július 26‑i, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info törvény) ( 4 ) 22. §‑a szerint:

„Jogainak érvényesítése érdekében az érintett a VI. Fejezetben meghatározottak szerint

16.

Az Info törvény 23. §‑a kimondja:

„(1)   Az érintett az adatkezelő, illetve – az adatfeldolgozó tevékenységi körébe tartozó adatkezelési műveletekkel összefüggésben – az adatfeldolgozó ellen bírósághoz fordulhat, ha megítélése szerint az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatait a személyes adatok kezelésére vonatkozó, jogszabályban vagy az […] Unió kötelező jogi aktusában meghatározott előírások megsértésével kezeli.

[…]

(4)   A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. A perbe a [felügyeleti hatóság] az érintett pernyertessége érdekében beavatkozhat.

(5)   Ha a bíróság a keresetnek helyt ad, a jogsértés tényét megállapítja és az adatkezelőt, illetve az adatfeldolgozót

és amennyiben szükséges, ugyanezen alkalommal határoz a vagyoni és nem vagyoni kár megtérítése iránti kérelmekről.”

17.

Miután részt vett annak a részvénytársaságnak a 2019. április 26‑i közgyűlésén, amelynek részvényese, BE kérte, hogy a társaság adja át részére az e közgyűlésen készült hangfelvételt.

18.

A részvénytársaság, mint ezen adatok kezelője, a hangfelvételnek csak BE megszólalásait tartalmazó részeit adta át az utóbbinak, a többi résztvevő megszólalásait azonban nem.

19.

Mivel azokhoz a részekhez is hozzá kívánt jutni, amelyek a 2019. április 26‑i közgyűlésen feltett kérdéseire a résztvevők által adott válaszokat tartalmazzák, BE azzal a kérelemmel fordult a felügyeleti hatósághoz, hogy az állapítsa meg a részvénytársaság magatartásának jogellenességét, és kötelezze a részvénytársaságot e részek átadására. A felügyeleti hatóság 2019. november 29‑i határozatával elutasította e kérelmet.

20.

Ezen elutasítást követően BE a GDPR 78. cikkének (1) bekezdése alapján keresetet nyújtott be a felügyeleti hatóság e határozata ellen a kérdést előterjesztő bírósághoz elsődlegesen az említett határozat megváltoztatása, másodlagosan annak megsemmisítése iránt.

21.

A felügyeleti hatósághoz benyújtott kérelemmel párhuzamosan BE keresetet indított a polgári bíróságon az adatkezelővel szemben a GDPR 79. cikkének (1) bekezdése alapján.

22.

Az eljárás még folyamatban volt a kérdést előterjesztő bíróság előtt, amikor a Fővárosi Ítélőtábla (Magyarország) helyt adott BE e rendelkezés alapján benyújtott keresetének, és megállapította, hogy az adatkezelő megsértette BE személyes adataihoz való hozzáférési jogát azzal, hogy a kérelme ellenére nem adta át neki a hangfelvételnek a kérdéseire adott válaszokat tartalmazó részeit. ( 5 ) Ez az ítélet, amelyet a másodfokú polgári bíróság hozott, jogerőre emelkedett.

23.

BE a kérdést előterjesztő bírósághoz benyújtott keresetében azt kéri, hogy e bíróság vegye figyelembe a polgári bíróság által az ítéletében levont következtetést.

24.

A kérdést előterjesztő bíróság azt vizsgálja, hogy az uniós jogból levonhatók‑e következtetések azon hatáskörök egymáshoz való viszonyára vonatkozóan, amelyeket egyrészt a GDPR 77. cikkének (1) bekezdése alapján benyújtott panasz tárgyában hatáskörrel rendelkező felügyeleti hatóság, illetőleg az említett rendelet 78. cikkének (1) bekezdése alapján az e hatóság által hozott határozatok jogszerűségét felülvizsgáló közigazgatási bíróság gyakorol, másrészt pedig, amelyet az említett rendelet 79. cikkének (1) bekezdése alapján hatáskörrel rendelkező polgári bíróság gyakorol az olyan személy által benyújtott kereset elbírálására, aki úgy véli, hogy megsértették az említett rendelet szerinti jogait.

25.

A kérdést előterjesztő bíróság megjegyzi ugyanis, hogy az e rendelkezésekben foglalt jogorvoslatok párhuzamos gyakorlása ugyanazon tényállásra vonatkozóan ellentétes határozatok meghozatalát eredményezheti.

26.

E bíróság szerint az ilyen helyzet a jogbizonytalanság kockázatát hordozza magában. A kérdést előterjesztő bíróság e tekintetben megjegyzi, hogy a nemzeti eljárásjogi szabályok szerint a felügyeleti hatóság határozata nem köti a polgári bíróságot. Nem kizárt tehát, hogy ez utóbbi ugyanazon tényállás alapján a felügyeleti hatóság határozatával ellentétes határozatot hozzon.

27.

A kérdést előterjesztő bíróság megállapítja, hogy a jelen esetben nem teljesültek azok a feltételek, amelyek alapján a felügyeleti hatóság a nemzeti eljárási szabályoknak megfelelően beavatkozhatott volna a polgári bíróság előtti eljárásba. Ezen túlmenően, e szabályok szerint a polgári bíróság ítélete nem köti a közigazgatási bíróságot a felügyeleti hatóság határozata jogszerűségének felülvizsgálata keretében, amelyet e bíróságnak a GDPR 78. cikkének (1) bekezdésével összhangban kell elvégeznie.

28.

Mivel a felügyeleti hatóság és a végleges határozatot hozó polgári bíróság ellentétes álláspontot képvisel a személyes adatok védelmére vonatkozó szabályok megsértése tekintetében, a kérdést előterjesztő bíróság tudni szeretné, hogy az uniós jogi rendelkezések lehetővé teszik‑e az egymással párhuzamosan gyakorolt jogorvoslatok viszonyának meghatározását. Ez a bíróság összehasonlításképpen megemlíti a versenyjog területén fennálló szabályokat. ( 6 )

29.

E bíróság megjegyzi továbbá, hogy a 2017. szeptember 27‑i Puškár ítélet ( 7 ) alapul szolgáló körülményektől eltérően a magyar jog nem írja elő a közigazgatási jogorvoslati lehetőségek kimerítését a bírósághoz fordulás előfeltételeként.

30.

A hatékony jogorvoslathoz való jog, valamint az GDPR által biztosított jogok magas szintű védelmének biztosítására irányuló célkitűzés azonban szükségessé teszi a rendelet következetes alkalmazásának biztosítását. Ezen eredmény eléréséhez meg kell határozni, hogy a párhuzamosan gyakorolható jogorvoslatok közül melyiknek kell elsőbbséget élveznie.

31.

E tekintetben a kérdést előterjesztő bíróság megállapítja, hogy osztja a felügyeleti hatóság véleményét, amennyiben e hatóság arra hivatkozik, hogy a GDPR 51. cikkének (1) bekezdése szerinti felhatalmazás, valamint az e rendelet 57. cikke (1) bekezdésének a) és f) pontja, továbbá az 58. cikke (2) bekezdésének b) és c) pontja szerinti feladatok és hatáskörök e hatóság számára elsőbbségi hatáskört biztosítanak az említett rendeletben előírt kötelezettségek betartásának vizsgálatára és ellenőrzésére. Ezért azt javasolja, hogy a Bíróság olyan értelmezést fogadjon el, amely szerint, ha a felügyeleti hatóság ugyanazon jogsértés miatt folytat, vagy folytatott eljárást, e hatóság határozata – illetve az e határozat jogszerűségét felülvizsgáló közigazgatási bíróság határozata – élvez elsőbbséget annak megállapítása során, hogy megsértették‑e a GDPR‑ben meghatározott szabályokat. Következésképpen az általános adatvédelmi rendelet 79. cikke alapján eljáró polgári bíróságok által tett megállapítások nem kötelezőek az e rendelet 77. és 78. cikke szerinti eljárásokban.

32.

Ha azonban a Bíróság nem mondaná ki a felügyeleti hatóság hatáskörének elsőbbségét a GDPR szerinti jogok megsértésének megállapítása tekintetében, a kérdést előterjesztő bíróság úgy véli, hogy a jogbiztonság elvére tekintettel magára nézve kötelezőnek kell tekintenie a polgári bíróság jogerős ítéletének megállapításait, anélkül hogy ő maga vizsgálná a felügyeleti hatóság által a határozatában az ilyen jogsértésre vonatkozóan tett megállapítások jogszerűségét. A kérdést előterjesztő bíróság úgy véli, hogy ez az e rendelet 78. cikkében foglalt jogkör kiüresedését jelentené.

33.

E körülményekre tekintettel a Fővárosi Törvényszék úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

34.

BE, a felügyeleti hatóság, a magyar, a cseh, az olasz és a lengyel kormány, valamint az Európai Bizottság nyújtott be írásbeli észrevételeket. 2022. május 11‑én tárgyalást tartottak a felügyeleti hatóság, a magyar és a lengyel kormány, valamint a Bizottság részvételével.

35.

Elöljáróban emlékeztetni kell arra, hogy a Bíróság állandó ítélkezési gyakorlata szerint a nemzeti bíróságok és a Bíróság között az EUMSZ 267. cikkel bevezetett együttműködési eljárás keretében a Bíróság feladata, hogy a nemzeti bíróságnak az előtte folyamatban lévő ügy eldöntéséhez hasznos választ adjon, és erre tekintettel adott esetben a Bíróságnak át kell fogalmaznia az elé terjesztett kérdéseket. ( 8 )

36.

Ezenkívül emlékeztetni kell arra, hogy a Bíróság állandó ítélkezési gyakorlata értelmében az, hogy a kérdést előterjesztő bíróság valamely kérdést csak bizonyos uniós jogi rendelkezésekre hivatkozva fogalmazott meg, nem akadálya annak, hogy a Bíróság megadja e bíróság számára az értelmezés minden olyan elemét, amely hasznos lehet az utóbbi előtt folyamatban lévő ügy megítéléséhez, akár hivatkozott ezekre a kérdéseinek megfogalmazásában, akár nem. E tekintetben a Bíróságnak kell a nemzeti bíróság által szolgáltatott információk összessége és különösen az előzetes döntéshozatalra utalás indokolása alapján meghatároznia az uniós jog azon rendelkezéseit, amelyeknek az értelmezése a per tárgyára figyelemmel szükséges. ( 9 )

37.

Meg szeretném jegyezni, hogy a kérdést előterjesztő bíróság jelenleg a BE panaszát elutasító felügyeleti hatósági határozattal szembeni kereset tárgyában jár el, amely a GDPR 78. cikkének (1) bekezdésében foglalt jogorvoslatnak felel meg.

38.

Ez a bíróság, annak érdekében, hogy e keresetről dönteni tudjon, azt kéri, hogy a Bíróság tisztázza egyrészt az említett rendelet 77. cikkének (1) bekezdése alapján a felügyeleti hatósághoz benyújtott panasz, másrészt az említett rendelet 78. cikkének (1) bekezdése és 79. cikkének (1) bekezdése szerinti jogorvoslatok egymáshoz való viszonyát.

39.

Abban a szakaszban, amelyben a nemzeti eljárások találhatók, a kérdést előterjesztő bíróság konkrétan azt szeretné megtudni, hogy milyen mozgástérrel rendelkezik a felügyeleti hatóság határozata jogszerűségének felülvizsgálata során, amelyet a GDPR 78. cikk (1) bekezdése értelmében kell elvégeznie, tekintettel arra, hogy az e rendelet 79. cikkének (1) bekezdése alapján eljáró polgári bíróság az e hatóság által az említett rendelet 77. cikkének (1) bekezdése szerinti panasz alapján hozott határozattal ellentétes módon döntött.

40.

E körülmények között álláspontom szerint úgy kell tekinteni, hogy kérdéseivel az előterjesztő bíróság lényegében annak megállapítását kéri a Bíróságtól, hogy a GDPR 78. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy amennyiben az érintett gyakorolja az e rendelet 77. cikkének (1) bekezdése és 79. cikkének (1) bekezdése szerinti jogorvoslatokat, azt a bíróságot, amelynek a felügyeleti hatóság határozatával szemben benyújtott keresetről kell döntenie, köti az utóbbi rendelkezés alapján eljáró bíróság álláspontja arra vonatkozóan, hogy megsértették‑e ezen érintett említett rendelet szerinti jogait.

41.

Az előzetes döntéshozatalra utaló végzésből kitűnik, hogy az előterjesztő bíróság szempontjából e kérdés megválaszolásához annak eldöntése szükséges, hogy a felügyeleti hatóság határozata jogszerűségének e bíróság által elvégzendő felülvizsgálata keretében a GDPR 77. cikkének (1) bekezdése és 79. cikkének (1) bekezdése szerinti jogorvoslatok párhuzamos gyakorlása esetén e bíróságnak figyelembe kell‑e vennie az első jogorvoslat esetleges elsőbbségét a másodikkal szemben az e rendelet által védett jogok megsértésének megállapítása tekintetében.

42.

Az előterjesztő bíróság kérdéseinek megválaszolása érdekében emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint valamely uniós jogi rendelkezés értelmezéséhez annak szövegét, valamint annak a szabályozásnak a rendszerét és céljait kell figyelembe venni, amelynek az részét képezi. ( 10 )

43.

Ami a GDPR 77–79. cikkének szövegét illeti, megjegyzem, hogy e cikkek (1) bekezdéséből kitűnik, hogy egyrészt a panasz benyújtásához való jog „[a]z egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül”, másrészt a felügyeleti hatóság vagy az adatkezelő határozatával szembeni jogorvoslat „[a]z egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül” gyakorolható.

44.

E rendelkezések szövegéből tehát az következik, hogy az azokban foglalt jogorvoslatokat lehet párhuzamosan gyakorolni. Ezenkívül az uniós jogalkotó e rendelkezésekben nem állapított meg semmilyen szabályt az e jogorvoslatok egymáshoz való viszonyára vonatkozóan. Véleményem szerint tehát a GDPR‑ből nem lehet levezetni, hogy az e rendelet által védett jogok megsértésének megállapítása érdekében az egyik jogorvoslat elsőbbséget élvezne a másikkal szemben.

45.

Így különösen, noha igaz, hogy – amint az a GDPR 51. cikkének (1) bekezdéséből kifejezetten következik – a felügyeleti hatóságok feladata a GDPR alkalmazásának felügyelete, különösen a természetes személyek alapvető jogainak a személyes adataik kezelése tekintetében történő védelme érdekében, e rendelet egyetlen rendelkezése sem utal arra, hogy e hatóságok elsőbbségi hatáskörrel rendelkeznének a bírósággal szemben e jogok megsértésének megállapítására.

46.

Az uniós jogalkotó tehát olyan átfogó jogorvoslati rendszert kívánt biztosítani az érintettek számára, amelyben a bírósági jogorvoslathoz való jog és a közigazgatási vagy bíróságon kívüli jogorvoslat gyakorlásának lehetősége önállóan létezik egymás mellett, és egyik sem másodlagos a másikhoz képest. Ezek a személyek tehát többek között úgy kérhetnek jogvédelmet, hogy panaszt nyújtanak be a felügyeleti hatósághoz, majd szükség esetén bíróság előtt megtámadják az említett hatóság által hozott határozatot, és/vagy közvetlenül az adatkezelő vagy annak adatfeldolgozója ellen indítanak bírósági keresetet. Noha a felügyeleti hatóság és az eljáró bíróság(ok) különböző jogi álláspontra juthatnak arra vonatkozóan, hogy megsértették‑e a GDPR‑ben előírt szabályokat, meg kell állapítani, hogy az uniós jogalkotó nem hozott létre az e kockázat csökkentésére alkalmas mechanizmusokat, mivel nem határozta meg az e rendelet 77–79. cikke szerinti jogorvoslatok egymáshoz való viszonyára vonatkozó szabályokat.

47.

E tekintetben az említett rendelet rendszeréből kitűnik, hogy noha az uniós jogalkotó szabályozni kívánta egyrészt a különböző tagállamok felügyeleti hatóságokhoz benyújtott panaszok, másrészt pedig a különböző tagállamok bíróságai benyújtott keresetek egymáshoz való viszonyára vonatkozó szabályokat, e jogalkotó nem kívánt ilyen szabályokat előírni az ugyanazon tagállamon belül létrehozott jogorvoslatokra vonatkozóan.

48.

Ezzel kapcsolatban megjegyzem, hogy a GDPR az „Együttműködés és egységesség” című VII. fejezetében rögzíti a különböző tagállamok felügyeleti hatóságai közötti kölcsönös segítségnyújtás mechanizmusait, amelyek célja az e hatóságok által hozott határozatok egységességének biztosítása. Ezenkívül e rendeletnek „Az eljárás felfüggesztése” című 81. cikkének (2) bekezdése előírja, hogy „[h]a ugyanazon adatkezelő vagy adatfeldolgozó adatkezelése tekintetében, ugyanabban a tárgyban egy másik tagállam bírósága előtt eljárás van folyamatban, valamennyi olyan illetékes bíróság, amely előtt az eljárás később indult meg, felfüggesztheti az előtte folyó eljárást.” Ezenfelül az említett rendelet 81. cikkének (3) bekezdése szerint „[h]a ezen eljárások első fokon vannak folyamatban, valamennyi olyan bíróság, amely előtt az eljárás később indult meg, valamely fél kérelmére joghatóságának hiányát is megállapíthatja, ha az említett eljárásokra az a bíróság, amely előtt elsőként indult meg az eljárás, joghatósággal rendelkezik, és a rá vonatkozó jog az eljárások egyesítését lehetővé teszi.”

49.

Megjegyzem, hogy a felfüggesztésnek vagy a joghatóság hiánya megállapításának ilyen lehetősége nem áll fenn, ha a felügyeleti hatósághoz a panasz és a bírósághoz a jogorvoslat benyújtására ugyanabban a tagállamban, ugyanazon személyesadat‑kezeléssel kapcsolatban kerül sor.

50.

E körülményekből következik, hogy a felügyeleti hatóság által hozott határozat jogszerűségének a GDPR 78. cikkének (1) bekezdése alapján elvégzendő felülvizsgálata keretében a nemzeti bíróság e rendelet értelmében nem köteles elismerni e hatóság vagy az említett rendelet 79. cikkének (1) bekezdése alapján eljáró bíróság elsődleges hatáskörét, sem pedig az e hatóság vagy e bíróság által az ugyanezen rendelet által biztosított jogok megsértésére vonatkozóan végzett értékelés elsőbbségét.

51.

Az ezzel ellenkező megoldás véleményem szerint ellentétes lenne a felügyeleti hatóság által elfogadott határozatot vitató személyt megillető hatékony bírósági jogorvoslathoz való joggal.

52.

A GDPR 78. cikke (1) bekezdésének szövegéből ugyanis kitűnik, hogy e rendelkezés alapján minden természetes vagy jogi személy jogosult „a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.” Ez a rendelkezés az említett rendelet 58. cikke (4) bekezdésének felel meg, amelyből az következik, hogy a felügyeleti hatóságra ruházott hatáskörök gyakorlására olyan garanciák vonatkoznak, mint a hatékony bírósági jogorvoslathoz való jog. ( 11 ) Amint azt a Bíróság már megállapította, a Charta 47. cikke a személyes adatok védelme terén különösen abban a lehetőségben nyilvánul meg, amelyet az GDPR 78. cikkének (1) bekezdése biztosít minden természetes vagy jogi személy számára, hogy hatékony jogorvoslattal éljen a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben. ( 12 )

53.

E hatékony bírósági jogorvoslathoz való jog azt jelenti, hogy annak a bíróságnak, amelyhez a felügyeleti hatóság határozata ellen a GDPR 78. cikkének (1) bekezdése alapján jogorvoslatot nyújtanak be, az említett rendelet (143) preambulumbekezdésében foglaltak szerint „teljes körű joghatósággal [kell] rendelkez[nie], amely magában foglalja az előtte folyamatban lévő jogvita szempontjából releváns összes ténybeli és jogi kérdés vizsgálata tekintetében fennálló joghatóságot is”. Ez álláspontom szerint azzal a következménnyel jár, hogy e bíróságnak szabadon kell tudnia értékelni a felülvizsgálata tárgyát képező határozat jogszerűségét, és ennek során nem kötheti őt az GDPR 79. cikkének (1) bekezdése alapján eljáró bíróság által korábban végzett azon értékelés, hogy megsértették‑e, vagy sem, az említett rendeletben meghatározott szabályokat.

54.

Ennélfogva, noha a felügyeleti hatóság által hozott határozat jogszerűségének felülvizsgálata érdekében a GDPR 78. cikkének (1) bekezdése alapján eljáró bíróságnak teljes mérlegelési szabadsággal kell rendelkeznie annak megállapítása érdekében, hogy megsértették‑e, vagy sem, az e rendeletben megfogalmazott szabályokat, véleményem szerint ennek nem a felügyeleti hatóságot – majd, adott esetben, e bíróságot – megillető állítólagos elsőbbség az oka, hanem a Charta 47. cikkében foglalt hatékony jogorvoslathoz való jog, amely magában foglalja, hogy az említett bíróságnak módjában kell állnia, hogy szabadon és teljesen függetlenül vizsgálja felül az e hatóság által hozott határozat jogszerűségét.

55.

Ami a GDPR által követett célokat illeti, megjegyzem, hogy az uniós jogalkotó azon döntése, hogy lehetővé teszi az érintettek számára a rendelet 77–79. cikkei szerinti jogorvoslatok párhuzamos gyakorlását, összhangban van a rendelet célkitűzésével, vagyis az e rendelet által biztosított jogok magas szintű védelmének garantálásával.

56.

Ebben a tekintetben, amint az a GDPR (10), (11) és (13) preambulumbekezdésével összefüggésben értelmezett 1. cikkének (2) bekezdéséből következik, e rendelet az uniós intézményekre, szervekre és hivatalokra, valamint a tagállamok hatáskörrel rendelkező hatóságaira azt a feladatot rója, hogy biztosítsák az EUMSZ 16. cikkben és a Charta 8. cikkében garantált jogok magas szintű védelmét. ( 13 )

57.

Meg kell azonban jegyezni, hogy – amint azt a jelen ügy is mutatja – ugyanazon személyesadat‑kezelés tárgyában a párhuzamos keresetindításra vonatkozó, GDPR által biztosított lehetőség hátránnyal is járhat, nevezetesen azzal a jogbizonytalansággal, amelyet az egymásnak ellentmondó határozatok egy tagállamon belüli megjelenése okozhat. Amint azonban korábban megjegyeztem, az uniós jogalkotó ebben a rendeletben számolt ugyan a különböző tagállamok felügyeleti hatóságai, illetve bíróságai egymásnak ellentmondó határozatainak kockázatával, az ilyen határozatok ugyanazon tagállamon belüli elfogadása esetében viszont nem.

58.

E körülmények között az egyes tagállamok feladata, hogy olyan eljárási eszközöket hozzanak létre, amelyek a lehető legnagyobb mértékben lehetővé teszik annak elkerülését, hogy egymásnak ellentmondó határozatok kerüljenek elfogadásra ugyanazon személyesadat‑kezelés tárgyában.

59.

E tekintetben emlékeztetek arra, hogy az adott területre vonatkozó uniós szabályozás hiányában, a GDPR 77–79. cikke szerinti jogorvoslatokat érintő eljárásjogi szabályok meghozatala az eljárási autonómia elve alapján az egyes tagállamok belső jogrendjébe tartozik, azzal a feltétellel azonban, hogy az uniós jog hatálya alá tartozó helyzetekben e szabályok nem lehetnek kedvezőtlenebbek a hasonló jellegű belső jogi helyzetekre vonatkozóknál (az egyenértékűség elve), és nem tehetik gyakorlatilag lehetetlenné vagy rendkívül nehézzé az uniós jog által biztosított jogok gyakorlását (a tényleges érvényesülés elve). ( 14 )

60.

Ebben az összefüggésben, az állandó ítélkezési gyakorlat szerint az EUSZ 4. cikk (3) bekezdésében előírt lojális együttműködés elve értelmében a tagállami bíróságok feladata a jogalanyok számára az uniós jogból eredő jogok bírói védelmének a biztosítása, hiszen az EUSZ 19. cikk (1) bekezdése előírja, hogy a tagállamok megteremtik azokat a jogorvoslatokat, amelyek az uniós jog által szabályozott területeken a hatékony bírói jogvédelem biztosításához szükségesek. ( 15 )

61.

Következésképpen a GDPR által nyújtott jogok szavatolása céljából biztosított bírósági jogorvoslatokra vonatkozó eljárási szabályok meghatározása során a tagállamoknak biztosítaniuk kell a Charta 47. cikkében szereplő hatékony jogorvoslathoz és pártatlan bírósági eljáráshoz való jog tiszteletben tartását, amely a hatékony bírói jogvédelem elvének megerősítését képezi. ( 16 )

62.

A bírósági jogorvoslatok e rendeletben szereplő jellemzőit tehát a Charta 47. cikkével összhangban kell meghatározni.

63.

Márpedig a hatékony bírói jogvédelem álláspontom szerint nem csupán abban áll, hogy az érintettek számára biztosítani kell azokat a jogorvoslatokat, amelyek a GDPR‑ből eredő jogaik védelméhez szükségesek. Több, párhuzamosan gyakorolható jogorvoslat együttes fennállása esetén az elért jogvédelmet illetően is garantálni kell a jogbiztonságot. Amennyiben az e rendeletben megállapított szabályok megsértésére vonatkozó, egymásnak ellentmondó határozatok nem lennének alkalmasak az érintettek hatékony bírói védelmének biztosítására, a tagállamoknak meg kell hozniuk az ilyen ellentmondó határozatok elkerülésének biztosításához szükséges intézkedéseket.

64.

Ha a tagállamok nem hoznák létre a különböző jogorvoslatok egymáshoz való viszonyának rendezésére szolgáló eljárási mechanizmusokat, a GDPR‑nek az érintettek hatékony bírói jogvédelmére, valamint az e rendelet által biztosított jogok magas szintű és következetes védelmére vonatkozó célkitűzései nem valósulhatnának meg teljes mértékben.

65.

E tekintetben az GDPR (10) preambulumbekezdéséből kitűnik, hogy e rendelet célja többek között a természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazásának az Unió egész területén történő biztosítása és a személyes adatok Unión belüli áramlása előtti akadályok elhárítása. ( 17 )

66.

A GDPR által előírt szabályok következetes és egységes alkalmazására vonatkozó követelmény azonban veszélybe kerülhetne, ha a tagállami védelmi szintek közötti eltérések, amelyeket e rendelet meg kíván szüntetni, ugyanazon a tagállamon belül is fennmaradnának. Az említett követelményt tehát nemcsak államközi szinten kell figyelembe venni, hanem az egyes tagállamokban hozott határozatok esetében is.

67.

Következésképpen minden tagállamnak biztosítania kell, hogy az érintettek által párhuzamosan gyakorolható jogorvoslatok fennállása ne veszélyeztesse a GDPR által számukra biztosított jogok védelmének hatékonyságát. A tagállamok feladata azon eljárási mechanizmusok megválasztása, amelyek a leginkább megfelelőnek tűnnek számukra az e rendelet 77–79. cikkében előírt jogorvoslatok egymáshoz való viszonyának rendezéséhez.

68.

Így például a tagállamok előírhatják, hogy az érintetteknek a bírósági eljárás megindítása előtt ki kell meríteniük a közigazgatási jogorvoslatokat. ( 18 )

69.

A tagállamok rendelkezhetnének arról a lehetőségről vagy kötelezettségről is, hogy az a bíróság, amelyhez a GDPR 79. cikkének (1) bekezdése alapján keresetet nyújtottak be, miközben az e rendelet 77. cikkének (1) bekezdése szerinti panaszeljárás vagy az említett rendelet 78. cikkének (1) bekezdése szerinti bírósági jogorvoslat folyamatban van, felfüggesztheti az előtte folyamatban lévő eljárást, és ez a felfelfüggesztés mindaddig tarthat, amíg az említett eljárások valamelyikében döntést nem hoznak.

70.

Megjegyzem, hogy a Bíróság már kimondta, hogy a bírósághoz fordulás joga nem abszolút jog, és ezért arányos korlátozásoknak vethető alá, amelyek jogszerű célt követnek, és nem érintik e jog lényegét. ( 19 ) Az eljárás felfüggesztése e tekintetben megoldást jelenthet annak elkerülése érdekében, hogy olyan, egymásnak ellentmondó határozatokat fogadjanak el, amelyek sérthetik a jogbiztonságot. ( 20 )

71.

A fenti megfontolások összessége alapján azt javaslom a Bíróságnak, hogy a Fővárosi Törvényszék (Magyarország) által előzetes döntéshozatalra előterjesztett kérdésekre a következő választ adja: