FŐTANÁCSNOK INDÍTVÁNYA
Az ismertetés napja: 2022. szeptember 20. ( 1 )
C‑252/21. sz. ügy
Meta platforms Inc., korábban Facebook Inc.,
Meta Platforms Ireland Limited, korábban Facebook Ireland Ltd.,
Facebook Deutschland GmbH
kontra
Bundeskartellamt,
a Verbraucherzentrale Bundesverband e.V.
részvételével
(az Oberlandesgericht Düsseldorf [düsseldorfi regionális felsőbíróság, Németország] által benyújtott előzetes döntéshozatal iránti kérelem)
„Előzetes döntéshozatal – (EU) 2016/679 rendelet – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – Közösségi hálózat – A 4. cikk 11. pontja – Az érintett »hozzájárulásának« fogalma – Erőfölényben lévő adatkezelő vállalkozásnak adott hozzájárulás – A 6. cikk (1) bekezdésének b)–f) pontja – Az adatkezelés jogszerűsége – Olyan szerződés teljesítéséhez szükséges adatkezelés, amelyben az érintett az egyik fél, illetve az adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelés – Az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges, az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges, illetve közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelés – A 9. cikk (1) bekezdése és a 9. cikk (2) bekezdésének e) pontja – A személyes adatok különleges kategóriái – Az érintett által kifejezetten nyilvánosságra hozott személyes adatok – Az 51–66. cikk – A nemzeti versenyhatóság hatáskörei – A személyes adatok védelmét ellenőrző nemzeti hatóságok hatásköreivel való összehangolás – A fő adatvédelmi hatóságétól eltérő tagállami székhelyű hatóság általi versenyjogi intézkedések elfogadása”
Bevezetés
|
1. |
A jelen előzetes döntéshozatal iránti kérelmet az Oberlandesgericht Düsseldorf (düsseldorfi regionális felsőbíróság, Németország) előtt a Meta Platforms csoport ( 2 ) társaságai és a Bundeskartellamt (szövetségi versenyhatóság, Németország) között azon határozat tárgyában folyamatban lévő jogvita keretében terjesztették elő, amellyel ez utóbbi megtiltotta az alapeljárás felperese számára a Facebook közösségi hálózat felhasználási feltételeiben előírt adatok kezelését, valamint az említett felhasználási feltételek végrehajtását, és e tevékenységek megszüntetésére irányuló intézkedéseket írt elő. ( 3 ) |
|
2. |
Az előzetes döntéshozatalra előterjesztett kérdések lényegében egyrészt arra vonatkoznak, hogy a Bundeskartellamthoz hasonló nemzeti versenyhatóságok hatásköre kiterjed‑e arra, hogy elsődlegesen vagy járulékosan megvizsgálják valamely vállalkozás magatartását az az (EU) 2016/679 rendelet ( 4 ) egyes rendelkezéseinek fényében, másrészt pedig ezen rendelkezéseknek – különösen a különleges személyes adatok kezelése, valamint a személyes adatok kezelésének jogszerűsége és az erőfölényben lévő adatkezelő vállalkozásnak adott önkéntes hozzájárulás szempontjából releváns feltételeknek – az értelmezésére vonatkoznak. |
Jogi háttér
Az uniós jog
|
3. |
Az általános adatvédelmi rendelet 4. cikke előírja: „E rendelet alkalmazásában: […]
[…]” |
|
4. |
E rendeletnek „Az adatkezelés jogszerűsége” című 6. cikke (1) bekezdésének szövege a következő: „A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
Az első albekezdés f) pontja nem alkalmazandó a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.” |
|
5. |
Az említett rendeletnek „A személyes adatok különleges kategóriáinak kezelése” című 9. cikkének (1) és (2) bekezdése a következőképpen rendelkezik: „(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos. (2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha:
[…]
[…]” |
|
6. |
Ugyanezen rendeletnek a „Felügyeleti hatóság” című 51. cikke, amely e rendeletnek „A független felügyeleti hatóságok” című VI. fejezetében található, a következőket mondja ki: „(1) A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam előírja, hogy e rendelet alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv […] felel. (2) Minden felügyeleti hatóság elősegíti e rendeletnek az Unió egész területén történő egységes alkalmazását. A felügyeleti hatóságok e célból együttműködnek egymással és a Bizottsággal, a VII. fejezettel összhangban. […]” |
A német jog
|
7. |
A Gesetz gegen Wettbewerbsbeschränkungen (a versenykorlátozás tilalmáról szóló törvény, a továbbiakban: GWB) 19. §‑ának (1) bekezdése a következőképpen rendelkezik: „Tilos a piaci erőfölény egy vagy több vállalkozás általi visszaélésszerű kihasználása.” ( 5 ) |
|
8. |
A GWB 50f. §‑a kimondja: „(1) A versenyhatóságok, a szabályozó hatóságok, a szövetségi adatvédelmi és információszabadság‑ügyi biztos, a regionális adatvédelmi tisztviselők és az EU‑Verbraucherschutzdurchführungsgesetz [az uniós fogyasztóvédelmi törvény végrehajtásáról szóló törvény] 2. cikke szerinti illetékes hatóságok a választott eljárástól függetlenül információkat cserélhetnek egymással, beleértve a személyes adatokat, valamint a kereskedelmi és üzleti titkokat is, amennyiben ez feladataik ellátásához szükséges, és ezeket az információkat az eljárásaik során felhasználhatják. […]” |
Az alapeljárás, az előzetes döntéshozatalra előterjesztett kérdések és a Bíróság előtti eljárás
|
9. |
A Meta Platforms működteti az Európai Unióban a „Facebook” online közösségi hálózat kínálatát (a www.facebook.com címen), valamint további online szolgáltatásokat, közöttük az Instagramot és a WhatsAppot. A Meta Platforms által működtetett közösségi hálózatok üzleti modellje lényegében abban áll, hogy egyrészt ingyenesen kínálnak közösségi hálózati szolgáltatásokat a magánfelhasználók számára, másrészt pedig online hirdetéseket értékesítenek, amelyek a közösségi hálózat egyes felhasználóira vannak szabva, és arra irányulnak, hogy olyan hirdetéseket jelenítsenek meg a felhasználó számára, amelyek – többek között – személyes fogyasztási szokásai, érdeklődési köre, vásárlóereje és élethelyzete alapján érdekelhetik őt. Az ilyen típusú hirdetés technikai alapját a hálózat felhasználóinak és a csoport által kínált online szolgáltatások igen részletes profiljainak automatikus létrehozása adja. ( 6 ) |
|
10. |
A felhasználók adatainak gyűjtését és kezelését a Meta Platforms a felhasználóival a „regisztráció” gomb megnyomásával kötött felhasználói szerződésre alapozza, amelynek révén a felhasználók elfogadják a Facebook felhasználási feltételeit. E felhasználási feltételek elfogadása a Facebook közösségi hálózat használatának elengedhetetlen feltételét képezi. ( 7 ) A jelen ügy központi kérdését az a gyakorlat képezi, amely először is a csoport más szolgáltatásaiból származó adatoknak, valamint harmadik weboldalakról és alkalmazásokból, az azokba beépített interfészeken keresztül, vagy a felhasználó számítógépén, illetve mobileszközén tárolt cookie‑kon keresztül kinyert adatoknak a gyűjtéséből, másodszor pedig ezen adatoknak az érintett felhasználó Facebook‑fiókjával való összekapcsolásából, harmadszor pedig az említett adatok felhasználásából áll (a továbbiakban: a vitatott gyakorlat). |
|
11. |
A Bundeskartellamt eljárást indított a Meta Platforms ellen, amelyet követően a vitatott határozattal megtiltotta az utóbbi számára a Facebook felhasználási feltételei szerinti adatkezelést, valamint e feltételek végrehajtását, és e tevékenységek megszüntetésére irányuló intézkedéseket írt elő számára. A Bundeskartellamt határozatát különösen azzal indokolta, hogy a szóban forgó adatkezeléssel e társaság a GWB 19. §‑a értelmében a németországi magánfelhasználóknak szánt közösségi hálózatok piacán fennálló erőfölényét visszaélésszerűen kihasználta. ( 8 ) |
|
12. |
2019. február 11‑én a Meta Platforms a vitatott határozattal szemben keresetet nyújtott be a kérdést előterjesztő Oberlandesgericht Düsseldorf‑hoz (düsseldorfi regionális felsőbíróság), ( 9 ) amely alapvetően kétségeket táplál egyrészt afelől, hogy a nemzeti versenyhatóságok ellenőrizhetik, hogy az adatkezelés megfelel‑e az általános adatvédelmi rendeletben megfogalmazott követelményeknek, valamint hogy megállapíthatják és szankcionálhatják e rendelet rendelkezéseinek megsértését, másrészt pedig e rendelet bizonyos rendelkezéseinek értelmezése és alkalmazása felől. |
|
13. |
E körülmények között az Oberlandesgericht Düsseldorf (düsseldorfi regionális felsőbíróság, Németország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
A hetedik kérdésre adandó igenlő válasz esetén a harmadik, negyedik és ötödik kérdésre a vállalatcsoport Instagram szolgáltatásának igénybevételéből származó adatok tekintetében kell választ adni.” |
|
14. |
Írásbeli észrevételeket a Meta Platforms, a német, a cseh, az olasz és az osztrák kormány, a Bundeskartellamt, a Verbraucherzentrale Bundesverband e.V. (fogyasztói központok országos szövetsége bejegyzett egyesület, Németország), valamint az Európai Bizottság terjesztett elő. E felek a 2022. május 10‑én tartott tárgyaláson szóbeli észrevételeket is előterjesztettek. |
Elemzés
|
15. |
A jelen ügy tárgyát képező, az általános adatvédelmi rendelet több rendelkezésének értelmezésével kapcsolatban előzetes döntéshozatalra előterjesztett kérdések lényegében először is a versenyhatóságoknak a személyes adatok kezelésére vonatkozó szabályok megsértésének megállapítására és szankcionálására vonatkozó hatáskörére, valamint az általános adatvédelmi rendelet értelmében vett fő hatósággal való együttműködési kötelezettségeire (előzetes döntéshozatalra előterjesztett első és hetedik kérdés), másodszor a különleges személyes adatok kezelésének tilalmára, és a felhasználásukhoz való hozzájárulás alkalmazandó feltételeire (előzetes döntéshozatalra előterjesztett második kérdés), harmadszor a személyes adatok – bizonyos indokok alapján történő – kezelésének jogszerűségére (előzetes döntéshozatalra előterjesztett harmadik, negyedik és ötödik kérdés), és negyedszer az erőfölényben lévő adatkezelő vállalkozásnak a személyes adatok kezelésére vonatkozóan adott hozzájárulás érvényességére (előzetes döntéshozatalra előterjesztett hatodik kérdés) vonatkoznak. |
|
16. |
A következő pontokban először az első és a hetedik kérdést fogom tárgyalni, majd a többi kérdéssel foglalkozom abban a sorrendben, ahogyan azokat feltették; a harmadik, a negyedik és az ötödik kérdést összevontan vizsgálom. |
Az előzetes döntéshozatalra előterjesztett első kérdésről
|
17. |
Előzetes döntéshozatalra előterjesztett első kérdésével az előterjesztő bíróság lényegében arra keresi a választ, hogy amennyiben valamely versenyhatóság a versenyszabályokba ütköző jogsértéseket vizsgál, hozhat‑e egyrészt elsődlegesen annak megállapítására vonatkozó ( 10 ) határozatot, hogy az általános adatvédelmi rendelet adatkezelési szabályait megsértette egy olyan vállalkozás, amelynek a személyes adatok kezelése tekintetében az Unió egész területére vonatkozóan kizárólagos hatáskörrel rendelkező központja egy másik tagállamban van, és másrészt elrendelheti‑e e jogsértés megszüntetését (az első kérdés a) pontja), és ha igen, akkor az általános adatvédelmi rendelet 56. cikkének (1) bekezdése alapján hatáskörrel rendelkező fő felügyeleti hatóság rendelkezik‑e hatáskörrel arra, hogy az ezen vállalkozás által végzett adatkezelési feltételeket további vizsgálat alá vonja (az első kérdés b) pontja]. |
|
18. |
Mindazonáltal – a kérdést előterjesztő bíróság általi vizsgálat függvényében – úgy tűnik számomra, hogy a Bundeskartellamt a vitatott határozatban nem szankcionálta az általános adatvédelmi rendelet Meta Platforms általi megsértését, hanem kizárólag a versenyszabályok alkalmazása céljából a Meta Platforms erőfölénnyel való állítólagos visszaélését vizsgálta, figyelembe véve többek között azt, hogy e vállalkozás magatartása nem felelt meg az általános adatvédelmi rendelet rendelkezéseinek. |
|
19. |
Ennélfogva álláspontom szerint hatástalan az első kérdés a) pontja, amennyiben az a versenyhatóság azon lehetőségére vonatkozik, hogy elsődlegesen az általános adatvédelmi rendelet szabályainak megsértéséről hozzon határozatot, és elrendelje az e rendelet értelmében vett jogsértés megszüntetését. ( 11 ) |
|
20. |
Ebből következik, hogy az első kérdés b) pontja, amely az első kérdés a) pontjára adott igenlő választól függ, szintén hatástalan. ( 12 ) |
Az előzetes döntéshozatalra előterjesztett hetedik kérdésről
|
21. |
Előzetes döntéshozatalra előterjesztett hetedik kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy valamely versenyhatóság a versenyjogi szabályok megsértésének vizsgálata során járulékos jelleggel ( 13 ) tehet‑e megállapításokat azzal kapcsolatban, hogy az adatkezelés feltételei és azok végrehajtása megfelelnek‑e az általános adatvédelmi rendeletnek (a hetedik kérdés a) pontja), és ha igen, a versenyhatóság akkor is elvégezheti‑e erre vonatkozó elemzését, ha az illetékes fő felügyeleti hatóság ezzel egyidejűleg vizsgálati eljárást folytat ezen feltételek tárgyában (a hetedik kérdés b) pontja). |
|
22. |
Ami először is a hetedik kérdés a) pontját illeti, úgy vélem, hogy noha valamely versenyhatóság nem rendelkezik hatáskörrel az általános adatvédelmi rendelet megsértésének megállapítására, ( 14 ) az általános adatvédelmi rendelettel főszabály szerint nem ellentétes az, hogy a felügyeleti hatóságoktól eltérő hatóságok a saját hatásköreik és jogkörük gyakorlása során járulékosan figyelembe vehessék valamely magatartásnak az általános adatvédelmi rendelet rendelkezéseivel való összeegyeztethetőségét. Véleményem szerint éppen ez a helyzet áll fenn, amikor a versenyhatóság az EUMSZ 102. cikk és az 1/2003/EK rendelet ( 15 ) 5. cikkének első bekezdése vagy bármely más vonatkozó nemzeti szabály által ráruházott hatásköröket gyakorolja. ( 16 ) |
|
23. |
Hatáskörének gyakorlása során ugyanis a versenyhatóságnak többek között azt kell értékelnie, hogy a vizsgált magatartás az érdemeken alapuló verseny alapjául szolgálóktól eltérő eszközök igénybevételét jelenti‑e, figyelembe véve azt a jogi és gazdasági környezetet, amelybe e magatartás illeszkedik. ( 17 ) E tekintetben az, hogy az említett magatartás megfelel‑e vagy sem az általános adatvédelmi rendelet rendelkezéseinek, ha nem is önmagában, de az adott ügy valamennyi körülményét figyelembe véve fontos valószínűsítő körülmény lehet annak megállapítása során, hogy e magatartás a rendes versenyt meghatározó eszközök igénybevételének minősül‑e, ugyanakkor pontosítani szükséges, hogy az, hogy valamely magatartás az EUMSZ 102. cikk értelmében visszaélésszerűnek minősül‑e vagy sem, nem függ össze azzal, hogy az általános adatvédelmi rendeletnek, illetve más jogszabályoknak megfelel‑e vagy sem. ( 18 ) |
|
24. |
Ennélfogva úgy vélem, hogy a piaci erőfölénnyel való visszaélés vizsgálata igazolhatja a versenyjog hatálya alá nem tartozó olyan normáknak a versenyhatóság általi értelmezését, mint az általános adatvédelmi rendelet, ( 19 ) annak pontosítása mellett, hogy az ilyen vizsgálatra eseti jelleggel kerülhet sor, ( 20 ) és az nem érinti e rendeletnek az illetékes felügyeleti hatóságok általi alkalmazását. ( 21 ) |
|
25. |
Másodszor, ami a hetedik kérdés b) pontját illeti, a kérdést előterjesztő bíróság azt a kérdést veti fel, hogy a versenyhatóságnak milyen kötelezettségei vannak az EUSZ 4. cikk (3) bekezdésében foglalt lojális együttműködés elvének alkalmazása keretében, amikor az általános adatvédelmi rendelet rendelkezéseit értelmezi az e rendelet szerint hatáskörrel rendelkező fő felügyeleti hatósággal szemben, közelebbről akkor, ha a versenyhatóság által vizsgált ugyanazon magatartás képezi a felügyeleti hatóság által végzett vizsgálat tárgyát. |
|
26. |
A jelen ügyben az, hogy valamely vállalkozás magatartását az általános adatvédelmi rendelet szabályai alapján vizsgálja egy versenyhatóság – még ha járulékosan is –, azzal a kockázattal jár, hogy e hatóság és a felügyeleti hatóságok eltérően értelmezik e rendeletet, ami elvben sértheti az általános adatvédelmi rendelet egységes értelmezését. ( 22 ) |
|
27. |
Az uniós jog nem ír elő részletes szabályokat ilyen helyzetre a versenyhatóság és az általános adatvédelmi rendelet szerinti felügyeleti hatóságok közötti együttműködéssel kapcsolatban. Konkrétabban, a jelen ügyben sem az általános adatvédelmi rendelet alkalmazása során az e rendelet szerint illetékes hatóságok között fennálló együttműködési mechanizmus, ( 23 ) sem olyan, a közigazgatási hatóságok közötti együttműködésre vonatkozó egyéb pontos szabályok nem alkalmazhatók, mint amelyek a versenyszabályok alkalmazása során a versenyhatóságok egymás közötti, valamint e hatóságoknak a Bizottsággal való együttműködését szabályozzák. ( 24 ) |
|
28. |
Mindemellett az általános adatvédelmi rendelet értelmezése során a versenyhatóságot köti az EUSZ 4. cikk (3) bekezdésében foglalt lojális együttműködés elve, amelynek értelmében az Unió és a tagállamok – ideértve a közigazgatási hatóságaikat is – ( 25 ) kölcsönösen tiszteletben tartják és segítik egymást a Szerződésekből eredő feladatok végrehajtásában. E rendelkezés harmadik albekezdése kimondja, hogy a tagállamok segítik az Uniót feladatainak teljesítésében, és tartózkodnak minden olyan intézkedéstől, amely veszélyeztetheti az Unió célkitűzéseinek megvalósítását. ( 26 ) Ezenkívül, az uniós jog alkalmazásáért felelős valamennyi hatósághoz hasonlóan a versenyhatóságot is köti a gondos ügyintézés elve, amely általános uniós alapelv, és többek között a nemzeti hatóságok átfogó gondossági és gondoskodási kötelezettségét foglalja magában. ( 27 ) |
|
29. |
Ily módon, az együttműködési mechanizmusokra vonatkozó pontos szabályok hiányában, amelyeket esetlegesen az uniós jogalkotónak kell elfogadnia, az általános adatvédelmi rendelet rendelkezéseinek értelmezése során a versenyhatóságot – legalább az e rendelet értelmében illetékességgel rendelkező hatóságokkal szemben – információs, tájékoztatási és együttműködési kötelezettség terheli a hatásköreit szabályozó nemzeti szabályok (a tagállamok eljárási autonómiájának elve) alkalmazása során, valamint az egyenértékűség és a tényleges érvényesülés elvének tiszteletben tartása mellett. ( 28 ) |
|
30. |
Véleményem szerint ebből az következik, hogy amikor az illetékes fő felügyeleti hatóság ugyanazon vagy hasonló gyakorlat vonatkozásában az általános adatvédelmi rendelet egyes rendelkezéseinek alkalmazásáról határozott, a versenyhatóság főszabály szerint nem térhet el ezen – e rendelet alkalmazására kizárólagos hatáskörrel rendelkező – hatóság értelmezésétől, ( 29 ) és amennyiben lehetséges – valamint tiszteletben tartva különösen az érintett személyek védelemhez való jogát – betartja az e hatóság által ugyanazon magatartásra vonatkozóan esetlegesen hozott határozatokat, ( 30 ) és ha adott esetben kétségek merülnek fel a hatáskörrel rendelkező hatóság által adott értelmezéssel kapcsolatban, konzultációt folytat vele, továbbá amennyiben kétségei támadnak az illetékes hatóságnak az adott ügyre vonatkozó értelmezésével kapcsolatban, az említett hatósággal, illetve, amennyiben másik tagállam hatóságáról van szó, a nemzeti felügyeleti hatósággal folytat konzultációt. ( 31 ) |
|
31. |
Ezenkívül az illetékes felügyeleti hatóság határozatának hiányában a versenyhatóságnak ugyanakkor tájékoztatnia kell e hatóságot, ( 32 ) és együtt kell működnie vele akkor, ha e hatóság megkezdte ugyanazon gyakorlat vizsgálatát, vagy kinyilvánította erre irányuló szándékát, és adott esetben meg kell várnia az e hatóság által végzett vizsgálat befejezését, mielőtt megkezdené saját értékelését, amennyiben ez helyénvaló, és azzal a versenyhatóság nem sérti különösen az észszerű határidőre vonatkozó követelményt, valamint az érintett személyek védelemhez való jogát. ( 33 ) |
|
32. |
A jelen ügyben úgy tűnik számomra, hogy az, hogy a Bundeskartellamt hivatalos együttműködést kezdeményezett a nemzeti szintű felügyeleti hatóságokkal, ( 34 ) és informálisan az ír fő felügyeleti hatósággal is kapcsolatba lépett – az általa hivatkozottak szerint, amely körülmények ellenőrzése a kérdést előterjesztő bíróság feladata –, elegendő lehet annak megállapításához, hogy ez a hatóság eleget tett a gondossági és a lojális együttműködési kötelezettségének. ( 35 ) |
|
33. |
Következésképpen azt javaslom, hogy a Bíróság az előzetes döntéshozatalra előterjesztett hetedik kérdésre azt a választ adja, hogy az általános adatvédelmi rendelet 51–66. cikkét úgy kell értelmezni, hogy a versenyhatóság a versenyjogi szabályok értelmében vett hatáskörei keretében járulékos jelleggel vizsgálhatja az általa vizsgált magatartásoknak az általános adatvédelmi rendelet szabályaival való összeegyeztethetőségét, amellett hogy figyelembe veszi az általános adatvédelmi rendelet szerint illetékes felügyeleti hatóság valamennyi határozatát, illetve vizsgálatát, tájékoztatja a nemzeti felügyeleti hatóságot, és adott esetben konzultál vele. |
Az előzetes döntéshozatalra előterjesztett második kérdésről
|
34. |
Előzetes döntéshozatalra előterjesztett második kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 9. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy a vitatott gyakorlat, amennyiben az harmadik weboldalak és alkalmazások megtekintésére vonatkozik, ( 36 ) a felsorolt ( 37 ) különleges személyes adatok kezelésének körébe tartozik, ami tilos ( 38 ) (a második kérdés a) pontja), és amennyiben igen, úgy kell‑e értelmezni az e rendelet 9. cikke (2) bekezdésének e) pontját, hogy a felhasználó – e rendelkezés értelmében véve – kifejezetten nyilvánosságra hozza azokat az adatokat, amelyek egyrészt weboldalak és alkalmazások megnyitásával fed fel, illetve másrészt az e weboldalakon vagy alkalmazásokban ad meg, vagy az utóbbiakba beépített választható gombok aktiválásával oszt meg ( 39 ) (a második kérdés b) pontja). |
|
35. |
Ami először is a második kérdés a) pontját illeti, emlékeztetek arra, hogy az általános adatvédelmi rendelet 9. cikkének (1) bekezdése értelmében tilos a különleges személyes adatok kezelése. Ezen adatok egyedi védelmét az a tény indokolja – amint az e rendelet (51) preambulumbekezdéséből kitűnik –, hogy az alapvető jogok és szabadságok szempontjából természetüknél fogva különösen érzékeny adatokról van szó, és e jogokra és szabadságokra nézve a kezelésük jelentős kockázatot hordozhat. Ezenkívül, annak ellenére, hogy e rendelkezés megfogalmazása kissé homályos, ( 40 ) számomra nem tűnik úgy, hogy e rendelkezés – amint azt a kérdést előterjesztő bíróság feltételezi – lényeges különbséget tenne azon személyes adatok között, amelyek amiatt számítanak érzékenynek, mert egy bizonyos helyzetre „utalnak”, és azon adatok között, amelyek önmagukban érzékenynek minősülnek. ( 41 ) |
|
36. |
A jelen ügyben véleményem szerint nyilvánvaló, hogy a vitatott gyakorlat személyes adatok kezelésének minősül, amely főszabály szerint e rendelkezés hatálya alá tartozik és tilos, amennyiben a kezelt adatok az e rendelkezésben felsorolt érzékeny helyzetek egyikére utalnak. Meg kell tehát határozni, hogy weboldalak és alkalmazások megnyitása, illetve az adatoknak az e felületeken történő megadása utalhat‑e – és ha igen mennyiben – a szóban forgó rendelkezésben szereplő érzékeny helyzetek valamelyikére. |
|
37. |
E tekintetben kétlem, hogy jelentősége lenne aszerint különbséget tenni (bár továbbra is lehetséges), hogy az adatok egyszerűen az érintett személy bizonyos információk iránti érdeklődését tükrözik, vagy hogy a szóban forgó rendelkezésben szereplő kategóriába tartozó, e személyre vonatkozó különleges adatról van szó. ( 42 ) Noha az alapeljárásban részt vevő felek között véleménykülönbség van e tekintetben, ( 43 ) úgy gondolom, hogy erre a kérdésre csak a vitatott gyakorlat részét képező tevékenységek egyesével történő eseti vizsgálata útján lehet választ adni. |
|
38. |
Noha – amint arra a német kormány rámutat – valamely weblap vagy alkalmazás megnyitásával kapcsolatos különleges személyes adatok egyszerű gyűjtése önmagában nem feltétlenül minősül az e rendelkezés értelmében vett személyes adatok kezelésének, ( 44 ) ezen adatoknak az érintett felhasználó Facebook‑fiókjával való összekapcsolása vagy felhasználása ezzel szemben olyan magatartásnak tekinthetők, amelyek könnyen ilyen adatkezelésnek minősülhetnek. Az általános adatvédelmi rendelet 9. cikke (1) bekezdésének alkalmazása szempontjából véleményem szerint az a döntő tényező, hogy a kezelt adatok lehetővé teszik az e rendelkezésben felsorolt különleges személyes adatok kategóriái szerinti profilalkotást. ( 45 ) |
|
39. |
Ebben az összefüggésben ahhoz, hogy el lehessen dönteni, hogy az adatkezelés e rendelkezés hatálya alá tartozik‑e, hasznos lehet adott esetben különbséget tenni egyrészt azon adatok kezelése között, amelyek első ránézésre a különleges személyes adatok kategóriájába sorolhatók, és amelyek önmagukban lehetővé teszik az érintett személyre vonatkozó profilalkotást, másrészt pedig azon adatok kezelése között, amelyek önmagukban nem érzékenyek, hanem további csoportosításukra van szükség ahhoz, hogy az érintett személy profiljára vonatkozóan hihető következtetéseket lehessen levonni. |
|
40. |
Ezzel együtt pontosítani szükséges, hogy az e rendelkezés szerinti kategorizálás független attól a kérdéstől, hogy e kategorizálás fedi‑e a valóságot vagy helyes‑e. ( 46 ) Ami számít, az annak a lehetősége – amint arra az általános adatvédelmi rendelet (51) preambulumbekezdése emlékeztet –, hogy az ilyen kategorizálás jelentős kockázatot hordozhat az érintett személy alapvető jogaira és szabadságaira nézve, amely lehetőség független annak igazságtartalmától. |
|
41. |
Végül, ami a kérdést előterjesztő bíróság arra irányuló kérdését illeti, hogy a szóban forgó értékelés szempontjából releváns‑e a felhasználás célja, ( 47 ) az alapeljárás felperesével ellentétben úgy vélem, hogy főszabály szerint nem követelmény, hogy az adatkezelő ezeket az adatokat „tudatosan és azzal a szándékkal kezelje, hogy azokból közvetlenül az adatok különleges kategóriáit nyerje ki”. A szóban forgó rendelkezés célja ugyanis lényegében az, hogy objektív módon elhárítsa az érintettek alapvető jogait és szabadságait fenyegető, a különleges személyes adatok feldolgozása által hordozott jelentős kockázatokat – függetlenül minden olyan szubjektív tényezőtől, mint az adatkezelő szándéka. |
|
42. |
Ami másodszor a második kérdés b) pontját illeti, emlékeztetek arra, hogy az általános adatvédelmi rendelet 9. cikke (2) bekezdésének e) pontja értelmében a különleges személyes adatok kezelésének tilalma nem alkalmazandó, ha az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott. Ezenkívül az e rendelkezés szövegében szereplő, a „kifejezetten” határozószóra való utalás, valamint az a tény, hogy az említett rendelkezés kivételt képez a különleges személyes adatok kezelésének tilalma alól, ( 48 ) e kivétel különösen szigorú alkalmazását követeli meg az érintettek alapvető jogait és szabadságait érintő jelentős kockázatok miatt. ( 49 ) Ahhoz, hogy e kivétel alkalmazható legyen, a felhasználónak véleményem szerint teljes mértékben tisztában kell lennie azzal, hogy kifejezett cselekvése útján ( 50 ) személyes adatokat hoz nyilvánosságra. ( 51 ) |
|
43. |
A jelen ügyben úgy tűnik számomra, hogy a weboldalak és alkalmazások megnyitásával, az adatoknak ezeken a felületeken történő megadásával, valamint az ezen oldalakba, illetve alkalmazásokba beépített kiválasztási gombok aktiválásával megvalósuló magatartást főszabály szerint nem lehet olyan magatartásnak tekinteni, amellyel a felhasználó a különleges személyes adatait az általános adatvédelmi rendelet 9. cikke (2) bekezdésének e) pontja értelmében kifejezetten nyilvánosságra hozza. |
|
44. |
Különösen rámutatok arra, hogy főszabály szerint a weboldalak és az alkalmazások megnyitása csupán a weboldal, illetve az alkalmazás üzemeltetője, valamint az olyan harmadik felek számára teszi hozzáférhetővé a megtekintési adatokat, akiknek az üzemeltető továbbítja ezeket az információkat, mint például az alapeljárás felperesének. ( 52 ) Hasonlóképpen, bár az érintett közvetlen és önkéntes módon információkat oszthat meg egyes különleges személyes adatairól azáltal, hogy adatokat ad meg weboldalakon vagy alkalmazásokban, ezzel kapcsolatban is megjegyzem, hogy ezek az információk csak a szóban forgó weboldal vagy alkalmazás üzemeltetője számára, illetve azok számára érhetők el, akiknek az üzemeltető továbbítja azokat. Kizárom tehát, hogy az ilyen magatartások azon szándékról tanúskodnának, hogy ezeket az adatokat a közösség számára hozzáférhetővé tegyék. ( 53 ) Ezenkívül, bár nyilvánvaló, hogy a weboldalakba vagy alkalmazásokba beépített kiválasztási gombok aktiválásával ( 54 ) az érintett személy egyértelműen kifejezi azt a szándékát, hogy bizonyos információkat megosszon a szóban forgó weboldalon, illetve alkalmazáson kívüli közönséggel, úgy vélem – amint azt a Bundeskartellamt is hangsúlyozza –, hogy a szóban forgó személy e magatartása arra vonatkozó szándékát fejezi ki, hogy az információkat egy – gyakran maga a felhasználó által – meghatározott személyi körrel, ( 55 ) nem pedig a teljes közösséggel ossza meg. ( 56 ) |
|
45. |
Végül, ami a felhasználó által a 2002/58 irányelv 5. cikkének (3) bekezdése értelmében adott esetleges hozzájárulás relevanciáját illeti, ahhoz, hogy a személyes adatokat cookie‑k segítségével vagy hasonló technológiák útján gyűjteni lehessen – amint azt a kérdést előterjesztő bíróság felveti –, úgy vélem, hogy e hozzájárulás sajátos céljára tekintettel önmagában nem igazolhatja az ezen eszközökkel gyűjtött különleges személyes adatok kezelését. ( 57 ) Az említett hozzájárulás ugyanis, amely a felhasználó bizonyos tevékenységeit rögzítő technikai eszközök telepítéséhez szükséges, ( 58 ) nem érinti a különleges személyes adatok kezelését, és azt nem lehet egyenértékűnek tekinteni az ezen adatoknak az általános adatvédelmi rendelet 9. cikke (2) bekezdésének e) pontja értelmében vett kifejezett nyilvánosságra hozására irányuló szándékkal. ( 59 ) |
|
46. |
Következésképpen azt javaslom, hogy a Bíróság az előzetes döntéshozatalra előterjesztett második kérdésre azt a választ adja, hogy egyrészt az általános adatvédelmi rendelet 9. cikkének (1) bekezdését úgy kell értelmezni, hogy a különleges személyes adatok kezelésének tilalma kiterjedhet az online közösségi hálózat üzemeltetője által végzett adatkezelésre, amelynek keretében az üzemeltető összegyűjti a felhasználó adatait, amikor az más weboldalakat vagy alkalmazásokat nyit meg, illetve ott adatokat ad meg, az említett adatokat összekapcsolja a felhasználó közösségi fiókjával, valamint felhasználja ezeket az adatokat, feltéve, hogy a kezelt információk egyenként vagy csoportosítva lehetővé teszik a személyes adatoknak az e rendelkezésben felsorolt különleges kategóriái szerinti profilalkotást, és másrészt pedig úgy kell értelmezni, hogy a felhasználó nem hozza az általános adatvédelmi rendelet 9. cikke (2) bekezdésének e) pontja értelmében kifejezetten nyilvánosságra azokat az adatait, amelyeket weboldalak vagy alkalmazások megnyitásával fed fel, illetve az e weboldalakon vagy alkalmazásokban ad meg, illetve az utóbbiakba beépített választható gombok aktiválásával oszt meg. |
Az előzetes döntéshozatalra előterjesztett harmadik, negyedik és ötödik kérdésről
|
47. |
Előzetes döntéshozatalra előterjesztett harmadik, negyedik és ötödik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b), c), d), e) és f) pontját úgy kell‑e értelmezni, hogy a vitatott gyakorlat ( 60 ) az e rendelkezésekben előírt egyik igazoló ok hatálya alá tartozik, közelebbről:
|
|
48. |
Elöljáróban, az előzetes döntéshozatalra előterjesztett negyedik és ötödik kérdés elfogadhatóságával kapcsolatban felmerülő aggályok ellenére, ( 68 ) az előzetes döntéshozatalra előterjesztett harmadik, negyedik és ötödik kérdés együttes megválaszolását javaslom, mivel az elsősorban az előzetes döntéshozatalra előterjesztett harmadik kérdéssel kapcsolatban – amely a legalaposabban indokolt – alább kifejtendő észrevételeim az előzetes döntéshozatalra előterjesztett negyedik és ötödik kérdés tárgyát képező rendelkezések alkalmazása során is hasznosak lehetnek a kérdést előterjesztő bíróság számára. |
|
49. |
Elsődlegesen megjegyzem, hogy az Európai Unió Alapjogi Chartája (a továbbiakban: Charta) 8. cikkének megfelelően a személyes adatokat csak tisztességesen és jóhiszeműen, meghatározott célokra, a törvényben rögzített jogos okból lehet kezelni. E tekintetben az általános adatvédelmi rendelet 6. cikkének (1) bekezdése pontosítja, hogy ezen adatok kezelése csak akkor jogszerű, ha az e rendelkezésben meghatározott hat feltétel egyike teljesül. ( 69 ) |
|
50. |
A jelen ügyben mindenekelőtt úgy vélem, hogy az előzetes döntéshozatalra előterjesztett harmadik, negyedik és ötödik kérdés a Facebook felhasználási feltételeiben szereplő különböző kikötéseknek a vitatott gyakorlattal összefüggésben történő, eseti és részletes elemzését igényli, mivel nem lehet megállapítani, hogy e gyakorlat tekintetében „a [Meta Platformshoz] hasonló vállalkozás” általánosságban hivatkozhat‑e az általános adatvédelmi rendelet 6. cikkének (1) bekezdésében felsorolt valamennyi igazoló okra (vagy ezek némelyikére), még akkor sem, ha nem zárható ki, hogy az említett gyakorlat, illetve a vállalkozás egyes tevékenységei bizonyos esetekben e cikk hatálya alá tartozhatnak. ( 70 ) |
|
51. |
A hivatkozott rendelkezésekben előirányzott adatkezelés továbbá a jelen ügyben az adatkezelő által előírt általános szerződési feltételek alapján, az érintett hozzájárulása ( 71 ) nélkül – vagy akár akarata ellenére – történik, ami véleményem szerint a szóban forgó igazoló okok szigorú értelmezését igényli, többek között a hozzájárulásra vonatkozó feltétel kijátszásának elkerülése érdekében. ( 72 ) |
|
52. |
Végezetül emlékeztetek arra, hogy az általános adatvédelmi rendelet 5. cikke (2) bekezdésének megfelelően az adatkezelőre hárul annak bizonyítása, hogy a személyes adatokat e rendelet normáinak megfelelően kezelik, és hogy az említett rendelet 13. cikke (1) bekezdésének c) pontja értelmében a személyes adatok kezelője köteles megjelölni az adatkezelés tervezett célját, valamint jogalapját. |
Az előzetes döntéshozatalra előterjesztett harmadik kérdésről
|
53. |
Először is, az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b) pontja szerint a személyes adatok kezelése jogszerű, amennyiben olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél. ( 73 ) |
|
54. |
E tekintetben emlékeztetek arra, hogy a „szükségesség” fogalmát az uniós jog nem határozza meg, azonban az ítélkezési gyakorlat szerint az az uniós jog önálló fogalmát képezi. ( 74 ) Ahhoz, hogy az adatkezelés a szerződés teljesítéséhez szükségesnek minősüljön, nem elegendő, ha azt a szerződés teljesítésének alkalmával végzik el, vagy hogy az adatkezelésről a szerződés említést tesz, ( 75 ) ahogy az sem, ha az a szerződés teljesítése szempontjából szimplán hasznos. ( 76 ) A Bíróság ítélkezési gyakorlata szerint az adatkezelésnek objektíve szükségesnek kell lennie a szerződés teljesítéséhez abban az értelemben, hogy nem állhat rendelkezésre más reális és kevésbé beavatkozó jellegű megoldás, ( 77 ) figyelembe véve az érintettet érő sérelem észszerű mértékét is. ( 78 ) Ez azt is magában foglalja, hogy amennyiben a szerződés több szolgáltatásból vagy ugyanazon szolgáltatás különböző elemeiből áll, amelyek egymástól függetlenül teljesíthetők, az általános adatvédelmi rendelet 6. cikke (1) bekezdése b) pontjának alkalmazhatóságát minden egyes szolgáltatással összefüggésben külön–külön kell értékelni. ( 79 ) |
|
55. |
Ezen igazolás keretében a kérdést előterjesztő bíróság a tartalmak személyre szabására, valamint a csoport termékeinek (vagy inkább szolgáltatásainak) egységes és zökkenőmentes használatára hivatkozik. |
|
56. |
Ami a tartalmak személyre szabását illeti, számomra úgy tűnik, hogy bár az ilyen tevékenység bizonyos mértékig a felhasználó érdekében is állhat, mivel többek között a „Newsfeed‑ben” olyan tartalmak megjelenítését teszi lehetővé, amelyek az automatikus értékelés szerint a felhasználó érdeklődési körét tükrözik, nem egyértelmű, hogy ez a szóban forgó közösségi hálózati szolgáltatás nyújtásához is szükséges lenne, tehát a személyes adatok e célból történő kezelése ne igényelné e felhasználó hozzájárulását. ( 80 ) E vizsgálat során azt is figyelembe kell venni, hogy a vitatott gyakorlat nem a felhasználónak a Facebook‑oldalon vagy ‑alkalmazáson belüli magatartásával összefüggő adatok kezelésére vonatkozik, hanem külső forrásból származó, tehát potenciálisan korlátlan mennyiségű adat kezelésére. Felmerül tehát a kérdés, hogy az ilyen adatkezelés mennyiben felelhet meg az átlagos felhasználó elvárásainak, és általánosabban, hogy a „személyre szabottság” milyen szintjét várhatja el attól a szolgáltatástól, amelyre regisztrál. ( 81 ) |
|
57. |
Ami a csoport szolgáltatásainak egységes és zökkenőmentes használatát illeti, megjegyzem, hogy az alapeljárás felperese által kínált különböző szolgáltatások – például a Facebook és az Instagram – közötti kapcsolat kétségkívül hasznos lehet a felhasználó számára, sőt akár előnyben is részesítheti azt. Ugyanakkor kétlem, hogy a csoport más szolgáltatásaiból (többek között az Instagramból) származó személyes adatok kezelése szükséges lenne a Facebook‑szolgáltatások nyújtásához. ( 82 ) |
|
58. |
Másodszor, az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontja szerint a személyes adatok kezelése jogszerű, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. |
|
59. |
A Bíróság ítélkezési gyakorlata szerint a szóban forgó rendelkezés három együttes feltételhez rendeli a személyes adatok kezelésének jogszerűségét: az első feltétel az adatkezelő, vagy az adatokat megkapó harmadik fél vagy felek jogos érdekének érvényesítése, a második feltétel az, hogy a személyes adatok kezelése valamely jogos érdek érvényesítéséhez szükséges, a harmadik pedig, hogy az adatvédelemmel érintett személy alapvető jogai és szabadságai nem magasabb rendűek. ( 83 ) |
|
60. |
Ami először is a jogos érdek fennállását illeti, emlékeztetek arra, hogy az általános adatvédelmi rendelet és az ítélkezési gyakorlat a jogosnak tekintett érdekek széles körét ismeri el, ( 84 ) ugyanakkor pontosítani kell, hogy az általános adatvédelmi rendelet 13. cikke (1) bekezdése d) pontjának megfelelően az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontján alapuló adatkezelés esetében az adatkezelőnek kell megjelölnie a hivatkozott jogos érdekeket. ( 85 ) |
|
61. |
Továbbá, azt a feltételt illetően, amely szerint a személyes adatok kezelésének valamely jogos érdek érvényesítéséhez szükségesnek kell lennie, a Bíróság ítélkezési gyakorlata szerint a személyes adatok védelmének elve alóli kivételeknek és ezen elv korlátozásainak a feltétlenül szükséges határokon belül kell maradniuk. ( 86 ) Így tehát – a személyes adatok védelmét jobban tiszteletben tartó alternatívák hiányában – az adatkezelés és az érvényesíteni kívánt érdek között szoros kapcsolatnak kell fennállnia, mivel nem elegendő, ha az adatkezelési művelet egyszerűen csak hasznos az adatkezelő számára. |
|
62. |
Végezetül, az adatkezelő érdekei, valamint az érintett érdekei, illetve alapvető jogai és szabadságai közötti mérlegelést illetően, a Bíróság ítélkezési gyakorlatának értelmében a kérdést előterjesztő bíróság feladata a szóban forgó érdekek egymással szembeni mérlegelése. ( 87 ) Ezenkívül, amint azt az általános adatvédelmi rendelet (47) preambulumbekezdése kimondja, e mérlegelés során mindenképpen figyelembe kell venni az adatkezelővel való kapcsolata alapján az érintett észszerű elvárásait, és meg kell vizsgálni, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat‑e észszerűen arra, hogy adatkezelésre az adott célból kerülhet sor. |
|
63. |
Ezen igazoló okkal összefüggésben a kérdést előterjesztő bíróság a hirdetések személyre szabását, a hálózat biztonságát és a termékek fejlesztését említi. |
|
64. |
Ami először is a hirdetések személyre szabását illeti, az általános adatvédelmi rendelet (47) preambulumbekezdéséből kitűnik, hogy a személyes adatok közvetlen üzletszerzési célú (direkt marketing) kezelése úgy tekinthető, hogy az az adatkezelő jogos érdekén alapul. Mindazonáltal az adatkezelés szükségességét illetően meg kell állapítani, hogy a szóban forgó adatok a Facebookon kívüli forrásokból származnak, és így felmerül a kérdés, hogy mi a „személyre szabottság” e tekintetben objektíve szükséges mértéke. A szóban forgó érdekek mérlegelését illetően véleményem szerint figyelembe kell venni a szóban forgó jogos érdek jellegét (a jelen ügyben egy tisztán gazdasági érdeket), valamint az adatkezelés által a felhasználóra gyakorolt hatást, ideértve a felhasználót ért sérelem észszerű mértékét, és az adatkezelő által hozott esetleges védintézkedéseket is. ( 88 ) |
|
65. |
Hasonló megfontolások tehetők a hálózat biztonságát illetően is. Ugyanis, bár ez az igazoló ok az adatkezelő jogos érdekének minősülhet, ( 89 ) kevésbé egyértelmű annak megállapítása, hogy az adatkezelés a jelen ügyben szükséges, figyelembe véve azt is, hogy a szóban forgó adatok a Facebookon kívüli forrásokból származnak. ( 90 ) Mindenesetre emlékeztetek arra, hogy az adatkezelőnek kell meghatároznia az egyes adatkezelési műveletek alapjául szolgáló biztonsági célokat. |
|
66. |
Végül, ami a termékfejlesztést illeti, ha ebből a körből a biztonsági fejlesztések ki vannak zárva, amelyekre a fent vizsgált igazoló ok vonatkozik, úgy tűnik számomra, hogy ez az igazoló ok inkább a felhasználó, mintsem az adatkezelő érdekét szolgálja. Ily módon nehezen érthető, hogyan minősülhetne az adatkezelő jogos érdekének, és miért ne lenne szükség a felhasználó hozzájárulására. A szükségesség feltételét és a szóban forgó jogok és érdekek mérlegelését illetően visszautalok a fenti megfontolásokra. |
Az előzetes döntéshozatalra előterjesztett negyedik és ötödik kérdésről
|
67. |
Az előzetes döntéshozatalra előterjesztett negyedik kérdésével, amely lényegében az előzetes döntéshozatalra előterjesztett harmadik kérdés második részének kiterjesztése, az előterjesztő bíróság azt kívánja megtudni, hogy az általa felsorolt bizonyos helyzetek felmerülése az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontja értelmében vett jogos érdek fennállására utal‑e, míg az előzetes döntéshozatalra előterjesztett ötödik kérdésével e bíróság azt kívánja megtudni, hogy a bizonyos adatokra vonatkozó érvényes megkeresésre történő válaszadás, a káros magatartásokkal szembeni küzdelem és a biztonság elősegítése, a közérdekű kutatás, valamint a biztonság, integritás és védelem elősegítése igazolhatják‑e a vitatott gyakorlatot. ( 91 ) |
|
68. |
E kérdések elfogadhatóságától függetlenül, ( 92 ) általános jelleggel úgy vélem, hogy az előzetes döntéshozatalra előterjesztett negyedik kérdést illetően nem zárható ki, hogy a vitatott gyakorlatot jellemző bizonyos feltételek a kérdést előterjesztő bíróság által említett körülmények között jogos érdekekkel igazolhatóak, ( 93 ) továbbá az előzetes döntéshozatalra előterjesztett ötödik kérdést illetően úgy vélem, hogy bizonyos helyzetekben a vitatott gyakorlat az idézett rendelkezések alapján igazolható. |
|
69. |
Mindazonáltal az előzetes döntéshozatalra utaló határozatból nem tűnik ki, hogy a Meta Platform Ireland megjelölte‑e, és ha igen, milyen mértékben, az adatkezelés minden egyes célja és a kezelt adatok minden típusa tekintetében az érvényesíteni kívánt jogos érdekeket vagy a jelen ügyben esetlegesen releváns egyéb igazoló okokat. ( 94 ) A kérdést előterjesztő bíróság feladata tehát, hogy a fenti iránymutatásokra figyelemmel megvizsgálja, hogy a vitatott gyakorlatot az e bíróság által hivatkozott körülmények között mennyiben igazolják a Meta Platform Ireland részéről az adatkezeléshez fűződő, az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontja értelmében vett jogos érdekek, vagy az e rendelet 6. cikke (1) bekezdésének c), d) és e) pontjában említett egyéb feltételek. |
Az előzetes döntéshozatalra előterjesztett harmadik, negyedik és ötödik kérdésre adott válaszról
|
70. |
Következésképpen azt javaslom, hogy a Bíróság az előzetes döntéshozatalra előterjesztett harmadik, negyedik és ötödik kérdésre azt a választ adja, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b), c), d), e) és f) pontját úgy kell értelmezni, hogy a vitatott gyakorlat vagy az azt alkotó egyes tevékenységek az e rendelkezésekben előírt kivételek hatálya alá tartozhatnak, amennyiben a vizsgált adatkezelés minden egyes részletében megfelel az adatkezelő által konkrétan előadott igazoló okot megalapozó feltételeknek, és ennélfogva:
|
Az előzetes döntéshozatalra előterjesztett hatodik kérdésről
|
71. |
Előzetes döntéshozatalra előterjesztett hatodik kérdésével a kérdést előterjesztő bíróság lényegében arra keresi a választ, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének a) pontját és 9. cikke (2) bekezdésének a) pontját úgy kell‑e értelmezni, hogy az e rendelet 4. cikkének 11. pontja értelmében vett érvényes és önkéntes hozzájárulás adható a magánfelhasználóknak szánt online közösségi hálózatok nemzeti piacán erőfölénnyel rendelkező vállalkozásnak. |
|
72. |
Elöljáróban emlékeztetek arra, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének a) pontja és 9. cikke (2) bekezdésének a) pontja az érintett hozzájárulásának kötelezettségét írja elő, általában a személyes adatok kezelése, illetve a különleges személyes adatok kezelése vonatkozásában. Ezenkívül az általános adatvédelmi rendelet 4. cikkének 11. pontja szerint e rendelet alkalmazásában az érintett „hozzájárulása” alatt az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítását kell érteni, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. ( 95 ) |
|
73. |
Ami közelebbről a hozzájárulás „önkéntes” voltára vonatkozó feltételt illeti – amely az egyetlen vitatott elem a jelen ügyben –, megjegyzem, hogy az általános adatvédelmi rendelet (42) preambulumbekezdésének megfelelően, a hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, ( 96 ) és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna. ( 97 ) Ezenkívül, amint azt az általános adatvédelmi rendelet 7. cikkének (1) bekezdése előírja (és annak (42) preambulumbekezdése is megemlíti), ha az adatkezelés az érintett hozzájárulásán alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult. |
|
74. |
A jelen ügy szempontjából releváns körülményeket illetően mindenekelőtt emlékeztetek arra, hogy amint azt az általános adatvédelmi rendelet (43) preambulumbekezdésének első mondata hangsúlyozza, a hozzájárulás nem szolgálhat érvényes jogalapként a személyes adatok kezeléséhez, amennyiben az érintett és az adatkezelő között „egyértelműen egyenlőtlen viszony” áll fenn, ( 98 ) továbbá hogy az általános adatvédelmi rendelet 7. cikkének (4) bekezdése értelmében annak megállapítása során, hogy a hozzájárulás önkéntes‑e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták‑e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez, ( 99 ) és végezetül, hogy az általános adatvédelmi rendelet (43) preambulumbekezdésének második mondatával összhangban a hozzájárulás nem tekinthető önkéntesnek, ha nem tesz lehetővé külön‑külön hozzájárulást a különböző személyes adatkezelési műveletekhez, noha az adott esetben megfelelő. ( 100 ) |
|
75. |
A jelen ügyben úgy vélem, hogy a közösségi hálózatot üzemeltető adatkezelő esetleges piaci erőfölénye szerepet játszik az e hálózat felhasználója által adott hozzájárulás önkéntes voltának megítélésében. Az adatkezelő piaci erőfölénye ugyanis egyértelműen egyenlőtlen erőviszonyokat teremthet, a jelen indítvány 74. pontjában kifejtettek értelmében. ( 101 ) Mindazonáltal pontosítani szükséges, hogy egyrészt, ahhoz hogy az ilyen jelentős piaci erő az általános adatvédelmi rendelet alkalmazásának szempontjából relevánsnak minősüljön, annak nem feltétlenül kell megütnie az EUMSZ 102. cikk értelmében vett erőfölény szintjét, ( 102 ) másrészt pedig önmagában ez a körülmény főszabály szerint nem elegendő ahhoz, hogy a hozzájárulást érvényességétől megfossza. ( 103 ) |
|
76. |
Ennélfogva a hozzájárulás érvényességét esetenként, a jelen indítvány 73. és 74. pontjában említett egyéb tényezőkre tekintettel, valamint az adott ügy valamennyi körülményére figyelemmel kell vizsgálni, arra is tekintettel, hogy az adatkezelőt terheli annak bizonyítása, hogy az érintett hozzájárulását adta a rá vonatkozó személyes adatok kezeléséhez. |
|
77. |
Következésképpen azt javaslom, hogy a Bíróság az előzetes döntéshozatalra előterjesztett hatodik kérdésre azt a választ adja, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének a) pontját és 9. cikke (2) bekezdésének a) pontját úgy kell értelmezni, hogy pusztán az a körülmény, hogy a közösségi hálózatot üzemeltető vállalkozás erőfölényben van a magánfelhasználóknak szánt online közösségi hálózatok nemzeti piacán, önmagában nem foszthatja meg az e hálózat felhasználója által a személyes adatainak kezelésére vonatkozóan adott hozzájárulást annak az általános adatvédelmi rendelet 4. cikkének 11. pontja értelmében vett érvényességétől. Ez a körülmény mindazonáltal szerepet játszik a hozzájárulás e rendelkezés értelmében vett önkéntességének megítélésében, amelyet az adatkezelőnek kell bizonyítania, és adott esetben figyelembe kell venni az érintett és az adatkezelő közötti egyértelműen egyenlőtlen erőviszony fennállását, az olyan személyes adatok kezelésére vonatkozó esetleges hozzájárulási kötelezettséget, amelyek kezelése a szóban forgó szolgáltatások nyújtásához nem feltétlenül szükséges, továbbá annak követelményét, hogy a hozzájárulást az összes adatkezelési célra vonatkozóan megadják, és hogy elkerülhető legyen, hogy a hozzájárulását visszavonó felhasználót a hozzájárulás visszavonásából fakadóan hátrány érje. |
Végkövetkeztetés
|
78. |
A fentiekre tekintettel azt javaslom a Bíróságnak, hogy a következő választ adja az Oberlandesgericht Düsseldorf (düsseldorfi regionális felsőbíróság, Németország) által előzetes döntéshozatalra előterjesztett kérdésekre:
|
( 1 ) Eredeti nyelv: francia.
( 2 ) Nevezetesen a Meta Platforms Inc., korábban: Facebook Inc., a Meta Platforms Ireland Limited, korábban: Facebook Ireland Ltd. és a Facebook Deutschland GmbH (a továbbiakban: Meta Platforms vagy az alapeljárás felperese).
( 3 ) 2019. február 6‑i B6–22/16. sz. határozat (a továbbiakban: vitatott határozat).
( 4 ) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.).
( 5 ) A 2021. január 18‑ig hatályos változatban.
( 6 ) E célból a Meta Platforms a felhasználók által az érintett online szolgáltatásokra történő regisztráció során közvetlenül szolgáltatott adatokon kívül a felhasználókkal és a készülékekkel kapcsolatos további adatokat gyűjt a közösségi hálózaton, valamint a csoport által nyújtott online szolgáltatásokon belül és azokon kívül, és az adatokat összekapcsolja az érintett felhasználók különböző fiókjaival. Ezen adatok összessége alapján részletes következtetések vonhatók le a felhasználók preferenciáira és érdeklődési körére nézve.
( 7 ) Ami közelebbről a személyes adatok kezelését illeti, a felhasználási feltételek a Meta Platforms által meghatározott adatkezelési szabályzatra és cookie‑szabályzatra hivatkoznak. Ez utóbbiak értelmében a Meta Platforms a felhasználókkal és a készülékeikkel kapcsolatos adatokat gyűjt a közösségi hálózaton belül és azon kívül végzett tevékenységeikre vonatkozóan, és azokat összekapcsolja a Facebook‑fiókjaikkal. A közösségi hálózaton kívüli tevékenységek esetében egyrészt a Facebookkal alkalmazásprogramozási interfészek (azaz: „Facebook Business Tools”) segítségével összekapcsolt harmadik weboldalak felkereséséről, illetve alkalmazások használatáról, másrészt pedig a Meta Platforms csoporthoz tartozó egyéb szolgáltatások – közöttük az Instagram és a WhatsApp – használatáról van szó.
( 8 ) A Bundeskartellamt szerint az adatkezelés piaci erőfölénnyel való visszaélésként megsértette az általános adatvédelmi rendelet rendelkezéseit, és nem volt indokolt e rendelet 6. cikkének (1) bekezdése és 9. cikkének (2) bekezdése alapján.
( 9 ) Egyébiránt a Meta Platforms – az Európai Bizottság és a tagállamok nemzeti fogyasztóvédelmi szervezeteinek kezdeményezésére – 2019. július 31‑én új – lényegében azonos módon megfogalmazott – felhasználási feltételeket vezetett be, amelyek kifejezetten kimondják, hogy a felhasználó a Facebook‑termékek használatáért történő fizetés helyett hozzájárul a hirdetések megjelenítéséhez. Ezenkívül, 2020. január 28. óta a Meta Platforms világszerte kínálja a Facebookon kívüli, „Off‑Facebook‑Activity” elnevezésű tevékenységet, amely lehetővé teszi a Facebook‑felhasználók számára, hogy a rájuk vonatkozó, más internetes oldalakon és alkalmazásokon megszerzett információk összefoglalóját megkapják, és amennyiben kívánják, ezen adatokat a Facebook‑fiókjuktól mind a múltra, mind a jövőre nézve leválasszák.
( 10 ) Úgy vélem, hogy az előzetes döntéshozatalra előterjesztett első kérdésben szereplő, „[megállapítja, hogy] […] [az általános adatvédelmi rendeletbe] ütközik, és e jogsértés megszüntetésére kötelező határozatot hoz” kifejezések így értelmezendők.
( 11 ) Mindenesetre, mivel az általános adatvédelmi rendelet az adatvédelmi jog teljes harmonizációját írja elő, amelynek központi eleme az e rendelet 51–67. cikkében előírt „egyablakos ügyintézés” elvén alapuló harmonizált végrehajtási mechanizmus, számomra nyilvánvalónak tűnik, hogy az említett rendelet értelmében vett felügyeleti hatóságoktól eltérő hatóság (például egy versenyhatóság) nem rendelkezik hatáskörrel sem elsődlegesen e rendelet megsértésének megállapítására, sem pedig az előírt szankciók alkalmazására.
( 12 ) Mindenesetre, figyelemmel arra, hogy a versenyhatóság nem rendelkezik hatáskörrel elsődlegesen e rendelet megsértésének megállapítására, sem pedig az előírt szankciók alkalmazására, úgy vélem, hogy egy versenyhatóság ilyen értelmű esetleges határozata nem sértheti a felügyeleti hatóságoknak az általános adatvédelmi rendelet szerinti hatásköreit.
( 13 ) Úgy vélem, hogy ily módon kell értelmezni az előzetes döntéshozatalra előterjesztett hetedik kérdésben szereplő „tehet‑e megállapításokat például az érdekek mérlegelése keretében azzal kapcsolatban, hogy e vállalkozás adatkezelési feltételei és azok végrehajtása megfelel‑e az általános adatvédelmi rendeletnek” mondatrészt.
( 14 ) Lásd a jelen indítvány 11. lábjegyzetét.
( 15 ) [Az EUMSZ 101. cikkben és az EUMSZ 102. cikkben] meghatározott versenyszabályok végrehajtásáról szóló, 2002. december 16‑i tanácsi rendelet (HL 2003. L 1., 1. o.; magyar nyelvű különkiadás 8. fejezet, 2. kötet, 205. o.).
( 16 ) A GWB 19. §‑ához hasonlóan, amelyre a vitatott határozat támaszkodik.
( 17 ) Lásd például: 2017. szeptember 6-iIntel kontra Bizottság ítélet (C‑413/14 P, EU:C:2017:632, 136. pont, valamint az ott hivatkozott ítélkezési gyakorlat). Egyébiránt a Bíróság pontosította, hogy az EUMSZ 102. cikk általános hatályú, és nem korlátozható az uniós jogalkotó által – az adott ügyben – a távközlési piacok előzetes szabályozása céljából elfogadott jogszabályi keret fennállásával (lásd ebben az értelemben: 2014. július 10‑iTelefónica és Telefónica de España kontra Bizottság ítélet, C‑295/12 P, EU:C:2014:2062, 128. pont).
( 18 ) A két normakategória eltérő céljaira figyelemmel ugyanis egyértelmű, hogy az adatkezeléssel kapcsolatos magatartás még akkor is jelentheti a versenyszabályok megsértését, ha megfelel az általános adatvédelmi rendeletnek, és fordítva, az általános adatvédelmi rendelet értelmében vett jogellenes magatartás nem feltétlenül vezet annak megállapításához, hogy az sérti a versenyszabályokat. E tekintetben a Bíróság pontosította, hogy valamely magatartásnak egy konkrét jogszabálynak való megfelelése nem zárja ki az EUMSZ 101. és 102. cikk alkalmazhatóságát ugyanezen magatartás tekintetében (lásd különösen: 2012. december 6‑iAstraZeneca kontra Bizottság ítélet [C‑457/10 P, EU:C:2012:770, 132. pont]), amelyben a Bíróság arra is emlékeztetett, hogy az erőfölénnyel való visszaélés az esetek többségében olyan magatartások révén valósul meg, amelyek egyébként a versenyjogon kívüli jogágak szempontjából jogszerűek. Ha ugyanis csak az objektív módon versenykorlátozó és egyúttal jogilag jogellenes magatartásokat lehetne az EUMSZ 102. cikk értelmében visszaélésszerűnek tekinteni, ez azt jelentené, hogy valamely magatartás pusztán a jogszerűsége miatt nem lenne szankcionálható az EUMSZ 102. cikk alapján, noha potenciálisan káros a versenyre, ami sértené e rendelkezés azon célját, hogy olyan rendszert hozzon létre, amely megakadályozza a belső piaci verseny torzulását (lásd ebben az értelemben: a Servizio Elettrico Nazionale és társai ügyre vonatkozó indítványom, C‑377/20, EU:C:2021:998, 37. pont). A Bíróság ítélkezési gyakorlata szerint ugyanis, ha a vállalkozások versenyellenes magatartását nemzeti szabályozás írja elő, vagy ha e nemzeti szabályozás olyan jogi keretet biztosít, amely maga zárja ki a vállalkozás részéről a versenyző magatartás bármilyen lehetőségét, akkor az EUMSZ 101. és 102. cikk nem alkalmazandó, ezzel szemben alkalmazható e két cikk, ha kitűnik, hogy a nemzeti szabályozás nyitva hagyja a lehetőséget, hogy a vállalkozások autonóm magatartása a verseny megakadályozására, korlátozására vagy torzítására vezethessen (lásd ebben az értelemben: 2010. október 14‑iDeutsche Telekom kontra Bizottság ítélet, C‑280/08 P, EU:C:2010:603, 80. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
( 19 ) Az olyan értelmezés ugyanis, amely szerint a versenyhatóságoknak hatásköreik gyakorlása során tilos értelmezniük az általános adatvédelmi rendelet rendelkezéseit, az uniós versenyjog hatékony alkalmazását kérdőjelezhetné meg.
( 20 ) Egyébiránt az általános adatvédelmi rendelet versenyhatóság általi, járulékos jelleggel történő értelmezése nem akadálya annak, hogy ezen értelmezés bírósági felülvizsgálat tárgyát képezze a versenyügyekben hatáskörrel rendelkező nemzeti bíróságok előtt, amelyek értelmezési nehézségek esetén előzetes döntéshozatal iránti kérelemmel fordulhatnak a Bírósághoz, mint ahogyan az a jelen ügyben az előzetes döntéshozatalra előterjesztett második, harmadik, negyedik, ötödik és hatodik kérdés esetében történt.
( 21 ) Az általános adatvédelmi rendeletnek a versenyhatóság általi – kizárólag a versenyjogban előírt szabályok alkalmazása (és esetlegesen szankciók kiszabása) céljából történő – értelmezése ugyanis nem foszthatja meg a felügyeleti hatóságokat az e rendelet szerinti hatásköreiktől és jogköreiktől. Ezenkívül az említett rendeletnek a versenyhatóság részéről járulékos jelleggel történő értelmezésének lehetősége nem vet fel nehézségeket sem annak alkalmazása – amely a felügyeleti hatóságok kizárólagos hatásköre –, sem pedig a kiigazító intézkedések vagy szankciók kiszabása szempontjából sem, mivel a versenyhatóság által esetlegesen kiszabott intézkedések vagy szankciók eltérő szabályokon, célkitűzéseken és jogos érdekeken alapulnak, mint amelyeket ugyanezen rendelet védelemben részesít (ugyanezen okból vélem úgy egyébként, hogy ilyen helyzetben a versenyhatóság és az általános adatvédelmi rendelet szerinti felügyeleti hatóság által kiszabott szankciókra nem terjed ki a ne bis in idem elve [lásd analógia útján: 2022. március 22‑ibpost ítélet, C‑117/20, EU:C:2022:202, 42–50. pont]).
( 22 ) Egyébiránt az eltérő értelmezés kockázata minden olyan szabályozás alá vont terület velejárója, amelyeken e szabályozást a versenyhatóság figyelembe veszi vagy veheti, amikor egy adott magatartás jogszerűségét vizsgálja versenyjogi szempontból.
( 23 ) Az általános adatvédelmi rendelet VI. és VII. fejezete többek között a felügyeleti hatóságok közötti információcsere és kölcsönös segítségnyújtás „egyablakos” mechanizmusait vezeti be.
( 24 ) Lásd a tagállami versenyhatóságok helyzetének a hatékonyabb jogérvényesítés céljából történő megerősítéséről és a belső piac megfelelő működésének biztosításáról szóló, 2018. december 11‑i (EU) 2019/1 európai parlamenti és tanácsi irányelvet (HL 2019. L 11., 3. o.; helyesbítés: HL 2019. L 175., 83. o.).
( 25 ) Lásd többek között, ebben az értelemben: 1989. november 14‑iOlaszország kontra Bizottság ítélet (14/88, EU:C:1989:421, 20. pont); 1991. június 11‑iAthanasopoulos és társai ítélet (C‑251/89, EU:C:1991:242, 57. pont).
( 26 ) Egyébiránt magát a felügyeleti hatóságok között az általános adatvédelmi rendelet által bevezetett együttműködési mechanizmust lehet olyan lex specialisnak tekinteni, amely kiegészíti és pontosítja az EUSZ 4. cikk (3) bekezdésében foglalt lojális együttműködés általános elvét (lásd különösen a jogirodalomban: Hijmans, H., „Article 51 Supervisory authority”, The EU General Data Protection Regulation [általános adatvédelmi rendelet]: A Commentary, Oxford, 2020, 869. o.). Ugyanez vonatkozik az általános adatvédelmi rendelet által előírtnál korábban létező egyéb együttműködési eszközökre, mint például a versenyhatóságok közötti együttműködési rendszerre (lásd különösen az 1/2003 rendelet IV. fejezetét).
( 27 ) Lásd ebben az értelemben: Trstenjak főtanácsnok Gorostiaga Atxalandabaso kontra Parlament ügyre vonatkozó indítványa (C‑308/07 P, EU:C:2008:498, 89. pont).
( 28 ) Lásd különösen: 2022. június 2‑ia Skeyes ítélet (C‑353/20, EU:C:2022:423, 52. pont, valamint az ott hivatkozott ítélkezési gyakorlat). Álláspontom szerint a követendő lépésekkel kapcsolatos iránymutatások adott esetben levezethetők az általános adatvédelmi rendelet által létrehozott, illetve a versenyjog területén kialakított együttműködési rendszerből, pontosítva ugyanakkor, hogy ad hoc rendelkezések hiányában a versenyhatóságot terhelő gondossági kötelezettség nem terjed odáig, hogy e hatóságot olyan részletes kötelezettségeknek vessék alá, mint amelyeket például az általános adatvédelmi rendelet VII. fejezetében foglalt együttműködési és egységességi mechanizmus keretében előírnak (például nem várható el a versenyhatóságtól, hogy az e rendelet szerint illetékes felügyeleti hatóságnak véleménynyilvánítás céljából megküldje a határozattervezetét).
( 29 ) Lásd különösen analógia útján, az uniós gyógyszerügyi szabályozás hatálya alá tartozó területet érintően: 2018. január 23‑iF. Hoffmann‑La Roche és társai ítélet (C‑179/16, EU:C:2018:25, 58–64. pont).
( 30 ) Másként fogalmazva, e határozat maga is részét képezi annak a jogi és ténybeli háttérnek, amelyet a versenyhatóságnak meg kell vizsgálnia, miközben a versenyjog alkalmazása szempontjából szabadon levonhatja következtetéseit (lásd a jelen indítvány 18. lábjegyzetét).
( 31 ) Figyelemmel a nemzeti felügyeleti hatóságoknak az általános adatvédelmi rendelet által létrehozott együttműködési rendszerben betöltött szerepére és feladataira, úgy vélem, hogy a nemzeti felügyeleti hatósággal való kapcsolatfelvétel önmagában elegendő lehet a versenyhatóság gondossági és lojális együttműködési kötelezettségeinek teljesítéséhez, különösen akkor, ha e hatóságnak nincs lehetősége (az alkalmazandó nemzeti jogi eljárásokra figyelemmel) vagy nem állnak rendelkezésére a megfelelő (különösen nyelvi) eszközök a másik tagállam fő felügyeleti hatóságával való megfelelő együttműködésre.
( 32 ) Vagy adott esetben, ha ez a hatóság egy másik tagállamban található, a nemzeti felügyeleti hatóságot (lásd a jelen indítvány 31. pontját).
( 33 ) Emlékeztetve arra, hogy az általános adatvédelmi rendelet egyes rendelkezéseinek a versenyhatóság általi, hatásköreinek gyakorlása során adott értelmezése nem érinti e rendelkezéseknek az e rendelet szerint illetékes felügyeleti hatóságok általi értelmezését és alkalmazását (lásd a jelen indítvány 21. lábjegyzetét).
( 34 ) A Bundeskartellamt e tekintetben előadja, hogy a német versenyjogra támaszkodott, amely lehetővé teszi számára, hogy az általános adatvédelmi rendelet szerinti nemzeti felügyeleti hatóságokkal információt cseréljen.
( 35 ) Ez annál is inkább így van, mivel – amint arra a Bundeskartellamt hivatkozik – a német szövetségi felügyeleti hatóság és az ír fő felügyeleti hatóság megerősítette, hogy ez utóbbi nem indított eljárást az általa vizsgált ugyanezen gyakorlatokkal kapcsolatban.
( 36 ) A kérdést előterjesztő bíróság a felhasználó által különösen az olyan weboldalak, illetve alkalmazások megnyitására, valamint az ezen oldalakon, illetve alkalmazásokban (mint például az ismerkedős alkalmazások, a homoszexuális társkeresők, a politikai pártok weboldalai, az egészségügyi weboldalak) megadott adatokra hivatkozik, amelyeket a szóban forgó rendelkezés által védett adatokat generálnak.
( 37 ) A továbbiakban: különleges személyes adatok. Az olyan személyes adatok kezeléséről van szó, mint a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó adatok
( 38 ) Mellékesen megjegyzem, hogy a Bundeskartellamtnak kétségei vannak afelől, hogy e kérdés releváns‑e a jogvita megoldása szempontjából, mivel határozatában az általános adatvédelmi rendelet 6. cikke (1) bekezdésének a) pontja értelmében vett hozzájárulást, nem pedig az általános adatvédelmi rendelet 9. cikke (2) bekezdésének a) pontja szerinti hozzájárulást vette figyelembe.
( 39 ) A kérdést előterjesztő bíróság e tekintetben olyan közösségi „modulokra” hivatkozik, mint például a „Tetszik”, a „Megosztás” gombok, illetve a „Facebook Login‑ra” (a Facebook‑fiókhoz tartozó azonosító adatok felhasználásával történő bejelentkezés lehetőségére), valamint az „account kit‑re” (vagyis egy nem feltétlenül a Facebookhoz tartozó alkalmazásba vagy weboldalra telefonszámmal vagy e‑mail címmel történő, jelszó nélküli bejelentkezés lehetőségére).
( 40 ) Megjegyzem továbbá, hogy jelentős eltérés van az általános adatvédelmi rendelet e rendelkezése első mondatának francia nyelvi változata – amely a személyes adatok olyan kezelésére utal, amely bizonyos érzékeny helyzetekre „utal” – és a német (valamint többek között a görög és az olasz nyelvi változat) nyelvi változata között, amelyben az ilyen helyzetekre „utaló”személyes adatokról van szó. Ha nem tévedek, e rendelkezés francia nyelvű változata ellentmondásban van a többi nyelvi változat többségével. Egyébiránt az említett rendelkezés kontextusában számomra logikusabbnak tűnik, az „utal” igének az adatokhoz való kapcsolása, mivel annak további részében az adatok, és nem pedig az adatkezelés képezi a vizsgálat tárgyát. Ez tűnik ki az általános adatvédelmi rendelet (51) preambulumbekezdésének francia nyelvi változatából is, amely pontosítja, hogy különösen érzékeny személyes „adatnak minősül[nek] a faji vagy etnikai származásra utaló személyes adatok is” (kiemelés tőlem).
( 41 ) Véleményem szerint ellentétes lenne az általános adatvédelmi rendelet 9. cikkének (1) bekezdésével (és e rendelet) szellemével – amely egyes érzékeny személyes adatok védelmét szolgálja –, ha különbséget kellene tenni például egyrészt a faji vagy etnikai származásra vonatkozó adatok védelme – ami nemcsak a származást közvetlenül megjelölő, hanem az arra utaló adatok kezelésének tilalmát is magában foglalja –, és másrészt a genetikai adatok védelme között, amelynek esetében az adatkezelés tilalma nem terjedne ki a genetikai jellemzőkre utaló adatokra, hozzátéve, hogy nem mindig lehetne egyértelmű különbséget tenni a bizonyos jellemzőkre (például faji vagy etnikai származás) utaló adatok, és az egyéb helyzetekre (például egészségi állapot) vonatkozó adatok között. E tekintetben megjegyzem, hogy bár az általános adatvédelmi rendelet 9. cikkének (1) bekezdése többek között egészségügyi adatokra hivatkozik, e rendelet 4. cikkének 15. pontja az „egészségügyi adatot” úgy határozza meg, mint „egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról” (kiemelés tőlem). Amint azt a német kormány sugallja, lehetséges, hogy a szóban forgó rendelkezés szövegében rejlő ezen következetlenség csupán egy nem kifejezetten sikeres kísérlet arra, hogy különbséget tegyenek a közvetlen információtartalmú tiszta adatok és az olyan „metaadatok” között, amelyek esetében a megfelelő információtartalom csak konkrét összefüggésben, értékelés vagy összekapcsolás révén jelenik meg.
( 42 ) Amint arra az alapeljárás felperese hivatkozik, elvben két külön aspektusról van szó. Ugyanis önmagában az, hogy valamely felhasználó megnyit egy weboldalt, vagy azon tevékenységet végez, nem feltétlenül jelenti azt, hogy ezzel meggyőződéséről, egészségi állapotáról, politikai nézeteiről stb. tárna fel információkat, mivel egy weboldal iránti érdeklődés nem jelenti automatikusan az ezen oldal által képviselt gondolatokhoz vagy csoportokhoz való csatlakozást. Ez a helyzet például egy politikai párt honlapjának vagy egy bizonyos politikai ideológiát ajánló honlapnak a megtekintése esetén, amely nem feltétlenül jelenti az ideológiával való azonosulást, hanem történhet kíváncsiságból, vagy akár az ilyen ideológiával szembeni kritikus szellemtől vezérelve is.
( 43 ) A Meta Platforms szerint önmagában az, hogy egy felhasználó megnyit egy weboldalt, vagy azon tevékenységet végez, nem fed fel érzékeny információkat, ugyanis még az sem minősül különleges személyes adatok kezelésének, ha a felhasználó valamely weboldal iránti érdeklődését megfigyelik vagy felhasználják. Ez csak akkor állna fenn, ha a felhasználókat ezen adatok alapján kategorizálták volna. Ennélfogva a vitatott gyakorlat tárgyát képező adatok csak akkor tartoznak az általános adatvédelmi rendelet 9. cikkének (1) bekezdésében biztosított védelem hatálya alá, ha az e rendelkezésben említett kategóriák valamelyikére vonatkoznak, és szubjektív módon az ügy ismeretében és azzal a szándékkal kezelik őket, hogy hasznot húzzanak ezen információkategóriákból. A Bundeskartellamt – véleményem szerint túl merev – értelmezése szerint viszont már önmagában arra, hogy az érintett személy megnyit egy adott weboldalt vagy alkalmazást, amely elsődleges rendeltetése alapján az általános adatvédelmi rendelet 9. cikkének (1) bekezdésében felsorolt területek közé sorolható, kiterjed az e rendelkezésben biztosított védelem hatálya. A különleges személyes adatok védelme nem függ az adatkezelő azon szándékától, hogy ezeket az adatokat felhasználja, mivel az érintett jogait már az is érinti, hogy az ilyen adatok kikerülnek a befolyása alól.
( 44 ) Ugyanis, amint azt az Európai Adatvédelmi Testület elismerte, pusztán az, hogy egy közösségi médiaszolgáltató nagy mennyiségben olyan adatokat dolgoz fel, amelyekből potenciálisan különleges adatkategóriákra vonatkozó következtetések vonhatók le, nem jelenti automatikusan azt, hogy az adatkezelés az általános adatvédelmi rendelet 9. cikkének hatálya alá tartozik (lásd: Európai Adatvédelmi Testület 2021. április 13‑i 08/2020. sz. iránymutatása a közösségi média felhasználóinak megcélzásáról [a továbbiakban: az Európai Adatvédelmi Testület 8/2020. sz. iránymutatása], 124. pont).
( 45 ) Az ilyen értelmezés véleményem szerint lehetővé tenné az alapeljárás felperese által sérelmezett azon helyzet elkerülését, hogy az adatkezelő – mivel nem tudja megakadályozni a különleges adatok kategóriáival közvetett kapcsolatban álló információk esetleges (különösen automatizált eszközökkel történő) fogadását –, lényegében alapesetben megsértse az általános adatvédelmi rendeletet, az adatkezelő azon kötelezettségének sérelme nélkül, hogy az általános adatvédelmi rendelet 32. cikkének megfelelően, végrehajtsa a megfelelő technikai és szervezési intézkedéseket annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.
( 46 ) Lásd ebben az értelemben az Európai Adatvédelmi Testület 8/2020 iránymutatásának 125. pontját.
( 47 ) A kérdést előterjesztő bíróság e tekintetben a közösségi hálózat és a hirdetések személyre szabását, a hálózat biztonságát, a szolgáltatások javítását, a mérési és elemzési szolgáltatások nyújtását a hirdetési partnerek számára, a közjó érdekében történő kutatást, a válaszadást hivatalos megkeresésekre, valamint a jogi kötelezettségek teljesítését, a felhasználók és harmadik személyek létfontosságú érdekeinek védelmét, valamint a közérdekű feladat‑végrehajtást említi meg.
( 48 ) Lásd analógia útján: 2016. december 21‑iTele2 Sverige és Watson és társai ítélet (C‑203/15 és C‑698/15, EU:C:2016:970, 89. pont, valamint az ott hivatkozott ítélkezési gyakorlat), a 2009. november 25‑i 2009/136/EK európai parlamenti és tanácsi irányelvvel (HL 2009. L 337., 11. o.; helyesbítés: HL 2013. L 241., 9. o.) módosított, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv) (HL 2002. L 201., 37. o.; magyar nyelvű különkiadás 13. fejezet, 29. kötet, 514. o.) 15. cikke (1) bekezdésének értelmezésére vonatkozóan.
( 49 ) Lásd még a „29. cikk” munkacsoport 6/2014. sz. véleményét (10. és 11. o.), amely a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) 29. cikke alapján létrehozott független tanácsadó szerv, és amelynek helyébe az általános adatvédelmi rendelet elfogadása óta az Európai Adatvédelmi Testület lépett.
( 50 ) Ez a feltétel véleményem szerint nagyon közel áll az érintett hozzájárulására vonatkozó feltételhez.
( 51 ) Emlékeztetek arra, hogy az általános adatvédelmi rendelet 5. cikke (2) bekezdésének megfelelően az adatkezelőre hárul annak bizonyítása, hogy a személyes adatokat az általános adatvédelmi rendelet szabályai szerint kezelik.
( 52 ) Egyébiránt, bár a körültekintő felhasználó valószínűleg tisztában van azzal, hogy a bejelentkezési adatai a szóban forgó weboldal vagy alkalmazás üzemeltetője számára is hozzáférhetők, véleményem szerint nem ennyire nyilvánvaló, hogy azzal is tisztában van, hogy ezek az adatok a Facebook‑fiókjának kezelője számára is hozzáférhetők.
( 53 ) A felhasználó legfeljebb azzal a „kapcsolattal” van tisztában, amely közötte és a weboldal, illetve az alkalmazás üzemeltetője, valamint azon harmadik felek között fennáll, akiknek ez utóbbi továbbítja az információkat, de az is előfordulhat, hogy ennek a kapcsolatnak sincs tudatában, mivel a körülményektől függően az a benyomása is támadhat, hogy ezen információkat esetleg anonimizált formában csupán egy gépnek fedi fel.
( 54 ) Az olyan gombokról van szó, mint „Tetszik”, „Megosztás”, stb. (lásd a jelen indítvány 39. lábjegyzetét).
( 55 ) Például a Facebook több lehetőséget is kínál a felhasználó számára a preferenciák között a Facebook‑fiókban elérhető információk megosztására.
( 56 ) Természetesen nem zárható ki, hogy egyedi esetekben a felhasználó tényleges célja e cselekményekkel az, hogy a rá vonatkozó információkat meghatározatlan számú személynek továbbítsa. Lehetséges például, hogy a felhasználó úgy állította be a Facebook‑fiókja megosztási opcióit, hogy a profiljában található tartalom a közösségi hálózat valamennyi felhasználója számára elérhető legyen, és ezzel tisztában is van. Mindazonáltal még ilyen körülmények között sem magától értetődő, hogy a felhasználó ezzel a magatartásával minden kétséget kizáróan a szóban forgó személyes adatok kifejezett nyilvánosságra hozatalára irányuló szándékát kívánta volna kifejezni, tekintettel arra, hogy szigorú kivételről van szó (lásd a jelen indítvány 42. lábjegyzetét).
( 57 ) Lásd ebben az értelemben: 2019. július 29‑iFashion ID ítélet (C‑40/17, EU:C:2019:629, 87–89. pont).
( 58 ) Nevezetesen az „azonosításra szolgáló kódsorozatok – az úgynevezett »cookie«-k” (lásd a 2002/58 irányelv (25) preambulumbekezdését).
( 59 ) Egyébiránt e hozzájárulás nem tekinthető az ezen adatok kezeléséhez való, az általános adatvédelmi rendelet 9. cikke (2) bekezdésének a) pontja értelmében vett kifejezett hozzájárulásnak sem. Az általános adatvédelmi rendelet 22. cikke (1) bekezdésének c) pontja értelmében vett profilalkotáshoz való hozzájárulás, amelynek tárgya nyilvánvalóan a profilalkotásra korlátozódik, szintén nem lehet releváns.
( 60 ) Ami az előzetes döntéshozatalra előterjesztett ötödik kérdést illeti, a kérdést előterjesztő bíróság a vitatott gyakorlatba – az adatok gyűjtése, azoknak a felhasználó Facebook‑fiókjával való összekapcsolása, a csoport más szolgáltatásaiból, valamint harmadik személyek weboldalaiból és alkalmazásaiból származó adatok felhasználása mellett (lásd a jelen indítvány 10. pontját) – belevette a „más módon már jogszerűen összegyűjtött és a felhasználó Facebook‑fiókjával összekapcsolt adatok felhasználását” is.
( 61 ) Az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b) pontja.
( 62 ) Az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontja.
( 63 ) Az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontja.
( 64 ) Nevezetesen a felhasználók kiskorúsága, mérések, elemzések és más üzleti szolgáltatások nyújtása, marketingjellegű kommunikáció folytatása a felhasználóval, kutatás és fejlesztés a közjó érdekében, valamint a bűnüldöző és egyéb hivatalos szervek tájékoztatása, és válaszadás hivatalos megkeresésekre.
( 65 ) Az általános adatvédelmi rendelet 6. cikke (1) bekezdésének c) pontja.
( 66 ) Az általános adatvédelmi rendelet 6. cikke (1) bekezdésének d) pontja.
( 67 ) Az általános adatvédelmi rendelet 6. cikke (1) bekezdésének e) pontja.
( 68 ) Úgy tűnik ugyanis, hogy az előzetes döntéshozatalra előterjesztett negyedik kérdéssel a Bíróságot arra hívják fel, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdése f) pontjának alkalmazásáról, nem pedig az értelmezéséről nyilatkozzon, az előzetes döntéshozatalra előterjesztett ötödik kérdés pedig nem tér ki azokra az indokokra, amelyek miatt a kérdést előterjesztő bíróságnak kétségei vannak e rendelet 6. cikke (1) bekezdése c), d) és e) pontjának értelmezését illetően.
( 69 ) Lásd: Európai Adatvédelmi Testület, a személyes adatoknak az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b) pontja alapján, az érintettek számára nyújtott online szolgáltatások nyújtásával összefüggésben történő kezeléséről szóló, 2019. október 8‑i 2/2019. sz. iránymutatás (a továbbiakban: az Európai Adatvédelmi Testület 2/2019. sz. iránymutatása), 1. pont.
( 70 ) E tekintetben, noha az alapeljárás felei lényegében egyetértenek abban, hogy a szóban forgó igazoló okok alkalmazása eseti vizsgálatot igényel, az ezen előfeltevésből származó gyakorlati következményeket illetően eltérő álláspontot képviselnek. A Bundeskartellamt hangsúlyozza, hogy az adatkezelő feladata annak részletes meghatározása, hogy konkrétan mely adatokat milyen forgatókönyv szerint használnak fel, és különösen azzal érvel, hogy az alapeljárás felperese mindössze azt fejtette ki, hogy a Facebookon kívüli forrásokból származó valamennyi adat teljeskörű kezelése szükséges a felhasználási feltételekben meghatározott minden egyes adatkezelési célhoz. A Meta Platforms Ireland ezzel szemben úgy véli, hogy az egyes adatkezelések sajátosságainak vizsgálata nélkül a Bundeskartellamt nem zárhatta ki, hogy a vitatott gyakorlat a szóban forgó igazoló okokon alapulhat, tehát vonhatta le azt a következtetést, hogy ez a gyakorlat összeegyeztethetetlen az általános adatvédelmi rendelettel.
( 71 ) A felhasználó hozzájárulását az általános adatvédelmi rendelet 6. cikke (1) bekezdésének a) pontja írja elő.
( 72 ) E tekintetben az Európai Adatvédelmi Testület 2/2019. sz. iránymutatása a 16. pontjában többek között pontosítja, hogy a célhoz kötöttség elve (az általános adatvédelmi rendelet 5. cikke (1) bekezdésének b) pontja) és az adattakarékosság elve (az általános adatvédelmi rendelet 5. cikke (1) bekezdésének c) pontja) különösen fontosak az általában nem egyedileg megtárgyalt online szolgáltatási szerződésekben, annak magas kockázata miatt, hogy az adatkezelők az adatok gyűjtésének és lehetséges felhasználásának a maximalizálására irányuló feltételeket igyekeznek belefoglalni, anélkül hogy a célokat megfelelő módon rögzítenék, illetve az adattakarékosságra vonatkozó kötelezettségeket írnának elő.
( 73 ) Az Európai Adatvédelmi Testület 2/2019. sz. iránymutatásának 2. pontja szerint e rendelkezés megerősíti a vállalkozás szabadságát, amelyet a Charta 16. cikke biztosít, és azt tükrözi, hogy az érintett személlyel szemben fennálló szerződéses kötelezettségek egyes személyes adatok szolgáltatása nélkül nem teljesíthetők. Pontosítom, hogy az e rendelkezésben szereplő második eset, amelyben az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges, a jelen ügyben nem releváns. Ugyanez vonatkozik arra a kérdésre is, hogy az alkalmazandó szerződési jog és az egyéb jogi követelmények – ideértve a fogyasztói szerződésekre vonatkozó követelményeket is – alapján érvényes szerződés áll‑e fenn (lásd különösen: a fogyasztókkal kötött szerződésekben alkalmazott tisztességtelen feltételekről szóló, 1993. április 5‑i 93/13/EGK tanácsi irányelv [HL 1993. L 95., 29. o.; magyar nyelvű különkiadás 15. fejezet, 2. kötet, 288. o.]), ami nem képezi a jelen előzetes döntéshozatali eljárás tárgyát.
( 74 ) Az általános adatvédelmi rendelet 6. cikke (1) bekezdése b) pontjában foglalttal megegyező, a 95/46 irányelv 7. cikkének e) pontjában rögzített szabályt illetően lásd: 2008. december 16‑iHuber ítélet (C‑524/06, EU:C:2008:724, 52. pont).
( 75 ) Egyébként, noha a személyes adatok kezelésének a szerződésben történő puszta említése vagy az arra való hivatkozás nem elegendő ahhoz, hogy a szóban forgó adatkezelés az általános adatvédelmi rendelet 6. cikke (1) bekezdése b) pontjának hatálya alá tartozzon, az adatkezelés objektíve szükséges lehet akkor is, ha azt a szerződés nem említi kifejezetten, az adatkezelő átláthatóságra vonatkozó kötelezettségeinek sérelme nélkül (lásd az Európai Adatvédelmi Testület 2/2019. sz. iránymutatásának 27. pontját).
( 76 ) Lásd az Európai Adatvédelmi Testület 2/2019. sz. iránymutatásának 25. pontját.
( 77 ) Lásd ebben az értelemben: 2010. november 9‑iVolker und Markus Schecke és Eifert ítélet (C‑92/09 és C‑93/09, EU:C:2010:662, 86. pont), valamint az Európai Adatvédelmi Testület 2/2019. sz. iránymutatásának 25. pontja. E tekintetben ezen iránymutatás 27–32. pontja többek között arra utal, hogy az adatkezelésnek az érintettnek nyújtott szerződéses szolgáltatás szerves részét képező cél eléréséhez kell objektíve szükségesnek lennie, és az adatkezelőnek adott esetben azt is bizonyítania kell, hogy az érintettel kötött egyedi szerződés fő célja nem teljesíthető hatékonyan a szóban forgó személyes adatok konkrét kezelése nélkül. Az említett iránymutatás 33. pontja e tekintetben irányított kérdéseket is megfogalmaz.
( 78 ) Lásd az Európai Adatvédelmi Testület 2/2019. sz. iránymutatásának 32. pontját.
( 79 ) Lásd az Európai Adatvédelmi Testület 2/2019. sz. iránymutatásának 37. pontját.
( 80 ) E tekintetben az osztrák kormány releváns észrevétele szerint az alapeljárás felperese korábban lehetővé tette a Facebook‑felhasználók számára, hogy a Newsfeed tartalmainak időrendi sorrendben történő, vagy személyre szabott megjelenítése között választhassanak, ami azt bizonyítja, hogy a működés egyéb módja is elképzelhető.
( 81 ) A kérdést előterjesztő bíróság általi értékelés fenntartása mellett sem gondolom, hogy a személyes adatok Facebookon kívüli gyűjtése és felhasználása szükséges lehet a Facebook‑profilban kínált szolgáltatások nyújtásához, és így a közösségi hálózathoz való hozzáféréshez (azaz a Facebook‑profil megnyitásához) eredetileg adott hozzájárulás érvényesen kiterjedhet a felhasználó személyes adatainak Facebookon kívüli kezelésére. Ilyen körülmények között ugyanis a szóban forgó szolgáltatások felhasználása olyan hozzájárulástól függ, amely nem szükséges a szerződés teljesítéséhez, és az általános adatvédelmi rendelet 7. cikke (4) bekezdésének megfelelően a kérdést előterjesztő bíróságnak e körülményt kell a lehető legnagyobb mértékben figyelembe kell vennie (amely az általános adatvédelmi rendelet (43) preambulumbekezdése értelmében a hozzájárulás érvénytelenségének vélelmét keletkezteti, amelyet az adatkezelőnek kell megdöntenie az általános adatvédelmi rendelet 7. cikkének (1) bekezdése szerint). Ezenkívül az ilyen hozzájárulás véleményem szerint nem tartja tiszteletben azt a szabályt sem, amelyet külön hozzájárulás ír elő a személyes adatok különböző kezelési műveleteihez (lásd a jelen indítvány 74. pontjának harmadik részét), mivel a felhasználó által a Facebook‑fiók megnyitásához adott eredeti hozzájárulás és a felhasználónak a személyes adatai Facebookon kívüli kezelésére vonatkozóan esetlegesen megadott hozzájárulása között semmilyen kapcsolat nincs. Egyébiránt még a kifejezetten az adatok Facebookon kívüli felhasználására vonatkozóan esetlegesen később megadott hozzájárulás esetén is fontos megvizsgálni, hogy az adatkezelő olyan egyenértékű szolgáltatás választását kínálja‑e fel, amely nem jár a személyes adatok további célokra történő kezeléséhez történő hozzájárulással (lásd az Európai Adatvédelmi Testületnek az (EU) 2016/679 rendelet értelmében vett hozzájárulásról szóló, 2020. május 4‑i 5/2020. sz. iránymutatásának [a továbbiakban: az Európai Adatvédelmi Testület 5/2020. sz. iránymutatása] 37. pontját, amely a 38. pontjában azt is pontosítja, hogy az adatkezelő nem irányíthat egy másik szolgáltató által nyújtott egyenértékű szolgáltatáshoz).
( 82 ) Amint arra az osztrák kormány is rámutat, e tekintetben számomra döntő jelentőségűnek tűnik annak megállapítása, hogy a csoport különböző termékeit egymástól függetlenül lehet használni, és hogy az egyes szolgáltatások igénybevétele külön felhasználói szerződésen alapul. Egyébiránt, amint azt a Bundeskartellamt megjegyzi, a csoport saját szolgáltatásainak egységes és zökkenőmentes használata, az e szolgáltatások működéséhez szükséges mértéken túl leginkább a felhasználó érdekét szolgálja, így alapvetően célszerűbb lenne azt a felhasználó választásától függővé tenni.
( 83 ) Lásd analógia útján: 2017. május 4‑iRīgas satiksme ítélet (C‑13/16, EU:C:2017:336, 28. pont), az általános adatvédelmi rendelet 6. cikke (1) bekezdése b) pontjában foglalttal megegyező, a 95/46 irányelv 7. cikkének e) pontjában rögzített szabályt illetően.
( 84 ) Amint arra Bobek főtanácsnok a Fashion ID ügyre vonatkozó indítványában (C‑40/17, EU:C:2018:1039, 122. pont) rámutatott, a 95/46 irányelv alkalmazásának keretében a „jogos érdek” fogalma meglehetősen rugalmasnak és nyitottnak tűnik. Amint azt az alapeljárás felperese megjegyzi, a Bíróság több érdeket is jogos érdekként ismert el, lásd különösen: 2014. május 13‑iGoogle Spain és Google ítélet (C‑131/12, EU:C:2014:317, 81. pont); 2016. október 19‑iBreyer ítélet (C‑582/14, EU:C:2016:779, 55. pont); 2017. május 4‑iRīgas satiksme ítélet (C‑13/16, EU:C:2017:336, 29. pont); 2019. szeptember 24‑iGC és társai (Különleges adatokra mutató linkek törlése) ítélet (C‑136/17, EU:C:2019:773, 53. pont); 2019. december 11‑iAsociația de Proprietari bloc M5A‑ScaraA ítélet (C‑708/18, EU:C:2019:1064, 59. pont); 2021. június 17‑iM. I. C. M. ítélet (C‑597/19, EU:C:2021:492, 108. és 109. pont). Véleményem szerint ugyanezt a következtetést kell levonni az általános adatvédelmi rendeletből, amelynek (47) preambulumbekezdése szemléltető jelleggel említi többek között azt a helyzetet, amikor az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll, vagy amikor a személyes adatok kezelésére a csalások megelőzése céljából vagy közvetlen üzletszerzési célból kerül sor, az általános adatvédelmi rendelet (49) preambulumbekezdése pedig a hálózat, az információk, valamint a nyújtott szolgáltatások biztonságát említi meg.
( 85 ) Ez véleményem szerint magában foglalja azt a követelményt, hogy meg kell határozni, hogy melyik adatkezelési művelet mely jogos érdeken alapul.
( 86 ) Lásd: 2017. május 4‑iRīgas satiksme ítélet (C‑13/16, EU:C:2017:336, 30. pont), és 2021. június 17‑iM. I. C. M. ítélet (C‑597/19, EU:C:2021:492, 110. pont).
( 87 ) Lásd ebben az értelemben: 2017. május 4‑iRīgas satiksme ítélet (C‑13/16, EU:C:2017:336, 31. pont), és 2021. június 17‑iM. I. C. M. ítélet (C‑597/19, EU:C:2021:492, 111. pont). A Bíróság e tekintetben emlékeztetett arra, hogy a 95/46 irányelv 7. cikkének f) pontjával (amely az általános adatvédelmi rendelet 6. cikke (1) bekezdése f) pontjának felel meg) ellentétes az, ha valamely tagállam bizonyos kategóriákba tartozó személyes adatok tekintetében kategorikusan és általánosan kizárja ezek kezelhetőségét anélkül, hogy lehetővé tenné a szóban forgó ellentétes érdekek és jogok súlyozását az egyes esetekben. Valamely tagállam e kategóriák tekintetében nem írhatja elő végleges módon az ellentétes érdekek és jogok közötti súlyozás eredményét, anélkül hogy eltérő eredményt tenne lehetővé az adott eset sajátos körülményei okán (2016. október 19‑iBreyer ítélet, C‑582/14, EU:C:2016:779, 62. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
( 88 ) A „29. cikk” munkacsoport 6/2014. sz. véleménye e tekintetben érdekes megfontolásokat tartalmaz annak III.3.4. pontjában.
( 89 ) Az általános adatvédelmi rendelet (49) preambulumbekezdése szerint ugyanis a személyes adatoknak a hálózati és informatikai biztonság garantálásához feltétlenül szükséges és arányos mértékű kezelése az érintett adatkezelő jogos érdekének minősül. Például az elektronikus kommunikációs hálózatokhoz való engedély nélküli hozzáférésről és a rosszindulatú programterjesztés megakadályozásáról is lehet szó. Megjegyzem továbbá, hogy az általános adatvédelmi rendelet 32. cikkének megfelelően, amely rendelkezés értelmében többek között az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, valamint e rendelet 5. cikke (1) bekezdése f) pontjának megfelelően a személyes adatokat úgy kell kezelnie, hogy biztosítva legyen a személyes adatok megfelelő biztonsága.
( 90 ) Meg kell tehát vizsgálni, hogy a Facebook‑oldalon vagy ‑alkalmazáson kívüli személyes adatok kezelése mennyiben szükséges ez utóbbi biztonságosságához. Bár a kérdést előterjesztő bíróság e tekintetben rámutat arra, hogy a WhatsApp‑adatok a spam‑blokkolás érdekében felhasználhatók (a spameket küldő WhatsApp‑fiókokból származó információk felhasználása a megfelelő Facebook‑fiókok elleni fellépéshez), valamint az Instagram‑adatok felhasználhatók a kétes vagy jogellenes magatartások azonosítására, kétlem, hogy az alapügy felperesének joga lenne – a tágabb értelemben vett – „rendészeti” célból igényelni a személyes adatok kezelését, mivel a Bíróság ítélkezési gyakorlata szerint az elektronikus hírközlési adatok (eltérő, de kapcsolódó) területén még a forgalmi és a helymeghatározó adatok általános és különbségtétel nélküli, megelőző jelleggel történő megőrzését előíró jogszabályi intézkedések sem összeegyeztethetők a 2002/58 irányelvvel (lásd: 2020. október 6‑iLa Quadrature du Net és társai, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 168. pont). Egyébiránt abban az esetben, ha a hálózat biztonságának garantálását jogi követelmény írja elő, az adatkezelő hivatkozhat az általános adatvédelmi rendelet 6. cikke (1) bekezdésének c) pontjában előírt különös igazoló okra.
( 91 ) Az általános adatvédelmi rendelet 6. cikke (1) bekezdése c), d) és e) pontjának megfelelően.
( 92 ) Lásd a jelen indítvány 48. pontját.
( 93 ) Figyelembe véve az ítélkezési gyakorlat által elismert jogos érdekek széles körét (lásd a jelen indítvány 60. pontját). Például véleményem szerint alapvetően nyilvánvaló, hogy a kiskorúak védelme igazolhatja a nem megfelelő vagy veszélyes tartalomhoz való hozzáférés megtiltását célzó, megfelelő védelmi intézkedések elfogadását.
( 94 ) Az általános adatvédelmi rendelet 13. cikke (1) bekezdése c) és d) pontjának megfelelően ugyanis az adatkezelőnek többek között meg kell jelölnie minden egyes adatkezelési cél tekintetében a saját, illetve a harmadik személyek jogos érdekeit.
( 95 ) A 2020. november 11‑iOrange România ítéletben (C‑61/19, EU:C:2020:901, 35. és 36. pont, valamint az ott hivatkozott ítélkezési gyakorlat) a Bíróság pontosította, hogy az általános adatvédelmi rendelet 4. cikke 11. pontjának szövege, amely meghatározza az „érintett hozzájárulását”, szigorúbbnak tűnik, mint a 95/46 irányelv 2. cikke h) pontjának szövege, amennyiben az az érintett „akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű” kinyilvánítását követeli meg, amelyet az érintett nyilatkozat formájában vagy a megerősítést félreérthetetlenül kifejező cselekedet útján fejez ki.
( 96 ) Amint azt az Európai Adatvédelmi Testület hangsúlyozza, az „önkéntes” jelző az érintett tényleges választási lehetőségét és az afelett gyakorolt ellenőrzését jelenti (az Európai Adatvédelmi Testület 5/2020. sz. iránymutatása, 13. pont). Ugyanezen pont pontosítja többek között, hogy a hozzájárulás nem minősül önkéntesnek, ha egyrészt az érintett úgy érzi, hogy kénytelen hozzájárulni, vagy hogy jelentős negatív következményekkel járna számára, ha nem adná meg a hozzájárulását, és másrészt ha a hozzájárulás az általános feltételek nem megtárgyalható részeként jelenik meg. Következésképpen a hozzájárulást nem lehet önkéntesen megadottnak tekinteni, ha e személy nem képes azt anélkül megtagadni vagy visszavonni, hogy hátrány érné. Ebben az esetben, amint azt az alapeljárás felperese hangsúlyozza, az egyetlen hátrány, amelyet az érintettnek el kell fogadnia, az, hogy a szolgáltatás adott esetben nem nyújtja ugyanazon funkciókat vagy minőséget, amennyiben ahhoz technikai szempontból szükség lenne azon adatok kezelésére, amelyekhez nem adta meg a hozzájárulását.
( 97 ) E tekintetben az Európai Adatvédelmi Testület 5/2020. sz. iránymutatása a megtévesztést, megfélemlítést, kényszerítést vagy bármilyen jelentős negatív következményt említi az érintett hozzájárulásának megtagadásával kapcsolatban, és emlékeztet arra, hogy az adatkezelőt terheli annak bizonyítása, hogy az érintett tényleges döntési szabadsággal rendelkezik a hozzájárulás megadása, illetve visszavonása tekintetében (47. pont).
( 98 ) A (43) preambulumbekezdésben említett, a közhatalmi szervekkel való kapcsolatokra és a munkaviszonyra vonatkozó helyzeteken kívül, amelyek a jelen ügyben nem relevánsak, az Európai Adatvédelmi Testület 5/2020. sz. iránymutatásának 24. pontja többek között olyan helyzeteket említ, amikor az érintettnek ténylegesen nincs választási lehetősége, illetve amikor megtévesztés, megfélemlítés, kényszerítés vagy jelentős negatív következmények (például jelentős többletköltségek) bekövetkeztének veszélye áll fenn.
( 99 ) E kérdés részben egybevág az előzetes döntéshozatalra előterjesztett harmadik kérdés első részének tárgyával (lásd a jelen indítvány 53–57. pontját). Az általános adatvédelmi rendelet (43) preambulumbekezdésének második mondata pontosítja, hogy ilyen helyzetben a hozzájárulás nem tekinthető önkéntesnek (az Európai Adatvédelmi Testület 5/2020. sz. iránymutatásának 26. pontja szerint ezzel az általános adatvédelmi rendelet azt biztosítja, hogy a személyes adatok kezelése, amelyhez a hozzájárulást kérik, sem közvetlenül, sem közvetve ne válhasson a szerződés teljesítésének „ellenértékévé”), a „tekinthető” szó használata pedig egyértelművé teszi, hogy a hozzájárulás csak igen kivételes esetekben lehet érvényes (lásd ezen iránymutatás 35. pontját). Ezenkívül az általános adatvédelmi rendelet 7. cikke(4) bekezdésének szövegében a „többek között” kifejezés használata azt mutatja, hogy nem kimerítő felsorolást tartalmaz, ami azt jelenti, hogy számos más helyzet tartozhat e rendelkezés hatálya alá, így az érintettre gyakorolt bármilyen nem helyénvaló nyomás vagy befolyás, amely megakadályozza az érintett személyt akaratának érvényesítésében (az Európai Adatvédelmi Testület 5/2020. sz. iránymutatásának 14. pontja).
( 100 ) Az általános adatvédelmi rendelet (32) preambulumbekezdése többek között pontosítja, hogy a megadott hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed, valamint ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. E tekintetben az Európai Adatvédelmi Testület 5/2020. sz. iránymutatása az önkéntesség akadályaként a hozzájárulás „lépcsőzetességére” hivatkozik (44. pont).
( 101 ) Az ilyen helyzet többek között olyan feltételek előírását segíti elő, amelyek nem szükségesek a szerződés teljesítéséhez (lásd a jelen indítvány 53–57. pontját).
( 102 ) Másként fogalmazva, amint arra a Bizottság rámutat, a vállalkozás relatív piaci erejének szintje az, amely az általános adatvédelmi rendelet alapján a hozzájárulás érvényességét befolyásolja, és amely nem feltétlenül feleltethető meg a piaci erőfölény EUMSZ 102. cikk értelmében vett küszöbértékével.
( 103 ) Természetesen, noha egyrészt az erőfölény fennállása önmagában nem zárja ki a személyes adatok kezeléséhez való szabad hozzájárulás adásának lehetőségét, másrészt az ilyen helyzet hiánya önmagában nem elegendő annak minden körülmények között történő biztosításához, hogy az ilyen hozzájárulás érvényes legyen.