1

A felperes, a WhatsApp Ireland Ltd (a továbbiakban: WhatsApp) az EUMSZ 263. cikk alapján benyújtott keresetében az Európai Adatvédelmi Testületnek a Data Protection Commission (a természetes személyek személyes adatainak védelmével foglalkozó felügyeleti hatóság, Írország; a továbbiakban: ír felügyeleti hatóság) által a WhatsAppra vonatkozóan kidolgozott döntéstervezetből eredő, az érintett felügyeleti hatóságok között kialakult jogvitáról szóló, 2021. július 28‑i 1/2021. sz. kötelező erejű döntésének (a továbbiakban: megtámadott döntés) a megsemmisítését kéri.

2

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.) hatálybalépését követően az ír felügyeleti hatósághoz a „WhatsApp” üzenetküldő szolgáltatás felhasználóitól és annak nem felhasználói érintettjeitől panaszok érkeztek a személyes adatok WhatsApp általi kezelésével kapcsolatban. A német szövetségi felügyeleti hatóság pedig az ír felügyeleti hatóság segítségét kérte azzal kapcsolatban, hogy a WhatsApp tiszteletben tartja‑e a személyes adatok kezelőire vonatkozó átláthatósági kötelezettségeket a személyes adatoknak a (2021 szeptemberében Meta névre átnevezett) Facebook‑csoportba tartozó más jogalanyokkal való esetleges megosztása tekintetében.

3

2018 decemberében az ír felügyeleti hatóság hivatalból általános vizsgálatot indított azzal kapcsolatban, hogy a WhatsApp tiszteletben tartja‑e a 2016/679 rendelet 12., 13. és 14. cikkében meghatározott, a magánszemélyekkel (nem pedig a vállalkozásokkal) szembeni átláthatósági és tájékoztatási kötelezettségeket, amely vizsgálat nem érintette a hozzá beérkező egyedi megkeresések kapcsán általa esetlegesen meghozandó intézkedéseket. Az ír felügyeleti hatóság e tekintetben a 2016/679 rendelet 56. cikkének (1) bekezdése szerinti „fő felügyeleti hatóságként” járt el, figyelemmel arra, hogy a WhatsApp üzleti tevékenységének fő helye Írországban van a „WhatsApp” üzenetküldő szolgáltatás európai műveleteinek kezelőjeként, mivel ezek kezelése határokon átnyúló jelleget ölt.

4

Miután a vizsgálati szakasz a vizsgálatvezető által elkészített zárójelentés benyújtásával 2019 szeptemberében lezárult, az ír felügyeleti hatóság döntéshozatalért felelős munkatársa – a közbenső eljárási szakaszok után, amelyekben a WhatsApp észrevételeket tett – 2020 decemberében átadta a döntés tervezetét az ügyben érintett valamennyi felügyeleti hatóságnak, azaz az összes többi tagállami felügyeleti hatóságnak, hogy azok azt a 2016/679 rendelet 60. cikkének (3) bekezdésében előírtak szerint véleményezhessék.

5

2021 januárjában e felügyeleti hatóságok közül nyolc – a német szövetségi, a baden‑württembergi, a magyar, a holland, a lengyel, a francia, az olasz és a portugál felügyeleti hatóság – kifogást emelt a döntéstervezet bizonyos aspektusaival szemben. Ezenkívül bizonyos felügyeleti hatóságok egyszerű észrevételeket tettek. Az ír felügyeleti hatóság csoportosan válaszolt a többi érintett felügyeleti hatóságnak, és kompromisszumos megoldásokat javasolt. Jóllehet e választ követően az egyik hatóság visszavonta az egyik kifogását, az ír felügyeleti hatóság megállapította, hogy a többi kifogásolt aspektusra vonatkozó javaslataival kapcsolatban nincs konszenzus az érintett felügyeleti hatóságok között, és úgy döntött, hogy elutasítja az összes kifogást, és az Európai Adatvédelmi Testülethez fordul, hogy az rendezze az érintett felügyeleti hatóságok között az ezen aspektusokról kialakult vitát, a 2016/679 rendelet 60. cikke (4) bekezdésének és 65. cikke (1) bekezdése a) pontjának rendelkezéseivel összhangban.

6

2021 májusában az ír felügyeleti hatóság megkapta a WhatsApp írásbeli észrevételeit az érintett felügyeleti hatóságok között megvitatott kérdésekkel kapcsolatban, miután továbbította az ír felügyeleti hatóságnak az e tekintetben váltott összes dokumentumot, majd az észrevételeket továbbította az Európai Adatvédelmi Testületnek megfontolásra a vitarendezési eljárás keretében, amelyet az Európai Adatvédelmi Testület 2021 júniusában indított el.

7

Az Európai Adatvédelmi Testület – amely a 2016/679 rendelet 68. cikkének (3) bekezdése értelmében „minden tagállam egy felügyeleti hatóságának vezetőjéből és az európai adatvédelmi biztosból vagy azok képviselőiből áll” – a 2016/679 rendelet 65. cikkének (2) bekezdésében előírtak szerint 2021. július 28‑án kétharmados többséggel fogadta el a megtámadott döntést. A megtámadott döntés a fő felügyeleti hatóságnak és az összes érintett felügyeleti hatóságnak címzett, rájuk nézve kötelező erejű döntés – amint azt ugyanez a rendelkezés előírja – és az a releváns és megalapozott kifogásban szereplő összes kérdésre kiterjed, ahogyan azt a 2016/679 rendelet 65. cikke (1) bekezdésének a) pontja előírja. E tekintetben a megtámadott döntésben az Európai Adatvédelmi Testület először megvizsgálta az érintett felügyeleti hatóság által megfogalmazott minden egyes kifogás relevanciáját és megalapozottságát. Csak abban az esetben foglalt állást a kifogással kapcsolatban, ha erre az előzetes kérdésre adott válasz igenlő volt.

8

Miután az ír felügyeleti hatóság megkapta a megtámadott döntést és megkapta a WhatsApp észrevételeit a megtámadott döntés alapján a WhatsApp‑pal szemben végül kiszabni tervezett pénzbírságokkal kapcsolatban, e hatóság döntéshozatalért felelős munkatársa a 2016/679 rendelet 65. cikkének (6) bekezdésével összhangban 2021. augusztus 20‑án elfogadta a WhatsAppnak címzett jogerős döntést (a továbbiakban: jogerős döntés). A jogerős döntés szerint a WhatsApp megsértette a 2016/679 rendelet 5. cikke (1) bekezdésének a) pontjában, 12. cikkének (1) bekezdésében, 13. cikke (1) bekezdésének c), d), e) és f) pontjában, 13. cikke (2) bekezdésének a), c) és e) pontjában és 14. cikkében foglalt átláthatósági elvet és kötelezettségeket. A jogerős döntésben azonban az is szerepel, hogy a WhatsApp eleget tett a 2016/679 rendelet 13. cikke (1) bekezdésének a) és b) pontjában, valamint 13. cikke (2) bekezdésének b) és d) pontjában foglalt kötelezettségeknek. A 2016/679 rendelet 58. cikke (2) bekezdésének b), d) és i) pontja alapján elfogadott korrekciós intézkedésekként a jogerős döntés a WhatsAppot utasította az egyik mellékletben felsorolt számos olyan intézkedés végrehajtására, amelyek a 2016/679 rendelet megsértett rendelkezéseinek három hónapon belül történő betartására irányultak, továbbá a 2016/679 rendelet 5. cikke (1) bekezdésének a) pontjában, valamint 12., 13. és 14. cikkében megállapított jogsértésekkel kapcsolatos négy közigazgatási bírságot szabott ki, összesen 225 millió euró összegben.

9

A jogerős döntésben az ír felügyeleti hatóság döntéshozatalért felelős munkatársa azonosította azokat a szempontokat, amelyek esetében a megtámadott döntés alapján el kellett végeznie a fenti 4. pontban említett döntéstervezetben szereplő értékelés felülvizsgálatát. Úgy döntött, hogy ezeket a szempontokat az Európai Adatvédelmi Testület által a megtámadott döntésben elfogadott indoklásban található keretes, szürke háttérszínnel, változatlan formában ismétli meg, és a következtetéseket minden egyes esetben pusztán egy záró pontban vonja le. Pontosította, hogy a jogerős döntésben egyfelől nem hivatkozik azokra a kifogásokra, amelyeket az Európai Adatvédelmi Testület nem tartott relevánsnak vagy megalapozottnak, amelyek megalapozottságát következésképpen nem is értékelte, és azokra a kifogásokra sem hivatkozott, amelyek esetében az Európai Adatvédelmi Testület megállapította, hogy nem igénylik a döntéstervezetben szereplő értékelés módosítását, pontosította másfelől, hogy ezekről a kifogásokról nem is foglal állást.

10

A 2016/679 rendelet 65. cikkének (6) bekezdésével összhangban a megtámadott döntést csatolták az ír felügyeleti hatóság jogerős döntéséhez.

11

E tekintetben nyilvánvaló, hogy a megtámadott döntésben az Európai Adatvédelmi Testület egymás után csak a következő szempontokkal kapcsolatban foglalt állást, amelyekkel kapcsolatban véleménye szerint releváns és megalapozott kifogásokat emeltek:

12

A WhatsApp ezzel párhuzamosan egy ír bíróság előtt megtámadta a jogerős döntést, és a megtámadott döntés megsemmisítését kérte a Törvényszéktől.

13

A jelen eljárásban a Computer & Communication Industry Association a felperes kérelmének, míg a Finn Köztársaság, az Európai Bizottság és az európai adatvédelmi biztos az Európai Adatvédelmi Testület kérelmének támogatása céljából kérte, hogy beavatkozhasson. Ezen utóbbiak beavatkozására figyelemmel az eljárás felei kérték, hogy az ügyiratok bizonyos elemeit bizalmas jellegükre való tekintettel ne közöljék bizonyos beavatkozó felekkel. Ebben a szakaszban a Törvényszék még nem határozott ezekről a kérelmekről.

14

Az ellenkérelem benyújtását követően elfogadott pervezető intézkedés – amely felszólította az eljárás feleit, hogy válaszukban és viszonválaszukban ne mulasszanak el állást foglalni a Törvényszék hatáskörével és a kereset elfogadhatóságával kapcsolatos valamennyi fontos kérdésben – e tekintetben a megtámadott döntésnek az Európai Unió valamely szerve aktusának minősítésére, a megtámadott döntés megtámadható aktusnak minősítésére, valamint a felperes kereshetőségi jogára és eljáráshoz fűződő érdekére hivatkozott.

15

A WhatsApp a megtámadott döntés teljes megsemmisítését, illetve másodlagosan e döntés releváns részeinek a megsemmisítését, valamint az Európai Adatvédelmi Testület költségek viselésére kötelezését kéri.

16

Az Európai Adatvédelmi Testület a keresetet elfogadhatatlanként történő elutasítását, másodlagosan megalapozatlanként történő elutasítását, harmadlagosan pedig azt kéri, hogy a megtámadott döntés megsemmisítése korlátozódjon a döntés releváns részeire. Az Európai Adatvédelmi Testület azt is kéri, hogy a Törvényszék a felperest kötelezze a költségek viselésére.

17

A Törvényszék eljárási szabályzatának 129. cikke értelmében a Törvényszék hivatalból, az előadó bíró javaslatára, a felperes és az alperes meghallgatását követően az eljárás során bármikor indokolt végzéssel határozhat arról, hogy a kereset eljárásgátló okok fennállása miatt nem elfogadhatatlan‑e.

18

A jelen ügyben a Törvényszék úgy ítéli meg, hogy az iratanyag alapján az ügy körülményei kellően fel vannak tárva, és e cikk alapján úgy határoz, hogy az eljárás folytatása nélkül határoz a kereset elfogadhatóságáról.

19

A Törvényszék hatáskörének és a felperes kereshetőségi jogának vizsgálata ugyanis közrendi kérdést képez, csakúgy, mint a kereset elfogadhatóságával kapcsolatos egyéb tényezők vizsgálata, a jelen ügyben pedig az eljárás felei a fenti 14. pontban említett pervezető intézkedést követően lehetőséget kaptak arra, hogy e tekintetben kifejtsék észrevételeiket, aza után, hogy az Európai Adatvédelmi Testület az ellenkérelemben maga is felvetette a kereset elfogadhatatlanságát.

20

A jelen ügyben elöljáróban fel kell idézni azt az intézményi jogi keretet, amelybe a megtámadott döntés illeszkedik.

21

A 2016/679 rendelet VI. fejezete a „Független felügyeleti hatóságok” címet viseli. Ezen belül az 51. cikk akként rendelkezik, hogy minden tagállam „előírja, hogy e rendelet alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv […] felel”, hogy minden ilyen hatóság „elősegíti e rendeletnek az Unió egész területén történő egységes alkalmazását”, és hogy a „felügyeleti hatóságok e célból együttműködnek egymással és a Bizottsággal, a VII. fejezettel összhangban”.

22

Az 55. cikk előírja, hogy a felügyeleti hatóság a saját tagállamának területén illetékes a 2016/679 rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására, az 56. cikk pedig kimondja, hogy az 55. cikk sérelme nélkül, az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye szerinti felügyeleti hatóság jogosult fő felügyeleti hatóságként eljárni az említett adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében, a 60. cikk szerinti eljárással összhangban. A fenti 3. pontban jelzetteknek megfelelően, a jelen ügyben a WhatsApp vonatkozásában az ír felügyeleti hatóság járt el fő felügyeleti hatóságként.

23

A 2016/679 rendelet 58. cikkének (2) bekezdése akként rendelkezik, hogy minden felügyeleti hatóság jogosult az adatkezelővel vagy adatfeldolgozóval szemben korrekciós intézkedéseket elfogadni, és konkréten e cikk b), d) és i) pontja szerint jogosult elmarasztalni őket, ha adatkezelési tevékenységük megsértette a 2016/679 rendelet rendelkezéseit, utasítani őket, hogy adatkezelési műveleteiket – adott esetben meghatározott módon és meghatározott időn belül – hozzák összhangba a 2016/679 rendelet rendelkezéseivel, valamint közigazgatási bírságot kiszabni velük szemben.

24

A 2016/679 rendeletnek a fenti 21–23. pontban említett rendelkezéseket követő VII. fejezete az „Együttműködés és egységesség” címet viseli.

25

Az e fejezet „Együttműködés” című szakaszában szereplő, az „Együttműködés a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság között” címet viselő 60. cikk többek között a következőket írja elő:

„(1)   A fő felügyeleti hatóság e cikknek megfelelően, konszenzusra törekedve együttműködik a többi érintett felügyeleti hatósággal. A fő felügyeleti hatóság és az érintett felügyeleti hatóságok minden releváns információt kicserélnek egymással.

[…]

(3)   A fő felügyeleti hatóság késedelem nélkül közli a többi érintett felügyeleti hatósággal az üggyel kapcsolatos releváns információkat. A döntés tervezetét haladéktalanul benyújtja a többi érintett felügyeleti hatóságnak, hogy azok véleményezhessék, és véleményüket kellően figyelembe veszi.

(4)   Ha a többi érintett felügyeleti hatóság valamelyike az e cikk (3) bekezdése szerinti konzultációt követő négy héten belül releváns és megalapozott kifogást emel a döntéstervezettel szemben, a fő felügyeleti hatóság, ha nem ért egyet a releváns és megalapozott kifogással, vagy azt nem találja relevánsnak vagy megalapozottnak, az ügyet a 63. cikkben említett, egységességi mechanizmus keretében kezeli.

(5)   Ha a fő felügyeleti hatóság helyt kíván adni a releváns és megalapozott kifogásnak, módosított döntéstervezetet nyújt be a többi érintett felügyeleti hatóságnak, hogy azok véleményezhessék. A módosított döntéstervezet tekintetében két héten belül kell lefolytatni a (4) bekezdésben említett eljárást.

(6)   Ha a (4), illetve az (5) bekezdésben említett határidőn belül a többi érintett felügyeleti hatóság egyike sem emel kifogást a fő felügyeleti hatóság által benyújtott döntéstervezettel szemben, úgy kell tekinteni, hogy a fő felügyeleti hatóság és az érintett felügyeleti hatóságok egyetértenek a döntéstervezettel és az rájuk nézve kötelező.

(7)   A fő felügyeleti hatóság elfogadja a döntését és közli azt az adatkezelő, vagy adott esetben az adatfeldolgozó tevékenységi központjával vagy egyetlen tevékenységi helyével, továbbá a releváns tények és indokok összefoglalásával tájékoztatja a szóban forgó döntésről a többi érintett felügyeleti hatóságot és a Testületet. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, tájékoztatja a panaszost a döntésről.

[…]

(10)   Az adatkezelő, illetve az adatfeldolgozó, miután a (7) vagy a (9) bekezdésnek megfelelően közölték vele a fő felügyeleti hatóság döntését, megteszi a szükséges intézkedéseket annak érdekében, hogy az adatkezelési tevékenységek az Unióban lévő minden tevékenységi helyén megfeleljenek a döntésben foglaltaknak. Az adatkezelő, illetve az adatfeldolgozó közli a fő felügyeleti hatósággal a döntésnek való megfelelés érdekében tett intézkedéseket, ezt követően a fő felügyeleti hatóság tájékoztatja a többi érintett felügyeleti hatóságot.”

26

A 2016/679 rendelet ugyanezen VII. fejezetének „Következetesség” című szakaszában „Az egységességi mechanizmus” címet viselő 63. cikk a következőket írja elő:

„Az e rendeletnek az Unió egész területén történő egységes alkalmazásához való hozzájárulás érdekében a felügyeleti hatóságok együttműködnek egymással és adott esetben a Bizottsággal az e szakaszban meghatározott egységességi mechanizmus útján.”

27

Az Európai Adatvédelmi Testület beavatkozik ebbe a mechanizmusba. Az Európai Adatvédelmi Testület jogállását a 2016/679 rendelet VII. fejezetének harmadik és egyben utolsó, „Európai Adatvédelmi Testület” című szakasza határozza meg.

28

Ebben a szakaszban a 68. cikk kimondja:

„(1)   Létrejön az Európai Adatvédelmi Testület (»a Testület«) mint jogi személyiséggel rendelkező uniós szerv.

[…]

(3)   A Testület minden tagállam egy felügyeleti hatóságának vezetőjéből és az európai adatvédelmi biztosból vagy azok képviselőiből áll.

[…]”

29

Ugyanebben a szakaszban „Az Európai Adatvédelmi Testület feladatai” címet viselő 70. cikk a következőket írja elő:

„(1)   A Testület biztosítja e rendelet egységes alkalmazását. Ennek érdekében a Testület saját kezdeményezésére vagy adott esetben a Bizottság kérésére ellátja különösen a következő feladatokat:

[…]”

30

Ugyanez a 70. cikk továbbá részletesen felsorolja az Európai Adatvédelmi Testület egyéb feladatait, amelyek elsősorban tanácsadási feladatok, amelyeket vélemények, iránymutatások, ajánlások és „legjobb gyakorlatokra” vonatkozó ajánlások formájában kell gyakorolnia.

31

A fenti 26. pontban említett „Következetesség” szakaszban – a 64. cikk után, amely felsorolja azokat az eseteket, amelyekben az Európai Adatvédelmi Testület véleményt ad ki – „A Testület vitarendezési eljárása” című 65. cikk többek között a következőképpen rendelkezik:

„(1)   Annak érdekében, hogy az egyes esetekben biztosított legyen e rendelet helyes és egységes alkalmazása, a Testület kötelező erejű döntést fogad el az alábbi esetekben:

[…]

(2)   Az (1) bekezdésben említett döntést a Testület […] [a] tagjainak kétharmados többségével fogadja el. […] Az (1) bekezdésben említett döntést indokolni kell, és meg kell küldeni a fő felügyeleti hatóságnak és minden érintett felügyeleti hatóságnak, amelyekre nézve kötelező erővel rendelkezik.

[…]

(5)   A Testület elnöke indokolatlan késedelem nélkül értesíti az érintett felügyeleti hatóságokat az (1) bekezdésben említett döntésről. Erről tájékoztatnia kell a Bizottságot. A döntést haladéktalanul közzé kell tenni a Testület honlapján azt követően, hogy a felügyeleti hatóság bejelentette a (6) bekezdésben említett jogerős döntést.

(6)   A fő felügyeleti hatóság vagy – az esettől függően – az a felügyeleti hatóság, amelyhez a panaszt benyújtották, az e cikk (1) bekezdésében említett döntés alapján indokolatlan késedelem nélkül, de legkésőbb egy hónappal azt követően, hogy a Testület bejelentette döntését elfogadja jogerős döntését. […] A jogerős döntésben utalni kell az e cikk (1) bekezdésben említett döntésre, valamint közölni kell, hogy az (1) bekezdésében említett döntést a (5) bekezdéssel összhangban közzé fogják tenni a Testület honlapján. A jogerős döntéshez csatolni kell az e cikk (1) bekezdésében említett döntést”.

32

A 2016/679 rendelet „Jogorvoslat, felelősség és szankciók” címet viselő VIII. fejezetének 78. cikke „a felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való joggal”, 79. cikke pedig „az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való joggal” foglalkozik. Ez a fejezet egyetlen rendelkezést sem tartalmaz az Európai Adatvédelmi Testület által a fent említett 65. cikk (1) bekezdés alapján elfogadott kötelező erejű döntésekkel szembeni esetleges jogorvoslatokról. A 78. cikk (4) bekezdése azonban kimondja, hogy „[h]a a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi mechanizmus keretében a Testület előzőleg […] döntést hozott, a felügyeleti hatóság köteles ezt a […] döntést a bíróságnak megküldeni”.

33

A 2016/679 rendelet (143) preambulumbekezdése kimondja:

„Minden természetes vagy jogi személy jogosult, hogy az [EUMSZ 263. cikkben] meghatározott feltételek szerint eljárást indítson a Bíróságon a Testület döntéseinek megsemmisítése iránt. Azok az érintett felügyeleti hatóságok, amelyek e döntések címzettjeiként fellebbezni kívánnak azok ellen, az [EUMSZ 263. cikknek] megfelelően a döntésről való értesítésüket követő két hónapon belül indítják meg keresetüket. Ha a Testület döntései közvetlenül és egyénileg érintenek valamely adatkezelőt, adatfeldolgozót vagy a panaszost, a panaszos az [EUMSZ 263. cikknek] megfelelően eljárást indíthat az adott döntések megsemmisítése iránt, mégpedig azoknak a Testület honlapján való közzététele dátumától számított két hónapon belül. Az [EUMSZ 263. cikkben] biztosított e jog sérelme nélkül, minden természetes vagy jogi személy számára biztosítani kell, hogy egy valamely felügyeleti hatóság által hozott és a szóban forgó személyre nézve jogkövetkezményekkel járó döntéssel szemben hatékony bírósági jogorvoslattal élhessen valamely illetékes tagállami bíróságnál. Ide tartoznak különösen a felügyeleti hatóság vizsgálati, korrekciós és engedélyezési hatásköreinek gyakorlására, illetve a panaszok megalapozatlannak tekintésére vagy elutasítására vonatkozó döntések. Mindazonáltal a hatékony bírósági jogorvoslathoz való jog nem vonatkozik a felügyeleti hatóságok által tett, jogilag kötelező erővel nem bíró intézkedéseikre, például a felügyeleti hatóság által kibocsátott véleményekre vagy az általa nyújtott tanácsra. A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani, és az eljárást az érintett tagállam eljárásjoga szerint kell lefolytatni. Az említett bíróság teljes körű joghatósággal rendelkezik, amely magában foglalja az általa tárgyalt jogvita szempontjából releváns összes ténybeli és jogi kérdés vizsgálata tekintetében fennálló joghatóságot is.

Ha valamely felügyeleti hatóság elutasított vagy megalapozatlannak talált egy panaszt, a panaszos ugyanazon tagállam bírósága előtt eljárást indíthat. Az e rendelet alkalmazásával kapcsolatos bírósági jogorvoslatok összefüggésében azok a tagállami bíróságok, amelyek úgy ítélik meg, hogy az ítélethozatalhoz az adott kérdéssel kapcsolatos előzetes döntésre van szükség, kérhetik, illetve az [EUMSZ 267. cikkben] meghatározott esetben kérniük kell a Bíróságot, hogy az e rendeletet is magában foglaló uniós jog értelmezéséről hozzon előzetes döntést. Ezenkívül, ha valamely felügyeleti hatóság a Testület döntését végrehajtó döntésével szemben olyan keresetet indítanak valamelyik tagállami bíróság előtt, amelynek a tárgya a Testület döntésének az érvényessége, a szóban forgó tagállami bíróság nem rendelkezik hatáskörrel arra, hogy érvénytelennek nyilvánítsa a Testület döntését, hanem az érvényesség kérdését a Bíróság elé utalja […] [a] Bíróság által értelmezett [EUMSZ 267. cikknek] megfelelően, amennyiben véleménye szerint a döntés érvénytelen. A tagállami bíróságok azonban nem utalhatnak a Bíróság elé a Testület döntésének az érvényességével kapcsolatos kérdést olyan természetes vagy jogi személy kérelmére, akinek volt lehetősége az adott döntés megsemmisítése iránti keresetet indítani, ám elmulasztotta azt megtenni az [EUMSZ 263. cikkben] megállapított határidőn belül, különösen, ha a szóban forgó személyt a döntés közvetlenül és egyénileg érinti”.

34

Az EUMSZ 263. cikk, amelynek első, második, negyedik és ötödik bekezdése az alábbiakban szerepel, a következőket mondja ki:

„Az Európai Unió Bírósága megvizsgálja a jogalkotási aktusok jogszerűségét, valamint a Tanács, a Bizottság és az Európai Központi Bank jogi aktusait, kivéve az ajánlásokat és a véleményeket, továbbá az Európai Parlament és az Európai Tanács harmadik személyekre joghatással járó aktusait. Az Európai Unió Bírósága megvizsgálja továbbá az Unió szervei vagy hivatalai által elfogadott, harmadik személyekre joghatással járó jogi aktusok jogszerűségét.

E célból az Európai Unió Bírósága hatáskörrel rendelkezik az olyan keresetek tekintetében, amelyeket valamely tagállam, az Európai Parlament, a Tanács vagy a Bizottság nyújt be hatáskör hiánya, lényeges eljárási szabályok megsértése, a Szerződések vagy az alkalmazásukra vonatkozó bármely jogi rendelkezés megsértése vagy hatáskörrel való visszaélés miatt.

[…]

Bármely természetes vagy jogi személy az első és második bekezdésben említett feltételek mellett eljárást indíthat a neki címzett vagy az őt közvetlenül és személyében érintő jogi aktusok ellen, továbbá az őt közvetlenül érintő olyan rendeleti jellegű jogi aktusok ellen, amelyek nem vonnak maguk után végrehajtási intézkedéseket.

Az Unió szerveit és hivatalait létrehozó jogi aktusok meghatározhatják azokat a külön feltételeket, amelyek alapján egy természetes vagy jogi személy az e szervek és hivatalok által elfogadott, rá nézve joghatás kiváltására irányuló jogi aktusokkal szemben keresettel élhet.

[…]”

35

Az EUMSZ 263. cikk első bekezdéséből kitűnik, hogy az uniós bíróságok hatáskörrel rendelkeznek az uniós szervek harmadik személyekkel szemben joghatások kiváltására irányuló jogi aktusa jogszerűségének vizsgálatára. Ugyanezen cikk negyedik bekezdéséből továbbá kitűnik, hogy ahhoz, hogy valamely jogi személy jogosult legyen keresetet indítani egy uniós szerv olyan egyedi jogi aktusa ellen, amelynek nem címzettje, főszabály szerint közvetlenül és személyében érintettnek kell lennie. A jelen esetben – a fenti 32. pontban kifejtettek szerint – a 2016/679 rendelet nem tartalmaz az EUMSZ 263. cikk ötödik bekezdésében előírtnak megfelelő rendelkezést, így a jelen ügyben a WhatsAppra ténylegesen vonatkoznak az e cikk negyedik bekezdésében foglalt azon feltételek, amelyek szerint a megtámadott döntésnek őt közvetlenül és személyében kell érintenie ahhoz, hogy az e döntés elleni keresete elfogadható legyen.

36

Mindenekelőtt meg kell állapítani, hogy az Európai Adatvédelmi Testület által elfogadott megtámadott döntés valóban az Unió egyik szervének jogi aktusa. Igaz, a 2016/679 rendelet által előírt, a fenti 21–31. pontban kifejtett intézményi keret – és különösen a nemzeti felügyeleti hatóságoknak az adatkezelőkkel és az adatfeldolgozókkal kapcsolatos korrekciós intézkedések elfogadására irányuló kizárólagos hatásköre, valamint az e hatóságok közötti, így a lényegében az e hatóságokat tömörítő Európai Adatvédelmi Testületen belüli együttműködési és egységességi mechanizmus – arra engedhetne következtetni, hogy ez utóbbi csupán a nemzeti hatóságok közötti koordinációs szervként működik. A 2016/679 rendelet 68. cikkének (1) bekezdése értelmében azonban az Európai Adatvédelmi Testület uniós szervként jött létre, és jogi személyiséggel rendelkezik. Ezenfelül e minőségében jogosult arra, hogy a 2016/679 rendelet 64. és 65. cikke alapján a nemzeti felügyeleti hatóságok közötti viták rendezésével összefüggésben a megtámadott döntéshez hasonló, az érintett felügyeleti hatóságokra nézve kötelező erejű véleményeket és döntéseket fogadjon el, így e vélemények és határozatok uniós szerv aktusainak minősülnek.

37

Ezután meg kell állapítani, hogy a megtámadott döntés joghatásokat vált ki harmadik személyekkel szemben, mivel az egy, a 2016/679 rendelet 65. cikke alapján elfogadott, az érintett felügyeleti hatóságok vonatkozásában „kötelező erejű döntés”.

38

Mindazonáltal, ha a felperes nem tartozik az EUMSZ 263. cikk második bekezdésében külön‑külön említett „privilegizált” felperesek körébe, akkor az ítélkezési gyakorlat szerint ahhoz, hogy a jogi aktus a felperes által megtámadható jogi aktusnak minősüljön, annak olyan kötelező joghatások kiváltására kell irányulnia, amelyek a felperes érdekeit sérthetik jelentősen módosítva annak jogi helyzetét (1981. november 11‑iIBM kontra Bizottság ítélet, 60/81, EU:C:1981:264, 9. pont; lásd még: 2010. november 18‑iNDSHT kontra Bizottság ítélet, C‑322/09 P, EU:C:2010:701, 45. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

39

A Bíróság azt is megállapította, hogy amennyiben a felperes nem címzettje az általa megtámadott jogi aktusnak, az a feltétel, hogy a jogi aktusnak a felperes jogi helyzetét jelentősen módosítania kell, átfedésben van az EUMSZ 263. cikk negyedik bekezdésében foglalt feltételekkel, azaz – amennyiben a megtámadott jogi aktus nem végrehajtási intézkedéseket maga után nem vonó rendeleti jellegű jogi aktust képez – azzal, hogy a felperest közvetlenül és személyében kell ennek a jogi aktusnak érintenie (lásd ebben az értelemben: 2011. október 13‑iDeutsche Post és Németország kontra Bizottság ítélet, C‑463/10 P és C‑475/10 P, EU:C:2011:656, 38. pont).

40

A jelen ügyben – az egyedi aktust képező, megtámadott jogi aktus jellegére figyelemmel – elöljáróban megjegyezhető, hogy a WhatsAppot a megtámadott döntés személyében érinti, mivel az az ír felügyeleti hatóság kifejezetten rá vonatkozó jogerős döntéstervezetének bizonyos szempontjaira vonatkozik. Az Európai Adatvédelmi Testület által a viszonválaszban állítottakkal ellentétben, a megtámadott döntés nem szorítkozik olyan elvek kimondására vagy a 2016/679 rendelet bizonyos olyan rendelkezéseinek értelmezésére, amelyek bármely adatkezelőt érinthetnek. A fenti 11. pontban kifejtetteknek megfelelően, a megtámadott döntésben az Európai Adatvédelmi Testület a 2016/679 rendelet szerinti bizonyos kötelezettségek WhatsApp általi tiszteletben tartásáról rendelkezik, személyes adatoknak minősíti a kizárólag a WhatsApp által alkalmazott adatkezelési művelet, a „Lossy Hashing Procedure” eredményeként keletkező elemeket, és a WhatsApp‑pal szemben meghozandó bizonyos korrekciós intézkedésekről, konkrétan a vele szemben kiszabandó közigazgatási bírságok meghatározásának egyes szempontjairól rendelkezik. A megtámadott döntés tehát a WhatsAppra konkrétan vonatkozik, még akkor is, ha – amint az az egyedi jogi aktusokban igen gyakori – általános jellegű elvek és értelmezések kifejtését vagy felidézését tartalmazza.

41

Ezek után azt a kérdést kell megvizsgálni, hogy a megtámadott döntés olyan joghatásokat vált‑e ki, amelyek jelentősen megváltoztatják a WhatsApp jogi helyzetét, és hogy ez a döntés az EUMSZ 263. cikk negyedik bekezdése értelmében közvetlenül érinti‑e őt.

42

Ebből a szempontból meg kell jegyezni – amint arra az Európai Adatvédelmi Testület ezúttal helytállóan rámutat –, hogy a megtámadott döntés önmagában nem változtatja meg a WhatsApp jogi helyzetét. Az ír felügyeleti hatóság jogerős döntésével ellentétben ugyanis az nem közvetlenül végrehajtható vele szemben, és az a WhatsApp vonatkozásában előkészítő vagy közbenső aktust képez egy olyan eljárásban, amelynek a 2016/679 rendelet – fenti 23–26. és 31. pontban idézett – 58. cikkének (2) bekezdésében, valamint 60., 63. és 65. cikkében szereplő rendelkezéseknek megfelelően pontosan egy nemzeti felügyeleti hatóság e vállalkozásnak címzett jogerős döntésének elfogadásával kell lezárulnia (lásd ebben az értelemben és analógia útján: 1986. június 24‑iAKZO Chemie és AKZO Chemie UK kontra Bizottság ítélet, 53/85, EU:C:1986:256, 19. pont).

43

E tekintetben a Bíróság több alkalommal megállapította, hogy a jogi aktusok több szakaszban történő kidolgozását eredményező eljárásokban főszabály szerint nem képeznek megtámadható jogi aktusokat azok a közbenső intézkedések, amelyek a végleges határozat előkészítését szolgálják (lásd ebben az értelemben: 1981. november 11‑iIBM kontra Bizottság ítélet, 60/81, EU:C:1981:264, 10. pont; 2010. január 26‑iInternationaler Hilfsfonds kontra Bizottság ítélet, C‑362/08 P, EU:C:2010:40, 52. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

44

A fenti 43. pontban felidézett elv alóli kivételek azokra az esetekre vonatkoznak, amelyekben a közbenső intézkedés olyan önálló jogi hatásokat vált ki, amelyekkel szemben nem lehet megfelelő bírói jogvédelmet biztosítani az eljárást lezáró határozattal szemben indított keresettel (lásd ebben az értelemben: 1981. november 11‑iIBM kontra Bizottság ítélet, 60/81, EU:C:1981:264, 11. és 12. pont; 2011, 2011. október 13‑iDeutsche Post és Németország kontra Bizottság ítélet, C‑463/10 P és C‑475/10 P, EU:C:2011:656, 53. és 54. pont). Ilyen kivételeket határoztak meg például egy, a vállalkozásokra alkalmazandó versenyszabályok tiszteletben tartásának ellenőrzésére irányuló eljárásban (lásd ebben az értelemben: 1986. június 24‑iAKZO Chemie és AKZO Chemie UK kontra Bizottság ítélet, 53/85, EU:C:1986:256, 20. pont), egy, az állami támogatással kapcsolatos szabályok tiszteletben tartásának ellenőrzésére irányuló eljárásban (lásd ebben az értelemben: 2001. október 9‑iOlaszország kontra Bizottság ítélet, C‑400/99, EU:C:2001:528, 55–63. pont), valamint fegyelmi eljárás hatálya alá vont tisztviselő felfüggesztése esetében a végleges határozatot megelőző kiegészítő vagy biztosítási intézkedést illetően (lásd ebben az értelemben: 1966. május 5‑iGutmann kontra Bizottság ítélet, 18/65 és 35/65, EU:C:1966:24, 168. pont).

45

A jelen ügyben ezzel szemben a WhatsApp a megtámadott döntés tekintetében hatékony bírói védelemben részesül az ír felügyeleti hatóság jogerős döntése ellen a nemzeti bíróság előtt rendelkezésére álló jogorvoslati lehetőség révén, amely lehetővé teszi a megtámadott döntés érvényességének vizsgálatát. A 2016/679 rendelet 78. cikkének (1) bekezdésében szereplő rendelkezésekben előírtaknak megfelelően – amely kimondja, hogy minden tagállamban minden személy számára biztosítani kell a hatékony jogorvoslathoz való jogot a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben – a WhatsApp egy ír bíróság előtt megtámadta az ír felügyeleti hatóság által hozott jogerős döntést, és e kereset keretében érvelhet a megtámadott döntésben foglalt, a jogerős döntésben megismételt kötelező erejű értékelések jogellenességével. E tekintetben emlékeztetni kell arra, hogy az EUMSZ 267. cikk értelmében a nemzeti bíróságok előtt lehet hivatkozni az uniós intézmények, szervek vagy hivatalok jogi aktusainak érvénytelenségére, és e cikk előírja, hogy amennyiben a nemzeti bíróság úgy ítéli meg, hogy ítélete meghozatalához szükség van a kérdés eldöntésére, az érvényesség értékelésével kapcsolatos, előzetes döntéshozatalra előterjesztett kérdéssel az Európai Unió Bíróságához fordulhat vagy kell fordulnia. Ha a Bíróság az előzetes döntéshozatali eljárás végén megállapítja, hogy ez a jogi aktus – ha az valamely tagállami hatóság határozatát készíti elő – érvénytelen, a nemzeti bíróságnak le kell vonnia a következtetéseket az érintett számára sérelmet okozó e határozat jogszerűségét illetően (lásd ebben az értelemben: 1975. október 30‑iRey Soda és társai ítélet, 23/75, EU:C:1975:142, 51. pont; 2018. március 20‑iŠroubárna Ždánice kontra Tanács ítélet, T‑442/16, nem tették közzé, EU:T:2018:159, 34. pont).

46

Ráadásul a megtámadott döntés a WhatsApp vonatkozásában nem vált ki az ír felügyeleti hatóság jogerős döntésétől független joghatásokat: az utóbbi átveszi az előbbi döntésben szereplő valamennyi értékelést, és az előbbinek nincs az utóbbi tartalmától független hatása, a fenti 44. pontban említett 1966. május 5‑iGutmann kontra Bizottság ítélet (18/65 és 35/65, EU:C:1966:24), 1986. június 24‑iAKZO Chemie és AKZO Chemie UK kontra Bizottság ítélet (53/85, EU:C:1986:256) és 2001. október 9‑iOlaszország kontra Bizottság ítélet (C‑400/99, EU:C:2001:528) alapjául szolgáló helyzetekkel ellentétben.

47

E tekintetben – noha a fenti 43. és 44. pontban említett elveket a jogerős döntést illetően az Unió intézményeinek vagy más szerveinek hatáskörébe tartozó eljárásokkal kapcsolatban állapították meg – semmi nem indokolja, hogy ez miért lenne másképp, ha – mint a jelen esetben – az uniós jogszabály többlépcsős eljárások keretében, meghatározott nemzeti hatóságokat bíz meg konkrét uniós szabályok alkalmazásának felügyeletével, és ha egy, a nemzeti hatóság határozatával záruló ilyen eljárás során valamely uniós szerv által elfogadott közbenső intézkedésről van szó.

48

Kétségtelen, hogy a WhatsApp azzal érvel, hogy a megtámadott döntés az Európai Adatvédelmi Testület végleges álláspontja, amelyet az ír felügyeleti hatóságnak a jogerős döntésben követnie kellett. Ezt az érvelést úgy kell érteni, hogy a megtámadott döntés ezért szükségszerűen megtámadható jogi aktus, és hogy az különbözik a csupán ideiglenes véleményt kifejező közbenső intézkedésektől, amelyek az egyetlen nem megtámadható aktusok.

49

Mindazonáltal – a fenti 38. pontban felidézetteknek megfelelően – ahhoz, hogy egy jogi aktust az EUMSZ 263. cikk második bekezdésében említett, úgynevezett privilegizált felpereseken kívüli felperes meg tudjon támadni, e jogi aktusnak többek között jelentősen módosítania kell e felperes jogi helyzetét. Az azonban, hogy egy közbenső aktus egy hatóság olyan végleges álláspontját fejezi ki, amelyet a szóban forgó eljárást lezáró jogerős döntésben át kell majd venni, mint a jelen ügyben, mivel a megtámadott döntés a jogerős döntés bizonyos szempontjainak végleges elemzését tartalmazza, nem feltétlenül jelenti azt, hogy ez a közbenső aktus önmagában jelentősen módosítja a felperes jogi helyzetét, amint azt a jelen ügyben a fenti 42–47. pontban bizonyítást nyert. Amennyiben – a fenti 39. pontban felidézetteknek megfelelően – ez a feltétel átfedésben van az EUMSZ 263. cikk negyedik bekezdésében foglalt feltételekkel, azaz különösen azzal, hogy a felperest közvetlenül kell ennek a jogi aktusnak érintenie, ez a jelen ügyben annak vizsgálatával állapítható meg, hogy a WhatsAppot közvetlenül érinti‑e a megtámadott döntés.

50

Amint azonban azzal az Európai Adatvédelmi Testület helyesen érvel, a WhatsAppot nem érinti közvetlenül a megtámadott döntés.

51

Az állandó ítélkezési gyakorlat szerint ugyanis ahhoz, hogy egy jogi aktus közvetlenül érintse azt a felperest, aki a jogi aktusnak nem címzettje, e jogi aktusnak először is közvetlen joghatásokat kell gyakorolnia e felperes helyzetére, másodszor pedig, e jogi aktus nem hagyhat mérlegelési jogkört az intézkedés végrehajtására kötelezett címzettek számára, mert a végrehajtása automatikus jellegű, és köztes szabályok alkalmazása nélkül, kizárólag az uniós szabályozás alapján történik (1971. május 13‑iInternational Fruit Company és társai kontra Bizottság ítélet, 41/70–44/70, EU:C:1971:53, 23–28. pont; 1998. május 5‑iDreyfus kontra Bizottság ítélet, C‑386/96 P, EU:C:1998:193, 43. pont; 2009. szeptember 17‑iBizottság kontra Koninklijke FrieslandCampina ítélet, C‑519/07 P, EU:C:2009:556, 48. pont).

52

Ami e feltételek közül az elsőt illeti – a fenti 42. pontban már említettek szerint –, a megtámadott döntés nem közvetlenül végrehajtható a WhatsApp‑pal szemben, ami viszont lehetővé tenné, hogy további eljárási cselekmények nélkül kötelezettségeket keletkeztessen számára, vagy adott esetben jogokat keletkeztessen más személyek számára. Így például eltér az 1986. április 23‑iLes Verts kontra Parlament ítélet (294/83, EU:C:1986:166) tárgyát képező jogi aktusoktól, amelyekről az ítélet 31. pontjában – annak megállapításához, hogy azok közvetlenül érintik a felperes egyesületet – az az észrevétel fogalmazódott meg, hogy azok olyan „teljes [szabályozást képeznek], amely önmagában elegendő és nincs szükség végrehajtási rendelkezésre”. A jelen ügyben a megtámadott döntés nem a 2016/679 rendelet 58., 60. és 65. cikkében előírt teljes eljárás utolsó lépése.

53

E feltételek közül a másodikat, a szóban forgó jogi aktus végrehajtásáért felelős hatóság mérlegelési jogkörére vonatkozó feltételt illetően meg kell állapítani, hogy még ha a megtámadott döntés az ír felügyeleti hatóságra nézve kötelező is volt az abban szereplő szempontok tekintetében, a jogerős döntés tartalmát illetően mérlegelési jogkört hagyott a számára.

54

Amint az az érintett felügyeleti hatóságoknak címzett utasításokat tartalmazó megtámadott döntés fenti 11. pontban kifejtett tartalmának és a WhatsAppnak címzett jogerős döntés fenti 8. pontban kifejtett tartalmának összehasonlításából kitűnik, a megtámadott döntés a jogerős döntésnek csak bizonyos részeit tartalmazza.

55

A két döntésben tehát közösek a következők: az a megállapítás, hogy a WhatsApp nem tartotta be az átláthatóság 2016/679 rendelet 5. cikke (1) bekezdésének a) pontjában szereplő elvét, valamint a 13. cikk (1) bekezdésének d) pontjában és 13. cikk (2) bekezdésének e) pontjában foglalt kötelezettségeket; a WhatsApp‑felhasználók készülékeinek címjegyzékében található, nem WhatsApp‑felhasználói „kapcsolatokra” vonatkozó adatokra alkalmazott „Lossy Hashing Procedure” eredményeként keletkező elemek személyes adatnak minősítése; annak megállapítása, hogy a WhatsApp e minősítés következtében nem teljesítette a 2016/679 rendelet 14. cikkében foglalt kötelezettségeket; a WhatsApp számára a 2016/679 rendeletben meghatározott követelményeknek való megfelelésre biztosított három hónapos határidő; a korrekciós intézkedések bizonyos szempontjai, nevezetesen a nem WhatsApp‑felhasználók személyes adataira, valamint a WhatsApp‑felhasználóknak a 2016/679 rendelet 13. cikke (2) bekezdésének e) pontjában szereplő információk nyújtására irányuló kötelezettségre vonatkozó intézkedések; a WhatsAppra kiszabott közigazgatási bírságok összegére vonatkozó kritériumok értelmezése, valamint e bírságok összegének az ír felügyeleti hatóság döntéstervezetében előirányzott 30–50 millió eurós összértékhez képest történő növelése.

56

Ezzel szemben, ami az alábbi aspektusokat illeti, a jogerős döntés az ír felügyeleti hatóság értékeléséből adódik anélkül, hogy az Európai Adatvédelmi Testület a megtámadott döntésben állást foglalt volna ezekről: annak megállapítása, hogy a WhatsApp nem teljesítette a 2016/679 rendelet 12. cikkének (1) bekezdésében, 13. cikke (1) bekezdésének c), e) és f) pontjában, valamint 13. cikke (2) bekezdésének a) és c) pontjában foglalt kötelezettségeit; annak megállapítása, hogy a WhatsApp tiszteletben tartja a 2016/679 rendelet 13. cikke (1) bekezdésének a) és b) pontjában, valamint 13. cikke (2) bekezdésének b) és d) pontjában foglalt kötelezettségeket; a WhatsApp minősége, amikor az üzenetküldő szolgáltatását nem használók személyes adatait kezeli; a WhatsAppra kiszabott korrekciós intézkedések, azaz a 2016/679 rendelet 12. cikkének (1) bekezdésében, 13. cikke (1) bekezdésének c), d), e) és f) pontjában, valamint 13. cikke (2) bekezdésének a) és c) pontjában szereplő kötelezettségek teljesítésének biztosítását célzó intézkedések tartalmának lényege; a WhatsAppra kiszabott közigazgatási bírságok, összesen 225 millió eurót kitevő összegének konkrét meghatározása.

57

Konkrétan meg kell jegyezni, hogy az ír felügyeleti hatóság mérlegelési jogkörét gyakorolta a megtámadott döntésben szereplő utasítások következményeinek levonásához a „Lossy Hashing Procedure” eredményeként keletkező elemek személyes adatoknak minősítését és a közigazgatási bírságokat illetően.

58

Az első aspektust, azaz a nem WhatsApp‑felhasználók személyes adatainak – és különösen a „Lossy Hashing Procedure” eredményeként keletkező elemek – kezelésének kérdését illetően, amint az a jogerős döntés 111. pontjából kitűnik, az annak meghatározására irányuló elemzés során, hogy a WhatsApp e személyeket illetően megsértette‑e a 2016/679 rendelet 14. cikkében meghatározott kötelezettségeket, a következő lépést annak vizsgálata képezte, hogy a szóban forgó személyes adatok kezelésével kapcsolatban a WhatsApp adatkezelőként vagy csupán adatfeldolgozóként járt‑e el az üzenetküldő szolgáltatásának azon felhasználója nevében, aki aktiválta a „Kapcsolatok” funkciót. Az elemzésnek ez az – előbbi megállapításával záruló – szakasza azonban az ír felügyeleti hatóság értékeléséből ered, az Európai Adatvédelmi Testület nem foglalt állást e tekintetben a megtámadott döntésben.

59

Ami a közigazgatási bírságok meghatározását illeti, bár a megtámadott döntés tartalmaz utasításokat a 2016/679 rendelet alapján kiszabott közigazgatási bírságok összegére vonatkozó kritériumok értelmezésére vonatkozóan, valamint a jelen esetben a WhatsAppra kiszabandó bírságok teljes összegének az ír felügyeleti hatóság döntéstervezetében tervezetthez képest történő növelése tekintetében, a hatóság fenntartotta mérlegelési jogkörét a WhatsAppra kiszabandó bírságok konkrét összegének meghatározását illetően. Egyebekben – a fenti 8. pontban jelzetteknek megfelelően – az ír felügyeleti hatóság a jogerős döntés elfogadása előtt arra kérte a WhatsAppot, hogy tegye meg észrevételeit a hatóság által előirányzott új közigazgatási bírságokkal kapcsolatban, ami összhangban van azzal a megállapítással, hogy az ír felügyeleti hatóság e tekintetben fenntartotta mérlegelési jogkörét. A jelen ügyben megállapítható, hogy a jogerős döntésben végül az ír felügyeleti hatóság által előirányzott új bírságok alsó tartományát tartották meg.

60

A jogerős döntés azonban olyan egészet alkot, amelyről a megtámadott döntésben szereplő utasításoknak megfelelő részek nem választhatók le úgy, hogy azt olyan jogerős „aldöntéssé” alakítják, amely tekintetében a felügyeleti hatóság nem rendelkezett mérlegelési jogköre. Az ír felügyeleti hatóság vizsgálata és jogerős döntése ugyanis arra összpontosított, hogy a WhatsApp tiszteletben tartja‑e az átláthatóság elvét és az ahhoz kapcsolódó, a 2016/679 rendeletben meghatározott valamennyi konkrét kötelezettséget. A jogerős döntésben tehát a WhatsApp e tekintetben folytatott általános gyakorlatát elemezték, és e gyakorlat ugyanazon szempontját a 2016/679 rendelet több vonatkozó rendelkezése, például a 2016/679 rendelet 5. cikke (1) bekezdésének a) pontja, 12. cikkének (1) bekezdése és 13. cikkének több rendelkezése alapján vizsgálták, míg a megtámadott döntés csak néhány ilyen rendelkezést elemzett. Nem lenne értelme a jogerős döntésben szereplő átfogó elemzésről egyes konkrét elemeket leválasztani, amikor a WhatsApp ellen az ír felügyeleti hatóság mint fő felügyeleti hatóság kezdeményezésére és felelőssége mellett folytatott eljárás az átláthatóság elve WhatsApp általi tiszteletben tartásának általános értékelésére vonatkozott. Konkrétan, ami a pénzbírságok meghatározását illeti, az ír felügyeleti hatóság a 2016/679 rendelet 5. cikke (1) bekezdésének a) pontjában, illetve 12., 13. és 14. cikkében megállapított valamennyi jogsértés vonatkozásában állapította meg a négy közigazgatási bírság összegét.

61

Következésképpen a fenti 51. pontban felidézett két feltétel egyike sem teljesül, amelyek teljesülése esetén úgy lehetne tekinteni, hogy a WhatsAppot közvetlenül érinti a megtámadott döntés.

62

A fentiekből következik, hogy a WhatsApp keresete elfogadhatatlan.

63

Ezen elemzés eredménye összhangban van azzal, amit más olyan eljárásokban megállapítottak, amelyekben a vállalkozásokat érintő kötelező erejű uniós jogi aktus címzettje egy tagállam volt.

64

Így az állami támogatások ellenőrzése terén a Bíróság megállapította, hogy amikor a Bizottság a már kifizetett támogatást jogellenesnek és a belső piaccal összeegyeztethetetlennek nyilvánító határozatot fogad el, és a támogatást nyújtó tagállamot a kifizetett támogatás visszatéríttetésére kötelezi, a kifizetett támogatás kedvezményezettjeit közvetlenül és személyükben érinti ez a határozat (lásd ebben az értelemben: 2000. október 19‑iOlaszország és Sardegna Lines kontra Bizottság ítélet, C‑15/98 és C‑105/99, EU:C:2000:570, 33–36. pont). E tekintetben megállapítást nyert, hogy az ilyen határozat meghozatalának pillanatától kezdődően e kedvezményezettek ki vannak téve az általuk kapott előnyök visszatéríttetésének, és így a határozat érinti jogi helyzetüket (2011. június 9‑iComitato Venezia vuole vivere és társai kontra Bizottság ítélet, C‑71/09 P, C‑73/09 P és C‑76/09 P, EU:C:2011:368, 56. pont). Ez azért van így, mert ebben a szakaszban már lezárult a vizsgálati eljárás, mert egyetlen további érdemi értékelést sem kell már végezni, hiszen a visszatéríttetendő összegeket a Bizottság határozata és az érintett vállalkozásoknak korábban kifizetett támogatások alapján automatikusan határozzák meg, mert – igen rendkívüli körülmények fennállásának kivételével – a tagállam maga köteles e támogatások visszatéríttetését megkezdeni és lefolytatni (lásd ebben az értelemben: 1988. június 7‑iBizottság kontra Görögország ítélet, 63/87, EU:C:1988:285; 1990. szeptember 20‑iBizottság kontra Németország ítélet, C‑5/89, EU:C:1990:320, 15. és 16. pont; 1997. március 20‑iAlcan Deutschland ítélet, C‑24/95, EU:C:1997:163), és mert harmadik személyek eljárást indíthatnak a Bizottság határozata alapján az érintett közigazgatási szerv vagy a nemzeti bíróság előtt azzal a céllal, hogy a szóban forgó támogatást visszafizessék nekik, mégpedig anélkül, hogy saját maguknak kellene bizonyítaniuk azt, hogy a támogatásokat jogellenesen nyújtották (lásd analógia útján: 2008. február 12‑iCELF és ministre de la Culture et de la Communication ítélet, C‑199/06, EU:C:2008:79, 23. és 39–41. pont). A jelen ügyben a megtámadott döntés nem áll hasonló szakaszban, mivel a vizsgálati eljárás nem e döntés elfogadásával zárult, a 2016/679 rendelet rendelkezéseinek WhatsApp általi tiszteletben tartására és a kiszabott szankcióra vonatkozó további értékeléseket a fő felügyeleti hatóságnak még meg kellett erősítenie vagy el kellett végeznie, továbbá mivel a megtámadott döntés önmagában nem szolgálhatott jogilag kötelező erejű jogcímként a WhatsAppra vonatkozó kötelezettségek előírására.

65

Az is megállapítást nyert, hogy közvetlenül és személyében érinti a vállalkozást a Bizottság valamely tagállamnak címzett azon határozata, amely arról tájékoztatja a tagállamot, hogy a vállalatnak nyújtott uniós finanszírozás a tervezetthez képest alacsonyabb volt, mivel a vállalkozás által benyújtott bizonyos kiadások nem voltak támogathatók, amennyiben a szóban forgó határozat anélkül fosztotta meg a vállalkozást a részére eredetileg nyújtott pénzügyi támogatás egy részétől, hogy a tagállam e tekintetben mérlegelési jogkörrel rendelkezett volna (1992. június 4‑iInfortec kontra Bizottság ítélet, C‑157/90, EU:C:1992:243, 17. pont). A jelen ügyben azonban – ellentétben az ezen értékelés alapjául szolgáló bizottsági határozattal – a megtámadott döntés, a fenti 52. pontban megállapítottaknak megfelelően, nem az egész szóban forgó eljárás végső szakasza, és – a fenti 56. és 57. pontban megállapítottaknak megfelelően – mérlegelési mozgásteret hagyott az ír felügyeleti hatóságnak.

66

Általánosabban: a WhatsApp által a megtámadott döntés ellen a Törvényszékhez benyújtott kereset elfogadhatatlansága összhangban van az EU‑Szerződés és az EUM‑Szerződés által létrehozott jogorvoslati rendszerrel.

67

Az EU‑Szerződés 2. cikke szerint az Unió többek között a jogállamiság tiszteletben tartásán alapul. Az EU‑Szerződés 6. cikkének (1) bekezdése kimondja, hogy az Unió elismeri az Európai Unió Alapjogi Chartájának szövegében foglalt jogokat, szabadságokat és elveket, a Charta 47. cikke pedig garantálja a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jogot. Az EUSZ 19. cikk kimondja, hogy az Európai Unió Bírósága biztosítja a jog tiszteletben tartását a Szerződések értelmezése és alkalmazása során, és különösen, hogy a Szerződésekkel összhangban dönt a tagállamok vagy az intézmények valamelyike, illetve valamely természetes vagy jogi személy által hozzá benyújtott keresetekkel elé terjesztett ügyekben, valamint a nemzeti bíróságok kérelmére előzetes döntést hoz az uniós jog értelmezésére vagy az intézmények által elfogadott jogi aktusok érvényességére vonatkozó kérdésekről, továbbá dönt a Szerződésekben meghatározott egyéb esetekben. Ugyanez a cikk előírja, hogy a tagállamok megteremtik azokat a jogorvoslati lehetőségeket, amelyek az uniós jog által szabályozott területeken a hatékony jogvédelem biztosításához szükségesek.

68

Konkrétabban az EUM‑Szerződés, különösen pedig az Európai Unió Bíróságához benyújtott közvetlen keresetekről szóló 263. cikk, valamint az azon esetekről szóló 267. cikk, amelyekben az Európai Unió Bírósága – többek között az uniós intézmények, szervek vagy hivatalok jogi aktusainak érvényessége és értelmezése tárgyában – előzetes döntést hoz, átfogó jogorvoslati rendszert hozott létre az uniós jogi aktusok jogszerűségének felülvizsgálatára (lásd ebben az értelemben: 2002. július 25‑iUnión de Pequeños Agricultores kontra Tanács ítélet, C‑50/00 P, EU:C:2002:462, 40. pont). Ebben a rendszerben mind az Európai Unió Bírósága – amelynek a Törvényszék is a része –, mind a nemzeti bíróságok részt vesznek. Ebben a rendszerben azok a személyek, akik az EUMSZ 263. cikkben említett elfogadhatósági feltételek miatt nem tudják közvetlenül az Európai Unió Bírósága előtt megtámadni az uniós jogi aktusokat, jogellenességi kifogás útján, az említett jogi aktus alkalmazása céljából hozott nemzeti intézkedések elleni keresetet benyújtásával hivatkozhatnak a nemzeti bíróság előtt az ilyen jogi aktus érvénytelenségére. Ebben a helyzetben a nemzeti bíróság feladata – ha úgy véli, hogy a kérdésre vonatkozóan határozatra van szükség ahhoz, hogy meghozza ítéletét, és kétsége van e jogi aktus érvényességét illetően –, hogy előzetes döntéshozatal céljából az Európai Unió Bíróságához forduljon (lásd ebben az értelemben és analógia útján: 2002. július 25‑iUnión de Pequeños Agricultores kontra Tanács ítélet, C‑50/00 P, EU:C:2002:462, 40. pont).

69

E rendszer logikája – amely a fenti 35–62. pontban szereplő elemzés keretében felidézetteknek megfelelően különösen a közvetlen keresetek elfogadhatóságának az EUMSZ 263. cikkben meghatározott feltételeinek értelmezésére szolgál magyarázatként – az, hogy az Európai Unió Bíróságának és a nemzeti bíróságoknak a bírósági eljárása hatékonyan kiegészíti egymást, és hogy az uniós bíróságnak és a nemzeti bíróságnak ne kelljen egyidejűleg, párhuzamos eljárásokban döntenie ugyanazon uniós jogi aktus érvényességéről, sem közvetlenül, sem – a nemzeti bíróság esetében, ha megkérdőjelezi a szóban forgó jogi aktus érvényességét – előzetes döntéshozatalra előterjesztett kérdést követően. Ez a logika igazolhatta többek között annak megállapítását, hogy az a felperes, aki minden kétséget kizáróan közvetlenül támadhatott meg egy uniós határozatot az Európai Unió Bírósága előtt, később ne vitathassa e határozat érvényességét, különösen a nemzeti bíróság előtt folytatott későbbi eljárás alkalmával (lásd ebben az értelemben: 1994. március 9‑iTWD Textilwerke Deggendorf ítélet, C‑188/92, EU:C:1994:90, 17. pont; lásd még ebben az értelemben: 2011. június 9‑iComitato Venezia vuole vivere és társai kontra Bizottság ítélet, C‑71/09 P, C‑73/09 P és C‑76/09 P, EU:C:2011:368, 58. pont, valamint az ott hivatkozott ítélkezési gyakorlat). Ezzel szemben az állandó ítélkezési gyakorlat szerint a valamely másik jogi aktus alapjául szolgáló, nem megtámadható uniós jogi aktus jogellenességére lehet hivatkozni az e második jogi aktus elleni keresetben (1981. november 11‑iIBM kontra Bizottság ítélet, 60/81, EU:C:1981:264, 12. pont és a contrario az előzőekben hivatkozott ítélkezési gyakorlat).

70

A jelen ügyben a WhatsApp által a megtámadott döntés ellen indított kereset elfogadhatóságának elismerése két párhuzamos, egymást jelentősen átfedő bírósági eljárás lefolytatását eredményezné: az egyik a Törvényszék előtt a megtámadott döntést, a másik pedig egy ír bíróság előtt a jogerős döntést kérdőjelezné meg, amely utóbbi indokolásának egy része a megtámadott döntésen alapul. A WhatsApp egyebekben – a válasznak a Törvényszékhez való benyújtására nyitva álló határidő elhalasztása céljából – az ír bíróság előtt folyamatban lévő eljárás miatti párhuzamos munkateherre hivatkozott. Hacsak az egyik vagy a másik eljáró bíróság nem függeszti fel az előtte folyó eljárást, ami a jogerős döntés jogszerűségére vonatkozó végleges megoldás eléréséhez szükséges idő meghosszabbodását eredményezheti, ezek a párhuzamos eljárások akár egy olyan helyzetet is eredményezhetnek, hogy egyszerre kell a Bíróságnak előzetes döntéshozatal útján, illetve a Törvényszéknek a WhatsApp által indított közvetlen kereset útján határozatot hoznia a megtámadott döntés érvényességéről. Tekintettel a fenti 68. és 69. pontban említett jogorvoslati rendszerre, figyelemmel továbbá a 2016/679 rendelet 78. cikkének a felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jogra vonatkozó rendelkezéseire, adott esetben az e tekintetben kizárólagos hatáskörrel rendelkező eljáró ír bíróság feladata lesz, hogy vizsgálja a WhatsApp‑pal szemben érvényesíthető jogerős döntés jogszerűségét oly módon, hogy előzetes döntéshozatal céljából kérdést terjeszt az Európai Unió Bírósága elé a megtámadott döntés érvényességének értékelése céljából, amennyiben ezt a WhatsApp és az ír felügyeleti hatóság közötti vita eldöntéséhez szükségesnek tartja. Az eljáró ír bíróság e tekintetben vagy úgy rendezheti az előtte folyamatban lévő jogvitát, hogy a megtámadott döntéssel szemben felhozható jogellenességi kifogást anélkül utasítja el, hogy a Bírósághoz fordulna, ha nem kételkedik e határozat érvényességében, vagy éppen ellenkezőleg úgy, hogy a Bírósághoz fordul, ha erre vonatkozóan kételyei merülnek fel, vagy akár úgy, hogy a vitát a megtámadott döntés érvényességének kérdésétől függetlenül, az előtte felhozott jogalapokra figyelemmel rendezi. Ez a megoldás összhangban van a megfelelő igazságszolgáltatás érdekeivel, tekintettel az e pont elején említett párhuzamos bírósági eljárásokkal járó kockázatokra.

71

Végezetül meg kell állapítani – a 2016/679 rendelet fenti 33. pontban hivatkozott (143) preambulumbekezdését illetően, amely arra engedhet következtetni, hogy a WhatsApp által a Törvényszék előtt indítotthoz hasonló kereset elfogadható –, hogy valamely rendelet preambulumbekezdése ugyan segíthet abban, hogy egy jogszabály értelmezését megvilágítsa, önmagában még nem minősül jogszabálynak, valamint hogy az uniós jogi aktusok preambulumának nincs kötelező jogi ereje (lásd: 2017. október 26‑iMarine Harvest kontra Bizottság ítélet, T‑704/14, EU:T:2017:753, 150. pont, valamint az ott hivatkozott ítélkezési gyakorlat; lásd még ebben az értelemben 2005. november 24‑iDeutsches Milch‑Kontor ítélet, C‑136/04, EU:C:2005:716, 32. pont, valamint az ott hivatkozott ítélkezési gyakorlat). A jelen ügyben – a fenti 32. és 35. pontban említetteknek megfelelően – ez a preambulumbekezdés nem támasztja alá a 2016/679 rendelet egyetlen rendelkezését sem. Ezen túlmenően, a valamely rendelet indokolásában szereplő magyarázat nem élvezhet elsőbbséget a Szerződésekben foglalt elsődleges jog alkalmazandó szabályaival szemben, a jelen esetben az EUMSZ 263. cikk első és negyedik bekezdésében foglaltakkal szemben, amelyek tartalmát egyébként a szóban forgó preambulumbekezdés részben felidézi oly módon, hogy az első mondatban jelzi, hogy „[m]inden természetes vagy jogi személy jogosult, hogy az [EUMSZ 263. cikkben] meghatározott feltételek szerint eljárást indítson a Bíróságon a Testület döntéseinek megsemmisítése iránt”.

72

A fentiekből következik, hogy a keresetet mint elfogadhatatlant kell elutasítani.

73

Az eljárási szabályzat 142. cikkének (2) bekezdése értelmében a beavatkozás az eljáráshoz képest járulékos jellegű, és okafogyottá válik többek között abban az esetben, ha a Törvényszék a keresetlevél elfogadhatatlanságát állapítja meg.

74

Következésképpen a beavatkozási kérelmekről, valamint az azokon alapuló, egyes ügyiratok bizalmas kezelésére irányuló kérelmekről már nem szükséges határozni.

75

Az eljárási szabályzat 134. cikkének (1) bekezdése alapján a Törvényszék a pervesztes felet kötelezi a költségek viselésére, ha a pernyertes fél ezt kérte. Mivel a WhatsApp pervesztes lett, az Európai Adatvédelmi Testület kérelmének megfelelően kötelezni kell a költségek viselésére, az alábbi 76. pontban foglaltakra is figyelemmel.

76

Egyebekben az eljárási szabályzat 144. cikkének (10) bekezdése alapján, ha az alapügyben a beavatkozási kérelemről történő határozathozatalt megelőzően befejeződik az eljárás, a beavatkozást kérelmező, valamint a felperes és az alperes maga viseli a beavatkozási kérelmével összefüggésben felmerült saját költségeit. A jelen ügyben a WhatsApp, az Európai Adatvédelmi Testület, a Finn Köztársaság, a Bizottság, az európai adatvédelmi biztos és a Computer & Communication Industry Association viseli a beavatkozási kérelmekkel kapcsolatos saját költségeit.

A fenti indokok alapján

A TÖRVÉNYSZÉK (kibővített negyedik tanács)

a következőképpen határozott: