A BÍRÓSÁG ÍTÉLETE (negyedik tanács)

2024. július 11.(*)

„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – A 12. cikk (1) bekezdésének első mondata – Átlátható tájékoztatás – A 13. cikk (1) bekezdésének c) és e) pontja – Az adatkezelő tájékoztatási kötelezettsége – A 80. cikk (2) bekezdése – Az érintettek fogyasztói érdekvédelmi egyesület általi képviselete – Megbízás nélkül és az érintett személy konkrét jogainak megsértésétől függetlenül indított képviseleti kereset – A tájékoztatási kötelezettségnek az adatkezelő általi megsértésére alapított kereset – Az érintett jogainak »az érintett személyes adatainak kezelése következtében« történő megsértésének fogalma”

A C‑757/22. sz. ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Bundesgerichtshof (szövetségi legfelsőbb bíróság, Németország) a Bírósághoz 2022. december 15‑én érkezett, 2022. november 10‑i határozatával terjesztett elő

a Meta Platforms Ireland Ltd, korábban Facebook Ireland Ltd

és

a Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale eV

között folyamatban lévő eljárásban,

A BÍRÓSÁG (negyedik tanács),

tagjai: C. Lycourgos tanácselnök, O. Spineanu‑Matei, J.‑C. Bonichot, S. Rodin és L. S. Rossi (előadó) bírák,

főtanácsnok: J. Richard de la Tour,

hivatalvezető: D. Dittert egységvezető,

tekintettel az írásbeli szakaszra és a 2023. november 23‑i tárgyalásra,

figyelembe véve a következők által előterjesztett észrevételeket:

–        a Meta Platforms Ireland Ltd képviseletében M. Braun, H.‑G. Kamann és V. Wettner Rechtsanwälte,

–        a Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV képviseletében P. Wassermann Rechtsanwalt,

–        a német kormány képviseletében J. Möller és P.‑L. Krüger, meghatalmazotti minőségben,

–        a portugál kormány képviseletében P. Barros da Costa, J. Ramos és C. Vieira Guerra, meghatalmazotti minőségben,

–        az Európai Bizottság képviseletében A. Bouchagiar, F. Erlbacher és H. Kranenborg, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2024. január 25‑i tárgyaláson történt meghallgatását követően,

meghozta a következő

Ítéletet

1        Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 12. cikke (1) bekezdésének első mondatával és 13. cikke (1) bekezdésének c) és e) pontjával összefüggésben értelmezett 80. cikke (2) bekezdésének értelmezésére vonatkozik.

2        E kérelmet az Írországban székhellyel rendelkező Meta Platforms Ireland Ltd, korábban Facebook Ireland Ltd és a Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (fogyasztói központok és szervezetek országos szövetsége, Németország; a továbbiakban: országos szövetség) között azzal kapcsolatban folyamatban lévő jogvita keretében terjesztették elő, hogy a Meta Platforms Ireland megsértette a személyes adatok védelmére vonatkozó német jogszabályokat, amely jogsértés egyúttal tisztességtelen kereskedelmi gyakorlatnak, a fogyasztóvédelmi törvény megsértésének és az érvénytelen általános szerződési feltételek használatára vonatkozó tilalom megsértésének is minősül.

 Jogi háttér

 Az általános adatvédelmi rendelet

3        A GDPR (10), (13), (39), (58), (60) és (142) preambulumbekezdése kimondja:

„(10)      A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok [Európai] Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. […]

[…]

(13)      A természetes személyek egységes, uniós‑szintű védelmének biztosítása, valamint a személyes adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése érdekében rendelettel kell biztosítani a jogbiztonságot és az áttekinthetőséget valamennyi tagállam gazdasági szereplői részére – beleértve a mikro‑, kis‑ és középvállalkozásokat is –, továbbá rendelettel kell biztosítani a természetes személyek részére minden tagállamban azonos szintű, jogi úton érvényesíthető jogokat és kötelezettségeket, az adatkezelők és adatfeldolgozók számára azonos felelősséget, a személyes adatok kezelésének következetes nyomon követését, valamennyi tagállamban azonos szankciók alkalmazását, és a különböző tagállamok felügyeleti hatóságai közötti hatékony együttműködést. […]

[…]

(39)      A személyes adatok kezelésének jogszerűnek és tisztességesnek kell lennie. A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról. […]

[…]

(58)      Az átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt világos és közérthető nyelven fogalmazzák meg, illetve – ezen túlmenően – szükség esetén vizuálisan is megjelenítsék. Az ilyen tájékoztatás nyújtható elektronikus formátumban is, így például a nyilvánosságnak szánt tájékoztatás közölhető valamely honlapon keresztül. Ez különösen olyan helyzetekben lehet fontos, amikor a szereplők nagy száma és a gyakorlat technológiai összetettsége megnehezíti az érintett számára annak megismerését és megértését, hogy gyűjtenek‑e róla személyes adatokat, és ha igen, ki és milyen célból, ilyen például az online reklámozás esete. […]

[…]

(60)      A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól. Az adatkezelő olyan további információt is az érintett rendelkezésére bocsát, amelyek a tisztességes és átlátható adatkezelés biztosításához szükségesek, figyelembe véve a személyes adatok kezelésének konkrét körülményeit és kontextusát. […]

[…]

(142)      Ha az érintett úgy ítéli meg, hogy az ezen rendelet értelmében fennálló jogait megsértették, jogában áll megbízni egy, a személyes adatok védelmével foglalkozó, az alapszabályában rögzített közérdekű célokat szolgáló, a tagállami jognak megfelelően létrehozott nonprofit szervet, szervezetet vagy egyesületet, hogy a nevében eljárva panaszt nyújtson be valamely felügyeleti hatóságnál, gyakorolja a bírósági jogorvoslathoz való jogot, illetve gyakorolja a kártérítéshez való jogot, ha ez utóbbit a tagállami jog biztosítja. A tagállam rendelkezhet arról, hogy az adott tagállamban ilyen szerv, szervezet vagy egyesület jogosult arra, hogy az érintett megbízásától függetlenül ebben a tagállamban panaszt nyújtson be és hatékony bírósági jogorvoslattal élhessen, ha alapos okkal úgy véli, hogy az érintett jogai sérültek annak következtében, hogy személyes adataik kezelése e rendelet megsértésével történt. Ez a szerv, szervezet vagy egyesület nem jogosult, hogy az érintett nevében, annak megbízásától függetlenül kártérítést igényeljen.”

4        E rendelet „Tárgy” című 1. cikkének (1) bekezdése így rendelkezik:

„Ez a rendelet a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg.”

5        Az említett rendelet 4. cikkének 1., 2. 9. és 11. pontja szerint:

„E rendelet alkalmazásában:

1.      »személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; […]

2.      »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

[…]

9.      »címzett«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél‑e. […]

[…]

11.      »az érintett hozzájárulása«: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.”

6        Ugyanezen rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke a következőképpen rendelkezik:

„(1)      A személyes adatok:

a)      kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (»jogszerűség, tisztességes eljárás és átláthatóság«);

b)      gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; […]

[…]

(2)      Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

7        A GDPR „Az adatkezelés jogszerűsége” című 6. cikke (1) bekezdésének a) pontja az alábbiak szerint rendelkezik:

„A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a)      az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez.”

8        Az általános adatvédelmi rendeletnek a 12–23. cikket tartalmazó III. fejezete „Az érintett jogai” címet viseli.

9        E rendelet „Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések” című 12. cikkének (1) bekezdése kimondja:

„Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.”

10      A GDPR „Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik” című 13. cikke az (1) bekezdésének c) és e) pontjában a következőket írja elő:

„Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

[…]

c)      a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

[…]

e)      adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen […]”

11      Ugyanezen rendelet 77–84. cikkét tartalmazó VIII. fejezete a „Jogorvoslat, felelősség és szankciók” címet viseli.

12      A GDPR‑nak „A felügyeleti hatóságnál történő panasztételhez való jog” című 77. cikke az (1) bekezdésében a következőképpen rendelkezik:

„Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.”

13      A GDPR‑nak „A felügyelő hatósággal szembeni hatékony bírósági jogorvoslathoz való jog” című 78. cikke az (1) bekezdésében kimondja:

„Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.”

14      A fenti rendeletnek „Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog” című 79. cikke az (1) bekezdésében előírja:

„A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.”

15      Ugyanezen rendeletnek „Az érintettek képviselete” címet viselő 80. cikke a következőképpen szól:

„(1)      Az érintett jogosult arra, hogy panaszának a nevében történő benyújtásával, a 77., 78. és 79. cikkben említett jogoknak a nevében való gyakorlásával, valamint – ha a tagállam joga ezt lehetővé teszi – a 82. cikkben említett kártérítési jognak a nevében történő érvényesítésével olyan nonprofit jellegű szervet, szervezetet vagy egyesületet bízzon meg, amelyet valamely tagállam jogának megfelelően hoztak létre, és amelynek az alapszabályában rögzített céljai a közérdeket szolgálják, és amely az érintettek jogainak és szabadságainak a személyes adataik vonatkozásában biztosított védelme területén tevékenykedik.

(2)      A tagállamok rendelkezhetnek úgy, hogy az adott tagállamban az e cikk (1) bekezdésében említett bármely szerv, szervezet vagy egyesület – az érintettől kapott megbízástól függetlenül – jogosult legyen arra, hogy a 77. cikk alapján eljárni jogosult felügyeleti hatósághoz panaszt nyújtson be, valamint hogy gyakorolja a 78. és 79. cikkben említett jogokat, ha megítélése szerint az érintett személyes adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait.”

16      A GDPR‑nak „A kártérítéshez való jog és a felelősség” című 82. cikke az (1) bekezdésében így rendelkezik:

„Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.”

17      A GDPR „Szankciók” című 84. cikkének (1) bekezdése kimondja:

„A tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó további szankciókra vonatkozó szabályokat, különösen azon jogsértések tekintetében, amelyek nem tartoznak a 83. cikkben meghatározott, közigazgatási bírságokkal sújtható jogsértések közé, és meghoznak minden szükséges intézkedést ezek végrehajtására. E szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.”

 A német jog

 A jogsértés megszüntetése iránti keresetekről szóló törvény

18      A 2001. november 26‑i Gesetz über Unterlassungsklagen bei Verbraucherrechts‑ und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (a fogyasztói és más jogok megsértése esetén indítható, a jogsértés megszüntetése iránti keresetekről szóló törvény; BGBl. 2001. I, 3138. o.) alapügyben alkalmazandó szövegének (a továbbiakban: a jogsértés megszüntetése iránti keresetekről szóló törvény) 2. §‑a szerint:

„(1)      A fogyasztók védelme érdekében tartózkodásra kötelezés és a tevékenység azonnali megszüntetésére kötelezés iránti kereset indítható azzal szemben, aki a fogyasztók védelmét célzó rendelkezéseket (fogyasztóvédelemről szóló törvények) – az általános szerződési feltételek alkalmazásától vagy az azokra vonatkozó ajánlástól eltérő esetekben – megsérti. […]

(2)      E rendelkezés alkalmazásában fogyasztóvédelemről szóló törvénynek minősülnek különösen a következők:

[…]

11.      a jogszerűséget szabályozó rendelkezések az alábbiak tekintetében:

a)      a fogyasztó személyes adatainak vállalkozó általi gyűjtése, vagy

b)      a fogyasztóról gyűjtött személyes adatok vállalkozó általi kezelése vagy felhasználása,

ha az adatokat marketingcél, piac‑ és közvéleménykutatás, tudakozó működtetése, személyi és felhasználói profil létrehozása, egyéb adatforgalmazás vagy hasonló kereskedelmi cél érdekében gyűjtötték, kezelik vagy használják.”

19      A Bundesgerichtshof (szövetségi legfelsőbb bíróság, Németország) rámutat, hogy a jogsértés megszüntetése iránti keresetekről szóló törvény 3. §‑a (1) bekezdése első mondatának 1. pontja értelmében az e törvény 4. §‑a értelmében kereshetőségi joggal rendelkező szervezetek egyrészt az említett törvény 1. §‑a alapján kérhetik a Bürgerliches Gesetzbuch (polgári törvénykönyv) 307. §‑a értelmében érvénytelennek minősülő általános szerződési feltételek használatának abbahagyását, másrészt pedig ugyanezen törvény 2. §‑ának (2) bekezdése értelmében kérhetik a fogyasztóvédelmi törvényeket sértő magatartások abbahagyását.

 A tisztességtelen verseny tilalmáról szóló törvény

20      A 2004. július 3‑i Gesetz gegen den unlauteren Wettbewerb (a tisztességtelen verseny tilalmáról szóló törvény; BGBl. 2004. I, 1414. o.) alapügyben alkalmazandó szövege (a továbbiakban: a tisztességtelen verseny tilalmáról szóló törvény) 3. §‑ának (1) bekezdése előírja:

„A tisztességtelen kereskedelmi gyakorlatok alkalmazása jogellenes.”

21      A tisztességtelen verseny tilalmáról szóló törvény 3a. §‑a a következőképpen rendelkezik:

„Tisztességtelenül jár el, aki a piaci magatartás gazdasági szereplők érdekében történő szabályozására is irányuló valamely jogszabályt megsért, ha a jogsértés alkalmas arra, hogy érzékelhetően csorbítsa a fogyasztók, a piac egyéb résztvevői vagy a versenytársak érdekeit.”

22      E törvény 8. cikke a következőt mondja ki:

„(1)      Azzal szemben, aki a 3. § vagy 7. § értelmében tiltott kereskedelmi tevékenységet végez, e tevékenység azonnali megszüntetésére kötelezés iránti, ismétlődő jogsértés veszélye esetén pedig tartózkodásra kötelezés iránti kérelemmel lehet fellépni. […]

[…]

(3)      Az (1) bekezdésben említett intézkedések elrendelését kérelmezheti:

[…]

3.      azon feljogosított szervezet, amely bizonyítja, hogy szerepel a feljogosított szervezeteknek [a jogsértés megszüntetése iránti keresetekről szóló törvény] 4. §‑a szerinti listáján […]”

 Az elektronikus médiáról szóló törvény

23      A Bundesgerichtshof (szövetségi legfelsőbb bíróság) rámutat arra, hogy a 2007. február 26‑i Telemediengesetz (az elektronikus médiáról szóló törvény) (BGBl. 2007. I, 179. o.) 13. §‑ának (1) bekezdése a GDPR hatálybalépéséig volt alkalmazandó. Ettől az időponttól e rendelkezés helyébe az említett rendelet 12–14. cikke lépett.

24      Az elektronikus médiáról szóló törvény 13. §‑a (1) bekezdésének első mondata szerint:

„A szolgáltatónak – amennyiben erre a tájékoztatásra korábban nem került sor – a használati művelet kezdetén közérthető formában tájékoztatnia kell a felhasználót a személyes adatok gyűjtésének és kezelésének módjáról, terjedelméről és céljairól, valamint adatainak a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; [magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.]) hatályán kívüli államokban való kezeléséről.”

 Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdés

25      A Facebook online közösségi hálózat Unión belüli szolgáltatásait működtető Meta Platforms Ireland az e közösségi hálózat felhasználóira vonatkozó személyes adatok kezelője az Unióban. A Németországban székhellyel rendelkező Facebook Germany GmbH a www.facebook.de címen reklámfelületek értékesítését kínálja. A Facebook internetes platformon, többek között a www.facebook.de internetes címen található egy úgynevezett „App‑Zentrum” (alkalmazásközpont) felület, amelyben a Meta Platforms Ireland külső szolgáltatók ingyenes játékalkalmazásait teszi hozzáférhetővé a felhasználók számára. E felület megtekintése során a felhasználó tájékoztatást kapott arról, hogy bizonyos alkalmazások használatával lehetővé teszi ezen alkalmazások számára, hogy különböző személyes adatokat gyűjtsenek, és engedélyt ad a részükre arra, hogy a nevében ezen adatok némelyikét, például a pontjainak számát, valamint az egyik játék esetében az állapotfrissítéseit és fényképeit közzétegyék. Szintén tájékoztatták arról, hogy az érintett alkalmazások használatával elfogadja ezen alkalmazások általános feltételeit és adatvédelmi politikáját.

26      Az országos szövetség, amely a jogsértés megszüntetése iránti keresetekről szóló törvény 4. §‑a alapján kereshetőségi joggal rendelkező szervezet, úgy vélte, hogy az érintett játékalkalmazások által az alkalmazásközpontban nyújtott tájékoztatások – különösen a személyes adatok védelmére vonatkozó rendelkezések értelmében a felhasználó érvényes hozzájárulásának megszerzésére alkalmazandó jogszabályi feltételek be nem tartása miatt – tisztességtelenek. Ezenkívül azon az állásponton volt, hogy az a tájékoztatás, miszerint az alkalmazások jogosultak a felhasználók nevében bizonyos személyes adataikat közzétenni, olyan általános szerződési feltételnek minősül, amely a felhasználókat indokolatlanul hátrányos helyzetbe hozza.

27      Ebben az összefüggésben az országos szövetség a tisztességtelen verseny tilalmáról szóló törvény 3a. §‑a, a jogsértés megszüntetése iránti keresetekről szóló törvény 2. §‑a (2) bekezdése első mondatának 11. pontja, valamint a polgári törvénykönyv alapján jogsértés megszüntetése iránti keresetet indított a Landgericht Berlin (berlini regionális bíróság, Németország) előtt, többek között a Meta Platforms Ireland attól való eltiltása iránt, hogy az akalmazásközpontban az érintett alkalmazásokhoz hasonló játékokat mutasson be. Az országos szövetség e keresetet valamely érintett személy adatvédelemhez való jogának konkrét megsértésétől függetlenül és ilyen személytől kapott megbízás nélkül indította.

28      A Landgericht Berlin (berlini regionális bíróság) helyt adott az országos szövetség kérelmeinek. A Meta Platforms Ireland által a Kammergericht Berlin (berlini regionális felsőbíróság, Németország) elé terjesztett fellebbezést az utóbbi elutasította. A Meta Platforms Ireland ezt követően a fellebbviteli bíróság által hozott elutasító határozat ellen felülvizsgálati kérelmet nyújtott be a kérdést előterjesztő bírósághoz.

29      A kérdést előterjesztő bíróság úgy vélte, hogy az országos szövetség keresete megalapozott, mivel a Meta Platforms Ireland megsértette a tisztességtelen verseny tilalmáról szóló törvény 3a. §‑át, valamint a jogsértés megszüntetése iránti keresetekről szóló törvény 2. §‑a (2) bekezdése első mondatának 11. pontját, továbbá a jogsértés megszüntetése iránti keresetekről szóló törvény 1. §‑a értelmében vett érvénytelen általános szerződési feltételt alkalmazott.

30      Mindazonáltal e bíróságnak kétségei voltak az országos szövetség keresetének elfogadhatóságát illetően. Úgy vélte ugyanis, hogy nem kizárt, hogy az országos szövetség, amely a keresete benyújtásának időpontjában – a tisztességtelen verseny tilalmáról szóló törvény 8. §‑ának (3) bekezdése és a jogsértés megszüntetése iránti keresetekről szóló törvény 3. §‑a (1) bekezdése első mondatának 1. pontja alapján – valóban rendelkezett kereshetőségi joggal, a GDPR – és különösen e rendelet 80. cikke (1) és (2) bekezdésének, valamint 84. cikke (1) bekezdésének – hatálybalépését követően e minőségét az eljárás során elveszítette. Ha ez lenne a helyzet, a kérdést előterjesztő bíróságnak helyt kellene adnia a Meta Platforms Ireland által benyújtott felülvizsgálati kérelemnek, és el kellene utasítania az országos szövetség keresetét, mivel a német jog releváns eljárási rendelkezései szerint a kereshetőségi jognak a végső fokon folytatott eljárás végéig fenn kell maradnia.

31      Ily módon 2020. május 28‑i végzésével a Bundesgerichtshof (szövetségi legfelsőbb bíróság) felfüggesztette az eljárást, és a GDPR 80. cikke (1) és (2) bekezdésének, valamint 84. cikke (1) bekezdésének értelmezésére vonatkozó kérdést terjesztett a Bíróság elé.

32      A Bíróság 2022. április 28‑i Meta Platforms Ireland ítéletében (C‑319/20, EU:C:2022:322) e kérdésre azt a választ adta, hogy a GDPR 80. cikkének (2) bekezdését úgy kell értelmezni, hogy azzal nem ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a fogyasztói érdekvédelmi egyesületek számára, hogy a személyes adatok védelmét állítólagosan megsértő személlyel szemben a tisztességtelen kereskedelmi gyakorlatok tilalmára, valamely fogyasztóvédelmi törvény megsértésére vagy az érvénytelen általános szerződési feltételek alkalmazásának tilalmára hivatkozva bírósághoz forduljanak e célból számukra adott megbízás nélkül és az érintett személyek konkrét jogainak megsértésétől függetlenül, amennyiben az érintett adatkezelés érintheti az azonosított vagy azonosítható természetes személyeket e rendelet alapján megillető jogokat.

33      A fenti ítéletre tekintettel a kérdést előterjesztő bíróság úgy véli, hogy valamely szervezetnek a GDPR 80. cikkének (2) bekezdése értelmében vett kereshetőségi joga nem tehető függővé attól, hogy e szervezet elvégezze a GDPR rendelkezéseivel állítólagosan ellentétes adatkezeléssel érintett személy előzetes egyedi azonosítását. Az „érintett” e rendelet 4. cikkének 1. pontja értelmében vett fogalma ugyanis ily módon nemcsak az „azonosított természetes személyre”, hanem az „azonosítható természetes személyre”, azaz olyan természetes személyre is kiterjed, aki közvetlen vagy közvetett módon valamely azonosító, például név, szám, helymeghatározó adat vagy online azonosító alapján „azonosítható”. E körülmények között az ilyen adatkezeléssel érintett személyek kategóriájának vagy csoportjának megjelölése elegendő lehet képviseleti kereset indításához. A jelen ügyben az országos szövetség ilyen csoportot vagy kategóriát azonosított.

34      A kérdést előterjesztő bíróság szerint azonban a Bíróság fent idézett ítélete nem vizsgálta a GDPR 80. cikkének (2) bekezdésében kimondott azon feltételt, amely szerint ahhoz, hogy egy fogyasztói érdekvédelmi egyesület élhessen az e rendeletben előírt jogorvoslati lehetőségekkel, meg kell állapítania, hogy „az érintett személyes adatainak kezelése következtében” megsértették az érintett e rendelet szerinti jogait.

35      Következésképpen e bíróság megállapítja, hogy ezen ítéletből nem tűnik ki egyértelműen, hogy a GDPR 12. cikke (1) bekezdésének első mondatából és 13. cikke (1) bekezdésének c) és e) pontjából eredő azon kötelezettség megsértése, hogy az érintett részére a személyes adatok kezelésének céljára és azok címzettjére vonatkozó információkat tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani, „az érintett személyes adatainak kezelése következtében” történő megsértésének minősül‑e, és hogy az ilyen adatok gyűjtését megelőző helyzetek az említett rendelet 4. cikkének 2. pontja értelmében vett „adatkezelés” fogalma alá tartoznak‑e.

36      Másrészt az említett bíróság úgy véli, hogy nem egyértelműen bizonyított, hogy az alapügyben szereplőhöz hasonló esetben a tájékoztatási kötelezettség megsértése a GDPR 80. cikkének (2) bekezdése értelmében a személyes adatok kezelése „következtében” történt‑e. E tekintetben hangsúlyozza, hogy bár e megfogalmazás arra utalhat, hogy a képviseleti keresetet benyújtó szervezetnek ahhoz, hogy e kereset elfogadható legyen, az érintett e rendelet szerinti jogainak olyan megsértésére kell hivatkoznia, amely az említett rendelet 4. cikkének 2. pontja értelmében vett személyesadat‑kezelési művelet eredménye, tehát egy ilyen műveletet követ, az említett rendeletnek többek között a személyes adatok magas szintű védelmének biztosítására irányuló célja e szervezet kereshetőségi jogának a tájékoztatási kötelezettség megsértése esetén történő kiterjesztése mellett szólhat, mivel e kötelezettséget valamennyi személyesadat‑kezelési műveletet megelőzően teljesíteni kell.

37      E körülmények között a Bundesgerichtshof (szövetségi legfelsőbb bíróság) ismét úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdést terjeszti a Bíróság elé:

„A[z érintett személy jogainak] »az érintett személyes adatainak kezelése következtében« történt megsértésére való, a [GDPR] 80. cikkének (2) bekezdése értelmében vett hivatkozásnak minősül‑e, ha valamely fogyasztói érdekvédelmi egyesület arra alapítja keresetét, hogy valamely érintett jogait megsértették, mert nem teljesítették a [GDPR] 13. cikke (1) bekezdésének c) és e) pontjával összefüggésben értelmezett 12. cikke (1) bekezdésének első mondata szerinti, az adatkezelés céljára és a személyes adatok címzettjére vonatkozó tájékoztatási kötelezettséget?”

 Az előzetes döntéshozatalra előterjesztett kérdésről

38      Kérdésével az előterjesztő bíróság lényegében arra kíván választ kapni, hogy a GDPR 80. cikkének (2) bekezdését úgy kell‑e értelmezni, hogy az a feltétel, miszerint a jogosult szervezetnek ahhoz, hogy e rendelkezés alapján képviseleti keresetet indíthasson, azt kell állítania, hogy megítélése szerint a személyesadat‑kezeléssel érintett személynek a fenti rendelkezés értelmében véve a „személyes adatainak kezelése következtében” megsértették az e rendelet szerinti jogait, teljesül, ha e kereset az adatkezelőre ugyanezen rendelet 12. cikke (1) bekezdésének első mondata és 13. cikke (1) bekezdésének c) és e) pontja alapján háruló azon kötelezettség megsértésén alapul, hogy az érintett részére a személyes adatok kezelésének céljára és azok címzettjére vonatkozó információkat legkésőbb a személyes adatok gyűjtésekor tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani.

39      E kérdés megválaszolása érdekében elsősorban emlékeztetni kell arra, hogy a GDPR szabályozza többek között azokat a jogorvoslati lehetőségeket, amelyek lehetővé teszik az érintett személy jogainak védelmét, amennyiben a rá vonatkozó személyes adatokat állítólag az említett rendelet rendelkezéseivel ellentétes módon kezelték. E jogok védelmét tehát igényelheti közvetlenül az érintett, aki maga jogosult a GDPR 77. cikke alapján panaszt benyújtani a tagállami felügyeleti hatósághoz, illetve az említett rendelet 78. és 79. cikke alapján keresetet benyújtani a nemzeti bírósághoz, vagy pedig az említett rendelet 80. cikkének (2) bekezdése alapján feljogosított – erre vonatkozó megbízással rendelkező vagy azzal nem rendelkező – szervezet.

40      Közelebbről, a GDPR 80. cikkének (2) bekezdése lehetővé teszi a tagállamok számára, hogy a személyes adatok védelmét feltételezhetően megsértő személlyel szemben – az érintettől kapott megbízás nélkül – alkalmazható képviseleti kereseti mechanizmust írjanak elő, és az ennek során tiszteletben tartandó személyi és tárgyi hatályt illetően bizonyos követelményeket fogalmaz meg (2022. április 28‑i Meta Platforms Ireland ítélet, C‑319/20, EU:C:2022:322, 63. pont).

41      E tekintetben, ami elsősorban e mechanizmus személyi hatályát illeti, kereshetőségi jog illeti meg azt a szervet, szervezetet vagy egyesületet, amely megfelel a GDPR 80. cikkének (1) bekezdésében felsorolt kritériumoknak. Konkrétabban, amint azt a Bíróság már megállapította, az olyan fogyasztói érdekvédelmi egyesület, mint amilyen az országos szövetség, e fogalom körébe tartozhat, mivel az érintett személyek mint fogyasztók jogainak és szabadságainak biztosítására irányuló közérdekű célt szolgál, ugyanis az ilyen célkitűzés megvalósítása összefügghet az utóbbiak személyes adatainak védelmével (2022. április 28‑i Meta Platforms Ireland ítélet, C‑319/20, EU:C:2022:322, 64. és 65. pont).

42      Másodsorban, ami az említett mechanizmus tárgyi hatályát illeti, a GDPR 80. cikkének (2) bekezdésében előírt képviseleti kereset olyan szervezet általi benyújtása, amely megfelel az ugyanezen cikk (1) bekezdésében említett feltételeknek, azt feltételezi, hogy a számára adott bármilyen megbízástól függetlenül e szervezet „megítélése szerint az érintett személyes adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait” (2022. április 28‑i Meta Platforms Ireland ítélet, C‑319/20, EU:C:2022:322, 64. és 67. pont).

43      Ennek kapcsán a Bíróság tisztázta, hogy a képviseleti kereset indítása nem függ többek között azon jogok „konkrét megsértésének” fennállásától sem, amelyek valamely személyt az adatvédelmi szabályok alapján megilletik, és így az ilyen szervezet kereshetőségi jogának elismerése érdekében elegendő arra hivatkozni, hogy az érintett adatkezelés érintheti azokat a jogokat, amelyek azonosított vagy azonosítható természetes személyeket az említett rendelet alapján megilletnek, anélkül hogy az érintett személyt valamely konkrét helyzetben a jogainak megsértéséből eredően ért tényleges kárt bizonyítani kellene (2022. április 28‑i Meta Platforms Ireland ítélet, C‑319/20, EU:C:2022:322, 70. és 72. pont).

44      Mindazonáltal, ahogyan azt a Bíróság korábban kimondta, a képviseleti kereset indításának az a feltétele, hogy a rendelkezésben hivatkozott szervezet „megítélése szerint” az érintett személyes adatainak kezelése következtében megsértették az érintett GDPR szerinti jogait, és ezért az említett rendelet rendelkezéseivel általa ellentétesnek tekintett „adatkezelés fennállására” hivatkozik (lásd ebben az értelemben: 2022. április 28‑i Meta Platforms Ireland ítélet, C‑319/20, EU:C:2022:322, 71. pont), amely adatkezelés – amint azt a főtanácsnok az indítványának 48. pontjában kifejtette – nem lehet pusztán hipotetikus.

45      Konkrétan, amint az a GDPR 80. cikke (2) bekezdésének szövegéből kitűnik, a képviseleti kereset e rendelkezés alapján történő benyújtása feltételezi, hogy az érintett e rendeletből eredő jogainak megsértése személyes adatok kezelése során történt.

46      Ezen értelmezést megerősíti a GDPR 80. cikke (2) bekezdése különböző nyelvi változatainak összehasonlítása, valamint (142) preambulumbekezdése, amely kimondja, hogy az e rendelet 80. cikkének (1) bekezdésében említett feltételeknek megfelelő szervezeteknek alapos okkal úgy kell vélniük, hogy az érintett e rendeletben szereplő jogai sérültek annak következtében, hogy „személyes adataik kezelése [ugyanezen] rendelet megsértésével történt”.

47      Ennek tisztázását követően, az előterjesztett kérdés megválaszolása érdekében azt is meg kell vizsgálni, hogy az adatkezelőre a GDPR 12. cikke (1) bekezdésének első mondata és 13. cikke (1) bekezdésének c) és e) pontja alapján háruló azon kötelezettség megsértése, hogy az érintett részére a személyes adatok kezelésének céljára és azok címzettjére vonatkozó információkat legkésőbb a személyes adatok gyűjtésekor tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani, a GDPR 80. cikkének (2) bekezdése értelmében véve ezen érintett jogainak a „személyes adatainak kezelése következtében” történő megsértését jelenti‑e.

48      Előzetesen emlékeztetni kell arra, hogy a GDPR által követett, az 1. cikkéből, valamint (10) preambulumbekezdéséből következő célkitűzés többek között arra irányul, hogy biztosítsa a természetes személyek alapvető jogainak és szabadságainak, különösen a magánélet tiszteletben tartásához való jog magas szintű védelmét a személyes adatok kezelése tekintetében (lásd ebben az értelemben: 2024. március 7‑i IAB Europe ítélet, C‑604/22, EU:C:2024:214, 53. pont).

49      E célból az említett rendelet II. és III. fejezete rögzíti a személyes adatok kezelését szabályozó elveket, illetve az érintett azon jogait, amelyeket minden személyesadat‑kezelésnek tiszteletben kell tartania. Konkrétabban, az említett rendelet 23. cikkében előírt korlátozásokra tekintettel valamennyi személyesadat‑kezelésnek egyrészt meg kell felelnie az ilyen adatok kezelésére vonatkozó, ugyanezen rendelet 5. cikkében kimondott elveknek, és teljesítenie kell a 6. cikkében felsorolt, jogszerűségre vonatkozó feltételeket, másrészt tiszteletben kell tartania az érintett a GDPR 12–22. cikkében szereplő jogait (lásd ebben az értelemben: 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 208. pont; 2022. február 24‑i Valsts ieņēmumu dienests [Személyes adatok adóügyi célból történő kezelése] ítélet, C‑175/20, EU:C:2022:124, 50. és 61. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

50      E tekintetben ki kell emelni, hogy a GDPR 5. cikke (1) bekezdésének a) pontja szerint a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni. Ezenkívül ezen 5. cikk (1) bekezdésének b) pontja szerint ezen adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon.

51      A GDPR 5. cikke (1) bekezdése b) pontjának értelmezését illetően a Bíróság kimondta, hogy e rendelkezés többek között megköveteli, hogy az adatkezelés célját egyértelműen meg kell határozni, és azt legkésőbb a személyes adatok gyűjtésekor azonosítani kell (2022. február 24‑i Valsts ieņēmumu dienests [Személyes adatok adóügyi célból történő kezelése] ítélet, C‑175/20, EU:C:2022:124, 64. és 65. pont).

52      Ezenkívül, a GDPR 5. cikke (2) bekezdésének megfelelően az adatkezelőre hárul annak bizonyítása, hogy ezeket az adatokat többek között meghatározott, egyértelmű és jogszerű célból gyűjtik, és hogy azok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon végzik.

53      A GDPR 5. cikkéből tehát az következik, hogy a személyes adatok kezelésének többek között meg kell felelnie az érintett irányában fennálló átláthatóságra vonatkozó konkrét követelményeknek. E célból a GDPR III. fejezete egyrészt pontos kötelezettségeket ír elő az adatkezelő számára, másrészt pedig számos jogot ismer el a személyesadat‑kezeléssel érintett személy számára, amelyek között szerepel többek között az a jog, hogy tájékoztatást kapjon az adatkezelőtől ezen adatkezelés céljáról, valamint azon konkrét címzettekről, akikkel a rá vonatkozó személyes adatokat közölték vagy közölni fogják (lásd: 2023. június 22‑i Pankki S ítélet, C‑579/21, EU:C:2023:501, 48. pont).

54      Közelebbről, az általános adatvédelmi rendelet 13. cikke (1) bekezdésének c) és e) pontja azt a kötelezettséget írja elő az adatkezelő számára, hogy amennyiben a személyes adatokat az érintettől gyűjtik, tájékoztassa az utóbbit ezen adatok kezelésének céljáról, ezen adatkezelés jogalapjáról, valamint az említett adatok címzettjeiről vagy a címzettek kategóriáiról.

55      Ezenkívül e rendelet 12. cikkének (1) bekezdése előírja, hogy az adatkezelőnek megfelelő intézkedéseket kell hoznia többek között annak érdekében, hogy az előző pontban említett és az érintett részére adott tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa.

56      Amint azt a Bíróság kimondta, a GDPR 12. cikkének (1) bekezdése, amely az átláthatóság elvének kifejeződése, annak biztosítására irányul, hogy az érintett olyan helyzetben legyen, hogy teljes mértékben megértse a részére megküldött információkat (2023. május 4‑i Österreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 38. pont).

57      E tájékoztatási kötelezettség tiszteletben tartásának fontosságát a GDPR (60) preambulumbekezdése is megerősíti, amely kimondja, hogy a tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól, hangsúlyozva, hogy az adatkezelőnek minden olyan további információt is az érintett rendelkezésére kell bocsátania, amely szükséges a tisztességes és átlátható adatkezelés biztosításához, figyelembe véve a személyes adatok kezelésének konkrét körülményeit és kontextusát (2023. május 4‑i Österreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 24. pont).

58      A fentiekből először is az következik, hogy az adatkezelőt a személyesadat‑kezeléssel érintett személyekkel szemben terhelő tájékoztatási kötelezettség az e személyek számára az általános adatvédelmi rendelet 12. és 13. cikkében elismert, tájékoztatáshoz való jog velejárója, amely így azon jogok közé tartozik, amelyek védelmére az említett rendelet 80. cikkének (2) bekezdésében előírt képviseleti kereset irányul. Ezenkívül, amint az a jelen ítélet 56. és 57. pontjából kitűnik, e kötelezettség tiszteletben tartása általánosabb jelleggel biztosítja a fenti rendelet 5. cikkének (1) bekezdésében előírt, az adatkezelés átláthatóságára és tisztességességére vonatkozó elvek tiszteletben tartását.

59      Másodszor, amint azt a főtanácsnok az indítványának 47. pontjában kifejtette, az érintettek azon jogának állítólagos megsértése, hogy megfelelő tájékoztatást kapjanak a személyes adatok kezelésének valamennyi körülményéről, különösen az adatkezelés céljáról és az adatok címzettjéről, alkalmas arra, hogy megakadályozza az általános adatvédelmi rendelet 4. cikkének 11. pontja értelmében vett „megfelelő tájékoztatáson alapuló” hozzájárulás megadását, ami e rendelet 5. cikkének (1) bekezdése értelmében jogellenessé teheti ezen adatkezelést.

60      Az érintett által adott hozzájárulás érvényessége ugyanis többek között attól függ, hogy e személy előzőleg megkapta‑e a szóban forgó személyes adatok kezelésének valamennyi körülményére vonatkozó, őt a GDPR 12. és 13. cikke alapján megillető és azt lehetővé tévő tájékoztatást, hogy a tények teljes ismeretében adja meg hozzájárulását.

61      Mivel az olyan személyesadat‑kezelés, amelyre az érintettet a GDPR 12. és 13. cikke alapján megillető, tájékoztatáshoz való jog megsértésével kerül sor, sérti az e rendelet 5. cikkében meghatározott követelményeket, e tájékoztatáshoz való jog megsértését a fent említett rendelet 80. cikkének (2) bekezdése értelmében véve az érintett jogainak „az érintett személyes adatainak kezelése következtében” történő megsértésének kell tekinteni.

62      Ebből következik, hogy a személyesadat‑kezeléssel érintett személynek a GDPR 12. cikke (1) bekezdésének első mondatából, valamint 13. cikke (1) bekezdésének c) és e) pontjából eredő azon joga, hogy az adatkezelő a részére tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa az ezen adatkezelés céljára és az említett adatok címzettjére vonatkozó információkat, olyan jognak minősül, amelynek megsértése lehetővé teszi az említett rendelet 80. cikkének (2) bekezdésében előírt képviseleti kereset mechanizmusának alkalmazását.

63      Ezen értelmezést megerősíti egyrészt a GDPR‑nak a jelen ítélet 48. pontjában felidézett célja, amely a természetes személyek alapvető jogai és szabadságai hatékony védelmének, valamint különösen a bármely személyt megillető, a rá vonatkozó személyes adatok védelméhez való jog magas szintű védelmének biztosítására irányul.

64      Másrészt ezen értelmezés az olyan fogyasztói érdekvédelmi egyesületek által indított, a GDPR 80. cikkének (2) bekezdése szerinti képviseleti kereset megelőző funkciójával is összhangban áll, mint a jelen ügyben szóban forgó országos szövetség (2022. április 28‑i Meta Platforms Ireland ítélet, C‑319/20, EU:C:2022:322, 76. pont).

65      A fentiekre tekintettel az előzetes döntéshozatalra előterjesztett kérdésre azt a választ kell adni, hogy a GDPR 80. cikkének (2) bekezdését úgy kell értelmezni, hogy az a feltétel, amely szerint a jogosult szervezetnek ahhoz, hogy e rendelkezés alapján képviseleti keresetet indíthasson, azt kell állítania, hogy megítélése szerint a személyesadat‑kezeléssel érintett személynek a fenti rendelkezés értelmében véve a „személyes adatainak kezelése következtében” megsértették az e rendelet szerinti jogait, teljesül, ha e szervezet arra hivatkozik, hogy az érintett jogainak megsértése személyes adatok kezelése során történt, és az adatkezelőre az említett rendelet 12. cikke (1) bekezdésének első mondata és 13. cikke (1) bekezdésének c) és e) pontja alapján háruló azon kötelezettség megsértéséből ered, hogy az érintett részére a személyes adatok kezelésének céljára és azok címzettjére vonatkozó információkat legkésőbb a személyes adatok gyűjtésekor tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani.

 A költségekről

66      Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (negyedik tanács) a következőképpen határozott:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 80. cikkének (2) bekezdését

a következőképpen kell értelmezni:

az a feltétel, amely szerint a jogosult szervezetnek ahhoz, hogy e rendelkezés alapján képviseleti keresetet indíthasson, azt kell állítania, hogy megítélése szerint a személyesadat‑kezeléssel érintett személynek a fenti rendelkezés értelmében véve a „személyes adatainak kezelése következtében” megsértették az e rendelet szerinti jogait, teljesül, ha e szervezet arra hivatkozik, hogy az érintett jogainak megsértése személyes adatok kezelése során történt, és az adatkezelőre az említett rendelet 12. cikke (1) bekezdésének első mondata és 13. cikke (1) bekezdésének c) és e) pontja alapján háruló azon kötelezettség megsértéséből ered, hogy az érintett részére a személyes adatok kezelésének céljára és azok címzettjére vonatkozó információkat legkésőbb a személyes adatok gyűjtésekor tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani.

Aláírások

*      Az eljárás nyelve: német.