T‑70/23., T‑84/23. és T‑111/23. sz. egyesített ügyek

(Kivonatos közzététel)

Data Protection Commission

kontra

Európai Adatvédelmi Testület

A Törvényszék ítélete, 2025. január 29.

„A személyes adatok védelme – Az (EU) 2016/679 rendelet 65. cikke (1) bekezdésének a) pontja – A fő felügyeleti hatóságot a vizsgálat hatókörének kiterjesztésére és kiegészítő döntéstervezet kidolgozására utasító kötelező erejű döntés – Az Európai Adatvédelmi Testület hatásköre”

A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Az Európai Adatvédelmi Testület hatásköre – Terjedelem – A fő felügyeleti hatóságot a vizsgálat hatókörének kiterjesztésére és kiegészítő döntéstervezet kidolgozására utasító kötelező erejű döntés – Bennfoglaltság

(EUSZ 39. cikk, EUMSZ 16. cikk, (1) és (2) bekezdés, EUMSZ 101. cikk és EUMSZ 102. cikk; az Európai Unió Alapjogi Chartája, 8. cikk, (1) és (3) bekezdés; 2016/679 európai parlamenti és tanácsi rendelet, (126), (136) és (141) preambulumbekezdés, 4. cikk, 24. pont, 57. cikk, (1) bekezdés, a) és f) pont, 58. cikk, (2) bekezdés, 60. cikk, 65. cikk, (1) bekezdés, a) pont, (2), (3) és (6) bekezdés, és 66. cikk)

(lásd: 35., 36., 38–40., 43–45., 49–54., 56–59., 62., 63., 68–75., 77–82. pont)

Összefoglalás

Kibővített tanácsban eljárva a Törvényszék elutasítja a Data Protection Commission – a személyes adatok védelméért felelős ír felügyeleti hatóság – által az Európai Adatvédelmi Testület kötelező erejű döntéseinek részleges megsemmisítése iránt benyújtott kereseteket. Ítéletében első alkalommal foglal állást az Európai Adatvédelmi Testület azon hatásköréről, hogy a nemzeti felügyeleti hatóságot arra kötelezze, hogy kiterjessze egy ügyben folytatott elemzését és adott esetben a vizsgálatát.

A Data Protection Commission mint fő felügyeleti hatóság a többi érintett felügyeleti hatósággal folytatott eszmecserét követően megállapította, hogy nem alakult ki konszenzus a Facebook közösségi hálózat, az Instagram közösségi hálózat, illetve a WhatsApp üzenetküldő szolgáltatás használatához kapcsolódó adatkezelésre vonatkozó döntéstervezeteivel szemben megfogalmazott kifogások tekintetében. Következésképpen az egységességi mechanizmus keretében ( 1 ) az Európai Adatvédelmi Testülethez fordult.

A három ügy vizsgálatát követően az Európai Adatvédelmi Testület, mivel úgy ítélte meg, hogy a döntéstervezetekkel szemben megfogalmazott kifogások többsége releváns és megalapozott volt, úgy határozott, hogy állást foglal az általuk felvetett kérdésekben.

Így 2022. december 5‑én kötelező erejű döntéseket fogadott el, amelyekben felszólította a Data Protection Commission‑t, hogy folytasson le az említett három alkalmazás használatához kapcsolódó adatkezeléssel kapcsolatos újabb vizsgálatokat, és ennek alapján dolgozzon ki további döntéstervezeteket.

A Data Protection Commission ezt követően vitatta az Európai Adatvédelmi Testület arra vonatkozó hatáskörét, hogy kötelező erejű döntésekkel ilyen intézkedéseket írjon elő számára.

A Törvényszék álláspontja

Először is a Törvényszék a GDPR szó szerinti, rendszertani és teleologikus elemzésére támaszkodva az Európai Adatvédelmi Testület hatáskörének terjedelméről ( 2 ) határoz.

Ennek keretében mindenekelőtt rámutat arra, hogy a GDPR releváns rendelkezéseinek ( 3 ) szó szerinti értelmezése szerint az Európai Adatvédelmi Testület hatáskörrel rendelkezik a megtámadott rendelkezésekhez hasonló olyan rendelkezések elfogadására, amelyek arra utasítják a fő felügyeleti hatóságot, hogy az érintett ügyiratok bizonyos vonatkozásait illetően folytasson új vizsgálatot, majd e tekintetben fogadjon el új döntéstervezeteket. Ennélfogva, mivel az Európai Adatvédelmi Testület kötelező erejű döntésének minden olyan kérdésre ki kell terjednie, amely a releváns és megalapozott kifogások tárgyát képezi, a GDPR vonatkozó rendelkezései nem tiltják, hogy amennyiben az Európai Adatvédelmi Testület jóváhagy egy azzal kapcsolatos releváns és megalapozott kifogást, hogy egy döntéstervezetben nem vagy nem kielégítő módon elemeznek egy olyan aspektust, amely megakadályozza annak megállapítását, hogy e tekintetben megsértették‑e e rendeletet, vagy sem, e döntésben a fő felügyeleti hatóságot felszólítsa az elemzés hiányának orvoslására, és amennyiben ez az Európai Adatvédelmi Testület birtokában lévő ügyirat fényében szükségesnek tűnik, az eddig lefolytatott vizsgálat e célból történő elmélyítésére vagy kiterjesztésére. Ha úgy tűnik, hogy az ügyirat elégtelen a szükséges elemzés teljes körű elvégzéséhez, ennek ahhoz kell vezetnie, hogy az Európai Adatvédelmi Testületnek elő kell tudnia írni a fő felügyeleti hatóság számára, hogy a vizsgálatot egészítse ki.

Ezt követően a Törvényszék a GDPR releváns rendelkezéseinek rendszertani értelmezése alapján úgy véli, hogy az ügyben érintett felügyeleti hatóságok közötti, az általános adatvédelmi rendeletben rögzített együttműködési kötelezettség általános szövegkörnyezete megerősíti az Európai Adatvédelmi Testületnek a vitatott intézkedések elfogadására vonatkozó hatáskörét.

E tekintetben jelzi, hogy az ügyben érintett felügyeleti hatóságok közötti együttműködési eljárás, ( 4 ) amely magában foglalhatja az Európai Adatvédelmi Testület által biztosított egységességi mechanizmusnak a megindítását, nem egy „egyirányú” eljárás, amelyben a szakaszok mindig az azokat előíró rendelkezések sorrendjében követik egymást, anélkül hogy lehetőség lenne visszatérni az előző szakaszhoz, vagy ideiglenesen ugyanabban a szakaszban maradni.

Megjegyzi továbbá, hogy azon feltételek elemzését, amelyek mellett a személyes adatok kezelésére sor kerül, és annak a GDPR‑nak való megfelelését nem szabad arra korlátozni, amit a panaszos fél a panaszában kiemel. Különösen a felügyeleti hatóságoknak a GDPR által előírt feladatainak teljes körű ellátása, az annak való megfelelés kikényszerítése és a panaszok szükséges mértékű kezelése ( 5 ) magában foglalja az ügy megfelelő elemzési hatókörének meghatározását, tekintettel az annak alapjául szolgáló panaszra, valamint az azt esetlegesen kiegészítő egyéb elemekre. Márpedig a releváns és megalapozott kifogás – a meghatározása szerint – olyan szempontokra vonatkozik, amelyek elemzése a fent említett két feladat körébe tartozik. Ezért az a tény, hogy egy releváns és megalapozott kifogás az elemzés hatókörét és adott esetben a vizsgálat hatókörét érinti, és hogy az Európai Adatvédelmi Testület ez alapján jár el, egyáltalán nem veszélyezteti ezeket a feladatokat.

Végül a Törvényszék hangsúlyozza, hogy a GDPR céljainak vizsgálata megerősíti a GDPR vonatkozó rendelkezéseinek szó szerinti értelmezését is.

E tekintetben emlékeztet többek között arra, hogy az adott ügyben érintett felügyeleti hatóságok közötti együttműködési mechanizmust korlátozza, ha e hatóságok nem jutnak konszenzusra. Ebben a helyzetben a fő felügyeleti hatóságnak kell a nem konszenzusos kérdést az egységességi mechanizmus hatálya alá vonnia, amely az Európai Adatvédelmi Testület kötelező erejű döntését eredményezi. A vizsgálat újbóli megindítása esetén az illetékes hatóságnak jogerős döntést kell hoznia az Európai Adatvédelmi Testület kötelező erejű döntését követően elemzett és eldöntött érdemi kérdésekről a GDPR által előírt határidőn belül. Ez nem akadályozza meg abban, hogy kiegészítő vizsgálatot folytasson le, és elemezze az ügy még meg nem vizsgált szempontjait.

Másodszor, a Törvényszék úgy véli, hogy egy uniós szerv valamely hatáskörrel való felruházásának feltételeivel nem ellentétes az az elfogadott értelmezés, amely szerint az Európai Adatvédelmi Testület hatáskörrel rendelkezik arra, hogy a fő felügyeleti hatóságot arra kötelezze, hogy terjessze ki elemzését és adott esetben vizsgálatát. Az ilyen jogkör gyakorlását ugyanis olyan különböző kritériumok és feltételek határozzák meg, amelyek behatárolják a cselekvési körét. Így e hatáskör gyakorlására egyrészt csak abban az esetben kerül sor, ha a fő felügyeleti hatóság által az ügy kezelése során végzett elemzés egyértelműen azonosított elégtelensége áll fenn, ami jelentős következményekkel járhat, amint az a releváns és megalapozott kifogás meghatározásából következik, másrészt pedig az az Európai Adatvédelmi Testületet alkotó felügyeleti hatóságok együttes értékeléséből ered.

Egyébiránt a Törvényszék pontosítja, hogy az említett jogkör gyakorlása bírósági felülvizsgálat alá tartozik. Konkrétabban, az előtte felhozott jogalapok korlátai között az uniós bíróság az adott ügy körülményei alapján ellenőrizheti a vitatott rendelkezések anyagi jogszerűségét. Többek között először is ellenőrizheti, hogy az Európai Adatvédelmi Testület az ilyen jellegű rendelkezések elfogadásakor valóban egy felügyeleti hatóság releváns és indokolt kifogása alapján járt‑e el. Ezt követően megvizsgálhatja a felügyeleti hatóságoknak utasításokat adó ilyen rendelkezések tartalmának jogszerűségét.

Ebben az összefüggésben a Törvényszék hozzáteszi, hogy az Európai Adatvédelmi Testület kötelező erejű döntése, amely arra kötelezi a fő felügyeleti hatóságot, hogy kiterjessze elemzését és vizsgálatát, nem kérdőjelezi meg azon jogát, hogy független hatóságként prioritásokat állítson fel különböző feladatai ellátása tekintetében, amely feladat felülvizsgálata kizárólag a nemzeti bíróság hatáskörébe tartozik. Nem kérdőjelezi meg – általánosabb jelleggel – a függetlenségét ( 6 ) sem.

( 1 ) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27–i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 60. cikkének (4) bekezdésével összhangban.

( 2 ) A GDPR 65. cikke (1) bekezdésének a) pontja alapján.

( 3 ) A GDPR 65. cikke (1) bekezdésének az e rendelet 4 cikkének 24. pontjával, 65. cikkének (6) bekezdésével, valamint (126) és (136) preambulumbekezdésével összefüggésben értelmezett a) pontja.

( 4 ) A GDPR 60. cikke szerint.

( 5 ) A GDPR 57. cikke (1) bekezdésének a) és f) pontja.

( 6 ) Amelyet az EUSZ 39. cikk, az EUMSZ 16. cikk (2) bekezdése és az Európai Unió Alapjogi Chartája 8. cikkének (3) bekezdése rögzít.