–

Maximilian Schrems képviseletében K. Raabe‑Stuppnig Rechtsanwältin,

–

a Meta Platforms Ireland Ltd képviseletében K. Hanschitz, H.‑G. Kamann, S. Khalil, B. Knötzl és A. Natterer Rechtsanwälte,

–

az osztrák kormány képviseletében A. Posch, J. Schmoll, C. Gabauer, G. Kunnert és E. Riedl, meghatalmazotti minőségben,

–

a francia kormány képviseletében R. Bénard és A.‑L. Desjonquères, meghatalmazotti minőségben,

–

olasz kormány képviseletében G. Palmieri, meghatalmazotti minőségben, segítője: E. De Bonis avvocato dello Stato,

–

a portugál kormány képviseletében P. Barros da Costa, A. Pimenta, J. Ramos és C. Vieira Guerra, meghatalmazotti minőségben,

–

az Európai Bizottság képviseletében A. Bouchagiar, F. Erlbacher, M. Heller és M. H. Kranenborg, meghatalmazotti minőségben,

1

Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 5. cikke (1) bekezdése b) és c) pontjának, 6. cikke (1) bekezdése a) és b) pontjának, valamint 9. cikke (1) bekezdésének és (2) bekezdése e) pontjának értelmezésére vonatkozik.

2

E kérelmet Maximilian Schrems, ( 1 ) a Facebook közösségi hálózat egyik felhasználója, és az írországi székhelyű Meta Platforms Ireland Ltd, korábban Facebook Ireland Ltd között a nevezett felhasználó személyes adatainak e társaság általi állítólagosan jogellenes kezelése tárgyában folyamatban lévő jogvita keretében terjesztették elő.

3

A GDPR (1), (4), (39), (42), (43), (50) és (51) preambulumbekezdése a következőket mondja ki:

[…]

[…]

[…]

[…]

4

E rendelet 4. cikke a következőképpen rendelkezik:

„E rendelet alkalmazásában:

[…]

[…]

[…]

[…]”

5

Az említett rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke (1) és (2) bekezdése a következőképpen rendelkezik:

„(1)   A személyes adatok:

[…]

(2)   Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

6

E rendeletnek „Az adatkezelés jogszerűsége” című 6. cikke (1) bekezdésének szövege a következő:

„(1)   A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

[…]

(4)   Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető‑e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

7

A GDPR „A hozzájárulás feltételei” című 7. cikke a következőket írja elő:

„(1)   Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.

[…]

(3)   Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

(4)   Annak megállapítása során, hogy a hozzájárulás önkéntes‑e, a lehető legnagyobb mértékben figyelembe kell venni többek között azt, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták‑e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek az említett szerződés teljesítéséhez.”

8

E rendeletnek „A személyes adatok különleges kategóriáinak kezelése” című 9. cikke a következőképpen rendelkezik:

„(1)   A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

(2)   Az (1) bekezdés nem alkalmazandó abban az esetben, ha:

[…]

[…]”

9

Az említett rendelet 13. cikke, amely a „Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik” címet viseli, a következőket írja elő:

„(1)   Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

[…]

[…]

(3)   Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

[…]”

10

Ugyanezen rendelet 25. cikkének (2) bekezdése a következőképpen rendelkezik:

„Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.”

11

A Facebook online közösségi hálózat Unión belüli szolgáltatásait működtető Meta Platforms Ireland az említett közösségi hálózat felhasználóira vonatkozó személyes adatok kezelője az Unióban. A Meta Platforms Ireland Ausztriában nem rendelkezik fiókteleppel. A Meta Platforms Ireland többek között a www.facebook.com címen olyan szolgáltatásokat kínál, amelyeket 2023. november 5‑ig ingyenesen nyújtottak a magánfelhasználóknak. 2023. november 6‑tól e szolgáltatások kizárólag azon felhasználók számára maradtak ingyenesek, akik hozzájárultak ahhoz, hogy személyes adataikat személyre szabott hirdetések küldése céljából gyűjtsék és felhasználják, a felhasználóknak pedig lehetőségük van arra, hogy előfizetést kössenek az említett szolgáltatások célzott hirdetések nélküli változatára.

12

A Facebook online közösségi hálózat üzleti modellje az online hirdetésekből történő finanszírozáson alapul, amelyeket a közösségi hálózat egyéni felhasználóira szabnak többek között fogyasztási szokásaik, érdeklődési körük és élethelyzetük alapján. Az ilyen hirdetés technikai alapját a hálózat és a Meta csoport szintjén kínált online szolgáltatások felhasználói részletes profiljának automatizált létrehozása képezi.

13

A Facebook közösségi hálózat felhasználói személyes adatainak kezelése érdekében a Meta Platforms Ireland arra a felhasználói szerződésre támaszkodik, amelyhez a felhasználók a „feliratkozás” gombra való kattintással csatlakoznak, és amellyel elfogadják a társaság által meghatározott általános feltételeket. Az alapeljárás alapjául szolgáló tényállás idején a Facebook közösségi hálózat használatához el kellett fogadni ezeket a feltételeket. A felhasználók személyes adatainak kezelését illetően az általános feltételek az említett társaság által meghatározott adatkezelési szabályzatra és cookie‑szabályzatra utalnak. Ez utóbbiak értelmében a Meta Platforms Ireland a felhasználókkal és a felhasználók készülékeivel kapcsolatos, a felhasználóknak a közösségi hálózaton belüli és kívüli tevékenységére vonatkozó adatokat gyűjt, és ezeket az adatokat összekapcsolja az érintett felhasználók Facebook‑fiókjaival. A közösségi hálózaton kívüli tevékenységekre vonatkozó adatok (a továbbiakban: off Facebook‑adatok) illeti, egyrészt a harmadik személyeknek a Facebookkal programinterfészeken keresztül összekapcsolt weboldalai és alkalmazásai megtekintésére vonatkozó adatokról, másrészt pedig a Meta‑csoporthoz tartozó egyéb online szolgáltatások, köztük az Instagram és a WhatsApp használatára vonatkozó adatokról van szó.

14

A GDPR hatálybalépése előtt a Facebook‑felhasználók kifejezett hozzájárulásukat adták ahhoz, hogy adataikat az alperes erre az időszakra vonatkozó felhasználási feltételeinek megfelelően kezeljék. Tekintettel a GDPR 2018. május 25‑i hatálybalépésére, a Meta Platforms Ireland 2018. április 19‑én új felhasználási feltételeket fogadott el, és azokat jóváhagyás céljából bemutatta felhasználóinak. M. Schrems, miután a fiókját zárolták, elfogadta ezeket az új felhasználási feltételeket, hogy továbbra is használhassa a Facebookot. Erre a hozzájárulásra azért volt szükség, hogy megőrizhesse a felhasználói fiókjához való hozzáférést és igénybe vehesse a kapcsolódó szolgáltatásokat.

15

A Meta Platforms Ireland számos „eszközt” (tools) vezetett be annak érdekében, hogy a felhasználók áttekinthessék és ellenőrizhessék a tárolt adataikat. Nem minden kezelt adat látható ezekben az eszközökben, hanem csak azok, amelyek a társaság szerint fontosak és relevánsak a felhasználók számára. Így az a felhasználó, aki ezt kéri, láthatja például, hogy a Facebook‑profilján keresztül megnyitott egy alkalmazást, meglátogatott egy weboldalt, meghatározott keresést végzett, vásárolt, vagy hirdetésre kattintott.

16

A Meta Platforms Ireland „cookie‑kat” (sütik), „social pluginokat” (közösségi modulok) és pixeleket használ, ahogyan ez a társaság használati feltételeiben és iránymutatásaiban is szerepel. A „cookie‑k” segítségével meg tudja határozni a megtekintések forrását. A „cookie‑k” aktiválásának hiányában számos, a Meta Platforms Ireland által nyújtott szolgáltatás nem használható. A Facebook „social pluginjait” a harmadik személyek weboldalainak üzemeltetői „beillesztik” az oldalaikba. A legelterjedtebb a Facebook „Tetszik” gombja. Az ezt a gombot tartalmazó internetes oldalak minden egyes megtekintésekor továbbítják a Meta Platforms Irelandnek a használt készülékre telepített „cookie‑kat”, a látogatott oldal URL‑jét és egyéb adatokat, például az IP‑címet vagy az időpontot. Ehhez nem szükséges, hogy a felhasználó a „Tetszik” gombra kattintson, mivel az ilyen „plugint” tartalmazó internetes oldal puszta megtekintése elegendő ahhoz, hogy ezeket az adatokat továbbítsák a társaságnak.

17

Az előzetes döntéshozatalra utaló határozatból kitűnik, hogy „pluginok” megtalálhatók az olyan, politikai pártokhoz tartozó és a homoszexuális közönségnek szánt internetes oldalakon is, amelyeket M. Schrems látogatott. Az ilyen „pluginok” miatt a Meta Platforms Ireland követni tudta M. Schrems internetes magatartását, ami bizonyos különleges személyes adatok gyűjtését eredményezte.

18

A „social pluginokhoz” hasonlóan a pixelek is beilleszthetők az internetes oldalakba, és lehetővé teszik az ezen oldalakat meglátogató felhasználókra vonatkozó információk gyűjtését, többek között az ott megjelenő hirdetések mérése és optimalizálása érdekében. Például egy Facebook‑pixelnek a saját internetes oldalaikba történő beillesztésével az oldalak üzemeltetői a Meta Platforms Irelandtől jelentéseket kaphatnak arról, hogy hányan nézték meg a hirdetésüket a Facebookon, és ezt követően hányan keresték fel az oldalukat megtekintés vagy vásárlás céljából.

19

A „social pluginok” és a pixelek a „cookie‑kkal” együtt tehát az internetes reklám lényeges elemét képezik, mivel az interneten elérhető tartalmak túlnyomó többségét hirdetésekből finanszírozzák. A „pluginok” lehetővé teszik a felhasználók számára a releváns hirdetések megjelenítését, a pixeleket pedig a hirdetők számára a reklámkampányok teljesítményének mérésére, valamint a felhasználók célcsoportjaira vonatkozó információk beszerzésére használják.

20

A jelen ügyben az előzetes döntéshozatalra utaló határozatból kitűnik, hogy M. Schrems nem engedélyezte a Meta Platforms Ireland számára, hogy személyre szabott hirdetések céljából kezelje a Facebookon kívüli tevékenységeire vonatkozó személyes adatait, amelyeket a Meta Platforms Ireland a hirdetőktől és más partnerektől szerez meg. Ugyanakkor a Meta Platforms Ireland bizonyos, M. Schremsre vonatkozó adatokat harmadik személyek internetes oldalaiba illesztett „cookie‑k”, „social pluginok” és hasonló technológiák révén szerzett be, és azokat arra használta fel, hogy javítsa a Facebook‑termékeket, és M. Schrems részére személyre szabott hirdetéseket küldjön.

21

Ezenkívül e határozatból az is kitűnik, hogy M. Schrems a Facebook‑profilján nem adott meg különleges adatokat, kizárólag az „ismerősök” láthatják a tevékenységeit, illetve az „idővonalán” szereplő információkat, az „összes ismerősének” listája pedig nem nyilvános. M. Schrems továbbá úgy döntött, hogy nem engedélyezi a Meta Platforms Ireland számára, hogy célzott hirdetések céljából használja profiljában található, kapcsolati állapotára, munkáltatójára, munkakörére és végzettségére vonatkozó rovatokat.

22

Ugyanakkor a rendelkezésére álló adatok alapján a Meta Platforms Ireland be tudja azonosítani, hogy M. Schrems milyen érzékeny – például egészséggel, szexuális irányultsággal, etnikai csoportokkal és politikai pártokkal kapcsolatos – témák iránt érdeklődik, és ez alapján például ilyen szexuális irányultsággal vagy politikai meggyőződéssel kapcsolatos hirdetéseket tud megjeleníteni neki.

23

Ily módon M. Schrems egyrészt egy osztrák politikusra vonatkozó hirdetést kapott, amely a Meta Platforms Ireland által végzett elemzésen alapult, amely szerint M. Schrems közös pontokkal rendelkezik más olyan felhasználókkal, akik ezt a politikust „lájkolták”. Másrészt M. Schrems rendszeresen kapott homoszexuális közönségnek szóló hirdetéseket és ilyen eseményekre szóló meghívókat, noha korábban soha nem érdeklődött ilyen események iránt, és nem ismerte azok helyszínét. Ezek a hirdetések és meghívók nem közvetlenül az alapeljárás felperesének és „ismerőseinek” szexuális irányultságán alapultak, hanem érdeklődési körük elemzésén, a jelen esetben azon a tényen, hogy M. Schrems egyik barátja a „Tetszik” gomb megnyomásával lájkolt egy terméket.

24

M. Schrems elemzést végzett az ismerősei listájából levonható következtetésekre vonatkozóan, és ebből kiderült, hogy polgári szolgálatát a salzburgi Vöröskeresztnél töltötte, valamint hogy homoszexuális. Ezen túlmenően a Meta Platforms Ireland birtokában lévő, Facebookon kívüli tevékenységeinek listáján többek között meleg társkereső alkalmazások és weboldalak, valamint egy osztrák politikai párt weboldala szerepel. Az alapeljárás felperesének tárolt adatai között szerepel többek között egy olyan e‑mail‑cím, amelyet nem adott meg a Facebook‑profilján, viszont a Meta Platforms Irelandhez intézett kérelmei benyújtásánál használt.

25

Az előzetes döntéshozatalra utaló határozatból az is kitűnik, hogy M. Schrems nyilvánosan felvállalja homoszexualitását. A Facebook‑profiljában azonban soha nem említette szexuális irányultságát.

26

M. Schrems a Landesgericht für Zivilrechtssachen Wien (polgári jogi ügyekben eljáró bécsi regionális bíróság, Ausztria) előtt arra hivatkozott, hogy személyes adatainak a Meta Platforms Ireland általi kezelése a GDPR több rendelkezését is sérti. E tekintetben úgy ítélte meg, hogy az alapeljárás alperese digitális platformjának használatára vonatkozó feltételekhez való hozzájárulása nem felel meg az e rendelet 6. cikkének (1) bekezdésében és 7. cikkében foglalt követelményeknek. Ezenkívül a Meta Platforms Ireland az említett rendelet 9. cikke értelmében az alapeljárás felperesének különleges adatait kezeli, amihez nem kapta meg az ugyanezen rendelet 7. cikke értelmében e célból szükséges hozzájárulást. Szintén nincs érvényes hozzájárulás M. Schrems azon személyes adatainak kezelésére vonatkozóan, amelyeket a Meta Platforms Ireland harmadik személyektől kapott. Ebben az összefüggésben M. Schrems többek között azt kérte, hogy a bíróság kötelezze az alperest arra, hogy a jövőben ne kezelje személyes adatait személyre szabott hirdetések céljából, és ne használja fel a harmadik személyek weboldalainak megtekintéséből származó és harmadik személyek által megszerzett ilyen adatokat.

27

A Meta Platforms Ireland ezzel szemben úgy ítélte meg, hogy M. Schrems adatainak kezelését az online közösségi hálózat használatára vonatkozó feltételeknek megfelelően végezték, amelyek összeegyeztethetők a GDPR követelményeivel. Ez az adatkezelés jogszerű, és nem az alapeljárás felperesének az e rendelet 6. cikke (1) bekezdésének a) pontjában megkövetelt hozzájárulásán alapul, hanem egyéb indokokon, köztük elsősorban azon, hogy az említett rendelet 6. cikke (1) bekezdésének b) pontja értelmében az alapeljárás felperese és alperese között létrejött szerződés teljesítéséhez volt szükséges ez az adatkezelés.

28

Az alapügyben már benyújtottak előzetes döntéshozatal iránti kérelmet a Bírósághoz, amely a 2018. január 25‑iSchrems ítélet (C‑498/16, EU:C:2018:37) meghozatalához vezetett. Ezen ítéletet követően a Landesgericht für Zivilrechtssachen Wien (polgári jogi ügyekben eljáró bécsi regionális bíróság, Ausztria) 2020. június 30‑i ítéletével elutasította M. Schrems kérelmeit. A fellebbezés tárgyában eljáró Oberlandesgericht Wien (bécsi regionális felsőbíróság, Ausztria) szintén elutasította az M. Schrems által ezen ítélettel szemben benyújtott fellebbezést, többek között azzal az indokkal, hogy M. Schrems mint az online platform felhasználója személyes adatainak kezelése, ideértve a személyre szabott hirdetéseket is, a platformra vonatkozóan a felek között létrejött felhasználói szerződés részét képezi. Ezen adatok kezelése tehát a GDPR 6. cikke (1) bekezdésének b) pontja értelmében szükséges e szerződés teljesítéséhez.

29

Az Oberster Gerichtshof (legfelsőbb bíróság, Ausztria), amelyhez M. Schrems felülvizsgálati kérelmet nyújtott be, rámutat arra, hogy a Meta Platforms Ireland üzleti modellje abban áll, hogy a Facebook felhasználóinak preferenciáin és érdeklődési körén alapuló célzott hirdetések és kereskedelmi tartalmak révén, a felhasználók személyes adatait kezelve termel bevételt. Mivel pedig ez az adatkezelés lehetővé teszi a Facebook számára, hogy ingyenes szolgáltatásokat kínáljon a felhasználói számára, a GDPR 6. cikke (1) bekezdésének b) pontja értelmében szükségesnek tekinthető az említett felhasználókkal kötött szerződés teljesítéséhez.

30

E bíróság szerint azonban ezen megszorítóan értelmezendő rendelkezés alapján nem engedhető meg az ilyen adatkezelés az érintett hozzájárulásának mellőzésével.

31

Az említett bíróság továbbá megjegyzi, hogy a Meta Platforms Ireland a GDPR 9. cikkének (1) bekezdése alapján „különlegesnek” minősíthető személyes adatokat kezel.

32

A jelen ügyben a Meta Plaforms Ireland M. Schrems politikai meggyőződésére és szexuális irányultságára vonatkozó adatokat kezel. Az Oberster Gerichtshof (Ausztria) által tett megállapítások szerint M. Schrems nyilvánosan felvállalja szexuális irányultságát. Konkrétan egy pódiumbeszélgetés keretében, amelyen 2019. február 12‑én Bécsben az Európai Bizottság ausztriai képviseletének felhívására vett részt, M. Schrems a szexuális irányultságára hivatkozva bírálta a személyes adatok – köztük saját adatainak – Facebook általi kezelését. Ugyanakkor, amint azt szintén ez alkalommal kijelentette, M. Schrems a Facebook‑profiljában soha nem említette magánéletének ezen aspektusát.

33

E bíróság szerint ily módon felmerül a kérdés, hogy az érintett felhasználó kifejezetten nyilvánosságra hozta‑e a rá vonatkozó különleges személyes adatokat, és így a GDPR 9. cikke (2) bekezdésének e) pontja alapján engedélyezte‑e ezen adatok kezelését.

34

E körülményekre figyelemmel az Oberster Gerichtshof (legfelsőbb bíróság, Ausztria) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„(1) Úgy kell‑e értelmezni a GDPR 6. cikke (1) bekezdésének a) és b) pontjában foglalt rendelkezéseket, hogy online platformokra vonatkozó, az alapeljárásban szóban forgóhoz hasonló szerződésekkel kapcsolatos általános felhasználási feltételekben szereplő olyan szerződéses rendelkezések (különösen az olyan szerződéses rendelkezések, mint: »Ahelyett, hogy fizetned kellene […], a jelen Feltételek hatálya alá tartozó Facebook‑termékek használatával elfogadod, hogy hirdetéseket jeleníthetünk meg számodra […] Személyes adataidat […] felhasználjuk ahhoz, hogy az érdeklődésednek jobban megfelelő hirdetéseket jelenítsünk meg neked.«) jogszerűségét, amelyek a személyes adatok kezelését tartalmazzák az adatok személyre szabott hirdetések céljából történő összesítése és elemzése tekintetében, a GDPR 7. cikkével összefüggésben értelmezett 6. cikke (1) bekezdésének a) pontjában foglalt követelmények alapján kell megítélni, amelyek nem helyettesíthetők a GDPR 6. cikke (1) bekezdésének b) pontjára való hivatkozással?

(2) Úgy kell‑e értelmezni a GDPR 5. cikke (1) bekezdésének c) pontját (adattakarékosság), hogy valamennyi olyan személyes adat, amellyel az alapeljárásban szóban forgóhoz hasonló platform (különösen az érintett vagy a platformot használó és a platformon kívüli harmadik személyek révén) rendelkezik, személyre szabott hirdetések céljából időbeli és az adatok típusa szerinti korlátozás nélkül összesíthető, elemezhető és kezelhető?

(3) Úgy kell‑e értelmezni a GDPR 9. cikkének (1) bekezdését, hogy e rendelkezést alkalmazni kell az olyan adatkezelésre, amely lehetővé teszi személyes adatok különleges kategóriái, például a politikai vélemény vagy a szexuális irányultság célzott (például hirdetések céljából) történő szűrését, akkor is, ha az adatkezelő nem tesz különbséget ezen adatok között?

(4) A GDPR 9. cikke (2) bekezdésének e) pontjával összefüggésben úgy kell‑e értelmezni e rendelet 5. cikke (1) bekezdésének b) pontját, hogy a saját szexuális irányultsággal kapcsolatos, egy pódiumbeszélgetés céljára elhangzott nyilatkozat lehetővé teszi, hogy a szexuális irányultságra vonatkozó más adatokat az adatok személyre szabott hirdetések céljából történő összesítése és elemzése érdekében kezeljék?”

35

2022. április 7‑i határozatával a Bíróság elnöke a C‑252/21. sz. Meta Platforms és társai ügyben az eljárást befejező határozat meghozataláig felfüggesztette a jelen eljárást.

36

2023. július 7‑i határozatával a Bíróság elnöke értesítette a jelen ügyben kérdést előterjesztő bíróságot a 2023. július 4‑iMeta Platforms és társai (Közösségi hálózat általános felhasználási feltételei) ítéletről (C‑252/21, EU:C:2023:537), és azt a kérdést intézte hozzá, hogy ezen ítéletre tekintettel az előzetes döntéshozatal iránti kérelmét egészben vagy részben fenn kívánja‑e tartani, a kérelem részleges visszavonása esetén pedig fejtse ki a kérelem adott része fenntartásának indokait.

37

2023. július 19‑i végzésével, amely 2023. augusztus 9‑én érkezett a Bíróság Hivatalához, e bíróság visszavonta az előzetes döntéshozatalra előterjesztett első és harmadik kérdését, arra hivatkozva, hogy az említett ítélet választ adott ezekre a kérdésekre. Ezzel szemben az említett bíróság fenntartotta az előzetes döntéshozatalra előterjesztett második és negyedik kérdését, arra hivatkozva, hogy ugyanezen ítélet nem adott teljes mértékben választ azokra.

38

Második kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 5. cikke (1) bekezdésének c) pontját úgy kell‑e értelmezni, hogy az „adattakarékosság” ott előírt elvével ellentétes az, hogy az adatkezelő – például egy online közösségi platform üzemeltetője – által az érintettől vagy harmadik személytől megszerzett összes olyan személyes adatot, amelyeket ezen a platformon és azon kívül gyűjtöttek, célzott hirdetések céljából időbeli és az adatok jellege szerinti korlátozás nélkül összesítik, elemzik és kezelik.

39

Az alapeljárás alperese azt állítja, hogy ez a kérdés elfogadhatatlan, egyrészt azért, mert az előterjesztő bíróság nem fejtette ki, hogy a kérdésre adott válasz miért lenne hasznos az alapeljárásbeli jogvita eldöntése szempontjából, másrészt pedig azért, mert a bíróság téves ténybeli előfeltevésre támaszkodott, amikor tévesen azt állapította meg, hogy az alapeljárás alperese a rendelkezésére álló valamennyi személyes adatot időbeli és az adatok jellege szerinti korlátozás nélkül hirdetési célokra használja fel.

40

Először is, ami azt az érvet illeti, amely szerint a kérdést előterjesztő bíróság nem fejtette ki, hogy a második kérdésre adott válasz miért lenne hasznos az alapeljárásbeli jogvita eldöntése szempontjából, hangsúlyozni kell annak fontosságát, hogy a nemzeti bíróságnak meg kell jelölnie azon pontos okokat, amelyek arra indították, hogy felvesse az uniós jog értelmezését, és amelyek alapján szükségesnek tartotta előzetes döntéshozatalra a Bíróság elé terjeszteni a kérdéseit (2005. december 6‑iABNA és társai ítélet, C‑453/03, C‑11/04, C‑12/04 és C‑194/04, EU:C:2005:741, 46. pont; 2024. február 29‑iStaatssecretaris van Justitie en Veiligheid [Kölcsönös bizalom átadás esetén] ítélet, C‑392/22, EU:C:2024:195, 85. pont). A jelen ügyben azonban az előzetes döntéshozatal iránti kérelemben foglalt fejtegetésekből kitűnik, hogy a kérdést előterjesztő bíróság azt kívánja megállapítani, hogy még ha feltételezzük is, hogy az alapügyben szóban forgó, reklámcélú adatkezelés a GDPR 6. cikke (1) bekezdése első albekezdésének b) pontjával igazolható, az alapeljárás alperese által ily módon kezelt adatok terjedelme megfelel‑e az adattakarékosság elvének, vagy ellenkezőleg, az ilyen kiterjedt adatkezelés sérti‑e a GDPR 5. cikke alapján az adatkezelőt terhelő kötelezettségeket. Az előzetes döntéshozatal iránti kérelemből tehát kellőképpen kitűnik, hogy az e kérdésre adott válasz miért releváns az alapügyben felmerült jogvita eldöntése szempontjából.

41

Másodszor, ami azt az érvet illeti, hogy a kérdést előterjesztő bíróság pontatlan ténybeli előfeltevésre támaszkodott, igaz, hogy az előzetes döntéshozatalra előterjesztett második kérdés azon az előfeltevésen alapul, amely szerint egyrészt – amint az a jelen ítélet 20. pontjában is szerepel – noha M. Schrems nem hatalmazta fel a Meta Platforms Irelandet a Facebookon kívüli tevékenységeivel kapcsolatos személyes adatainak kezelésére, e társaság mindazonáltal kezelt bizonyos olyan adatokat, amelyeket – többek között a Facebook által harmadik személyek internetes oldalaiba illesztett „cookie‑knak” és „social pluginoknak” köszönhetően – harmadik fél partnerektől szerzett meg az alapján, hogy M. Schrems elfogadta a közösségi hálózat általános felhasználási feltételeit, másrészt pedig ezeket a személyes adatokat a Meta Platforms Ireland időbeli és az adatok jellege szerinti korlátozás nélkül kezeli.

42

Márpedig emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint az EUMSZ 267. cikk közvetlen együttműködést hoz létre a Bíróság és a tagállami bíróságok között. Ezen eljárás keretében – amely a nemzeti bíróságok és a Bíróság feladatainak világos szétválasztásán alapul – az ügy tényállásának megítélése a nemzeti bíróság hatáskörébe tartozik, amelynek feladata, hogy az ügy sajátosságaira figyelemmel megítélje mind az előzetes döntéshozatal szükségességét ítéletének meghozatala szempontjából, mind pedig a Bíróság elé terjesztendő kérdések jelentőségét, míg a Bíróság a nemzeti bíróság által rendelkezésre bocsátott tények alapján kizárólag az uniós jogi rendelkezés értelmezéséről és érvényességéről foglalhat állást (2017. október 25‑iPolbud – Wykonawstwo ítélet, C‑106/16, EU:C:2017:804, 27. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

43

Ennélfogva a feltett kérdést ezen előfeltevés alapján kell megválaszolni, amelynek megalapozottságát a kérdést előterjesztő bíróságnak mindazonáltal vizsgálnia kell.

44

Következésképpen az előzetes döntéshozatalra előterjesztett második kérdés elfogadható.

45

Előzetesen emlékeztetni kell arra, hogy a GDPR által követett, a rendelet 1. cikkéből, valamint (1) és (10) preambulumbekezdéséből következő célkitűzés többek között arra irányul, hogy biztosítsa a természetes személyek alapvető jogainak és szabadságainak, különösen a magánélet tiszteletben tartásához való jognak a magas szintű védelmét a személyes adatok kezelése tekintetében, amelyet a Charta 8. cikkének (1) bekezdése és az EUMSZ 16. cikk (1) bekezdése rögzít (2024. március 7‑iIAB Europe ítélet, C‑604/22, EU:C:2024:214, 53. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

46

E célból az említett rendelet II. és III. fejezete rögzíti a személyes adatok kezelését szabályozó elveket, illetve az érintett azon jogait, amelyeket minden személyesadat‑kezelés során tiszteletben kell tartani. Konkrétabban, az említett rendelet 23. cikkében előírt korlátozásokra tekintettel valamennyi személyesadat‑kezelésnek egyrészt meg kell felelnie az ilyen adatok kezelésére vonatkozó, ugyanezen rendelet 5. cikkében kimondott elveknek, és teljesítenie kell a 6. cikkében felsorolt, jogszerűségre vonatkozó feltételeket, másrészt tiszteletben kell tartania az érintett a GDPR 12–22. cikkében szereplő jogait (2024. július 11‑iMeta Platfroms Ireland [Képviseleti kereset] ítélet, C‑757/22, EU:C:2024:598, 49. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

47

Amint azt a Bíróság már pontosította, a személyes adatok kezelésére vonatkozó, a GDPR 5. cikkében foglalt elvek együttesen alkalmazandók (2022. október 20‑iDigi ítélet, C‑77/21, EU:C:2022:805, 47. pont).

48

E tekintetben meg kell állapítani, hogy a GDPR 5. cikke (1) bekezdésének a) pontja értelmében a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni, és hogy ezen 5. cikk (1) bekezdésének b) pontja értelmében az ilyen adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azokat nem kezelhetik ezekkel a célokkal össze nem egyeztethető módon,

49

Ezenkívül e rendelet 5. cikke (1) bekezdésének c) pontja, amely az úgynevezett „adattakarékosság” elvét rögzíti, előírja, hogy a személyes adatoknak „az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük, és a szükségesre kell korlátozódniuk” (2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 109. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

50

Ez az elv, amint ezt a Bíróság korábban már kimondta, az arányosság elvét fejezi ki (lásd ebben az értelemben: 2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 98. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2024. január 30‑iDirektor na Glavna direktsia Natsionalna politsia pri MVR – Sofia ítélet, C‑118/22, EU:C:2024:97, 41. pont).

51

Az elszámoltathatóság GDPR 5. cikkének (2) bekezdésében szereplő elvének megfelelően képesnek kell lennie annak igazolására, hogy a személyes adatokat az e cikk (1) bekezdésében rögzített elveknek megfelelően gyűjtik és kezelik (lásd ebben az értelemben: 2022. október 20‑iDigi ítélet, C‑77/21, EU:C:2022:805, 24. pont). Ezenkívül e rendelet 13. cikke (1) bekezdése c) pontjának megfelelően, amennyiben a személyes adatokat az érintettől gyűjtik, az adatkezelőnek tájékoztatnia kell az érintettet ezen adatok kezelésének tervezett céljáról és ezen adatkezelés jogalapjáról (lásd ebben az értelemben: 2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 95. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

52

Másodszor, a személyes adatok olyan kezelésének időbeli korlátozását illetően, mint amelyről az alapügyben szó van, emlékeztetni kell arra, hogy a Bíróság már kimondta, hogy az adattakarékosság elvére tekintettel az adatkezelő köteles a szóban forgó személyes adatok gyűjtésének időszakát a tervezett adatkezelés céljára tekintettel a feltétlenül szükséges mértékre korlátozni (2022. február 24‑iValsts ieņēmumu dienests [Személyes adatok adóügyi célból történő kezelése] ítélet, C‑175/20, EU:C:2022:124, 79. pont).

53

Minél hosszabb ideig tárolják ugyanis ezeket az adatokat, annál nagyobb hatással vannak az érintett érdekeire és magánéletére, és annál magasabbak az említett adatok tárolásának jogszerűségére vonatkozó követelmények (lásd ebben az értelemben: 2023. december 7‑iSCHUFA Holding [A fennálló tartozás elengedése] ítélet, C‑26/22 és C‑64/22, EU:C:2023:958, 95. pont).

54

Ezenkívül meg kell állapítani, hogy a GDPR 5. cikke (1) bekezdésének e) pontja értelmében a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.

55

E cikk szövegéből tehát egyértelműen kiderül, hogy a „korlátozott tárolhatóság” elve megköveteli, hogy az adatkezelő képes legyen a jelen ítélet 51. pontjában felidézett elszámoltathatóság elvével összhangban annak igazolására, hogy a személyes adatokat kizárólag azon célok eléréséhez szükséges ideig tárolják, amelyekből azokat gyűjtötték vagy a továbbiakban kezelték (lásd ebben az értelemben: 2022. október 20‑iDigi ítélet, C‑77/21, EU:C:2022:805, 53. pont).

56

Ebből következik – amint azt a Bíróság már megállapította –, hogy idővel még az eredetileg jogszerű adatkezelés is összeegyeztethetetlenné válhat a GDPR rendelkezéseivel, ha ezen adatok gyűjtésük vagy kezelésük céljára tekintettel már nem szükségesek, és az említett adatokat törölni kell, ha e célok megvalósulnak (lásd ebben az értelemben: 2022. október 20‑iDigi ítélet, C‑77/21, EU:C:2022:805, 54. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

57

E körülmények között – amint arra a főtanácsnok az indítványának 22. pontjában lényegében rámutatott – a nemzeti bíróság feladata, hogy a releváns körülmények összességét figyelembe véve és a GDPR 5. cikke (1) bekezdésének c) pontjában hivatkozott arányosság elvét alkalmazva értékelje azt, hogy a személyes adatok adatkezelő általi megőrzésének időtartama a személyre szabott hirdetések lehetővé tételére irányuló célra tekintettel észszerűen igazolható‑e.

58

Mindenesetre a közösségi hálózati platform felhasználóihoz tartozó személyes adatok célzott hirdetések céljából korlátlan ideig történő tárolását a felhasználók számára a GDPR által biztosított jogokba való aránytalan beavatkozásnak kell tekinteni.

59

Harmadszor, ami azt a körülményt illeti, hogy az alapügyben szóban forgó személyes adatokat az adatok jellege szerinti korlátozás nélkül, célzott hirdetések céljából gyűjtik, összesítik, elemzik és kezelik, emlékeztetni kell arra, hogy a Bíróság már kimondta, hogy a GDPR 5. cikke (1) bekezdésének c) pontjában előírt adattakarékosság elvére tekintettel az adatkezelő nem végezheti általános jelleggel és különbségtétel nélkül a személyes adatok gyűjtését, és tartózkodnia kell az adatkezelés céljai szempontjából nem feltétlenül szükséges adatok gyűjtésétől (2022. február 24‑iValsts ieņēmumu dienests [Személyes adatok adóügyi célból történő kezelése] ítélet, C‑175/20, EU:C:2022:124, 74. pont).

60

Arra is rá kell mutatni, hogy e rendelet 25. cikkének (2) bekezdése megköveteli az adatkezelőtől, hogy megfelelő intézkedéseket hajtson végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. E rendelkezés értelmében ez a követelmény többek között a gyűjtött személyes adatok mennyiségére és az adatkezelés mértékére, valamint az adattárolás időtartamára vonatkozik.

61

A jelen ügyben az előzetes döntéshozatalra utaló határozatból kitűnik, hogy a Meta Platforms Ireland a Facebook‑felhasználóknak – köztük M. Schremsnek – az e közösségi hálózaton belüli és azon kívüli tevékenységeire vonatkozó személyes adatait gyűjti, ideértve különösen az online platformnak, valamint harmadik személyek weboldalainak és alkalmazásainak megtekintésére vonatkozó adatokat, továbbá az érintett internetes oldalakon elhelyezett „social pluginok” és „pixelek” segítségével figyelemmel kíséri a felhasználók böngészési magatartását az említett oldalakon.

62

Márpedig, amint azt a Bíróság már megállapította, az ilyen adatkezelés különösen széles körű, mivel potenciálisan korlátlan adatokra vonatkozik, és jelentős hatással van a felhasználóra, akinek az online tevékenységeinek nagy részét, sőt szinte egészét a Meta Platforms Ireland nyomon követi, ami e felhasználóban a magánélete folyamatos megfigyelésének érzését keltheti (lásd ebben az értelemben: 2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 118. pont).

63

E körülmények között az alapügyben szóban forgó adatkezelést az érintett személyek alapvető jogaiba, különösen az Európai Unió Alapjogi Chartájának 7. és 8. cikkében biztosított, a magánélet tiszteletben tartásához és a személyes adatok védelméhez való jogukba való súlyos beavatkozás jellemzi, amely – a kérdést előterjesztő bíróság által elvégzendő vizsgálatokra is figyelemmel – nem tűnik észszerűen igazolhatónak a célzott hirdetések lehetővé tételére irányuló célkitűzésre tekintettel.

64

Mindenesetre a közösségi hálózati platform birtokában lévő személyes adatok összességének különbségtétel nélküli, hirdetési célokra történő felhasználása, függetlenül ezen adatok érzékenységének mértékétől, nem tűnik a GDPR által a platform felhasználói számára biztosított jogokba való arányos beavatkozásnak.

65

A fentiekre tekintettel a második kérdésre azt a választ kell adni, hogy a GDPR 5. cikke (1) bekezdésének c) pontját úgy kell értelmezni, hogy az „adattakarékosság” e rendelkezésben előírt elvével ellentétes az, hogy az adatkezelő – például egy online közösségi platform üzemeltetője – által az érintettől vagy harmadik személytől megszerzett összes olyan személyes adatot, amelyeket ezen a platformon és azon kívül gyűjtöttek, célzott hirdetések céljából, időbeli és az adatok jellege szerinti korlátozás nélkül összesítik, elemzik és kezelik.

66

Ezzel a kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 9. cikke (2) bekezdésének e) pontját úgy kell‑e értelmezni, hogy az a körülmény, hogy egy adott személy egy nyilvános pódiumbeszélgetésen a szexuális irányultságáról beszélt, felhatalmazza az online közösségi hálózati platform üzemeltetőjét arra, hogy az illető szexuális irányultságára vonatkozó egyéb olyan adatokat kezeljen, amelyeket adott esetben e platformon kívül, harmadik személy partnerek alkalmazásaiból és weboldalairól szerez be az adatok összesítése és elemzése céljából annak érdekében, hogy személyre szabott hirdetéseket kínáljon számára.

67

Konkrétabban az előterjesztő bíróság kérdése annak megállapítására irányul, hogy M. Schrems egy pódiumbeszélgetésen tett nyilatkozata következtében már nem jogosult‑e a GDPR 9. cikkének (1) bekezdése által biztosított védelemre, és hogy következésképpen a Facebook jogosult volt‑e a szexuális irányultságával kapcsolatos egyéb adatok kezelésére.

68

Előzetesen meg kell jegyezni, hogy a kérdést előterjesztő bíróság által hivatkozott pódiumbeszélgetésre, amelyen M. Schrems a szexuális irányultságáról nyilatkozott, 2019. február 12‑én került sor, és hogy – amint az az előzetes döntéshozatalra utaló határozatból kitűnik – a Meta Platforms Ireland ebben az időpontban már kezelte az M. Schrems szexuális irányultságára vonatkozó személyes adatokat, így tehát erre a nyilatkozatra az adatkezelés megkezdése után került sor.

69

Ebből következően az előterjesztő bíróság által feltett negyedik kérdést úgy kell értelmezni, hogy az kizárólag az M. Schrems szexuális irányultságára vonatkozó adatoknak a Meta Platforms Ireland által 2019. február 12. után végzett esetleges kezelésére vonatkozik. Mindazonáltal a kérdést előterjesztő bíróság feladata annak vizsgálata, hogy a jelen ítélet 42. pontjában ismertetett ítélkezési gyakorlatnak megfelelően ténylegesen sor került‑e ezen időpontot követően ilyen adatkezelésre.

70

A kérdés megválaszolásához először is emlékeztetni kell arra, hogy a GDPR (51) preambulumbekezdése kimondja, hogy az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak. E preambulumbekezdés pontosítja, hogy az ilyen adatok nem kezelhetők, kivéve, ha az adatkezelés az említett rendeletben meghatározott egyedi esetekben megengedett.

71

Ebben az összefüggésben a GDPR 9. cikkének (1) bekezdése rögzíti a személyes adatok ott említett különleges kategóriáira vonatkozó adatkezelés tilalmának elvét. Ezek közé tartoznak a faji vagy etnikai származásra, politikai véleményre, vallási meggyőződésre utaló személyes adatok, valamint az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.

72

A GDPR 9. cikke (1) bekezdésének alkalmazása céljából a személyes adatoknak az online közösségi hálózat üzemeltetője általi kezelése esetén meg kell vizsgálni, hogy ezen adatok utalhatnak‑e az e rendelkezésben említett kategóriák valamelyikébe tartozó információkra, amely információk akár e hálózat valamely felhasználójára, akár bármely más természetes személyre vonatkoznak. Igenlő válasz esetén az ilyen személyesadat‑kezelés – az GDPR 9. cikkének (2) bekezdésében foglalt eltérési lehetőségek mellett – tilos.

73

Amint azt a Bíróság már megállapította, a GDPR 9. cikkének (1) bekezdésében előírt ezen elvi tilalom független attól, hogy a szóban forgó adatkezelés által feltárt információ helyes‑e, és hogy az adatkezelő az e rendelkezésben említett különleges kategóriák valamelyikébe tartozó információk megszerzése érdekében jár‑e el. Figyelembe véve ugyanis az érintettek alapvető jogait és szabadságait érintő azon jelentős kockázatokat, amelyeket a GDPR 9. cikkének (1) bekezdésében említett kategóriákba tartozó személyes adatok bármilyen kezelése idéz elő, a GDPR célja, hogy ezen adatkezeléseket, azok kinyilvánított céljától függetlenül megtiltsa (2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 69. és 70. pont).

74

Mindemellett, bár a 9. cikk (1) bekezdése főszabály szerint tiltja többek között a szexuális irányultsággal kapcsolatos adatok kezelését, az említett cikk (2) bekezdésének a)–j) pontja tíz eltérést ír elő, amelyek egymástól függetlenek, és amelyeket ezért önállóan kell értékelni. Ebből következően az, hogy a (2) bekezdésben előírt eltérések valamelyikének alkalmazási feltételei nem teljesülnek, nem képezheti akadályát annak, hogy az adatkezelő az e rendelkezésben említett valamely más eltérésre hivatkozhasson (2023. december 21‑iKrankenversicherung Nordrhein ítélet, C‑667/21, EU:C:2023:1022, 47. pont).

75

A GDPR 9. cikke (2) bekezdésének e) pontjában előírt eltéréssel kapcsolatban emlékeztetni kell arra, hogy e rendelkezés értelmében a személyes adatok különleges kategóriáinak kezelésére vonatkozó, az említett 9. cikk (1) bekezdésében foglalt elvi tilalom nem alkalmazandó abban az esetben, ha az adatkezelés olyan személyes adatokra vonatkozik, amelyeket „az érintett kifejezetten nyilvánosságra hozott”.

76

A GDPR 9. cikkének (2) bekezdését, mivel az a személyes adatok különleges kategóriáinak kezelésére vonatkozó, főszabályszerű tilalom alóli kivételt ír elő, megszorítóan kell értelmezni (lásd ebben az értelemben: 2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 76. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

77

Ebből következik, hogy a GDPR 9. cikke (2) bekezdésének e) pontjában előírt kivétel alkalmazása céljából meg kell vizsgálni, hogy az érintett személy kifejezetten és félreérthetetlenül kifejező cselekedet útján kívánta‑e a nyilvánosság számára hozzáférhetővé tenni a szóban forgó személyes adatokat (2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 77. pont).

78

A jelen ügyben az előzetes döntéshozatalra utaló határozatból kitűnik, hogy a 2019. február 12‑én Bécsben szervezett pódiumbeszélgetés, amelyen M. Schrems szexuális irányultságáról nyilatkozott, a nyilvánosság számára hozzáférhető volt, a rendelkezésre álló helyek függvényében bárki jegyet kaphatott rá, és streamingen is elérhető volt. Az arról készült felvételt továbbá ezt követően podcast formájában, valamint a Bizottság Youtube‑csatornáján tették közzé.

79

E körülmények között, a nemzeti bíróság által elvégzendő vizsgálatra is figyelemmel, nem zárható ki, hogy ez a nyilatkozat – noha egy szélesebb körű diskurzus részét képezte, és kizárólag a Facebook általi személyesadat‑kezelés kritizálása volt a célja – olyan cselekménynek minősül, amellyel az érintett a tények teljes ismeretében, a GDPR 9. cikke (2) bekezdésének e) pontja értelmében kifejezetten nyilvánosságra hozta szexuális irányultságát.

80

Másodszor, noha az a tény, hogy az érintett kifejezetten nyilvánosságra hozott egy, a szexuális irányultságára vonatkozó adatot, azzal a következménnyel jár, hogy ez az adat a GDPR 9. cikkének (1) bekezdésében foglalt tilalomtól eltérve és a rendelet egyéb rendelkezéseiből eredő követelményekkel összhangban kezelhető (lásd ebben az értelemben: 2019. szeptember 24‑iGC és társai [Különleges adatokra mutató linkek törlése] ítélet, C‑136/17, EU:C:2019:773, 64. pont), e körülmény önmagában – a Meta Platforms Ireland állításával ellentétben – nem teszi lehetővé az adott személy szexuális irányultságával kapcsolatos más személyes adatok kezelését.

81

Így egyrészt ellentétes lenne a GDPR 9. cikke (2) bekezdése e) pontjának megszorító értelmezésével, ha úgy tekintenénk, hogy az adott személy szexuális irányultságára vonatkozó összes adat mentesül az e cikk (1) bekezdéséből eredő védelem alól pusztán amiatt, hogy az érintett személy kifejezetten nyilvánosságra hozott egy, a szexuális irányultságával kapcsolatos személyes adatot.

82

Másrészt az alapján, hogy valamely személy kifejezetten nyilvánosságra hozott egy, a szexuális irányultságára vonatkozó adatot, nem állapítható meg, hogy ez a személy a GDPR 9. cikke (2) bekezdésének a) pontja értelmében hozzájárulását adta ahhoz, hogy az online közösségi hálózati platform üzemeltetője a szexuális irányultságára vonatkozó más adatokat kezeljen.

83

A fentiekre tekintettel a negyedik kérdésre azt a választ kell adni, hogy a GDPR 9. cikke (2) bekezdésének e) pontját úgy kell értelmezni, hogy az a körülmény, hogy egy adott személy egy nyilvános pódiumbeszélgetésen a szexuális irányultságáról beszélt, nem hatalmazza fel az online közösségi hálózati platform üzemeltetőjét arra, hogy az illető szexuális irányultságára vonatkozó egyéb olyan adatokat kezeljen, amelyeket adott esetben e platformon kívül, harmadik személy partnerek alkalmazásaiból és weboldalairól szerez be az adatok összesítése és elemzése céljából annak érdekében, hogy személyre szabott hirdetéseket kínáljon számára.

84

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (negyedik tanács) a következőképpen határozott: