62019CJ0645[1]
A Bíróság ítélete (nagytanács), 2021. június 15. Facebook Ireland Limited és társai kontra Gegevensbeschermingsautoriteit. A Hof van beroep te Brussel (Belgium) által benyújtott előzetes döntéshozatal iránti kérelem. Előzetes döntéshozatal - A természetes személyek védelme a személyes adatok kezelése vonatkozásában - Az Európai Unió Alapjogi Chartája - 7., 8. és 47. cikk - (EU) 2016/679 rendelet - A személyes adatok határokon átnyúló kezelése - »Egyablakos ügyintézési« mechanizmus - A felügyeleti hatóságok közötti lojális és hatékony együttműködés - Illetékesség és hatáskörök - Bírósági eljárás kezdeményezésére vonatkozó hatáskör. C-645/19. sz. ügy.
A BÍRÓSÁG ÍTÉLETE (nagytanács)
2021. június 15. ( *1 ) ( i )
"Előzetes döntéshozatal - A természetes személyek védelme a személyes adatok kezelése vonatkozásában - Az Európai Unió Alapjogi Chartája - 7., 8. és 47. cikk - (EU) 2016/679 rendelet - A személyes adatok határokon átnyúló kezelése - »Egyablakos ügyintézési« mechanizmus - A felügyeleti hatóságok közötti lojális és hatékony együttműködés - Illetékesség és hatáskörök - Bírósági eljárás kezdeményezésére vonatkozó hatáskör"
A C-645/19. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a hof van beroep te Brussel (brüsszeli fellebbviteli bíróság, Belgium) a Bírósághoz 2019. augusztus 30-án érkezett, 2019. május 8-i határozatával terjesztett elő
a Facebook Ireland Ltd,
a Facebook Inc.,
a Facebook Belgium BVBA
és
a Gegevensbeschermingsautoriteit
között folyamatban lévő eljárásban,
A BÍRÓSÁG (nagytanács),
tagjai: K. Lenaerts elnök, R. Silva de Lapuerta elnökhelyettes, A. Arabadjiev, A. Prechal, M. Vilaras, M. Ilešič és N. Wahl tanácselnökök, Juhász E., D. Šváby, S. Rodin, F. Biltgen, K. Jürimäe, C. Lycourgos, P. G. Xuereb és L. S. Rossi (előadó) bírák,
főtanácsnok: M. Bobek,
hivatalvezető: M. Ferreira főtanácsos,
tekintettel az írásbeli szakaszra és a 2020. október 5-i tárgyalásra,
figyelembe véve a következők által előterjesztett észrevételeket:
- a Facebook Ireland Ltd, a Facebook Inc. és a Facebook Belgium BVBA képviseletében S. Raes, P. Lefebvre és D. Van Liedekerke advocaten,
- a Gegevensbeschermingsautoriteit képviseletében F. Debusseré és R. Roex advocaten,
- a belga kormány képviseletében J.-C. Halleux, P. Cottin és C. Pochet, meghatalmazotti minőségben, segítőjük: P. Paepe advocaat,
- a cseh kormány képviseletében M. Smolek, O. Serdula és J. Vláčil, meghatalmazotti minőségben,
- az olasz kormány képviseletében G. Palmieri, meghatalmazotti minőségben, segítője: R. Natale avvocato dello Stato,
- a lengyel kormány képviseletében B. Majczyna, meghatalmazotti minőségben,
- a portugál kormány képviseletében L. Inez Fernandes, A. C. Guerra, P. Barros da Costa és L. Medeiros, meghatalmazotti minőségben,
- a finn kormány képviseletében A. Laine és M. Pere, meghatalmazotti minőségben,
- az Európai Bizottság képviseletében H. Kranenborg, D. Nardi és P. J. O. Van Nuffel, meghatalmazotti minőségben,
a főtanácsnok indítványának a 2021. január 13-i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2021. L 74., 35. o.) 55. cikke (1) bekezdésének, 56-58. és 60-66. cikkének az Európai Unió Alapjogi Chartájának (a továbbiakban: Charta) 7., 8. és 47. cikkével összefüggésben történő értelmezésére vonatkozik.
2 Ezt a kérelmet az egyrészről a Facebook Ireland Ltd, a Facebook Inc. és a Facebook Belgium BVBA, másrészről pedig a Commissie ter bescherming van de persoonlijke levenssfeer (a magánélet védelméért felelős bizottság, Belgium; a továbbiakban: CBPL) helyébe lépő Gegevensbeschermingsautoriteit (adatvédelmi hatóság, Belgium; a továbbiakban: GBA) között folyamatban lévő azon jogvita keretében terjesztették elő, amelynek tárgya a CBPL elnöke által indított és arra irányuló kereset, hogy hagyják abba az internethasználók személyes adatainak a Facebook online közösségi hálózat által sütik (cookies), közösségi média beépülő modulok (social plug-ins) és képpontok (pixels) útján Belgium területén történő kezelését.
Jogi háttér
Az uniós jog
3 A 2016/679 rendelet (1), (4), (10), (11), (13), (22), (123), (141) és (145) preambulumbekezdése a következőket mondja ki: [...] [...] [...] [...] [...] [...] [...]
"(1) A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. [A Charta] 8. cikkének (1) bekezdése és az [EUMSZ 16. cikk] (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.
(4) A személyes adatok kezelését az emberiség szolgálatába kell állítani. A személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban, a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyensúlyban más alapvető jogokkal. Ez a rendelet minden alapvető jogot tiszteletben tart, és szem előtt tartja a Chartában elismert és a Szerződésekben rögzített szabadságokat és elveket, különösen ami a magán- és a családi élet, az otthon és a kapcsolattartás tiszteletben tartásához és a személyes adatok védelméhez, a gondolat-, a lelkiismeret- és a vallásszabadsághoz, a véleménynyilvánítás szabadságához és a tájékozódás szabadságához, a vállalkozás szabadságához, a hatékony jogorvoslathoz és a tisztességes eljáráshoz, és a kulturális, vallási és nyelvi sokféleséghez való jogot illeti.
(10) A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok [Európai] Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. [...]
(11) Ahhoz, hogy a személyes adatok az Unió egész területén hatékony védelemben részesüljenek, az érintettek jogait, valamint a személyes adatokat kezelő, illetve az adatkezelést meghatározó személyek kötelezettségeit megerősíteni és részletesen meghatározni szükséges, ugyanakkor pedig az egyes tagállamokban a személyes adatok védelmére vonatkozó szabályok betartásának ellenőrzéséhez és biztosításához egyenértékű hatáskört is biztosítani szükséges, és a jogsértőkre azonos szankciókat kell alkalmazni.
(13) A természetes személyek egységes, uniós-szintű védelmének biztosítása, valamint a személyes adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése érdekében rendelettel kell biztosítani a jogbiztonságot és az áttekinthetőséget valamennyi tagállam gazdasági szereplői részére - beleértve a mikro-, kis- és középvállalkozásokat is -, továbbá rendelettel kell biztosítani a természetes személyek részére minden tagállamban azonos szintű, jogi úton érvényesíthető jogokat és kötelezettségeket, az adatkezelők és adatfeldolgozók számára azonos felelősséget, a személyes adatok kezelésének következetes nyomon követését, valamennyi tagállamban azonos szankciók alkalmazását, és a különböző tagállamok felügyeleti hatóságai közötti hatékony együttműködést. [...]
(22) Az adatkezelő vagy adatfeldolgozó a tevékenységi helyén folytatott működése során, az Unió területén végzett bármely személyesadat-kezelést e rendelettel összhangban kell végezni, tekintet nélkül arra, hogy maga az adatkezelés az Unió területén történik-e. A tevékenységi hely valamely tevékenység tényleges és valós, tartós jelleget biztosító keretek közötti gyakorlását feltételezi. E keretek jogi formája - legyen szó akár fióktelepről vagy jogi személyiséggel rendelkező leányvállalatról - e tekintetben nem meghatározó tényező.
(123) A felügyeleti hatóságok annak érdekében, hogy védjék a természetes személyek személyes adatainak kezelését, valamint biztosítsák a személyes adatok belső piacon belüli szabad áramlását, figyelemmel kísérik az e rendelet szerinti rendelkezések alkalmazását, és hozzájárulnak azoknak az Unió egész területén történő egységes alkalmazásához. E célból a felügyeleti hatóságok együttműködnek egymással és a Bizottsággal, anélkül, hogy a kölcsönös segítségnyújtásról vagy erről az együttműködésről szükséges lenne a tagállamoknak megállapodniuk.
(141) Minden érintett jogosult arra, hogy panaszt tegyen egy - különösen a szokásos tartózkodási helye szerinti tagállambeli - felügyeleti hatóságnál, és a Charta 47. cikkével összhangban hatékony bírósági jogorvoslattal éljen, ha az úgy ítéli meg, hogy az e rendelet alapján elfogadott rendelkezések értelmében őt megillető jogokat megsértették, vagy ha a felügyeleti hatóság nem jár el valamely panasza alapján, illetve részben vagy egészben elutasítja vagy megalapozatlannak tekinti a panaszát, vagy nem jár el olyan esetben, amikor fellépése az érintett jogainak védelmében szükséges lenne.. [...]
(145) Az adatkezelő vagy adatfeldolgozó elleni eljárást illetően a felperes számára lehetővé kell tenni, hogy eldöntse, hogy az eljárást annak a tagállamnak a bírósága előtt indítja-e meg, ahol az adatkezelő vagy adatfeldolgozó tevékenységi hellyel rendelkezik, vagy pedig az érintett tartózkodási helye szerinti tagállam bírósága előtt, kivéve, ha az adatkezelő valamely tagállam közhatalmi jogosítványait gyakorolva eljáró közhatalmi szervének minősül."
4 E rendelet "Területi hatály" című 3. cikkének (1) bekezdése a következőképpen rendelkezik:
"E rendeletet kell alkalmazni a személyes adatoknak az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett kezelésére, függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem."
5 Az említett rendelet 4. cikkének 16. pontja a következőképpen határozza meg a "tevékenységi központ" fogalmát, a 23. pontja pedig a "személyes adatok határokon átnyúló adatkezelése" fogalmát: "16) »tevékenységi központ« [...] 23) »személyes adatok határokon átnyúló adatkezelése«
a) az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni;
b) az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak;
a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket".
6 Ugyanezen rendelet "Felügyeleti hatóság" című 51. cikke a következőképpen rendelkezik:
"(1) A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam előírja, hogy e rendelet alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv [...] felel.
(2) Minden felügyeleti hatóság elősegíti e rendeletnek az Unió egész területén történő egységes alkalmazását. A felügyeleti hatóságok e célból együttműködnek egymással és a Bizottsággal, a VII. fejezettel összhangban.
[...]"
7 A 2016/679 rendelet "Illetékesség" című 55. cikke, amely e rendelet "Független felügyeleti hatóságok" című VI. fejezetében található, az (1) bekezdésében a következőképpen rendelkezik:
"(1) A felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.
(2) Ha az adatkezelést a 6. cikk (1) bekezdésének c) vagy e) pontja alapján eljáró közhatalmi szervek vagy magánfél szervezetek végzik, az érintett tagállam felügyeleti hatósága az illetékes. Ezekben az esetekben az 56. cikk nem alkalmazandó."
8 Az említett rendeletnek "A fő felügyeleti hatóság illetékessége" című 56. cikke a következőket mondja ki:
"(1) Az 55. cikk sérelme nélkül, az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye szerinti felügyeleti hatóság jogosult fő felügyeleti hatóságként eljárni az említett adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében, a 60. cikk szerinti eljárással összhangban.
(2) Az (1) bekezdéstől eltérve, minden felügyeleti hatóság jogosult a hozzá benyújtott panaszok kezelésére, illetve jogosult e rendelet esetleges megsértése esetén eljárni, ha az ügy tárgya kizárólag egy, a tagállamában található tevékenységi helyet érint, vagy ha kizárólag a tagállamában érint jelentős mértékben érintetteket.
(3) Az e cikk (2) bekezdésében említett esetekben a felügyeleti hatóság haladéktalanul tájékoztatja az ügyről a fő felügyeleti hatóságot. A fő felügyeleti hatóság a tájékoztatását követő három héten belül dönt arról, hogy a 60. cikkben foglalt eljárással összhangban eljár-e az ügyben, figyelembe véve azt, hogy az adatkezelő vagy az adatfeldolgozó rendelkezik-e tevékenységi hellyel abban a tagállamban, amelynek a felügyeleti hatósága a fő felügyeleti hatóságot tájékoztatta.
(4) Ha a fő felügyeleti hatóság úgy határoz, hogy eljár az ügyben, a 60. cikkben meghatározott eljárást kell alkalmazni. A fő felügyeleti hatóságot tájékoztató felügyeleti hatóság döntéstervezetet nyújthat be a fő felügyeleti hatóságnak. A fő felügyeleti hatóság a 60. cikk (3) bekezdésében említett döntéstervezet elkészítése során a lehető legnagyobb mértékben figyelembe veszi az említett tervezetet.
(5) Abban az esetben, ha a fő felügyeleti hatóság úgy határoz, hogy nem jár el az ügyben, a fő felügyeleti hatóságot tájékoztató felügyeleti hatóság jár el a 61. és a 62. cikknek megfelelően.
(6) A fő felügyeleti hatóság az adatkezelő vagy adatfeldolgozó egyetlen kapcsolattartója az általuk végzett, határokon átnyúló adatkezeléssel kapcsolatban."
9 A 2016/679 rendelet "Feladatok" címet viselő 57. cikkének (1) bekezdése a következőket írja elő: "(1) Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, a felügyeleti hatóság a saját területén ellátja a következő feladatokat: [...] [...]"
a) nyomon követi és kikényszeríti e rendelet alkalmazását;
g) együttműködik más felügyeleti hatóságokkal, ideértve az információcserét és a kölcsönös segítségnyújtást is, e rendelet egységes alkalmazásának és érvényesítésének biztosítása érdekében;
10 Ugyanezen rendelet "Hatáskörök" című 58. cikke (1), (4) és (5) bekezdésében a következőket írja elő: "(1) A felügyeleti hatóság vizsgálati hatáskörében eljárva: [...] [...] (4) Az e cikk alapján a felügyeleti hatóságra ruházott hatáskörök gyakorlására megfelelő garanciák mellett kerülhet sor, ideértve az uniós és a tagállami jogban a Chartával összhangban meghatározott hatékony bírósági jogorvoslatot és tisztességes eljárást is. (5) A tagállamok jogszabályban előírják, hogy a felügyeleti hatóságuk hatáskörrel rendelkezik arra, hogy e rendelet megsértéséről tájékoztassa az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzen vagy abban más módon részt vegyen e rendelet rendelkezéseinek érvényre juttatása érdekében."
a) utasítja az adatkezelőt és az adatfeldolgozót, illetve adott esetben az adatkezelő vagy az adatfeldolgozó képviselőjét, hogy számára a feladatai elvégzéséhez szükséges tájékoztatást megadja;
d) értesíti az adatkezelőt vagy az adatfeldolgozót e rendelet feltételezett megsértéséről;
11 A 2016/679 rendelet "Együttműködés és egységesség" című VII. fejezetében található "Együttműködés" című I. szakasz tartalmazza e rendelet 60-62. cikkét. Az "Együttműködés a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság között" című 60. cikk a következőképpen rendelkezik:
"(1) A fő felügyeleti hatóság e cikknek megfelelően, konszenzusra törekedve együttműködik a többi érintett felügyeleti hatósággal. A fő felügyeleti hatóság és az érintett felügyeleti hatóságok minden releváns információt kicserélnek egymással.
(2) A fő felügyeleti hatóság bármikor kérheti más érintett felügyeleti hatóságoktól a 61. cikk szerinti kölcsönös segítségnyújtást és végezhet a 62. cikk szerinti közös műveleteket, különösen olyan vizsgálatok lefolytatása vagy olyan intézkedések végrehajtásának nyomon követése céljából, amelyek valamely másik tagállamban tevékenységi hellyel rendelkező adatkezelővel, illetve adatfeldolgozóval kapcsolatosak.
(3) A fő felügyeleti hatóság késedelem nélkül közli a többi érintett felügyeleti hatósággal az üggyel kapcsolatos releváns információkat. A döntés tervezetét haladéktalanul benyújtja a többi érintett felügyeleti hatóságnak, hogy azok véleményezhessék, és véleményüket kellően figyelembe veszi.
(4) Ha a többi érintett felügyeleti hatóság valamelyike az e cikk (3) bekezdése szerinti konzultációt követő négy héten belül releváns és megalapozott kifogást emel a döntéstervezettel szemben, a fő felügyeleti hatóság, ha nem ért egyet a releváns és megalapozott kifogással, vagy azt nem találja relevánsnak vagy megalapozottnak, az ügyet a 63. cikkben említett, egységességi mechanizmus keretében kezeli.
(5) Ha a fő felügyeleti hatóság helyt kíván adni a releváns és megalapozott kifogásnak, módosított döntéstervezetet nyújt be a többi érintett felügyeleti hatóságnak, hogy azok véleményezhessék. A módosított döntéstervezet tekintetében két héten belül kell lefolytatni a (4) bekezdésben említett eljárást.
(6) Ha a (4), illetve az (5) bekezdésben említett határidőn belül a többi érintett felügyeleti hatóság egyike sem emel kifogást a fő felügyeleti hatóság által benyújtott döntéstervezettel szemben, úgy kell tekinteni, hogy a fő felügyeleti hatóság és az érintett felügyeleti hatóságok egyetértenek a döntéstervezettel és az rájuk nézve kötelező.
(7) A fő felügyeleti hatóság elfogadja a döntését és közli azt az adatkezelő, vagy adott esetben az adatfeldolgozó tevékenységi központjával vagy egyetlen tevékenységi helyével, továbbá a releváns tények és indokok összefoglalásával tájékoztatja a szóban forgó döntésről a többi érintett felügyeleti hatóságot és a Testületet. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, tájékoztatja a panaszost a döntésről.
(8) Amennyiben a panaszt visszautasították vagy elutasították, a (7) bekezdéstől eltérve az a felügyeleti hatóság fogadja el a döntést, közli a panaszossal, és tájékoztatja az adatkezelőt, amelyhez a panaszt benyújtották.
(9) Ha a fő felügyeleti hatóság és az érintett felügyeleti hatóságok egyetértenek abban, hogy a panasz egyes részeit visszautasítják vagy elutasítják, más részeivel kapcsolatban viszont eljárnak, külön döntést fogadnak el az ügy minden ilyen részére vonatkozóan. [...]
(10) Az adatkezelő, illetve az adatfeldolgozó, miután a (7) vagy a (9) bekezdésnek megfelelően közölték vele a fő felügyeleti hatóság döntését, megteszi a szükséges intézkedéseket annak érdekében, hogy az adatkezelési tevékenységek az Unióban lévő minden tevékenységi helyén megfeleljenek a döntésben foglaltaknak. Az adatkezelő, illetve az adatfeldolgozó közli a fő felügyeleti hatósággal a döntésnek való megfelelés érdekében tett intézkedéseket, ezt követően a fő felügyeleti hatóság tájékoztatja a többi érintett felügyeleti hatóságot.
(11) Ha egy érintett felügyeleti hatóság rendkívüli körülmények fennállása esetén megalapozottan úgy véli, hogy az érintettek érdekeinek védelme érdekében sürgős fellépésre van szükség, a 66. cikkben említett sürgősségi eljárást kell alkalmazni.
[...]"
12 Az említett rendelet "Kölcsönös segítségnyújtás" című 61. cikke (1) bekezdésében a következőket mondja ki:
"A felügyeleti hatóságok e rendelet egységes végrehajtása és alkalmazása érdekében megosztják egymással a releváns információkat, és kölcsönösen segítséget nyújtanak egymásnak, valamint a hatékony együttműködést célzó intézkedéseket tesznek. A kölcsönös segítségnyújtás különösen információkérésekre és felügyeleti intézkedésekre, például az előzetes engedélyezés és egyeztetés, az ellenőrzés és a vizsgálat lefolytatása iránti megkeresésekre terjed ki."
13 Ugyanezen rendeletnek "A felügyeleti hatóságok közös műveletei" című 62. cikke a következőket írja elő:
"(1) A felügyeleti hatóságok adott esetben közös műveleteket hajtanak végre, ideértve a közös vizsgálatokat és a közös végrehajtási intézkedéseket is, amelyekben más tagállamok felügyeleti hatóságainak tagjai vagy alkalmazottai is részt vesznek.
(2) Ha az adatkezelő vagy az adatfeldolgozó több tagállamban is rendelkezik tevékenységi hellyel, vagy ha az adatkezelési műveletek több tagállamban is valószínűsíthetően jelentős mértékben érintenek nagyszámú érintettet, az összes szóban forgó tagállam felügyeleti hatósága jogosult részt venni a közös műveletekben. [...]
[...]"
14 A 2016/679 rendelet VII. fejezetének az "Egységesség" című 2. szakasza tartalmazza e rendelet 63-67. cikkét. "Az egységességi mechanizmus" című 63. cikk szövege a következő:
"Az e rendeletnek az Unió egész területén történő egységes alkalmazásához való hozzájárulás érdekében a felügyeleti hatóságok együttműködnek egymással és adott esetben a Bizottsággal az e szakaszban meghatározott egységességi mechanizmus útján."
15 A fenti rendelet 64. cikkének (2) bekezdése szerint:
"Bármely felügyeleti hatóság, [az Európai Adatvédelmi] Testület elnöke vagy a Bizottság kérheti, hogy [az Európai Adatvédelmi] Testület vizsgáljon meg egy általános érvényű vagy egynél több tagállamban hatással bíró ügyet, és bocsásson ki róla véleményt, különösen, ha valamely illetékes felügyeleti hatóság nem teljesíti a 61. cikk szerinti kölcsönös segítségnyújtás vagy a 62. cikk szerinti közös műveletek tekintetében fennálló kötelezettségeit."
16 Ugyanezen rendeletnek "A Testület vitarendezési eljárása" című 65. cikke (1) bekezdésében a következőket írja elő: "Annak érdekében, hogy az egyes esetekben biztosított legyen e rendelet helyes és egységes alkalmazása, [az Európai Adatvédelmi] Testület kötelező erejű döntést fogad el az alábbi esetekben: [...]"
a) ha a 60. cikk (4) bekezdésében említett esetben valamely érintett felügyeleti hatóság releváns és megalapozott kifogást emelt a fő felügyeleti hatóság döntéstervezetével szemben, vagy ha a fő felügyeleti hatóság elutasított egy ilyen kifogást arra hivatkozva, hogy az nem releváns vagy nem megalapozott. A kötelező erejű döntésnek ki kell terjednie a releváns és megalapozott kifogásban szereplő összes kérdésre, különösen arra, hogy a rendelet sérült-e;
b) ha eltérnek az álláspontok azt illetően, hogy az érintett felügyeleti hatóságok közül melyik illetékes a tevékenységi központ tekintetében;
17 A 2016/679 rendelet "Sürgősségi eljárás" című 66. cikkének (1) és (2) bekezdése a következőképpen rendelkezik:
"(1) Ha egy érintett felügyeleti hatóság rendkívüli körülmények fennállása esetén, úgy véli, hogy az érintettek jogainak és szabadságainak védelme érdekében sürgős fellépésre van szükség, akkor a 63., 64. és 65. cikkben említett egységességi mechanizmustól, illetve a 60. cikkben említett eljárástól eltérve haladéktalanul legfeljebb három hónapra szóló meghatározott érvényességi idejű ideiglenes intézkedéseket fogadhat el abból a célból, hogy saját tagállama területén joghatást váltson ki. A felügyeleti hatóság haladéktalanul közli az ilyen intézkedéseket és elfogadásuk indokait a többi érintett felügyeleti hatósággal, [az Európai Adatvédelmi] Testülettel és a Bizottsággal.
(2) Ha egy felügyeleti hatóság az (1) bekezdés szerinti intézkedést hozott, és úgy véli, hogy végleges intézkedések sürgős elfogadására van szükség, kérését megindokolva kérheti [az Európai Adatvédelmi] Testületet, hogy sürgősségi eljárás keretében bocsásson ki véleményt vagy fogadjon el kötelező erejű döntést."
18 E rendeletnek "A felügyeleti hatóságnál történő panasztételhez való jog" című 77. cikke kimondja:
"(1) Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál - különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban -, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.
(2) Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni."
19 A fenti rendeletnek "A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog" című 78. cikke a következőképpen rendelkezik:
"(1) Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.
(2) Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha az 55. vagy 56. cikk alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a 77. cikk alapján benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.
(3) A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.
(4) Ha a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi mechanizmus keretében [az Európai Adatvédelmi] Testület előzőleg véleményt bocsátott ki vagy döntést hozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnak megküldeni."
20 Ugyanezen rendeletnek "Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog" című 79. cikke kimondja:
"(1) A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok - köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog - sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.
(2) Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve."
A belga jog
21 Az 1998. december 11-i törvénnyel (Belgisch Staatsblad, 1999. február 3., 3049. o.) módosított, 1992. december 8-i wet tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens (a magánéletnek a személyes adatok kezelése tekintetében történő védelméről szóló, 1992. december 8-i törvény; Belgisch Staatsblad, 1993. március 18., 5801. o.; a továbbiakban: 1992. december 8-i törvény) ültette át a belga jogba a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvet (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.).
22 Az 1992. december 8-i törvény létrehozta a CBPL-t, egy olyan független szervezetet, amelynek feladata annak biztosítása, hogy a személyes adatokat e törvénynek megfelelően kezeljék az állampolgárok magánéletének védelme érdekében.
23 Az 1992. december 8-i törvény 32. cikkének (3) bekezdése a következőképpen rendelkezik:
"A rendes bíróságok hatáskörének sérelme nélkül a magánélet védelmére vonatkozó általános elvek alkalmazása érdekében a [CBPL] elnöke az elsőfokú bíróság elé terjesztheti az e törvény és végrehajtási intézkedéseinek alkalmazásával kapcsolatos jogvitákat."
24 A 2017. december 3-i wet tot oprichting van de Gegevensbeschermingsautoriteit (az adatvédelmi hatóság létrehozásáról szóló törvény; Belgisch Staatsblad, 2018. január 10., 989. o.; a továbbiakban: 2017. december 3-i törvény), amely 2018. május 25-én lépett hatályba, a 2016/679 rendelet értelmében vett felügyeleti hatóságként létrehozta a GBA-t.
25 A 2017. december 3-i törvény 3. cikke kimondja:
"A képviselőház mellett működő »Adatvédelmi hatóságot« kell létrehozni. E hatóság a [CBPL] jogutódja."
26 A 2017. december 3-i törvény 6. cikke az alábbiak szerint rendelkezik:
"A [GBA] hatáskörrel rendelkezik arra, hogy tájékoztassa az igazságügyi hatóságokat e törvény és a személyes adatok kezelésének védelmére vonatkozó rendelkezéseket tartalmazó törvények keretein belül a személyes adatok védelme alapvető elveinek megsértéséről, és adott esetben jogi bírósági eljárást kezdeményezzen ezen alapelvek alkalmazása érdekében".
27 A CBPL elnöke által az 1992. december 8-i törvény 32. cikkének (3) bekezdése alapján a 2018. május 25-ig már megindított bírósági eljárásokra semmilyen különös rendelkezés nem vonatkozik. Ami kizárólag magához a GBA-hoz benyújtott panaszokat és kérelmeket illeti, a 2017. december 3-i törvény 112. cikke kimondja:
"A VI. fejezet nem alkalmazandó a jelen törvény hatálybalépésének időpontjában [a GBA] előtt még folyamatban lévő panaszokra és kérelmekre. Az (1) bekezdésben említett panaszokat vagy kérelmeket a [GBA] a [CBPL] jogutódjaként az e törvény hatálybalépését megelőzően alkalmazandó eljárás szerint bírálja el."
28 Az 1992. december 8-i törvényt hatályon kívül helyezte a 2018. július 30-i wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (a személyes adatok kezelése tekintetében az egyének védelméről szóló törvény, Belgisch Staatsblad, 2018. szeptember 5., 68616. o.; a továbbiakban: 2018. július 30-i törvény). Ez utóbbi törvény a 2016/679 rendelet azon rendelkezéseinek a belga jogban való végrehajtására irányul, amelyek előírják vagy lehetővé teszik a tagállamok számára, hogy e rendeletet kiegészítve részletesebb szabályokat fogadjanak el.
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
29 A CBPL elnöke 2015. szeptember 11-én abbahagyásra kötelezés iránti keresetet nyújtott be a Facebook Ireland, a Facebook Inc. és a Facebook Belgium ellen a Nederlandstalige rechtbank van eerste aanleg Brussel (brüsszeli holland nyelvű elsőfokú bíróság, Belgium) előtt. Mivel a CBPL nem rendelkezik jogi személyiséggel, az elnökének kellett keresetet indítania a személyes adatok védelmére vonatkozó jogszabályok érvényesítésének biztosítása érdekében. Ugyanakkor maga a CBPL kérte, hogy beavatkozó félként részt vehessen az elnöke által indított eljárásban.
30 Ennek az abbahagyásra kötelezés iránti kereset arra irányult, hogy megszüntesse azt a helyzetet, amely a CBPL leírása szerint többek között "a magánélet védelmére vonatkozó jogszabályok Facebook általi súlyos és nagy számban történő megsértését" valósítja meg, és amely abban áll, hogy e közösségi hálózat különböző technológiák - például a sütik, közösségi média beépülő modulok (például a "Tetszik" vagy a "Megosztás" gomb) vagy képpontok - révén információkat gyűjt mind a Facebook-fiókok tulajdonosainak, mind pedig a Facebook-szolgáltatásokat igénybe nem vevők szörfölési magatartására vonatkozóan. Ezen elemek lehetővé teszik az érintett közösségi hálózat számára, hogy megszerezze az internetes honlap valamelyik oldalát megtekintő internethasználó bizonyos adatait, amelyek magukban foglalják például ezen oldal címét, az említett oldal látogatójának "IP-címét", valamint a szóban forgó megtekintés dátumát és időpontját.
31 2018. február 16-i ítéletével a Nederlandstalige rechtbank van eerste aanleg Brussel (brüsszeli holland nyelvű elsőfokú bíróság) megállapította illetékességét az említett jogsértés megszüntetésére irányuló kereset elbírálására, amennyiben az a Facebook Irelandre, a Facebook Inc.-re és a Facebook Belgiumra vonatkozik, és elfogadhatatlannak nyilvánította a CBPL által előterjesztett, önkéntes beavatkozás iránti kérelmet.
32 Érdemben e bíróság úgy ítélte meg, hogy a szóban forgó közösségi hálózat nem tájékoztatta kellőképpen a belga internethasználókat az érintett információk gyűjtéséről és ezen információk felhasználásáról. Egyébiránt az internethasználók által az említett információk gyűjtéséhez és kezeléséhez adott hozzájárulást érvénytelennek nyilvánította. Ennélfogva arra kötelezte a Facebook Irelandet, a Facebook Inc.-t és a Facebook Belgiumot, hogy először is a Belgium területén letelepedett valamennyi internethasználó vonatkozásában hagyjon fel azzal, hogy a beleegyezésük nélkül olyan sütiket alkalmaz, amelyek két évig aktívak maradnak azokon az eszközökön, amelyeket akkor használnak, amikor a Facebook.com domén alá tartozó internetes oldalakon szörfölnek vagy amikor harmadik fél honlapjára jutnak, valamint hagyjon fel azzal, hogy sütiket helyez el és közösségi média beépülő modulok, képpontok vagy hasonló technológiai eszközök révén a Facebook közösségi hálózat által ily módon követett célokra tekintettel túlzott mértékben gyűjt adatokat; másodszor szolgáltasson olyan információkat, amelyekről észszerűen feltételezhető, hogy az érintett személyeket megtévesztik az e közösségi hálózat által a sütik használata érdekében rendelkezésre bocsátott mechanizmusok valós tartalmát illetően, harmadszor pedig a sütik és közösségi média beépülő modulok révén szerzett valamennyi személyes adatot semmisítse meg.
33 2018. március 2-án a Facebook Ireland, a Facebook Inc. és a Facebook Belgium fellebbezést nyújtott be ezen ítélet ellen a Hof van beroep te Brusselhez (brüsszeli fellebbviteli bíróság, Belgium). E bíróság előtt a GBA a CBPL - az abbahagyásra kötelezés iránti keresetet indító - elnökének, valamint a CBPL-nek a törvényes jogutódjaként jár el.
34 A kérdést előterjesztő bíróság a benyújtott fellebbezésnek kizárólag a Facebook Belgiumot érintő része vonatkozásában állapította meg az illetékességét. Ezzel szemben megállapította, hogy a Facebook Ireland és a Facebook Inc. vonatkozásában nem rendelkezik illetékességgel e fellebbezés elbírálására.
35 Mielőtt az alapeljárás érdemében határozna, a kérdést előterjesztő bíróság arra keresi a választ, hogy a GBA rendelkezik-e a szükséges kereshetőségi joggal és eljáráshoz fűződő érdekkel. A Facebook Belgium szerint a 2018. május 25-ét megelőző tényállás tekintetében a megindított abbahagyásra kötelezés iránti kereset elfogadhatatlan, mivel a 2017. december 3-i törvény és a 2016/679 rendelet hatálybalépését követően hatályon kívül helyezték az 1992. december 8-i törvény 32. cikkének (3) bekezdését, amely az ilyen kereset megindítását lehetővé tévő jogalapot képezte. A 2018. május 25-ét követően fennálló tényállást illetően a Facebook Belgium arra hivatkozik, hogy a GBA - a 2016/679 rendelet rendelkezései alapján immár előírt "egyablakos ügyintézés" mechanizmusra figyelemmel - nem rendelkezik illetékességgel és e kereset vonatkozásában keresetindítási joggal. E rendelkezések alapján ugyanis kizárólag a Data Protection Commissioner (adatvédelmi biztos, Írország) rendelkezik illetékességgel arra, hogy abbahagyásra kötelezés iránti keresetet indítson a Facebook Irelanddel szemben, mivel kizárólag az utóbbi felelős az érintett közösségi hálózat felhasználói személyes adatainak az Unióban történő kezeléséért.
36 A kérdést előterjesztő bíróság úgy ítélte meg, hogy a GBA nem igazolta az abbahagyásra kötelezés iránti kereset megindításához megkövetelt eljáráshoz fűződő érdeket, mivel e kereset 2018. május 25-ét megelőző tényállásra vonatkozik. Az ezen időpontot követő tényállás vonatkozásában azonban a kérdést előterjesztő bíróságnak kétségei vannak a 2016/679 rendelet hatálybalépése és különösen az e rendeletben előírt egyablakos ügyintézési mechanizmus által a GBA illetékességére, valamint az utóbbinak az ilyen abbahagyásra kötelezés iránti kereset megindítására vonatkozó hatáskörére gyakorolt hatást illetően.
37 Közelebbről, a kérdést előterjesztő bíróság szerint ezt követően az a kérdés merül fel, hogy a 2018. május 25-e után felmerülő tények vonatkozásában a GBA eljárhat-e a Facebook Belgiummal szemben, amennyiben a Facebook Irelandet tekintették az érintett adatok adatkezelőjének. Ezen időponttól kezdve és az "egyablakos ügyintézés" elve alapján úgy tűnik, hogy a 2016/679 rendelet 56. cikke értelmében kizárólag az adatvédelmi biztos rendelkezik illetékességgel, amely felett kizárólag az ír bíróságok gyakorolhatnak felülvizsgálatot.
38 A kérdést előterjesztő bíróság emlékeztet arra, hogy a 2018. június 5-iWirtschaftsakademie Schleswig-Holstein ítéletben (C-210/16, EU:C:2018:388) a Bíróság kimondta, hogy a "német felügyeleti hatóság" hatáskörrel rendelkezik arra, hogy személyes adatok védelmével kapcsolatos jogvitában döntsön, jóllehet az érintett adatok adatkezelője Írországban rendelkezik székhellyel, és az utóbbi németországi székhelyű leányvállalata, a Facebook Germany GmbH Németország területén kizárólag hirdetési felületek értékesítésével és egyéb marketingtevékenységekkel foglalkozik.
39 A fenti ítélet alapjául szolgáló ügyben azonban a 2016/679 rendelettel hatályon kívül helyezett 95/46 irányelv rendelkezéseinek értelmezésére vonatkozóan terjesztettek előzetes döntéshozatal iránti kérelmet a Bíróság elé. A kérdést előterjesztő bíróság arra keresi a választ, hogy a Bíróság által a fenti ítéletben adott értelmezés mennyiben releváns továbbra is a 2016/679 rendelet alkalmazása szempontjából.
40 A kérdést előterjesztő bíróság említi továbbá a Bundeskartellamt (szövetségi versenyhatóság, Németország) 2019. február 6-i határozatát (ún. Facebook határozat), amelyben e versenyhatóság lényegében megállapította, hogy az érintett vállalkozás visszaélt a helyzetével azáltal, hogy különböző forrásokból származó adatokat kapcsolt össze, ami immár csak a felhasználók kifejezett hozzájárulásával végezhető, azzal, hogy az a felhasználó, aki ehhez nem járul hozzá, nem zárható ki a Facebook szolgáltatásaiból. A kérdést előterjesztő bíróság rámutat, hogy az említett versenyhatóság nyilvánvalóan az "egyablakos ügyintézés" mechanizmusa ellenére tekintette úgy, hogy illetékességgel rendelkezik.
41 Ezenkívül a kérdést előterjesztő bíróság úgy véli, hogy a 2017. december 3-i törvény 6. cikke, amely főszabály szerint lehetővé teszi, hogy a GBA adott esetben bírósági eljárást kezdeményezzen, nem jelenti azt, hogy az utóbbi keresete mindenképpen a belga bíróságok előtt indítható meg, mivel úgy tűnik, hogy az "egyablakos ügyintézés" mechanizmusa megköveteli, hogy az ilyen keresetet az adatkezelés helye szerinti bíróság előtt indítsák meg.
42 E körülmények között a hof van beroep te Brussel (brüsszeli fellebbviteli bíróság) úgy határozott, hogy felfüggeszti az eljárást, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
"1) Úgy kell-e értelmezni a [2016/679 rendeletnek] a [Charta] 7., 8. és 47. cikkével összefüggésben értelmezett 55.]cikkének [1) bekezdését, 56-58. cikkét és 60-66. cikkét, hogy az a felügyeleti hatóság, amely az e rendelet 58. cikke (5) bekezdésének végrehajtása céljából elfogadott nemzeti jogszabályok szerint e rendelet megsértése esetén jogosult keresetet indítani a tagállamában működő valamely bíróság előtt, e hatáskörét a határokon átnyúló adatkezelés vonatkozásában nem gyakorolhatja, ha e hatóság a határokon átnyúló ezen adatkezelés tekintetében nem minősül fő felügyeleti hatóságnak?
2) Releváns-e ebben a tekintetben az, hogy a határokon átnyúló ezen adatkezelés szempontjából adatkezelőnek minősülő személy vagy szerv tevékenységének központja nem ebben a tagállamban található, azonban az adatkezelő e tagállamban másik tevékenységi hellyel rendelkezik?
3) Releváns-e ebben a tekintetben az, hogy a nemzeti felügyeleti hatóság az ugyanezen határokon átnyúló adatkezelés szempontjából adatkezelőnek minősülő személy tevékenységének központja vagy a saját tagállamában található tevékenységi hely ellen indítja-e a keresetet?
4) Releváns-e ebben a tekintetben az, hogy a nemzeti felügyeleti hatóság a keresetet már [a 2016/679 rendelet] hatálybalépése (2018. május 25.) előtt megindította?
5) Az első kérdésre adandó igenlő válasz esetén: közvetlen hatállyal rendelkezik-e az általános adatvédelmi rendelet 58. cikkének (5) bekezdése, és következésképpen hivatkozhat-e a nemzeti felügyeleti hatóság e rendelkezésre annak érdekében, hogy bírósági eljárást indítson vagy folytasson bizonyos felek ellen még akkor is, ha e rendelet 58. cikkének (5) bekezdését - erre vonatkozó kötelezettség fennállása ellenére - nem hajtották végre a nemzeti jogban?
6) Az előző kérdésekre adandó igenlő válasz esetén: az ilyen eljárások eredménye kizárhatja-e a fő felügyeleti hatóság ellentétes megállapítását, ha ez a fő felügyeleti hatóság az azonos vagy hasonló határokon átnyúló adatkezelési műveleteket az általános adatvédelmi rendelet 56. és 60. cikkében előírt mechanizmus szerint vizsgálja?"
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az első kérdésről
43 Első kérdésével az előterjesztő bíróság lényegében arra keresi a választ, hogy úgy kell-e értelmezni a 2016/679 rendeletnek a Charta 7., 8. és 47. cikkével összefüggésben értelmezett 55. cikkének (1) bekezdését és 56-58. cikkét, valamint 60-66. cikkét, hogy valamely tagállam felügyeleti hatósága, amely az e rendelet 58. cikke (5) bekezdésének végrehajtása céljából elfogadott nemzeti jogszabályok szerint e rendelet bármely állítólagos megsértése esetén jogosult e tagállam bíróságait tájékoztatni és adott esetben keresetet indítani, gyakorolhatja e hatáskörét a határokon átnyúló adatkezelés vonatkozásában, jóllehet e hatóság az ilyen adatkezelés tekintetében nem minősül az említett rendelet 56. cikkének (1) bekezdése értelmében vett "fő felügyeleti hatóságnak".
44 E tekintetben elöljáróban emlékeztetni kell arra, hogy egyrészt a 95/46 irányelvtől eltérően, amelyet az EK-Szerződésnek a közös piac harmonizációjáról szóló 100a. cikke alapján fogadtak el, a 2016/679 rendelet jogalapja az EUMSZ 16. cikk, amely kimondja, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez, és felhatalmazza az Európai Parlamentet és az Európai Unió Tanácsát arra, hogy állapítsa meg a természetes személyeknek az uniós intézmények, szervek és hivatalok által, illetve az uniós jog alkalmazási körébe tartozó tevékenységeik során a személyes adataiknak a tagállamok által végzett feldolgozása tekintetében történő védelmére, valamint az ilyen adatok szabad áramlására vonatkozó szabályokat. Másrészt e rendelet (1) preambulumbekezdése kimondja, hogy "[a] természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog", és emlékeztet arra, hogy a Charta 8. cikkének (1) bekezdése, valamint az EUMSZ 16. cikk (1) bekezdése szerint mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.
45 Következésképpen, amint az a 2016/679 rendelet (10), (11) és (13) preambulumbekezdésével összefüggésben értelmezett 1. cikkének (2) bekezdéséből következik, e rendelet az uniós intézményekre, szervekre és hivatalokra, valamint a tagállamok hatáskörrel rendelkező hatóságaira azt a feladatot rója, hogy biztosítsák az EUMSZ 16. cikkben és a Charta 8. cikkében garantált jogok magas szintű védelmét.
46 Ezenkívül, amint azt e rendelet (4) preambulumbekezdése kimondja, ez a rendelet minden alapvető jogot tiszteletben tart, és szem előtt tartja a Chartában elismert szabadságokat és elveket.
47 A 2016/679 rendelet 55. cikkének (1) bekezdése a fentieket alapul véve állapítja meg, hogy minden egyes felügyeleti hatóság főszabály szerint a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására (lásd ebben az értelemben: 2020. július 16-iFacebook Ireland et Schrems ítélet; C-311/18, EU:C:2020:559, 147. pont).
48 Az e felügyeleti hatóságokra ruházott feladatok között szerepel többek között a 2016/679 rendelet alkalmazásának nyomon követése és kikényszerítése, amit e rendelet 57. cikke (1) bekezdésének a) pontja ír elő, valamint az említett rendelet 57. cikke (1) bekezdésének g) pontjában előírt azon feladat, hogy együttműködjenek más felügyeleti hatóságokkal, ideértve az információcserét és a kölcsönös segítségnyújtást is, e rendelet egységes alkalmazásának és érvényesítésének biztosítása érdekében. Az említett felügyeleti hatóságok számára az e feladatok ellátása érdekében biztosított hatáskörök között szerepelnek a 2016/679 rendelet 58. cikkének (1) bekezdésében előírt különböző vizsgálati hatáskörök, valamint az arra vonatkozó, e rendelet 58. cikkének (5) bekezdésében szereplő hatáskör, hogy e rendelet megsértéséről tájékoztassa az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzen a fenti rendelet rendelkezéseinek érvényre juttatása érdekében.
49 E feladatok és jogkörök gyakorlása azonban feltételezi, hogy a felügyeleti hatóság egy meghatározott adatkezelés vonatkozásában illetékességgel rendelkezzen.
50 E tekintetben, a 2016/679 rendelet 55. cikkének (1) bekezdésében foglalt illetékeségi szabály sérelme nélkül e rendelet 56. cikkének (1) bekezdése az említett rendelet 4. cikkének 23. pontja értelmében vett "határokon átnyúló adatkezelések" tekintetében előírja az illetékességnek a "fő felügyeleti hatóság" és a többi érintett felügyeleti hatóság közötti megosztásán alapuló "egyablakos ügyintézési" mechanizmust. E mechanizmus alapján az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye szerinti felügyeleti hatóság jogosult fő felügyeleti hatóságként eljárni az említett adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében, az említett rendelet 60. cikke szerinti eljárással összhangban.
51 Az utóbbi cikk létrehozza a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság közötti együttműködési eljárást. Ezen eljárás keretében a fő felügyeleti hatóságnak többek között konszenzus elérésére kell törekednie. E célból, a 2016/679 rendelet 60. cikkének (3) bekezdésének megfelelően a döntés tervezetét haladéktalanul benyújtja a többi érintett felügyeleti hatóságnak, hogy azok véleményezhessék, és véleményüket kellően figyelembe veszi.
52 Közelebbről a 2016/679 rendelet 56. és 60. cikkéből az következik, hogy a személyes adatok e rendelet 4. cikkének 23. pontja értelmében vett, "határokon átnyúló kezelése" tekintetében - e rendelet 56. cikke (2) bekezdésének sérelme nélkül - a különböző érintett nemzeti felügyeleti hatóságoknak az e rendelkezésekben előírt eljárás szerint együtt kell működniük annak érdekében, hogy konszenzusra jussanak, és az összes ilyen hatóságra kötelező egységes döntést hozzanak, amelyet az adatkezelőnek az Unió területén található valamennyi tevékenységi helyén végzett adatkezelési tevékenység tekintetében tiszteletben kell tartania. Egyébiránt az említett rendelet 61. cikkének (1) bekezdése a felügyelő hatóságokat többek között arra kötelezi, hogy ugyanezen rendeletnek az Unió egészében történő egységes végrehajtása és alkalmazása érdekében osszák meg egymással a releváns információkat, és kölcsönösen nyújtsanak segítséget egymásnak. A 2016/679 rendelet 63. cikke pontosítja, hogy éppen e cél érdekében hozták létre az e rendelet 64. és 65. cikkében szereplő egységességi mechanizmust (2019. szeptember 24-iGoogle [A linkek törlésének területi hatálya] ítélet, C-507/17, EU:C:2019:772, 68. pont).
53 Az "egyablakos ügyintézés" mechanizmusának alkalmazása ezért - amint azt a 2016/679 rendelet (13) preambulumbekezdése megerősíti - megköveteli a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság közötti lojális és hatékony együttműködést. Ennélfogva, amint arra a főtanácsnok az indítványának 111. pontjában rámutatott, a fő felügyeleti hatóság nem hagyhatja figyelmen kívül a többi érintett felügyeleti hatóság álláspontját, és az utóbbi hatóságok egyike által emelt bármely releváns és megalapozott kifogás legalábbis ideiglenesen megakadályozza a fő felügyeleti hatóság döntéstervezetének elfogadását.
54 Így a 2016/679 rendelet 60. cikke (4) bekezdésének megfelelően, ha a többi érintett felügyeleti hatóság valamelyike a konzultációt követő négy héten belül releváns és megalapozott kifogást emel a döntéstervezettel szemben, a fő felügyeleti hatóság, ha nem ért egyet a releváns és megalapozott kifogással, vagy azt nem találja relevánsnak vagy megalapozottnak, az ügyet az e rendelet 63. cikkében említett, egységességi mechanizmus keretében kezeli annak érdekében, hogy az Európai Adatvédelmi Testület e rendelet 65. cikke (1) bekezdésének a) pontja alapján kötelező erejű döntést hozzon.
55 A 2016/679 rendelet 60. cikkének (5) bekezdése szerint ha a fő felügyeleti hatóság ezzel szemben helyt kíván adni a releváns és megalapozott kifogásnak, módosított döntéstervezetet nyújt be a többi érintett felügyeleti hatóságnak, hogy azok véleményezhessék. A módosított döntéstervezet tekintetében két héten belül kell lefolytatni az ugyanezen rendelet 60. cikkének (4) bekezdésében említett eljárást.
56 A fenti rendelet 60. cikke (7) bekezdésének megfelelően főszabály szerint a fő felügyeleti hatóság feladata, hogy az érintett, határokon átnyúló adatkezelés vonatkozásában döntést fogadjon el, és azt közölje az adatkezelő, vagy adott esetben az adatfeldolgozó tevékenységi központjával vagy egyetlen tevékenységi helyével, továbbá a releváns tények és indokok összefoglalásával tájékoztassa a szóban forgó döntésről a többi érintett felügyeleti hatóságot és az Európai Adatvédelmi Testületet.
57 Ennek megállapítását követően hangsúlyozni kell, hogy a 2016/679 rendelet kivételeket ír elő a fő felügyeleti hatóságot az említett rendelet 56. cikkének (1) bekezdésében szabályozott "egyablakos ügyintézési" mechanizmus keretében megillető döntéshozatali jogosultság elve alól.
58 E kivételek között szerepel először is a 2016/679 rendelet 56. cikkének (2) bekezdése, amely előírja, hogy az a felügyeleti hatóság, amely nem minősül fő felügyeleti hatóságnak, jogosult a hozzá benyújtott, a személyes adatok határokon átnyúló kezelésére vonatkozó panaszok kezelésére, illetve jogosult e rendelet esetleges megsértése esetén eljárni, ha az ügy tárgya kizárólag egy, a tagállamában található tevékenységi helyet érint, vagy ha kizárólag a tagállamában érint jelentős mértékben érintetteket.
59 Másodszor, a 2016/679 rendelet 66. cikke - az e rendelet 60. és 63-65. cikkében említett egységességi mechanizmusoktól eltérve -sürgősségi eljárást ír elő. E sürgősségi eljárás lehetővé teszi, hogy ha az érintett felügyeleti hatóság rendkívüli körülmények fennállása esetén úgy véli, hogy az érintettek jogainak és szabadságainak védelme érdekében sürgős fellépésre van szükség, akkor haladéktalanul legfeljebb három hónapra szóló, meghatározott érvényességi idejű ideiglenes intézkedéseket fogadhat el abból a célból, hogy saját tagállama területén joghatást váltson ki, a 2016/679 rendelet 66. cikkének (2) bekezdése pedig ezenfelül előírja, hogy ha egy felügyeleti hatóság az (1) bekezdés szerinti intézkedést hozott, és úgy véli, hogy végleges intézkedések sürgős elfogadására van szükség, kérését megindokolva kérheti az Európai Adatvédelmi Testületet, hogy sürgősségi eljárás keretében bocsásson ki véleményt vagy fogadjon el kötelező erejű döntést.
60 A felügyeleti hatóságoknak e hatáskörüket azonban a fő felügyeleti hatósággal való lojális és hatékony együttműködés tiszteletben tartásával kell gyakorolniuk a 2016/679 rendelet 56. cikkének (3)-(5) bekezdésében előírt eljárásnak megfelelően. Ebben az esetben ugyanis e rendelet 56. cikkének (3) bekezdése alkalmazásával az érintett felügyeleti hatóságnak haladéktalanul tájékoztatnia kell a fő felügyeleti hatóságot, amely a tájékoztatását követő három héten belül dönt arról, hogy eljár-e az ügyben.
61 Márpedig a 2016/679 rendelet 56. cikkének (4) bekezdése értelmében, ha a fő felügyeleti hatóság úgy dönt, hogy eljár az ügyben, az e rendelet 60. cikkében előírt együttműködési eljárást kell alkalmazni. Ennek keretében a fő felügyeleti hatóságot értesítő felügyeleti hatóság döntéstervezetet nyújthat be a fő felügyeleti hatóságnak, és az utóbbinak az említett rendelet 60. cikkének (3) bekezdésében említett döntéstervezet elkészítése során a lehető legnagyobb mértékben figyelembe kell vennie az említett tervezetet.
62 Ezzel szemben, a 2016/679 rendelet 56. cikkének (5) bekezdése alapján, ha a fő felügyeleti hatóság úgy határoz, hogy nem jár el az ügyben, a fő felügyeleti hatóságot tájékoztató felügyeleti hatóság jár el e rendelet 61. és a 62. cikkének megfelelően, amelyek a közös műveletek keretében előírják a felügyeleti hatóságok számára a kölcsönös segítségnyújtásra és együttműködésre vonatkozó szabályok betartását az érintett hatóságok közötti hatékony együttműködés biztosítása érdekében.
63 A fentiekből az következik, hogy egyrészt a személyes adatok határokon átnyúló kezelése területén a fő felügyeleti hatóság olyan határozat elfogadására vonatkozó jogosultsága, amely megállapítja, hogy az ilyen adatkezelés sérti a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével kapcsolatban a 2016/679 rendeletben foglalt szabályokat, jelenti a főszabályt, míg a többi érintett felügyeleti hatóság ilyen határozat elfogadására vonatkozó, akár csak ideiglenesen fennálló jogosultsága, kivételt képez. Másrészt, bár a fő felügyeleti hatóság főszabály szerinti illetékességét megerősíti a 2016/679 rendelet 56. cikkének (6) bekezdése, amelynek értelmében a fő felügyeleti hatóság az adatkezelő vagy az adatfeldolgozó "egyetlen kapcsolattartója" az ezen adatkezelő vagy adatfeldolgozó által végzett határokon átnyúló adatkezeléssel kapcsolatban, e hatóságnak e jogosultságot a többi érintett felügyeleti hatósággal való szoros együttműködés keretében kell gyakorolnia. Közelebbről, a fő felügyeleti hatóság a hatáskörének gyakorlása során - amint az a jelen ítélet 53. pontjában megállapításra került - nem mentesülhet a többi érintett felügyeleti hatósággal folytatott elengedhetetlen párbeszéd, valamint a többi érintett felügyeleti hatósággal való lojális és hatékony együttműködés kötelezettsége alól.
64 E tekintetben a 2016/679 rendelet (10) preambulumbekezdéséből kitűnik, hogy e rendelet célja többek között a természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazásának az Unió egész területén történő biztosítása és a személyes adatok Unión belüli áramlása előtti akadályok elhárítása.
65 Márpedig az ilyen célkitűzést, akárcsak az "egyablakos ügyintézés" mechanizmus hatékony érvényesülését, meghiúsíthatja, ha az a felügyeleti hatóság, amely a határokon átnyúló adatkezelés vonatkozásában nem minősül fő felügyeleti hatóságnak, a 2016/679 rendelet 58. cikkének (5) bekezdésében szereplő hatáskört azon eseteken kívül gyakorolhatja, amelyekben a jelen ítélet 63. pontjában említett döntés elfogadására vonatkozó jogosultsággal rendelkezik. Az ilyen hatáskör gyakorlása ugyanis kötelező erejű bírósági határozat meghozatalát célozza, amely ugyanúgy sértheti a fenti célkitűzést és az említett mechanizmust, mint az olyan felügyeleti hatóság által hozott határozat, amely nem minősül fő felügyeleti hatóságnak.
66 A GBA állításával ellentétben az a körülmény, hogy az olyan tagállami felügyeleti hatóság, amely nem minősül fő felügyeleti hatóságnak, csak az illetékesség megosztására vonatkozó, különösen a 2016/679 rendelet 60. cikkével összefüggésben értelmezett 55. és 56. cikkében előírt szabályok tiszteletben tartása mellett gyakorolhatja az e rendelet 58. cikkének (5) bekezdésében előírt hatáskört, megfelel a Charta 7., 8. és 47. cikkének.
67 Egyrészt, ami a Charta 7. és 8. cikkének állítólagos megsértésére alapított érvelést illeti, emlékeztetni kell arra, hogy a 7. cikk mindenki számára biztosítja a jogot a magán- és családi életének, otthonának és kapcsolattartásának tiszteletben tartásához, míg a Charta 8. cikkének (1) bekezdése - csakúgy mint az EUMSZ 16. cikk (1) bekezdése - kifejezetten elismeri, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez. Márpedig különösen a 2016/679 rendelet 51. cikkének (1) bekezdéséből az következik, hogy a felügyeleti hatóságok feladata e rendelet alkalmazásának ellenőrzése, többek között a természetes személyek alapvető jogainak a személyes adataik kezelése tekintetében történő védelme érdekében. Ebből következik, hogy a jelen ítélet 45. pontjában kifejtetteknek megfelelően a döntéshozatali hatáskörnek a fő felügyeleti hatóság és a többi felügyeleti hatóság közötti megosztására vonatkozóan e rendeletben előírt szabályok nem érintik az egyes hatóságok azon feladatkörét, hogy e szabályokat, valamint a jelen ítélet 52. pontjában felidézett együttműködési és kölcsönös segítségnyújtási követelményeket tiszteletben tartva hozzájáruljanak e jogok magas szintű védelméhez.
68 Ez konkrétabban azt jelenti, hogy az "egyablakos ügyintézési" mechanizmus semmi esetre sem eredményezheti azt, hogy valamely nemzeti felügyeleti hatóság, különösen a fő felügyeleti hatóság ne lássa el a 2016/679 rendelet alapján rá háruló azon feladatot, hogy hozzájáruljon a természetes személyeknek a jelen ítélet előző pontjában említett alapvető jogaik megsértésével szembeni hatékony védelméhez, mert ellenkező esetben a forum shopping gyakorlatát ösztönözné különösen azon adatkezelők részéről, akik az alapvető jogokat és az említett rendelet e jogokat végrehajtó rendelkezéseinek hatékony alkalmazását meg kívánják kerülni.
69 Másrészt a Charta 47. cikkében biztosított hatékony jogorvoslathoz való jog állítólagos megsértésére alapított érvelésnek sem lehet helyt adni. A fő felügyeleti hatóságtól eltérő felügyeleti hatóság azon lehetőségének a jelen ítélet 64. és 65. pontjában kifejtett korlátozása ugyanis, hogy a személyes adatok határokon átnyúló kezelése tekintetében gyakorolja a 2016/679 rendelet 58. cikkének (5) bekezdésében előírt hatáskört, nem érinti az e rendelet 78. cikkének (1) és (2) bekezdésében valamennyi személy számára biztosított azon jogot, hogy hatékony bírósági jogorvoslatot terjesszen elő többek között valamely felügyeleti hatóság őt érintő, jogilag kötelező erejű határozatával vagy az általa benyújtott panasz azon felügyeleti hatóság általi kezelésének elmulasztásával szemben, amely az e rendelet 60. cikkével együttesen értelmezett 55. és 56. cikke alapján döntéshozatali hatáskörrel rendelkezik,
70 Ez a helyzet áll fenn különösen a 2016/679 rendelet 56. cikkének (5) bekezdésében említett azon esetben, amely szerint - amint az a jelen ítélet 62. pontjában megállapításra került - az e rendelet 56. cikkének (3) bekezdése alapján tájékoztatást nyújtó felügyeleti hatóság e rendelet 61. és 62. cikkének megfelelően járhat el az ügyben, ha a fő felügyeleti hatóság - miután erről tájékoztatták - úgy dönt, hogy nem maga jár el. Márpedig az ügyben való ilyen eljárás keretében nem zárható ki, hogy az érintett felügyeleti hatóság adott esetben úgy dönthet, hogy gyakorolja a 2016/679 rendelet 58. cikkének (5) bekezdése által ráruházott hatáskört.
71 Ennek pontosítását követően hangsúlyozni kell, hogy a tagállami felügyeleti hatóság arra vonatkozó hatáskörének gyakorlása, hogy tagállamának bíróságaihoz forduljon, nem zárható ki abban az esetben, ha azt követően, hogy a 2016/679 rendelet 61. cikke értelmében vett kölcsönös segítségnyújtás iránti megkeresést intézett a fő felügyeleti hatósághoz, ez utóbbi nem adja meg számára a kért tájékoztatást. Ebben az esetben e rendelet 61. cikkének (8) bekezdése értelmében az érintett felügyeleti hatóság a saját tagállama területén ideiglenes intézkedést fogadhat el, és ha úgy véli, hogy végleges intézkedések sürgős elfogadására van szükség, a fenti rendelet 66. cikkének (2) bekezdésével összhangban kérheti az Európai Adatvédelmi Testületet, hogy sürgősségi eljárás keretében bocsásson ki véleményt vagy fogadjon el kötelező erejű döntést. Ezenkívül ugyanezen rendelet 64. cikkének (2) bekezdése alapján a felügyeleti hatóság kérheti, hogy az Európai Adatvédelmi Testület vizsgáljon meg egy általános érvényű vagy egynél több tagállamban hatással bíró ügyet, és bocsásson ki róla véleményt, különösen, ha valamely illetékes felügyeleti hatóság nem teljesíti az e rendelet 61. cikke szerinti kölcsönös segítségnyújtás tekintetében fennálló kötelezettségeit. Márpedig az ilyen vélemény vagy döntés elfogadását követően, és amennyiben az Európai Adatvédelmi Testület a releváns körülmények összességének figyelembevételét követően kedvező álláspontot foglal el, az érintett felügyelő hatóságnak meg kell tudnia tenni a szükséges intézkedéseket a személyes adatok kezelése vonatkozásában a természetes személyek jogainak védelmére vonatkozóan a 2016/679 rendeletben foglalt szabályok tiszteletben tartásának biztosítása, és ennek alapján az e rendelet 58. cikkének (5) bekezdése által ráruházott hatáskör gyakorlása érdekében.
72 Az illetékességnek és a feladatköröknek a felügyeleti hatóságok közötti megosztása ugyanis szükségszerűen azon az előfeltevésen alapul, hogy e hatóságok között, valamint a Bizottsággal való kapcsolatukban jóhiszemű és hatékony együttműködés áll fenn e rendelet helyes és egységes alkalmazásának biztosítása érdekében, amint azt a rendelet 51. cikkének (2) bekezdése is megerősíti.
73 A jelen ügyben a kérdést előterjesztő bíróság feladata annak meghatározása, hogy az alapügyben helyesen alkalmazták-e a 2016/679 rendeletben előírt, az illetékesség megosztására vonatkozó szabályokat, valamint a vonatkozó eljárásokat és mechanizmusokat. Különösen azt kell vizsgálnia, hogy - jóllehet ebben az ügyben a GBA nem a fő felügyeleti hatóság - az érintett adatkezelés annyiban, amennyiben a Facebook közösségi hálózat 2018. május 25-ét követő magatartásával kapcsolatos, többek között a jelen ítélet 71. pontjában említett helyzet körébe tartozik-e.
74 E tekintetben a Bíróság rámutat, hogy az Európai Adatvédelmi Testület 2019. március 12-i, az elektronikus hírközlési adatvédelmi irányelv és az általános adatvédelmi rendelet közötti kölcsönhatásról, különösen az adatvédelmi hatóságok illetékessége, feladatai és hatásköre tekintetében kiadott 5/2019 véleményében megállapította, hogy a személyes adatok sütik segítségével történő rögzítése és olvasása az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló, 2002. július 12-i 2002/58/EK európai parlamenti és tanácsi irányelv (Elektronikus hírközlési adatvédelmi irányelv) (HL 2002. L 201., 37. o.; magyar nyelvű különkiadás 13. fejezet, 29. kötet, 514. o.) hatálya alá tartozik, nem pedig az "egyablakos ügyintézési" mechanizmus hatálya alá. Ezzel szemben valamennyi korábbi művelet és az e személyes adatok más technológiák révén történő kezelésére irányuló későbbi tevékenységek a 2016/679 rendelet, és ennek folytán az "egyablakos ügyintézési" mechanizmus hatálya alá tartoznak. Tekintettel arra, hogy a kölcsönös segítségnyújtás iránti megkeresése a személyes adatok kezeléséhez kapcsolódó ilyen későbbi műveletekre vonatkozott, a GBA 2019 áprilisában arra kérte az adatvédelmi biztost, hogy a lehető leggyorsabban teljesítse a megkeresését, amely kérelme válasz nélkül maradt.
75 A fenti megfontolások összességére tekintettel az első kérdésre azt a választ kell adni, hogy a 2016/679 rendeletnek a Charta 7., 8. és 47. cikkével összefüggésben értelmezett 55. cikkének (1) bekezdését, 56-58. cikkét és 60-66. cikkét úgy kell értelmezni, hogy az a tagállami felügyeleti hatóság, amely az e rendelet 58. cikke (5) bekezdésének végrehajtása céljából elfogadott nemzeti jogszabályok szerint e rendelet bármely állítólagos megsértése esetén jogosult e tagállam bíróságait tájékoztatni és adott esetben keresetet indítani, jóllehet e hatóság az ilyen adatkezelés tekintetében nem minősül az említett rendelet 56. cikkének (1) bekezdése értelmében vett "fő felügyeleti hatóságnak", gyakorolhatja e hatáskörét a határokon átnyúló adatkezelés vonatkozásában, amennyiben erre azon helyzetek egyikében kerül sor, amikor a 2016/679 rendelet az említett felügyeleti hatóság illetékességét írja elő az azt megállapító határozat elfogadása tekintetében,, hogy ezen adatkezelés sérti az abban foglalt szabályokat, valamint amennyiben tiszteletben tartják az e rendelet által előírt együttműködési és egységességi eljárásokat.
A második kérdésről
76 Második kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a 2016/679 rendelet 58. cikkének (5) bekezdését úgy kell-e értelmezni, hogy határokon átnyúló személyesadat-kezelés esetén a fő felügyeleti hatóságtól eltérő tagállami felügyeleti hatóság e rendelkezés értelmében vett, bírósági eljárás kezdeményezésére vonatkozó hatáskörének gyakorlása megköveteli, hogy a határokon átnyúló ezen adatkezelés szempontjából adatkezelőnek minősülő azon személy, aki ellen ezen eljárást kezdeményezik, e tagállam területén a 2016/679 rendelet 4. cikkének 16. pontja értelmében vett "tevékenységi központtal" vagy ugyanezen a területen más tevékenységi hellyel rendelkezzen.
77 E tekintetben emlékeztetni kell arra, hogy a 2016/679 rendelet 55. cikkének (1) bekezdése értelmében a felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.
78 A 2016/679 rendelet 58. cikkének (5) bekezdése ezenkívül rendelkezik az egyes felügyeleti hatóságok arra vonatkozó hatásköréről, hogy e rendelet bármely állítólagos megsértéséről tájékoztassák a tagállamuk bíróságait, és adott esetben bírósági eljárást kezdeményezzenek az említett rendelet rendelkezéseinek érvényre juttatása érdekében.
79 Márpedig meg kell állapítani, hogy a 2016/679 rendelet 58. cikkének (5) bekezdése általános jelleggel került megfogalmazásra, és hogy az uniós jogalkotó e hatáskörnek valamely tagállam felügyeleti hatósága általi gyakorlását nem kötötte ahhoz a feltételhez, hogy e hatóság az eljárását olyan adatkezelővel szemben indítsa meg, amelynek az e rendelet 4. cikkének 16. pontja értelmében vett "tevékenységi központja" vagy más tevékenységi helye e tagállam területén található.
80 A tagállami felügyeleti hatóság azonban csak akkor gyakorolhatja a 2016/679 rendelet 58. cikkének (5) bekezdésében ráruházott jogkört, ha bizonyított, hogy e jogkör e rendelet területi hatálya alá tartozik.
81 A 2016/679 rendelet 3. cikke, amely e rendelet területi hatályát szabályozza, (1) bekezdésében erre vonatkozóan úgy rendelkezik, hogy e rendeletet kell alkalmazni a személyes adatoknak az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett kezelésére, függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem.
82 E tekintetben a 2016/679 rendelet (22) preambulumbekezdése pontosítja, hogy az ilyen tevékenységi hely valamely tevékenység tényleges és valós, tartós jelleget biztosító keretek közötti gyakorlását feltételezi, és hogy e keretek jogi formája - legyen szó akár fióktelepről vagy jogi személyiséggel rendelkező leányvállalatról - e tekintetben nem meghatározó tényező.
83 Ebből következik, hogy a 2016/679 rendelet 3. cikke (1) bekezdésének megfelelően e rendelet területi hatályát - az e cikk (2) és (3) bekezdésében említett esetek kivételével - az a feltétel határozza meg, hogy a határokon átnyúló adatkezelést végző adatkezelő vagy adatfeldolgozó az Unió területén tevékenységi hellyel rendelkezik.
84 Ennélfogva az előterjesztett második kérdésre azt a választ kell adni, hogy a 2016/679 rendelet 58. cikkének (5) bekezdését úgy kell értelmezni, hogy határokon átnyúló személyesadat-kezelés esetén a fő felügyeleti hatóságtól eltérő tagállami felügyeleti hatóság e rendelkezés értelmében vett, bírósági eljárás kezdeményezésére vonatkozó jogkörének gyakorlása nem követeli meg, hogy a határokon átnyúló adatkezelés szempontjából adatkezelőnek vagy adatfeldolgozónak minősülő azon személy, aki ellen ezen eljárást kezdeményezik, e tagállam területén tevékenységi központtal vagy más tevékenységi hellyel rendelkezzen.
A harmadik kérdésről
85 Harmadik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a 2016/679 rendelet 58. cikkének (5) bekezdését úgy kell-e értelmezni, hogy határokon átnyúló adatkezelés esetén a fő felügyeleti hatóságtól eltérő tagállami felügyeleti hatóság arra vonatkozó hatáskörének gyakorlása, hogy e rendelet bármely állítólagos megsértése esetén e rendelkezés értelmében tájékoztassa e tagállam bíróságait, és adott esetben bírósági eljárást kezdeményezzen, azt követeli meg, hogy az érintett felügyeleti hatóság az adatkezelő tevékenységi központja ellen, vagy pedig azt, hogy a saját tagállamában található tevékenységi hely ellen indítson keresetet.
86 Az előzetes döntéshozatalra utaló határozatból kitűnik, hogy e kérdés a felek közötti, arra vonatkozó vita keretében merült fel, hogy a kérdést előterjesztő bíróság illetékességgel rendelkezik-e az abbahagyásra kötelezés iránti keresetnek a Facebook Belgium ellen irányuló részében történő elbírálására, tekintettel egyrészt arra, hogy az Unión belül a Facebook-csoport székhelye Írországban található és hogy az Unió teljes területén a Facebook Ireland a kizárólagos adatkezelő a személyes adatok gyűjtése és kezelése vonatkozásában, másrészt pedig arra, hogy az e csoporton belüli felosztásnak megfelelően a Belgiumban található tevékenységi helyet elsődlegesen az említett csoport uniós intézményekkel való kapcsolattartásának lehetővé tétele érdekében hozták létre, másodlagosan pedig arra, hogy ugyanezen csoportnak a Belgiumban tartózkodó személyek felé irányuló hirdetési és marketingtevékenységét előmozdítsa.
87 Amint az a jelen ítélet 47. pontjában megállapításra került, a 2016/679 rendelet 55. cikkének (1) bekezdése megállapítja az egyes felügyeleti hatóságok főszabály szerinti illetékességét azon feladatok és hatáskörök gyakorlása tekintetében, amelyekkel e hatóság e rendeletnek megfelelően a tagállamának területén rendelkezik.
88 A tagállami felügyeleti hatóság azon hatáskörét illetően, hogy a 2016/679 rendelet 58. cikkének (5) bekezdése értelmében keresetet indítson, emlékeztetni kell arra, hogy - amint arra a főtanácsnok az indítványának 150. pontjában rámutatott - e rendelkezés általánosan került megfogalmazásra, és nem határozza meg azokat a jogalanyokat, amelyek ellen a felügyeleti hatóságok e rendelet megsértése kapcsán kötelesek eljárni vagy eljárhatnak.
89 Következésképpen az említett rendelkezés nem korlátozza a keresetindítási hatáskör gyakorlását abban az értelemben, hogy ilyen kereset kizárólag az adatkezelő "tevékenységi központja" vagy más "tevékenységi helye" ellen indítható. Ellenkezőleg, ugyanezen rendelkezés értelmében, ha valamely tagállam felügyelő hatósága a 2016/679 rendelet 55. és 56. cikke alapján e tekintetben rendelkezik a szükséges hatáskörrel, a területén gyakorolhatja az e rendelet által ráruházott hatásköröket, függetlenül attól, hogy az adatkezelő vagy az adatfeldolgozója melyik tagállamban telepedett le.
90 Ugyanakkor a 2016/679 rendelet 58. cikkének (5) bekezdésében az egyes felügyeleti hatóságokra ruházott hatáskör gyakorlása feltételezi e rendelet alkalmazását. E tekintetben, ahogyan arra a jelen ítélet 81. pontja rámutatott, az említett rendelet 3. cikkének (1) bekezdése előírja, hogy e rendeletet kell alkalmazni a személyes adatoknak "az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett kezelésére, függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem".
91 A 2016/679 rendelet által követett célra tekintettel, amely a természetes személyek alapvető jogainak és szabadságainak, különösen a magánélet tiszteletben tartásához és a személyes adatok védelméhez való joguk hatékony védelmét kívánja biztosítani, nem értelmezhető megszorítóan az a feltétel, amely szerint a személyes adatok kezelését az érintett tevékenységi hely "tevékenységeivel összefüggésben" kell végezni (lásd analógia útján: 2018. június 5-iWirtschaftsakademie Schleswig-Holstein ítélet, C-210/16, EU:C:2018:388, 56. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
92 A jelen ügyben az előzetes döntéshozatalra utaló határozatból és a Facebook Belgium által benyújtott írásbeli észrevételekből kitűnik, hogy az utóbbinak elsődlegesen az a feladata, hogy az uniós intézményekkel kapcsolatot tartson, másodlagosan pedig az, hogy csoportjának a Belgiumban tartózkodó személyek felé irányuló hirdetési és marketingtevékenységét előmozdítsa.
93 Az alapügyben szóban forgó személyesadat-kezelésnek, amelyet az Unió területén kizárólag a Facebook Ireland végez, és amely mind a Facebook-fiókok tulajdonosainak, mind pedig a Facebook-szolgáltatásokat igénybe nem vevő felhasználók különböző technológiák - mint például a közösségi média beépülő modulok és pixelek - útján történő szörfölési magatartására vonatkozó információk gyűjtéséből áll, pontosan az a célja, hogy lehetővé tegye az érintett közösségi hálózat számára, hogy a közlések célzott módon történő terjesztése révén a hirdetési rendszere eredményesebbé váljon.
94 Márpedig meg kell állapítani, hogy egyrészt a Facebookhoz hasonló közösségi hálózat bevételeinek jelentős része különösen az e hálózaton közzétett hirdetésekből származik, és hogy a Belgiumban található tevékenységi hely által végzett tevékenységnek - még ha csak másodlagos jelleggel is - az a célja, hogy e tagállamban biztosítsa azon hirdetési felületek reklámozását és értékesítését, amelyek a Facebook-szolgáltatások nyereségességét szolgálják. Másrészt a Facebook Belgium elsődleges tevékenysége, amely abban áll, hogy kapcsolatokat ápol az uniós intézményekkel, és az utóbbiak kapcsolattartójaként működik, többek között a Facebook Ireland személyesadat-kezelési politikájának meghatározására irányul.
95 E körülmények között a Facebook-csoport Belgiumban található tevékenységi helyének tevékenységeit úgy kell tekinteni, mint amelyek elválaszthatatlanul kapcsolódnak az alapügyben szóban forgó személyesadat-kezeléshez, amely tekintetében az Unió területén a Facebook Ireland az adatkezelő. Következésképpen az ilyen adatkezelést úgy kell tekinteni, mint amelyet a 2016/679 rendelet 3. cikkének (1) bekezdése értelmében a "tevékenységi hellyel rendelkező adatkezelők [...] tevékenységeivel összefüggésben" végeznek.
96 A fenti megfontolások összességére tekintettel a harmadik kérdésre azt a választ kell adni, hogy a 2016/679 rendelet 58. cikkének (5) bekezdését úgy kell értelmezni, hogy a fő felügyeleti hatóságtól eltérő tagállami felügyeleti hatóság azon hatásköre, hogy e rendelet bármely állítólagos megsértése esetén jogosult e rendelkezés értelmében e tagállam bíróságait tájékoztatni és adott esetben keresetet indítani, mind az adatkezelőnek az említett hatóság tagállamában található tevékenységi központja, mind pedig ezen adatkezelő más tevékenységi helye tekintetében gyakorolható, amennyiben a bírósági kereset az említett tevékenységi hely tevékenységével összefüggésben végzett adatkezelésre vonatkozik, és az említett hatóság az előterjesztett első kérdésre adott válasszal összhangban jogosult e hatáskör gyakorlására.
A negyedik kérdésről
97 Negyedik kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a 2016/679 rendelet 58. cikkének (5) bekezdését úgy kell-e értelmezni, hogy amennyiben valamely tagállam felügyeleti hatósága, amely nem minősül az e rendelet 56. cikkének (1) bekezdése értelmében vett "fő felügyeleti hatóságnak", 2018. május 25., azaz e rendelet alkalmazásának kezdő időpontja előtt bírósági eljárást kezdeményezett személyes adatok határokon átnyúló kezelése vonatkozásában, e körülmény befolyásolja-e azokat a feltételeket, amelyek mellett e tagállami felügyeleti hatóság gyakorolhatja az említett 58. cikk (5) bekezdésén alapuló keresetindítási hatáskörét.
98 E bíróság előtt ugyanis a Facebook Ireland, a Facebook Inc. és a Facebook Belgium arra hivatkozik, hogy a 2016/679 rendelet 2018. május 25-től történő alkalmazása azzal a következménnyel jár, hogy az ezen időpontot megelőzően indított kereset fenntartása elfogadhatatlan, sőt megalapozatlan.
99 Előzetesen meg kell állapítani, hogy a 2016/679 rendelet 99. cikkének (1) bekezdése előírja, hogy e rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba. E rendelet, mivel 2016. május 4-én tették közzé az említett Hivatalos Lapban, ugyanezen év május 25-én lépett hatályba. Ezenkívül az említett rendelet 99. cikkének (2) bekezdése előírja, hogy e rendeletet 2018. május 25-től kell alkalmazni.
100 E tekintetben emlékeztetni kell arra, hogy valamely új jogszabály azon jogi aktusnak a hatálybalépésétől alkalmazandó, amely e jogszabályt tartalmazza, és bár az nem vonatkozik a korábbi jogszabály hatálya alatt keletkezett és véglegesen kialakult jogi helyzetekre, azt alkalmazni kell az ilyen helyzetek jövőbeli hatásaira, valamint az új jogi helyzetekre. Ez csak abban az esetben van másképpen - a jogi aktusok visszaható hatályának a tilalmára vonatkozó elv sérelme nélkül -, ha az új szabályhoz olyan különleges rendelkezések kapcsolódnak, amelyek a szabály időbeli alkalmazásának feltételeit külön meghatározzák. Konkrétan, az eljárási szabályokat általában azok hatálybalépésétől kezdve kell alkalmazni, az anyagi jogi szabályokat viszont úgy kell értelmezni, hogy azok a hatálybalépésüket megelőzően kialakult jogi helyzetekre csak annyiban vonatkoznak, amennyiben szövegükből, céljukból és rendszertani elhelyezkedésükből világosan következik, hogy ilyen hatály tulajdonítható nekik (2021. február 25-iCaisse pour l'avenir des enfants [Foglalkoztatás a születéskor] ítélet, C-129/20, EU:C:2021:140, 31. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
101 A 2016/679 rendelet nem tartalmaz átmeneti rendelkezéseket vagy más olyan szabályt, amely az alkalmazását megelőzően indított és az alkalmazásának kezdő időpontjában még folyamatban lévő bírósági eljárások státuszára vonatkozna. Közelebbről, e rendelet egyetlen rendelkezése sem írja elő, hogy a rendelet megszünteti a 95/46 irányelvben szereplő, személyes adatok kezelésére vonatkozó szabályok állítólagos megsértésére vonatkozó, 2018. május 25-én folyamatban lévő bírósági eljárásokat, még akkor is, ha az ilyen állítólagos jogsértéseket megvalósító magatartások ezen időpontot követően is fennállnak.
102 A jelen ügyben a 2016/679 rendelet 58. cikkének (5) bekezdése rendelkezik a felügyeleti hatóságok azon hatáskörét meghatározó szabályokról, hogy e rendelet bármely megsértéséről tájékoztassák az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzenek vagy abban más módon részt vegyenek e rendelet rendelkezéseinek érvényre juttatása érdekében.
103 E körülmények között különbséget kell tenni a tagállami felügyeleti hatóság által a személyes adatok védelmére vonatkozó szabályoknak az adatkezelők vagy adatfeldolgozók általi, a 2016/679 rendelet alkalmazandóvá válását megelőzően elkövetett megsértése miatt indított keresetek és az ezen időpontot követően elkövetett jogsértések miatt indított keresetek között.
104 Az első esetben az uniós jog szempontjából az olyan bírósági kereset, mint amelyről az alapügyben szó van, a 95/46 irányelv rendelkezései alapján fenntartható, amely irányelv a hatályon kívül helyezéséig, azaz 2018. május 25-ig elkövetett jogsértésekre továbbra is alkalmazandó. A második esetben ilyen keresetet a 2016/679 rendelet 58. cikkének (5) bekezdése alapján kizárólag azzal a feltétellel lehet megindítani, hogy - amint az az előterjesztett első kérdésre adott válasz keretében kiemelésre került - e kereset olyan helyzetet érint, amelyben e rendelet kivételesen nem "fő felügyeleti hatóságnak" minősülő tagállami felügyeleti hatóságnak biztosít hatáskört az azt megállapító határozat elfogadására, hogy a szóban forgó adatkezelés sérti az említett rendeletben a természetes személyek személyes adatainak kezeléséhez kapcsolódó jogok védelmére vonatkozóan szereplő szabályokat, és hogy tiszteletben tartják az ugyanezen rendeletben előírt eljárásokat.
105 A fenti megfontolások összességére tekintettel az előterjesztett negyedik kérdésre azt a választ kell adni, hogy a 2016/679 rendelet 58. cikkének (5) bekezdését úgy kell értelmezni, hogy amennyiben valamely tagállam felügyeleti hatósága, amely nem minősül az e rendelet 56. cikkének (1) bekezdése értelmében vett "fő felügyeleti hatóságnak", 2018. május 25., azaz e rendelet alkalmazásának kezdő időpontja előtt bírósági eljárást kezdeményezett személyes adatok határokon átnyúló kezelése vonatkozásában, az uniós jog szempontjából e kereset a 95/46 irányelv rendelkezései alapján fenntartható, amely irányelv az általa előírt szabályoknak a hatályon kívül helyezésének időpontjáig elkövetett megsértése vonatkozásában továbbra is alkalmazandó. E keresetet ezenkívül az említett hatóság a 2016/679 rendelet 58. cikkének (5) bekezdése alapján az ugyanezen időpontot követően elkövetett jogsértések miatt is benyújthatja, amennyiben arra azon helyzetek egyikében kerül sor, amelyekben e rendelet kivételesen nem "fő felügyeleti hatóságnak" minősülő tagállami felügyeleti hatóság illetékességét írja elő az azt megállapító határozat elfogadása tekintetében, hogy az érintett adatkezelés sérti a fenti rendeletben a természetes személyek személyes adatainak kezeléséhez kapcsolódó jogok védelmére vonatkozóan szereplő szabályokat, és tiszteletben tartják az ugyanezen rendeletben előírt együttműködési és egységességi eljárásokat, aminek a vizsgálata a kérdést előterjesztő bíróság feladata.
Az ötödik kérdésről
106 Ötödik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy az első kérdésre adott igenlő válasz esetén a 2016/679 rendelet 58. cikkének (5) bekezdését úgy kell-e értelmezni, hogy e rendelkezés közvetlen hatállyal rendelkezik, és ezért a nemzeti felügyeleti hatóság akkor is hivatkozhat az említett rendelkezésre magánszemélyek elleni kereset indítása vagy folytatása érdekében, ha ugyanezt a rendelkezést kifejezetten nem hajtották végre az érintett tagállam jogszabályaiban.
107 A 2016/679 rendelet 58. cikkének (5) bekezdése szerint a tagállamok jogszabályban előírják, hogy a felügyeleti hatóságuk hatáskörrel rendelkezik arra, hogy e rendelet megsértéséről tájékoztassa az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzen vagy abban más módon részt vegyen az említett rendelet rendelkezéseinek érvényre juttatása érdekében.
108 Előzetesen meg kell állapítani, hogy - amint azt a belga kormány állítja - a 2016/679 rendelet 58. cikkének (5) bekezdését a 2017. december 3-i törvény 6. cikke hajtotta végre a belga jogrendben. E törvény 6. cikke értelmében ugyanis, amelynek szövege lényegében megegyezik a 2016/679 rendelet 58. cikke (5) bekezdésének szövegével, a GBA hatáskörrel rendelkezik arra, hogy felhívja az igazságügyi hatóságok figyelmét e törvény és a személyes adatok kezelésének védelmére vonatkozó rendelkezéseket tartalmazó törvények keretein belül a személyes adatok védelme alapvető elveinek megsértésére, és adott esetben bírósági eljárást kezdeményezzen ezen alapelvek alkalmazása érdekében. Következésképpen meg kell állapítani, hogy a GBA hivatkozhat a nemzeti jog olyan rendelkezésére, mint a 2017. december 3-i törvény 6. cikke, amely a 2016/679 rendelet 58. cikkének (5) bekezdését hajtja végre a belga jogban, annak érdekében, hogy e rendelet betartásának kikényszerítése érdekében keresetet indítson.
109 Egyébiránt a teljesség kedvéért meg kell állapítani, hogy az EUMSZ 288. cikk második bekezdése értelmében a rendeletek teljes egészükben kötelezők és közvetlenül alkalmazandók valamennyi tagállamban, így rendelkezései főszabály szerint nem igényelnek semmilyen végrehajtási intézkedést a tagállamok részéről.
110 E tekintetben emlékeztetni kell arra, hogy a Bíróság állandó ítélkezési gyakorlata értelmében, az EUMSZ 288. cikk szerint és az uniós jogforrások rendszerében betöltött szerepükből és jellegükből fakadóan a rendeletek előírásainak főszabály szerint közvetlen hatályuk van a nemzeti jogrendszerekben, anélkül hogy szükség lenne arra, hogy a nemzeti hatóságok végrehajtási intézkedéseket fogadjanak el. Mindazonáltal egyes rendelkezések végrehajtása érdekében szükséges lehet végrehajtási intézkedések elfogadása a tagállamok által (2017. március 15-iAl Chodor ítélet, C-528/15, EU:C:2017:213, 27. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
111 Márpedig, amint arra a főtanácsnok az indítványának 167. pontjában lényegében rámutatott, a 2016/679 rendelet 58. cikkének (5) bekezdése olyan konkrét és közvetlenül alkalmazandó szabályt ír elő, amelynek értelmében a felügyeleti hatóságoknak rendelkezniük kell a nemzeti bíróságok előtti kereshetőségi joggal, a nemzeti jog alapján jogosultnak kell lenniük arra, hogy bírósági eljárást kezdeményezzenek.
112 A 2016/679 rendelet 58. cikkének (5) bekezdéséből nem tűnik ki, hogy a tagállamoknak kifejezett rendelkezéssel kellene meghatározniuk, hogy melyek azok a körülmények, amelyek között a nemzeti felügyeleti hatóságok e rendelkezés értelmében bírósági eljárást kezdeményezhetnek. Elegendő, ha a felügyeleti hatóságnak a nemzeti jogszabályoknak megfelelően lehetősége van arra, hogy az e rendelettel kapcsolatos jogsértésekről az igazságügyi hatóságokat tájékoztassa, és adott esetben bírósági eljárást kezdeményezzen, vagy más módon eljárást indítson e rendelet rendelkezéseinek érvényre juttatása érdekében.
113 A fenti megfontolások összességére tekintettel az előterjesztett ötödik kérdésre azt a választ kell adni, hogy a 2016/679 rendelet 58. cikkének (5) bekezdését úgy kell értelmezni, hogy e rendelkezés közvetlen hatállyal rendelkezik, és ezért a nemzeti felügyeleti hatóság akkor is hivatkozhat az említett rendelkezésre magánszemélyek elleni kereset indítása vagy folytatása érdekében, ha ugyanezt a rendelkezést kifejezetten nem hajtották végre az érintett tagállam jogszabályaiban.
A hatodik kérdésről
114 Hatodik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy az első, második, harmadik, negyedik és ötödik kérdésre adott igenlő válasz esetén a tagállami felügyeleti hatóság által indított, a személyes adatok határokon átnyúló kezelésére vonatkozó bírósági eljárás kimenetele akadályát képezheti-e annak, hogy a fő felügyeleti hatóság olyan határozatot hozzon, amelyben ellentétes megállapításra jut abban az esetben, ha e hatóság a 2016/679 rendelet 56. és 60. cikkében előírt mechanizmusnak megfelelően ugyanezen határokon átnyúló adatkezelési tevékenységek vagy hasonló tevékenységek tárgyában folytat vizsgálatot.
115 E tekintetben emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint az uniós jogra vonatkozó kérdések releváns jellegét vélelmezni kell. A Bíróság csak akkor tagadhatja meg a nemzeti bíróság előzetes döntéshozatalra előterjesztett kérdéséről való határozathozatalt, ha valamely uniós jogi szabály kért értelmezése nyilvánvalóan semmilyen összefüggésben nincs az alapügy tényállásával vagy tárgyával, ha a probléma hipotetikus jellegű, vagy ha nem állnak a Bíróság rendelkezésére azok a ténybeli és jogi elemek, amelyek szükségesek ahhoz, hogy az elé terjesztett kérdésekre hasznos választ adhasson (2015. június 16-iGauweiler és társai ítélet, C-62/14, EU:C:2015:400, 25. pont; 2018. február 7-iAmerican Express ítélet, C-304/16, EU:C:2018:66, 32. pont).
116 Ezenkívül, az állandó ítélkezési gyakorlat szerint az előzetes döntéshozatali eljárás indoka nem az általános vagy hipotetikus kérdésekről való véleménynyilvánítás, hanem az adott jogvita tényleges megoldásának szükségessége (2018. december 10-iWightman és társai ítélet, C-621/18, EU:C:2018:999, 28. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
117 A jelen ügyben hangsúlyozni kell, hogy - amint azt a belga kormány megjegyzi - az előterjesztett hatodik kérdés olyan körülményeken alapul, amelyekről egyáltalán nem bizonyították, hogy az alapeljárás keretében fennállnak, vagyis hogy az e jogvita tárgyát képező határokon átnyúló adatkezelés vonatkozásában létezik olyan fő felügyeleti hatóság, amely nem csupán vizsgálatot folytat a személyes adatok határokon átnyúló kezelésére irányuló ugyanazon vagy hasonló tevékenységekkel kapcsolatban, mint amelyek az érintett tagállam felügyeleti hatósága által kezdeményezett bírósági eljárás tárgyát képezik, hanem olyan döntés elfogadását is tervezi, amely ellenkező értelmű megállapításhoz vezet.
118 E körülmények között meg kell állapítani, hogy az előterjesztett hatodik kérdés semmilyen összefüggésben nincs az alapeljárás tényállásával vagy tárgyával, és hipotetikus jellegű problémát érint. Következésképpen e kérdést elfogadhatatlannak kell nyilvánítani.
A költségekről
119 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott:
1) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendeletnek (általános adatvédelmi rendelet) az Európai Unió Alapjogi Chartájának 7., 8. és 47. cikkével összefüggésben értelmezett 55. cikkének (1) bekezdését, 56-58. cikkét és 60-66. cikkét úgy kell értelmezni, hogy az a tagállami felügyeleti hatóság, amely az e rendelet 58. cikke (5) bekezdésének végrehajtása céljából elfogadott nemzeti jogszabályok szerint e rendelet bármely állítólagos megsértése esetén jogosult e tagállam bíróságait tájékoztatni és adott esetben keresetet indítani, jóllehet e hatóság az ilyen adatkezelés tekintetében nem minősül az ugyanezen rendelet 56. cikkének (1) bekezdése értelmében vett "fő felügyeleti hatóságnak", gyakorolhatja e hatáskörét a határokon átnyúló adatkezelés vonatkozásában, amennyiben erre azon helyzetek egyikében kerül sor, amikor a 2016/679 rendelet az említett felügyeleti hatóság illetékességét írja elő az azt megállapító határozat elfogadása tekintetében, hogy ezen adatkezelés sérti az abban foglalt szabályokat, valamint amennyiben tiszteletben tartják az említett rendelet által előírt együttműködési és egységességi eljárásokat.
2) A 2016/679 rendelet 58. cikkének (5) bekezdését úgy kell értelmezni, hogy határokon átnyúló személyesadat-kezelés esetén a fő felügyeleti hatóságtól eltérő tagállami felügyeleti hatóság e rendelkezés értelmében vett, bírósági eljárás kezdeményezésére vonatkozó hatáskörének gyakorlása nem követeli meg, hogy a határokon átnyúló adatkezelés szempontjából adatkezelőnek vagy adatfeldolgozónak minősülő azon személy, aki ellen ezen eljárást kezdeményezik, e tagállam területén tevékenységi központtal vagy más tevékenységi hellyel rendelkezzen.
3) A 2016/679 rendelet 58. cikkének (5) bekezdését úgy kell értelmezni, hogy a fő felügyeleti hatóságtól eltérő tagállami felügyeleti hatóság azon hatásköre, hogy e rendelet bármely állítólagos megsértése esetén jogosult e rendelkezés értelmében e tagállam bíróságait tájékoztatni és adott esetben keresetet indítani, mind az adatkezelőnek az említett hatóság tagállamában található tevékenységi központja, mind pedig ezen adatkezelő más tevékenységi helye tekintetében gyakorolható, amennyiben a bírósági kereset az említett tevékenységi hely tevékenységével összefüggésben végzett adatkezelésre vonatkozik, és az említett hatóság az első kérdésre adott válasszal összhangban jogosult e hatáskör gyakorlására.
4) A 2016/679 rendelet 58. cikkének (5) bekezdését úgy kell értelmezni, hogy amennyiben valamely tagállam felügyeleti hatósága, amely nem minősül az e rendelet 56. cikkének (1) bekezdése értelmében vett "fő felügyeleti hatóságnak", 2018. május 25., azaz e rendelet alkalmazásának kezdő időpontja előtt bírósági eljárást kezdeményezett személyes adatok határokon átnyúló kezelése vonatkozásában, az uniós jog szempontjából e kereset a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv rendelkezései alapján fenntartható, amely irányelv az általa előírt szabályoknak a hatályon kívül helyezésének időpontjáig elkövetett megsértése vonatkozásában továbbra is alkalmazandó. E keresetet ezenkívül az említett hatóság a 2016/679 rendelet 58. cikkének (5) bekezdése alapján az ugyanezen időpontot követően elkövetett jogsértések miatt is benyújthatja, amennyiben arra azon helyzetek egyikében kerül sor, amelyekben e rendelet kivételesen nem "fő felügyeleti hatóságnak" minősülő tagállami felügyeleti hatóság illetékességét írja elő az azt megállapító határozat elfogadása tekintetében, hogy az érintett adatkezelés sérti a fenti rendeletben a természetes személyek személyes adatainak kezeléséhez kapcsolódó jogok védelmére vonatkozóan szereplő szabályokat, és tiszteletben tartják az ugyanezen rendeletben előírt együttműködési és egységességi eljárásokat, aminek a vizsgálata a kérdést előterjesztő bíróság feladata.
5) A 2016/679 rendelet 58. cikkének (5) bekezdését úgy kell értelmezni, hogy e rendelkezés közvetlen hatállyal rendelkezik, és ezért a nemzeti felügyeleti hatóság akkor is hivatkozhat az említett rendelkezésre magánszemélyek elleni kereset indítása vagy folytatása érdekében, ha ugyanezt a rendelkezést kifejezetten nem hajtották végre az érintett tagállam jogszabályaiban.
Aláírások
( *1 ) Az eljárás nyelve: holland.
( i ) A jelen szöveg rendelkező részének 1. pontjában az első elektronikus közzétételt követően nyelvi módosítás történt.
Lábjegyzetek:
[1] A dokumentum eredetije megtekinthető CELEX: 62019CJ0645 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:62019CJ0645&locale=hu