–

a Proximus NV képviseletében P. Craddock és T. de Haan avocats, valamint E. Van Bogget advocaat,

–

a Gegevensbeschermingsautoriteit képviseletében C. Buggenhoudt, E. Cloots és J. Roets advocaten,

–

az olasz kormány képviseletében G. Palmieri, meghatalmazotti minőségben, segítője: E. De Bonis avvocato dello Stato,

–

a lett kormány képviseletében E. Bārdiņš, J. Davidoviča és K. Pommere, meghatalmazotti minőségben,

–

a portugál kormány képviseletében P. Barros da Costa, L. Inez Fernandes, M. J. Ramos és C. Vieira Guerra, meghatalmazotti minőségben,

–

a román kormány képviseletében E. Gane és L. Liţu, meghatalmazotti minőségben,

–

az Európai Bizottság képviseletében S. L. Kalėda, H. Kranenborg és P.‑J. Loewenthal, meghatalmazotti minőségben,

1

Az előzetes döntéshozatal iránti kérelem a 2009. november 25‑i 2009/136/EK európai parlamenti és tanácsi irányelvvel (HL 2009. L 337., 11. o.) módosított, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelv (Elektronikus hírközlési adatvédelmi irányelv) (HL 2002. L 201., 37. o.; magyar nyelvű különkiadás: 13. fejezet, 29. kötet, 514. o.; a továbbiakban: 2002/58 irányelv) 2. cikke második bekezdésének f) pontjával összefüggésben értelmezett 12. cikke (2) bekezdésének értelmezésére, valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 5. cikke (2) bekezdésének, valamint 17., 24. és 95. cikkének értelmezésére vonatkozik.

2

E kérelmet a belga jog szerinti, Proximus NV nevű társaság és a Gegevensbeschermingsautoriteit (adatvédelmi hatóság, Belgium; a továbbiakban: GBA) között azon határozat tárgyában folyamatban lévő jogvita keretében terjesztették elő, amellyel a Geschillenkamer van de Gegevensbeschermingsautoriteit (a GBA vitarendezési tanácsa, a továbbiakban: vitarendezési tanács) kiigazító intézkedéseket és 20000 eurós bírságot szabott ki a Proximusszal szemben a GPDR rendelkezéseinek megsértése miatt.

3

A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás: 13. fejezet, 15. kötet, 355. o.) 2. cikkének h) pontja a következőképpen rendelkezik:

„Ezen irányelv alkalmazásában:

[…]

4

A 2002/58 irányelv (10), (17), (38) és (39) preambulumbekezdésének szövege a következő:

[…]

[…]

5

Ezen irányelv 1. cikke előírja:

„(1)   Ez az irányelv előírja azon nemzeti rendelkezések összehangolását, amelyekre azért van szükség, hogy biztosítsák az elektronikus hírközlési ágazatban a személyes adatok kezelése vonatkozásában az alapvető jogok és szabadságok védelmének egyenértékű szintjét – különös tekintettel a magánélethez és a bizalmas adatkezeléshez való jogra –, valamint biztosítsák az ilyen adatoknak, az elektronikus hírközlő berendezéseknek és az elektronikus hírközlési szolgáltatásoknak a Közösségen belüli szabad mozgását.

(2)   Ennek az irányelvnek a rendelkezései az (1) bekezdésben említett célok érdekében pontosítják és kiegészítik a 95/46/EK irányelvet. Rendelkeznek továbbá a jogi személyiséggel rendelkező előfizetők jogos érdekeinek védelméről.

[…]”

6

Az említett irányelv „Fogalom‑meghatározások” című 2. cikke második bekezdésének f) pontja értelmében:

„Szintén alkalmazni kell a következő fogalom‑meghatározásokat:

[…]

7

Ugyanezen irányelv „Előfizetői névjegyzékek” című 12. cikke kimondja:

„(1)   A tagállamok biztosítják, hogy az előfizetők díjmentesen és az előfizetői névjegyzékbe való bekerülésük előtt tájékoztatást kapjanak azon nyomtatott vagy elektronikus előfizetői névjegyzékek céljáról vagy céljairól, amelyek a nyilvánosság számára elérhetőek vagy a tudakozó szolgálaton keresztül megszerezhetőek, és amelybe az előfizetők személyes adatai bekerülhetnek, valamint minden további, a névjegyzék elektronikus változataiba beépített kereső funkciókon alapuló felhasználási lehetőségről.

(2)   A tagállamok biztosítják, hogy az előfizetők dönthessenek arról, hogy személyes adataik bekerüljenek‑e egy nyilvános előfizetői névjegyzékbe, és ha igen, mely adatok kerüljenek be, – olyan mértékben amennyiben ezek az adatok a névjegyzéknek a névjegyzék szolgáltatója által meghatározott céljához szükségesek – valamint biztosítják, hogy az előfizetők az ilyen adatokat ellenőrizhessék, helyesbíthessék, illetve visszavonhassák. A nyilvános előfizetői névjegyzékben való feltüntetés mellőzése, továbbá az abban szereplő személyes adatok ellenőrzése, helyesbítése és visszavonása díjmentes.

(3)   A tagállamok előírhatják, hogy a személyek elérhetőségi adatainak név és szükség esetén más minimális azonosító adat alapján történő keresését kivéve, a nyilvános előfizetői névjegyzék bármilyen más célból történő felhasználásához az előfizetők kiegészítő hozzájárulására legyen szükség.

[…]”

8

A GDPR (42), (66) és (173) preambulumbekezdése a következőképpen szól:

[…]

[…]

9

E rendelet 4. cikke 2., 7. és 11. pontjának szövege a következő:

„E rendelet alkalmazásában:

[…]

[…]

[…]

10

A GDPR‑nak „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke a következőket írja elő:

„(1)   A személyes adatok:

[…]

(2)   Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

11

A GDPR‑nak „Az adatkezelés jogszerűsége” című 6. cikke értelmében:

„(1)   A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

[…]”

12

A GDPR‑nak „A hozzájárulás feltételei” című 7. cikke kimondja:

„(1)   Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.

[…]

(3)   Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

[…]”

13

A GDPR‑nak „A helyesbítéshez való jog” című 16. cikke a következőképpen rendelkezik:

„Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.”

14

A GDPR „A törléshez való jog (»az elfeledtetéshez való jog«)” című 17. cikkének szövege a következő:

„(1)   Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

[…]

[…]

(2)   Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

[…]”

15

A GDPR‑nak „A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség” című 19. cikke előírja:

„Az adatkezelő minden olyan címzettet tájékoztat a 16. cikk, a 17. cikk (1) bekezdése, illetve a 18. cikk szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés‑korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.”

16

A GDPR‑nak „Az adatkezelő feladatai” című 24. cikke értelmében:

„(1)   Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.

(2)   Ha az az adatkezelési tevékenység vonatkozásában arányos, az (1) bekezdésben említett intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz.

[…]”

17

A GDPR‑nak „A 95/46/EK irányelv hatályon kívül helyezése” című 94. cikke a (2) bekezdésében kimondja:

„A hatályon kívül helyezett irányelvre történő hivatkozásokat az e rendeletre történő hivatkozásnak kell tekinteni. […]”

18

A GDPR‑nak a „Kapcsolat a 2002/58/EK irányelvvel” című 95. cikke a következőképpen rendelkezik:

„E rendelet nem ró további kötelezettségeket a természetes vagy jogi személyekre az [Európai] Unión belüli nyilvános hírközlési hálózatokon keresztül történő nyilvánosan elérhető hírközlési szolgáltatással összefüggésben kezelt adatok tekintetében azon kérdésekkel kapcsolatban, amelyek vonatkozásában ők a 2002/58/EK irányelvben megállapított, azonos célkitűzésekkel bíró különös kötelezettségek hatálya alá tartoznak.”

19

A 2005. június 13‑i wet betreffende de elektronische communicatie (az elektronikus hírközlésről szóló törvény; Belgisch Staatsblad, 2005. június 20., 28070. o.) 133. cikkének, amely a 2002/58 irányelv 12. cikkét ültette át a belga jogba, a következő a szövege:

„1. §   A nyilvánosság számára hozzáférhető telefonszolgáltatások szolgáltatói ingyenesen és a telefonkönyvbe, illetve telefonos tudakozószolgáltatásba történő felvételüket megelőzően tájékoztatják előfizetőiket az alábbiakról:

Kizárólag az 1. bekezdésnek megfelelően közölt funkcióhoz képest releváns azon személyes adatok, amelyek tekintetében a kérdéses előfizető úgy nyilatkozott, hogy azok szerepelhetnek a kérdéses telefonkönyvben vagy telefonos tudakozószolgáltatásban, szerepelhetnek a telefonkönyvben vagy a telefonos tudakozószolgáltatásban.

E célból a szolgáltató két külön kérdést tesz fel az előfizetőnek:

[…]

2. §   Minden előfizetőnek joga van ahhoz, hogy a személyes adatok kezelése vonatkozásában a magánélet védelméről szóló, 1992. december 8‑i törvényben vagy annak alapján meghatározott feltételeknek megfelelően betekintsen a rá vonatkozó személyes adatokba.

Minden előfizetőnek joga van továbbá ahhoz, hogy a telefonkönyvben vagy a telefonos tudakozószolgáltatásban ingyenesen kijavíttathassa vagy onnan töröltethesse a rá vonatkozó személyes adatokat, a magánélet védelmével foglalkozó Bizottság és az Intézet véleményét követően a Király által meghatározott eljárásoknak és feltételeknek megfelelően.”

20

Az említett törvény 45. cikkének (2) bekezdése arra kötelezi a telefonszolgáltatókat, hogy az előfizetőikre vonatkozó adatokat bocsássák a nyilvános telefonkönyvek szolgáltatóinak rendelkezésére. Ugyanezen törvény 45. cikkének (3) bekezdése értelmében e szolgáltatók elkülönítik az azon előfizetőkre vonatkozó adatokat, akik azt kérték, hogy ne vegyék fel őket a telefonkönyvbe, oly módon, hogy ezen előfizetők is megkaphassák a telefonkönyvet, anélkül, hogy az adataik abban szerepelnének.

21

A Proximus, egy Belgiumban működő távközlési szolgáltató, az elektronikus hírközlésről szóló törvény rendelkezéseinek megfelelően a nyilvánosság számára hozzáférhető telefonkönyvekkel (a továbbiakban: telefonkönyvek) kapcsolatos szolgáltatásokat és telefontudakozó‑szolgáltatásokat nyújt. E telefonkönyvek tartalmazzák a nyilvánosan elérhető telefonszolgáltatások nyújtói (a továbbiakban: szolgáltatók) előfizetőinek nevét, címét és telefonszámát (a továbbiakban: adatok). Léteznek más telefonkönyvek is, amelyeket harmadik felek tesznek közzé.

22

Az előfizetők adatait a szolgáltatók rendszeresen közlik a Proximusszal, kivéve azon előfizetők adatait, akik úgy kifejezetten úgy nyilatkoztak, hogy nem szeretnének szerepelni a Proximus által kiadott telefonkönyvekben. A gyakorlatban Belgiumban az előfizetők azon két csoportja közötti különbségtétel, akik szeretnének a telefonkönyvben szerepelni, illetve akik nem szeretnének ott szerepelni, az egyes előfizetők regisztrációjánál egy kód hozzárendelésével történik, nevezetesen „NNNN” kóddal azon előfizetők esetében, akiknek az adatai megjelenhetnek, és „XXXX” kóddal azon előfizetők esetében, akiknek az adatait bizalmasan kell kezelni. A Proximus az általa megkapott adatokat egy másik telefonkönyv‑szolgáltatónak is továbbítja.

23

A panaszos a belga piacon működő Telenet távközlési szolgáltató egyik előfizetője. A Telenet nem nyújt telefonkönyvekkel kapcsolatos szolgáltatásokat, de előfizetői adatait továbbítja a telefonkönyv‑szolgáltatóknak, többek között a Proximusnak.

24

2019. január 13‑án ezen előfizető azt kérte a Proximustól, hogy ne tüntesse fel az adatait sem a Proximus, sem harmadik felek által kiadott telefonkönyvekben. E kérelmet követően a Proximus az informatikai rendszerében módosította ezen előfizető státuszát annak érdekében, hogy az említett előfizető adatai többé ne legyenek nyilvánosan hozzáférhetők.

25

2019. január 31‑én a Proximus megkapta a Telenettől annak előfizetői adatainak időszakos frissítését. E frissítés az említett előfizető olyan új adatait tartalmazta, amelyeket nem úgy tüntettek fel, mint bizalmasakat. Ezeket az információkat a Proximus automatizált módon kezelte, és azokat oly módon vették nyilvántartásba, hogy azok ismét szerepeltek ez utóbbi telefonkönyveiben.

26

2019. augusztus 14‑én, miután megállapította, hogy telefonszámát közzétették a Proximus és más harmadik felek telefonkönyveiben, az érintett előfizető ismételten arra kérte a Proximust, hogy ne tüntesse fel adatait e telefonkönyvekben. Ugyanezen a napon a Proximus azt válaszolta a panaszosnak, hogy törölte az adatait a telefonkönyvekből, és felvette a kapcsolatot a Google‑lel annak érdekében, hogy a Proximus internetes oldalára mutató releváns linkeket töröljék. A Proximus arról is tájékoztatta az előfizetőt, hogy adatait más telefonkönyv‑szolgáltatóknak továbbította, és hogy a havi frissítéseknek köszönhetően e szolgáltatókat tájékoztatták a panaszos kéréséről.

27

Ezzel egyidejűleg az említett előfizető panaszt nyújtott be a GBA‑hoz a Proximus ellen, azzal az indokkal, hogy annak ellenére, hogy kérte, hogy az adatait ne tüntessék fel a telefonkönyvekben, a telefonszáma mégis megjelent e telefonkönyvek némelyikében.

28

2019. szeptember 5‑én az érintett előfizető és a Proximus újabb üzeneteket váltott ezen előfizető adatainak az egyik harmadik fél telefonkönyvében való közzétételéről. Ebben az összefüggésben a Proximus hangsúlyozta, hogy előfizetőinek adatait továbbítja más telefonkönyv‑szolgáltatóknak, de nincs rálátása e szolgáltatók belső működési rendjére.

29

2020. július 30‑án kontradiktórius eljárást követően a vitarendezési tanács határozatot hozott, amelyben kiigazító intézkedéseket rendelt el a Proximusszal szemben, és 20000 euró összegű bírságot szabott ki vele szemben többek között a GDPR 7. cikkével összefüggésben értelmezett 6. cikkének és az említett rendelet 24. cikkével összefüggésben értelmezett 5. cikke (2) bekezdésének megsértése miatt. Konkrétan, először is arra kötelezte a Proximust, hogy megfelelő módon, azonnal tegyen eleget a hozzájárulás érintett előfizető általi visszavonásának, és járjon el ezen előfizetőnek az adatai törléséhez való joga gyakorlására irányuló kérelmeinek megfelelően. Ezt követően arra kötelezte a Proximust, hogy tegye meg a megfelelő műszaki és szervezeti intézkedéseket annak biztosítása érdekében, hogy a személyes adatok általa végzett kezelése megfeleljen a GDPR rendelkezéseinek. Végül elrendelte, hogy a Proximus hagyjon fel ezen adatok más telefonkönyv‑szolgáltatók részére történő jogellenes továbbításával.

30

2020. augusztus 28‑án a Proximus e határozattal szemben keresetet nyújtott be a hof van beroep te Brusselhez (brüsszeli fellebbviteli bíróság, Belgium).

31

A Proximus szerint az elektronikus hírközlésről szóló törvény 45. §‑ának (3) bekezdése értelmében az előfizető hozzájárulása nem követelmény, hanem az előfizetőknek egy ún. „opt‑out” rendszer szerint saját maguknak kell kérniük, hogy ne szerepeljenek a telefonkönyvekben. Ilyen kérelem hiányában az érintett előfizető tulajdonképpen szerepelhet e telefonkönyvekben. Ennélfogva a Proximus szerint a jelen esetben az előfizető részéről adott, a 95/46 irányelv vagy a GDPR értelmében vett „hozzájárulásra” nincs szükség.

32

Ezzel ellentétes véleményként a GBA lényegében arra hivatkozott, hogy a 2002/58 irányelv 12. cikkének (2) bekezdése és az elektronikus hírközlésről szóló törvény 133. cikkének (1) bekezdése megköveteli az előfizetőknek a GDPR értelmében vett „hozzájárulását”, annak érdekében, hogy a telefonkönyv‑szolgáltatók feldolgozhassák és továbbíthassák ezen előfizetők személyes adatait.

33

A kérdést előterjesztő bíróság úgy véli, hogy a 2002/58 irányelv lex specialisnak minősül a GDPR‑hoz képest, amint azt a GDPR (173) preambulumbekezdése és 95. cikke is megerősíti. Következésképpen azokban a helyzetekben, amelyekben a 2002/58 irányelv pontosítja a GDPR szabályait, ezen irányelv különös rendelkezései lex specialisként elsőbbséget élveznek a GDPR általánosabb rendelkezéseivel szemben.

34

Ebben az összefüggésben a kérdést előterjesztő bíróság megjegyzi, hogy a 2002/58 irányelv 12. cikkének (2) bekezdése és az elektronikus hírközlésről szóló törvény 133. cikkének (1) bekezdése, miközben az előfizetők részéről szándéknyilatkozatot követel meg annak érdekében, hogy a telefonkönyv‑szolgáltatók kezelhessék a személyes adataikat, nem pontosítja, hogy e szándéknyilatkozatnak egy választási jog gyakorlásában kell‑e testet öltenie, ahogyan azt a Proximus állítja, vagy egy valódi – a GDPR értelmében vett – hozzájárulásban kell megnyilvánulnia, ahogyan azt a GBA jelzi. E tekintetben a kérdést előterjesztő bíróság kiemeli, hogy a Bíróság ítélkezési gyakorlata, különösen a 2011. május 5‑iDeutsche Telekom ítélet (C‑543/09, EU:C:2011:279, 61. pont) megállapította, hogy amint az a 2002/58 irányelv 12. cikkének kontextuális és rendszertani értelmezéséből következik, a szóban forgó szándék kifejezése egy olyan „hozzájárulásnak” felel meg, amely a személyes adatok nyilvános telefonkönyvben való megjelentetésének céljára, nem pedig az adott telefonkönyv‑szolgáltató személyére vonatkozik.

35

Ezenkívül, mivel e szándéknyilatkozat vagy e „hozzájárulás” előfizető általi visszavonására vonatkozóan semmilyen külön rendszert nem dolgoztak ki, sem a 2002/58 irányelvben, sem az elektronikus hírközlésről szóló törvényben, sem valamely végrehajtási rendeletben, a kérdést előterjesztő bíróság arra keresi a választ, hogy a GDPR összes rendelkezését automatikusan és korlátozások nélkül alkalmazni kell‑e a telefonkönyvek sajátos összefüggésében is.

36

E körülmények között a hof van beroep te Brussel (brüsszeli fellebbviteli bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

37

A Proximus arra hivatkozik, hogy az alapügy nem a személyes adatokat tartalmazó telefonkönyvek valamely távközlési szolgáltató általi közzétételével kapcsolatos, így az előzetes döntéshozatalra előterjesztett első kérdést elfogadhatatlannak kell tekinteni, mivel az erre az esetre vonatkozik.

38

Az állandó ítélkezési gyakorlat szerint a nemzeti bíróság által meghatározott jogszabályi és ténybeli keretben felvetett – a helytállóságot illetően a Bíróság által nem vizsgálható –, az uniós jog értelmezésére vonatkozóan előterjesztett kérdések releváns voltát vélelmezni kell. A Bíróság csak akkor utasíthatja el a nemzeti bíróság által előterjesztett előzetes döntéshozatal iránti kérelmet, ha az uniós jog kért értelmezése nyilvánvalóan semmilyen összefüggésben nincs az alapügy tényállásával vagy tárgyával, ha a probléma hipotetikus jellegű, vagy ha nem állnak a Bíróság rendelkezésére azok a ténybeli vagy jogi elemek, amelyek szükségesek ahhoz, hogy az elé terjesztett kérdésekre hasznos választ adhasson (2022. augusztus 1‑jei Vyriausioji tarnybinės etikos komisija ítélet, C‑184/20, EU:C:2022:601, 48. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

39

Jelen esetben az alapeljárás tárgyát képező jogvita kizárólag egy természetes személy és egy olyan társaság között áll fenn, amely nem e személy távközlési szolgáltatója, azzal kapcsolatban, hogy e társaság hogyan kezelte e személy személyes adatait a telefonkönyvek kiadása keretében. Ebből következik, hogy az első kérdés elfogadhatatlan, mivel az a 2002/58 irányelv 12. cikkének (2) bekezdéséből eredő azon követelmények értelmezésére irányul, amelyek arra az esetre vonatkoznak, ha e személy távközlési szolgáltatója saját maga teszi közzé a személyes adatait telefonkönyvekben.

40

A fentiekből következik, hogy első kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a 2002/58 irányelvnek az ezen irányelv 2. cikkének második bekezdése f) pontjával és a GDPR 95. cikkével összefüggésben értelmezett 12. cikkének (2) bekezdését úgy kell‑e értelmezni, hogy a távközlési szolgáltató előfizetőjének a GDPR 4. cikkének 11. pontja értelmében vett „hozzájárulását” megkövetelik ahhoz, hogy ezen előfizető személyes adatai e szolgáltatótól eltérő, más szolgáltatók által közzétett telefonkönyvekben megjelenjenek.

41

E kérdés megválaszolása érdekében emlékeztetni kell arra, hogy a 2002/58 irányelv 1. cikkének (1) bekezdése értelmében ezen irányelv többek között azon nemzeti rendelkezések harmonizációját írja elő, amelyekre azért van szükség, hogy biztosítsák az elektronikus hírközlési ágazatban a személyes adatok kezelése vonatkozásában az alapvető jogok és szabadságok védelmének egyenértékű szintjét – különös tekintettel a magánélethez és a bizalmas adatkezeléshez való jogra.

42

Ebben a tekintetben először is emlékeztetni kell arra, hogy az elektronikus hírközlési adatvédelmi irányelv 12. cikkének (1) bekezdéséből, valamint annak (38) preambulumbekezdéséből kitűnik, hogy nyilvános telefonkönyvbe való bekerülésük előtt az előfizetőket tájékoztatni kell a névjegyzék céljairól, továbbá minden olyan felhasználás céljáról, amely a nyilvános előfizetői névjegyzék elektronikus változatában – különösen a szoftverbe beépített kereső funkciók révén – lehetséges.

43

Az elektronikus hírközlési adatvédelmi irányelv 12. cikkének (1) bekezdése alapján az előfizetők előzetes tájékoztatási kötelezettségét illetően ezen irányelv (39) preambulumbekezdése kifejti, hogy „[a]mennyiben a [személyes] adat egy vagy több harmadik személynek is továbbítható, az előfizetőt erről a lehetőségről, valamint az adatot átvevő személyéről, illetve az adat lehetséges átvevőinek kategóriáiról tájékoztatni kell”.

44

Az előfizető – az említett irányelv 12. cikkének (1) bekezdésében foglalt információk megszerzése után, ugyanezen cikk (2) bekezdéséből következően – dönthet arról, hogy a rá vonatkozó személyes adatok megjelenjenek‑e egy nyilvános telefonkönyvben, és ha igen, ezen adatok közül mely adatok jelenjenek meg.

45

Amint azt a Bíróság korábban már megállapította, az ilyen előzetes tájékoztatás lehetővé teszi az érintett előfizető számára, hogy hozzájárulását adja a rá vonatkozó személyes adatoknak nyilvános telefonkönyvekben való közzétételéhez, az ilyen hozzájárulás pedig szükséges az ilyen közzétételhez (lásd ebben az értelemben: 2011. május 5‑iDeutsche Telekom ítélet, C‑543/09, EU:C:2011:279, 54. és 58. pont).

46

Az ezen adatoknak a telefonkönyvekben való megjelentetéséhez szükséges, az érintett előfizető hozzájárulásának beszerzésére vonatkozó követelményt a 2002/58 irányelv 12. cikkének (3) bekezdése is megerősíti, amelynek értelmében a tagállamok előírhatják, hogy a nyilvános telefonkönyveknek a valamely személy adatainak a neve alapján történő egyszerű kikeresésén kívüli, minden más céljához „szintén meg kell követelni az előfizetők hozzájárulását”.

47

Ugyanakkor, amint azt a Bíróság pontosította, a 2002/58 irányelv 12. cikkének összefüggés szerinti és rendszertani értelmezéséből az következik, hogy az e cikk (2) bekezdése alapján a hozzájárulás a személyes adatok nyilvános telefonkönyvben való megjelentetésének céljára, nem pedig e telefonkönyv szolgáltatójának személyére vonatkozik. Ennélfogva, ha ez az előfizető hozzájárult ahhoz, hogy adatait különleges rendeltetésű telefonkönyvben tegyék közzé, általában nem fűződik érdeke ahhoz, hogy ellenezze ugyanezen adatoknak egy másik hasonló telefonkönyvben való megjelentetését (2011. május 5‑iDeutsche Telekom ítélet, C‑543/09, EU:C:2011:279, 61. és 62. pont).

48

E tekintetben az említett irányelv (39) preambulumbekezdése megerősíti, hogy az előfizetők személyes adatainak harmadik személyek számára való továbbítása akkor megengedett „ha garantálják, hogy az adatok kizárólag arra a célra használhatók fel, amely célra az adatgyűjtés történt”.

49

Ebből következik, hogy amennyiben egy olyan távközlési szolgáltató, mint például a Telenet, az előfizetőt tájékoztatta a személyes adatainak – nyilvános telefonkönyvben való megjelentetés céljából – valamely harmadik vállalkozás, mint a Proximus, számára való továbbításának lehetőségéről, és az előfizető hozzájárult ahhoz, hogy az említett adatok megjelenjenek egy ilyen telefonkönyvben, ugyanezen adatoknak e szolgáltató vagy e vállalkozás által egy másik vállalkozás számára való továbbításához – nyomtatott vagy elektronikus telefonkönyv megjelentetése céljából, vagy ezen telefonkönyveknek tudakozószolgálaton keresztül való hozzáférhetővé tétele céljából – nem szükséges az előfizető újabb hozzájárulása, ha biztosítják, hogy az adatokat kizárólag arra a célra használják fel, amely célra az adatoknak az első megjelentetés céljából való gyűjtése történt. Ugyanis a 2002/58 irányelv 12. cikkének (2) bekezdése alapján a kellően tájékozott előfizetőnek az őt érintő személyes adatoknak a nyilvános telefonkönyvekben való megjelenéséhez adott hozzájárulása ezen megjelentetés céljára vonatkozik, ennélfogva az kiterjed az azokra vonatkozóan a nyilvánosan elérhető tudakozó‑ és telefonkönyv‑szolgáltatási piacon működő vállalkozások által ezt követően végzett összes adatkezelésre, amennyiben ezeknek az adatkezeléseknek ugyanez a céljuk (2011. május 5‑iDeutsche Telekom ítélet, C‑543/09, EU:C:2011:279, 65. pont).

50

Ha viszont, amint azt ezen irányelv (39) preambulumbekezdése kimondja, az adatot az előfizetőtől gyűjtő fél vagy bármely harmadik személy, akihez az adatot továbbították, valamilyen további célra kívánja használni az adatot, az adatot eredetileg gyűjtő félnek vagy annak a harmadik személynek, akihez az adatot továbbították, be kell szereznie az előfizető megújított hozzájárulását.

51

Azon részletes szabályokat illetően, amelyek szerint az ilyen hozzájárulást meg kell adni, a 2002/58 irányelv 2. cikke második bekezdésének a GDPR 94. cikkének (2) bekezdésével és 95. cikkével összefüggésben értelmezett f) pontjából az következik, hogy e hozzájárulásnak főszabály szerint meg kell felelnie az e rendelet 4. cikkének 11. pontjából eredő követelményeknek.

52

Jelen esetben a GDPR 4. cikkének 11. pontja, amely az alapügy tényállására alkalmazandó rendelkezés, úgy határozza meg az „érintett személy hozzájárulását”, hogy az az érintett személy akaratának „önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítását” követeli meg, amely egy nyilatkozat vagy egy „megerősítést félreérthetetlenül kifejező cselekedet” útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

53

Ebből következik, hogy ilyen hozzájárulásra szükség van ahhoz, hogy a távközlési szolgáltató előfizetőjére vonatkozó személyes adatok telefonkönyvekben szerepelhessenek.

54

Következésképpen a szóban forgó előfizetőre vonatkozó személyes adatoknak a Proximus vagy más szolgáltatók által kiadott telefonkönyvekben való megjelentetését a GDPR 6. cikke (1) bekezdésének a) pontja értelmében csak ilyen hozzájárulás fennállása esetén lehet jogszerűnek tekinteni, mivel azt kifejezetten a távközlési szolgáltatónak vagy e telefonkönyv‑szolgáltatóknak adták meg.

55

Mindemellett, amint arra a jelen ítélet 49. pontja emlékeztet, az ilyen hozzájárulás nem feltételezi, hogy az érintett személy annak megadásának időpontjában szükségszerűen ismerte a személyes adatait kezelő összes telefonkönyv‑szolgáltató kilétét.

56

A fenti megfontolásokra tekintettel az első kérdésre azt a választ kell adni, hogy a 2002/58 irányelvnek az ezen irányelv 2. cikkének második bekezdése f) pontjával és a GDPR 95. cikkével összefüggésben értelmezett 12. cikkének (2) bekezdését úgy kell értelmezni, hogy a valamely távközlési szolgáltató előfizetőjének a GDPR 4. cikkének 11. pontja értelmében vett „hozzájárulása” követelmény ahhoz, hogy ezen előfizető személyes adatai szerepeljenek az e szolgáltatón kívüli, más szolgáltatók által kiadott telefonkönyvekben, ugyanakkor elegendő, ha e hozzájárulást kizárólag az említett szolgáltatónak adják meg.

57

Második kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 17. cikkét úgy kell‑e értelmezni, hogy az előfizető személyes adatainak a telefonkönyvekből való törlésére irányuló kérelme az e cikk értelmében vett „törléshez való jog” gyakorlásának minősül.

58

Mindenekelőtt meg kell jegyezni, hogy a Proximus azt állítja, hogy a GDPR 17. cikke nem alkalmazható egy olyan telefonkönyv‑szolgáltatóra, mint a jelen ügyben szereplő, amely nem az előfizető távközlési szolgáltatója, és hogy a jelen ítélet előző pontjában említetthez hasonló kérelmet legfeljebb az e rendelet 16. cikke értelmében vett helyesbítés iránti kérelemnek kell tekinteni, így az előzetes döntéshozatalra előterjesztett második kérdés elfogadhatatlan, mivel az alapügy szempontjából nem releváns.

59

Mindenesetre az e fél által ily módon előadott érvek lényegében a második kérdés tárgyát képező uniós jogi rendelkezések hatályára, és ennélfogva azok értelmezésére vonatkoznak. Márpedig az ilyen, az előterjesztett kérdés érdemére vonatkozó érvek ily módon, lényegüknél fogva, nem vezethetnek a kérdés elfogadhatatlanságának megállapítására (2022. január 13‑iMinister Sprawiedliwości ítélet, C‑55/20, EU:C:2022:6, 83. pont).

60

Következésképpen az előzetes döntéshozatalra előterjesztett második kérdés elfogadható.

61

Először is hangsúlyozni kell, hogy a 2002/58 irányelv 12. cikke (2) bekezdésének második mondata értelmében az előfizetőknek többek között lehetőséget kell biztosítani arra, hogy a rájuk vonatkozó személyes adatokat töröljék a nyilvános telefonkönyvekből.

62

Ugyanakkor az előfizetők számára biztosított ilyen lehetőség nem minősül a GDPR 95. cikke értelmében vett olyan különös kötelezettségnek, amely lehetővé tenné e rendelet releváns rendelkezései alkalmazásának kizárását. Ugyanis, amint arra a főtanácsnok az indítványának 54. pontjában lényegében rámutatott, a 2002/58 irányelv nem tartalmaz iránymutatást a személyes adatok törlése iránti kérelmek részletes szabályairól, végrehajtásáról és következményeiről. Ennélfogva, amint egyébként ezen irányelvnek az e rendelet 94. cikkével összefüggésben értelmezett (10) preambulumbekezdéséből kitűnik, a GDPR rendelkezései megfelelőek ahhoz, hogy ilyen esetben alkalmazni lehessen őket.

63

Másodszor, a GDPR 17. cikke (1) bekezdésének b) és d) pontjából az következik, hogy az érintett személynek joga van ahhoz, hogy kérje az adatkezelőtől a rá vonatkozó személyes adatok törlését, az adatkezelő pedig köteles ezen adatokat a lehető legrövidebb időn belül törölni, különösen akkor, ha az érintett személy „visszavonja az adatkezelés alapját képező hozzájárulását a 6. cikk (1) bekezdése a) pontjának megfelelően, […] és az adatkezelésre nincs más jogalap”, vagy amikor „a személyes adatokat jogellenesen kezelték”.

64

E tekintetben egyrészt az előzetes döntéshozatalra előterjesztett első kérdésre adott válaszból következik, hogy az előfizető személyes adatainak telefonkönyvekben való megjelentetése ezen előfizető hozzájárulásán alapul.

65

Másrészt a GDPR 6. cikke (1) bekezdésének a) pontjából és 7. cikkének (3) bekezdéséből az következik, hogy egy ilyen hozzájárulás azoknak a szükséges feltételeknek az egyikét képezi, amelyek lehetővé teszik az érintett előfizető személyes adatai kezelése jogszerűségének megállapítását, valamint hogy e hozzájárulás bármikor visszavonható, épp olyan egyszerű módon, mint ahogyan az érintett megadhatta e hozzájárulást.

66

A jelen esetben, amikor az előfizető azt kéri, hogy adatai már ne szerepeljenek egy telefonkönyvben, ezzel visszavonja az ezen adatok közzétételéhez való hozzájárulását. A hozzájárulásának visszavonása alapján az előfizető, az ilyen adatkezelés egyéb jogalapja hiányában, megkapja a jogot személyes adatainak e telefonkönyvből való törléséhez a GDPR 17. cikke (1) bekezdésének b) pontja alapján, vagy amennyiben az adatkezelő továbbra is jogellenesen közzéteszi az említett adatokat, e rendelet 17. cikke (1) bekezdésének d) pontja alapján.

67

E körülmények között meg kell állapítani, hogy valamely előfizető arra irányuló kérelme, hogy törölje személyes adatait a telefonkönyvekből, az említett adatoknak a GDPR 17. cikke értelmében vett „törléséhez való jog” gyakorlásának tekinthető.

68

E következtetést nem kérdőjelezheti meg a Proximus által felhozott azon érv, amely szerint az ilyen kérelmet úgy kell tekinteni, mint amely lehetővé teszi ezen előfizető számára azon jogának gyakorlását, hogy az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését kérje a GDPR 16. cikke alapján. E rendelkezés értelmében ugyanis akkor van lehetőség ilyen helyesbítésre, ha ezen adatok pontatlanok, és a helyesbítés célja annak lehetővé tétele, hogy az érintett személy azokat kiegészítse.

69

Márpedig a jelen esetben az egyik előfizető telefonkönyvben szereplő adatainak törlése iránti kérelem nem arra irányul, hogy a pontatlan adatokat helyes adatokkal váltsák fel, vagy hogy a hiányos adatokat kiegészítsék, hanem arra, hogy töröljék a helyes adatokat.

70

Az, hogy az ilyen törlés a jelen ügyben az érintett előfizetőhöz rendelt kód egyszerű módosításában nyilvánul meg a Proximus adatbázisában, amelyből ezen előfizető személyes adatait közzéteszik a telefonkönyvekben, nem képezi akadályát annak, hogy az e telefonkönyvekben szereplő személyes adatok törlése iránti kérelmet a GDPR 17. cikke értelmében vett „törlés iránti kérelemnek” lehessen tekinteni. Amint ugyanis a Bíróság rendelkezésére álló ügyiratokból kitűnik, a törlésnek az említett szolgáltató által előírt részletes szabályai tisztán technikai vagy szervezeti jellegű intézkedésnek minősülnek, amelyek szükségeseknek bizonyulnak az érintett személyes adatainak törlése iránti kérelem teljesítéséhez és ezen adatok közzétételének megakadályozásához.

71

A fenti megfontolásokra tekintettel a második kérdésre azt a választ kell adni, hogy a GDPR 17. cikkét úgy kell értelmezni, hogy az előfizető személyes adatainak a telefonkönyvekből való törlésére irányuló kérelem az e cikk értelmében vett „törléshez való jog” gyakorlásának minősül.

72

Harmadik kérdésével a kérdést előterjesztő bíróság lényegében arra szeretne választ kapni, hogy a GDPR 5. cikkének (2) bekezdését és 24. cikkét úgy kell‑e értelmezni, hogy a nemzeti felügyeleti hatóság megkövetelheti, hogy a telefonkönyv‑szolgáltató, mint adatkezelő, tegye meg a megfelelő műszaki és szervezeti intézkedéseket annak érdekében, hogy tájékoztassa arról a harmadik fél adatkezelőket, vagyis azon távközlési szolgáltatót, amely közölte vele az előfizetőjének személyes adatait, valamint azon egyéb telefonkönyv‑szolgáltatókat, amelyeknek ő maga szolgáltatott ilyen adatokat, hogy ezen előfizető visszavonta a hozzájárulását.

73

Előzetesen meg kell állapítani, hogy a jelen ügyben a Proximus kezelte a panaszos személyes adatait, azok közzétételével, illetve más telefonkönyv‑szolgáltatókkal való közlésével. A Telenet, a felperes távközlési szolgáltatója, szintén kezelte ezen adatokat, többek között azoknak a Proximusnak való továbbításával. Ugyanez vonatkozik a többi telefonkönyv‑szolgáltatóra, amelyeknek a Proximus továbbította e panaszos adatait, és amelyek azokat közzétették.

74

Ezenkívül meg kell állapítani egyrészt, hogy – amint arra a jelen ítélet 20. pontja emlékeztet – noha az elektronikus hírközlésről szóló törvény kötelezi a távközlési szolgáltatókat arra, hogy az előfizetőikre vonatkozó adatokat adják át a nyilvánostelefonkönyv‑ szolgáltatóknak, e távközlési szolgáltatóknak el kell különíteniük egymástól azokat az adatokat, amelyek azokra az előfizetőkre vonatkoznak, akik azt kérték, hogy ne szerepeljenek a telefonkönyvben, oly módon, hogy kaphassanak egy példányt e telefonkönyvből, anélkül, hogy abban szerepelnének az adataik.

75

A Bíróság rendelkezésére álló ügyiratokból kiderül, hogy a gyakorlatban az előfizető általában a távközlési szolgáltatójánál járul hozzá ahhoz, hogy személyes adatait telefonkönyvben közzétegyék, és az ilyen hozzájárulás lehetővé teszi, hogy ezeket az adatokat valamely harmadik személy, azaz valamely telefonkönyv‑szolgáltató részére továbbítsák. E telefonkönyv‑szolgáltató ugyanezen hozzájárulás alapján maga is közölhet ilyen adatokat más telefonkönyv‑szolgáltatókkal, ily módon ezek az adatkezelők egy láncot alkotnak, amelyben mindegyik fél egymás után kezeli az említett adatokat, önálló módon, egyazon hozzájárulás alapján.

76

Másrészt a Bíróság rendelkezésére álló ügyiratokból az is kiderül, hogy a Proximus adatbázisának naprakésszé tételét, amely a panaszos által adott hozzájárulás visszavonását tartalmazta volna, törölték, amikor a távközlési szolgáltatója új listát adott át a Proximusnak az előfizetőire vonatkozó adatokról, azok telefonkönyvben való közzététele céljából, és az nem vette figyelembe azt, hogy a panaszos visszavonta a hozzájárulását a Proximusnál.

77

Ebben az összefüggésben felmerül tehát a kérdés, hogy egy olyan telefonkönyv‑szolgáltatónak, mint amilyen a Proximus, amikor valamely távközlési szolgáltató előfizetője visszavonja az e szolgáltató telefonkönyveiben való szereplésre vonatkozó hozzájárulását, nem csak a saját adatbázisát kell naprakésszé tennie e visszavonás figyelembevétele érdekében, hanem arról tájékoztatnia kell azt a távközlési szolgáltatót is, amely közölte vele ezen adatokat, valamint a többi olyan telefonkönyv‑szolgáltatót, amelynek ő maga továbbította az ilyen adatokat.

78

Először is emlékeztetni kell arra, hogy a GDPR 6. cikke (1) bekezdésének a) pontja azt írja elő, hogy az adatkezelés akkor és annyiban jogszerű, ha az érintett személy, egy vagy több konkrét célból, hozzájárult a személyes adatainak kezeléséhez. Márpedig, az előzetes döntéshozatalra utaló határozatból kitűnik, hogy a panaszos visszavonta a személyes adatainak telefonkönyvekben történő közzététel céljából való kezeléséhez adott, az e rendelet 7. cikkének (3) bekezdése értelmében vett hozzájárulását. Egy ilyen visszavonást követően ezen adatoknak a nyilvános telefonkönyvbe történő felvétele céljából való kezelésének – ideértve azt a kezelést is, amelyet ugyanezen célból a távközlési szolgáltatók vagy más telefonkönyv‑szolgáltatók végeznek ugyanezen hozzájárulás alapján – az említett rendelet 6. cikke (1) bekezdésének a) pontjára tekintettel már nincs meg a jogalapja, és így jogellenes.

79

Másodszor emlékeztetni kell arra, hogy a GDPR 5. cikke (1) bekezdése a) pontjának és (2) bekezdésének megfelelően az adatkezelőnek meg kell győződnie arról, hogy bizonyítani tudja, hogy a személyes adatokat jogszerűen, tisztességesen és átláthatóan kezelik az érintett személy tekintetében.

80

Ami a GDPR 24. cikkét illeti, az megköveteli, hogy – az adatkezelés jellegére, terjedelmére, kontextusára és céljaira tekintettel – az adatkezelő megfelelő műszaki és szervezeti intézkedéseket tegyen annak érdekében, hogy meggyőződhessen arról és bizonyítani tudja azt, hogy az adatkezelést e rendeletnek megfelelően végzik.

81

Amint arra a főtanácsnok az indítványának 67. pontjában rámutatott, a GDPR 5. cikkének (2) bekezdése és 24. cikke általános felelősséget és megfelelési kötelezettséget ír elő a személyes adatok kezelőivel szemben. Konkrétan, e rendelkezések megkövetelik az adatkezelőktől, hogy hozzanak az adatvédelemhez való jog biztosítása érdekében a GDPR által előírt szabályok esetleges megsértésének megelőzésére irányuló megfelelő intézkedéseket.

82

Ebből a szempontból a GDPR 19. cikke többek között azt írja elő, hogy az adatkezelő minden egyes címzettet, akivel a személyes adatokat közöltek, értesítsen a személyes adatok e rendelet 17. cikke (1) bekezdésének megfelelően történt törléséről, kivéve ha az ilyen értesítés lehetetlennek bizonyul, vagy aránytalan erőfeszítéseket igényel.

83

Márpedig a GDPR‑nek a 19. cikkével összefüggésben értelmezett 5. cikke (2) bekezdésében és 24. cikkében előírt általános kötelezettségekből következik, hogy egy olyan személyesadat‑kezelőnek, mint a Proximus, megfelelő műszaki és szervezeti intézkedéseket kell hoznia annak érdekében, hogy tájékoztassa a többi olyan telefonkönyv‑szolgáltatót, amelynek ilyen adatokat szolgáltatott, az érintett személy hozzájárulásának neki címzett visszavonásáról. Olyan körülmények között, mint amelyek a jelen ítélet 76. pontjában említettek, az ilyen adatkezelőnek arra is ügyelnie kell, hogy tájékoztassa azt a távközlési szolgáltatót, amely vele e személyes adatokat közölte, annak érdekében, hogy ez utóbbi kiigazítsa azon személyes adatok listáját, amelyeket automatikusan továbbít e telefonkönyv‑szolgáltatónak, és elkülönítse azon előfizetőinek az adatait, akik kinyilvánították azon szándékukat, hogy visszavonják az ezen adatok közzétételéhez való hozzájárulásukat.

84

Olyankor ugyanis, mint a jelen esetben is, amikor különböző adatkezelők az érintett személy egyazon hozzájárulása alapján járnak el személyes adatainak ugyanazon célból történő kezelését illetően, ahhoz, hogy e személy visszavonja az ilyen hozzájárulást, elegendő, ha az említett visszavonás céljából az ugyanezen hozzájárulás alapján eljáró adatkezelők bármelyikéhez fordul.

85

Amint arra a Bizottság helyesen rámutat, az érintett személynek a GDPR 7. cikkének (3) bekezdésében előírt hozzájárulása visszavonására vonatkozó jog hatékonyságának biztosítása, valamint annak biztosítása érdekében, hogy az érintett személy hozzájárulása szigorúan ahhoz a célhoz legyen kötött, amelyre tekintettel azt megadták, az az adatkezelő, amelynél az érintett személy visszavonja a személyes adatainak kezeléséhez való hozzájárulását, ténylegesen köteles tájékoztatni e visszavonásról minden olyan személyt, amely az ő számára ezen adatokat továbbította, valamint azt a személyt, amelynek ő maga továbbította az említett adatokat. Az ekként tájékoztatott adatkezelők ezt követően maguk is kötelesek megküldeni ezeket az információkat a többi adatkezelőnek, akikkel ezeket az adatokat közölték.

86

E tekintetben mindenekelőtt azt kell megállapítani, hogy az ilyen tájékoztatási kötelezettség arra irányul, hogy megelőzze a GDPR által az adatvédelemhez való jog biztosítása érdekében előírt szabályok esetleges megsértését, és így az e rendelet 24. cikke értelmében vett megfelelő intézkedések keretébe illeszkedik. Ezenkívül, amint azt a főtanácsnok az indítványának 68. pontjában hangsúlyozta, e kötelezettség az e rendelet 12. cikkének (2) bekezdésében előírt követelmény keretébe is illeszkedik, amelynek értelmében az adatkezelő köteles elősegíteni az érintett személy számára többek között az említett rendelet 17. cikke által garantált jogok gyakorlását.

87

Ezt követően meg kell állapítani, hogy amennyiben az érintett személy hozzájárulásának visszavonását illetően az adatkezelőnek nem lenne ilyen tájékoztatási kötelezettsége, az a gyakorlatban rendkívül nehézzé tenné a hozzájárulás visszavonását, hiszen e személy azt hihetné, hogy köteles minden egyes szolgáltatóhoz ilyen kérelmet intézni. Egy ilyen megközelítés tehát ellentétes lenne a GDPR 7. cikkének (3) bekezdésével, amely szerint a személyes adatok kezeléséhez való hozzájárulás visszavonásának éppolyan egyszerűnek kell lennie, mint a hozzájárulás megadásának.

88

Végül a jelen ítélet 49. pontjában felidézett ítélkezési gyakorlat szerint, a megfelelően tájékozott előfizetőnek a 2002/58 irányelv 12. cikkének (2) bekezdése alapján ahhoz való hozzájárulása, hogy valamely nyilvános telefonkönyvben rá vonatkozó személyes adatokat közzétegyenek, ezen közzététel céljára vonatkozik, és így kiterjed az említett adatoknak a telefonkönyvek piacán működő harmadik vállalkozások általi minden további kezelésére, amennyiben az ilyen adatkezelések ugyanezt a célt követik.

89

Ebből következik, hogy – amint arra a főtanácsnok indítványának 68. pontjában rámutatott – mivel a telefonkönyv‑szolgáltató hivatkozhat az adatok kezeléséhez való azon hozzájárulásra, amelyet valamely előfizető e célból egy másik szolgáltató vagy a távközlési szolgáltatója számára megadott, az előfizetőnek lehetőséget kell biztosítani arra, hogy hozzájárulásának visszavonása érdekében a telefonkönyv‑szolgáltatók bármelyikéhez vagy e távközlési szolgáltatóhoz fordulhasson annak érdekében, hogy elérje azt, hogy adatait az összes olyan szolgáltató, amely a hozzájárulásának egyazon kinyilvánítása alapján jár el, törölje az általa közzétett telefonkönyvekből.

90

A fenti megfontolásokra tekintettel a harmadik kérdésre azt a választ kell adni, hogy a GDPR 5. cikkének (2) bekezdését és 24. cikkét úgy kell értelmezni, hogy a nemzeti felügyeleti hatóság megkövetelheti, hogy a telefonkönyv‑szolgáltató, mint adatkezelő, tegye meg a megfelelő műszaki és szervezeti intézkedéseket annak érdekében, hogy tájékoztassa a harmadik fél adatkezelőket – nevezetesen azt a távközlési szolgáltatót, amely közölte vele az előfizetőjének személyes adatait, valamint azt a többi telefonkönyv‑szolgáltatót, amelynek ő szolgáltatott ilyen adatokat – ezen előfizető hozzájárulásának visszavonásáról.

91

Negyedik kérdésével a kérdést előterjesztő bíróság lényegében arra keresi a választ, hogy a GDPR 17. cikkének (2) bekezdését úgy kell‑e értelmezni, hogy azzal ellentétes, ha a nemzeti felügyeleti hatóság arra kötelez egy olyan telefonkönyv‑szolgáltatót, amelytől valamely távközlési szolgáltató előfizetője azt kérte, hogy ne tegye többé közzé a rá vonatkozó személyes adatokat, hogy tegye meg az e rendelkezés értelmében vett „észszerű intézkedéseket” annak érdekében, hogy tájékoztassa a keresőmotorok üzemeltetőit az adatok törlése iránti kérelemről.

92

E kérdés megválaszolása érdekében emlékeztetni kell arra, hogy a GDPR 17. cikkének (2) bekezdése arra kötelezi a személyes adatokat nyilvánosságra hozó adatkezelőt, hogy tegye meg a rendelkezésre álló technológiákra és a végrehajtás költségeire tekintettel észszerű intézkedéseket, ideértve a műszaki jellegű intézkedéseket is, annak érdekében, hogy tájékoztassa az e személyes adatokat kezelő adatkezelőket arról, hogy az érintett személy kérte az ezen személyes adatokra mutató linkeknek vagy ezen adatok összes másolatának és többszörözésének ezen adatkezelők általi törlését.

93

Amint az a GDPR (66) preambulumbekezdéséből kitűnik, e kötelezettség célja az online környezetben való elfeledtetéshez való jog megerősítése, és ennélfogva különösen az online közzétett adatokat kezelő keresőmotorok üzemeltetői által az interneten rendelkezésre bocsátott információkra vonatkozik.

94

A jelen ügyben nem vitatott, hogy a Proximus a telefonkönyvében közzétette a panaszos személyes adatait, és ennélfogva e társaságot a GDPR 17. cikkének (2) bekezdése értelmében az ilyen adatokat nyilvánosságra hozó adatkezelőnek kell tekinteni.

95

Ezenfelül, e tekintetben emlékeztetni kell egyrészt arra, hogy az állandó ítélkezési gyakorlat szerint a keresőmotorok útján végzett olyan tevékenységet, amely harmadik fél által az interneten közzétett vagy megosztott információk kereséséből, automatikus indexálásából, ideiglenes tárolásából, majd végül bizonyos válogatási szempontok alapján az internethasználók számára történő hozzáférhetővé tételéből áll, a GDPR 4. cikkének 2. pontja értelmében vett személyes adatok „kezelésének” kell tekinteni, amennyiben ezek az információk személyes adatokat tartalmaznak, másrészt pedig arra, hogy e keresőmotor üzemeltetőjét az említett adatkezelés szempontjából az e rendelet 4. cikkének 7. pontja, és ennélfogva 17. cikkének (2) bekezdése értelmében is „adatkezelőnek” kell tekinteni (lásd ebben az értelemben: 2019. szeptember 24‑iGC és társai [Különleges adatokra mutató linkek törlése] ítélet, C‑136/17, EU:C:2019:773, 35. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

96

Ennélfogva olyan körülmények között, mint amelyekről az alapügyben szó van, meg kell állapítani, hogy egy olyan adatkezelő, mint a Proximus, a GDPR 17. cikkének (2) bekezdése értelmében köteles arra, hogy megtegye az észszerű intézkedéseket annak érdekében, hogy tájékoztassa a keresőmotorok üzemeltetőit a valamely távközlési szolgáltató előfizetője által hozzá intézett, ezen előfizető személyes adatainak törlése iránti kérelemről. Ezzel együtt, amint arra a főtanácsnok az indítványának 76. pontjában rámutatott, a telefonkönyv‑szolgáltató által hozott intézkedések észszerű jellegének értékelése érdekében a GDPR 17. cikkének (2) bekezdése előírja, hogy az elérhető technológiát és a végrehajtási költségeket figyelembe kell venni, mivel ez az értékelés elsősorban az e területen hatáskörrel rendelkező hatóságra tartozik, és bírósági felülvizsgálat tárgyát képezheti.

97

A jelen ügyben a GBA által előterjesztett írásbeli észrevételekből, amelyeket a jelen eljárásban részt vevő többi fél nem vitatott, kitűnik, hogy 2020 második negyedévében a Belgiumban működő keresőmotor‑üzemeltetők száma korlátozott volt. Közelebbről, a Google az irodai számítógépeken végzett keresések tekintetében 90%‑os piaci részesedéssel rendelkezett, az okostelefonokon és a tableteken végzett keresések tekintetében pedig 99%‑os piaci részesedéssel rendelkezett.

98

Ezenkívül, amint az a jelen ítélet 26. pontjában szerepel, a Bíróság rendelkezésére álló ügyiratokból kiderül, hogy az előfizető azon kérését követően, hogy az adatait ne szerepeltessék e szolgáltató telefonkönyveiben, a Proximus azt válaszolta, hogy ő nem csupán törölte ezeket az adatokat a telefonkönyvekből és a tudakozószolgáltatásból, hanem a Google‑lel is felvette a kapcsolatot annak érdekében, hogy a Proximus internetes oldalára mutató releváns linkeket töröljék.

99

A fenti megfontolásokra tekintettel a negyedik kérdésre azt a választ kell adni, hogy a GDPR 17. cikkének (2) bekezdését úgy kell értelmezni, hogy azzal nem ellentétes, ha a nemzeti felügyeleti hatóság arra kötelez egy olyan telefonkönyv‑szolgáltatót, amelytől valamely távközlési szolgáltató előfizetője azt kérte, hogy a továbbiakban ne tegye közzé a rá vonatkozó személyes adatokat, hogy tegye meg az e rendelkezés értelmében vett „észszerű intézkedéseket” annak érdekében, hogy tájékoztassa a keresőmotorok üzemeltetőit az adatok törlési iránti ezen kérelemről.

100

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (negyedik tanács) a következőképpen határozott: