This document is an excerpt from the EUR-Lex website
Document 62021CJ0180
Judgment of the Court (Fifth Chamber) of 8 December 2022.#VS v Inspektor v Inspektorata kam Visshia sadeben savet.#Request for a preliminary ruling from the Administrativen sad - Blagoevgrad.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Articles 2, 4 and 6 – Applicability of Regulation 2016/679 – Concept of ‘legitimate interest’ – Concept of ‘task carried out in the public interest or in the exercise of official authority’ – Directive (EU) 2016/680 – Articles 1, 3, 4, 6 and 9 – Lawfulness of the processing of personal data collected in the course of a criminal investigation – Subsequent processing of data relating to a presumed victim of a criminal offence for the purpose of making a formal accusation in respect of him or her – Concept of purpose ‘other than that for which the personal data are collected’ – Data used by the public prosecutor’s office of a Member State for the purposes of its defence in an action for damages against the State.#Case C-180/21.
A Bíróság ítélete (ötödik tanács), 2022. december 8.
VS kontra Inspektor v Inspektorata kam Visshia sadeben savet.
Az Administrativen sad - Blagoevgrad (Bulgária) által benyújtott előzetes döntéshozatal iránti kérelem.
Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – 2., 4. és 6. cikk – A 2016/679 rendelet alkalmazhatósága – A »jogos érdek« fogalma – A »közérdekű vagy […] közhatalmi jogosítvány gyakorlásának keretében végzett feladat« fogalma – (EU) 2016/680 irányelv – 1., 3., 4., 6. és 9. cikk – Nyomozás keretében gyűjtött személyes adatok kezelésének jogszerűsége – A bűncselekmény feltételezett áldozatára vonatkozó adatoknak az e személlyel szembeni vádemelés érdekében történő további kezelése – Az »[adatgyűjtés] céljától eltérő cél« fogalma – Az állam felelősségének megállapítására irányuló eljárás keretében a tagállami ügyészség által a védekezése céljából felhasznált adatok.
C-180/21. sz. ügy.
A Bíróság ítélete (ötödik tanács), 2022. december 8.
VS kontra Inspektor v Inspektorata kam Visshia sadeben savet.
Az Administrativen sad - Blagoevgrad (Bulgária) által benyújtott előzetes döntéshozatal iránti kérelem.
Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – 2., 4. és 6. cikk – A 2016/679 rendelet alkalmazhatósága – A »jogos érdek« fogalma – A »közérdekű vagy […] közhatalmi jogosítvány gyakorlásának keretében végzett feladat« fogalma – (EU) 2016/680 irányelv – 1., 3., 4., 6. és 9. cikk – Nyomozás keretében gyűjtött személyes adatok kezelésének jogszerűsége – A bűncselekmény feltételezett áldozatára vonatkozó adatoknak az e személlyel szembeni vádemelés érdekében történő további kezelése – Az »[adatgyűjtés] céljától eltérő cél« fogalma – Az állam felelősségének megállapítására irányuló eljárás keretében a tagállami ügyészség által a védekezése céljából felhasznált adatok.
C-180/21. sz. ügy.
Court reports – general
ECLI identifier: ECLI:EU:C:2022:967
A BÍRÓSÁG ÍTÉLETE (ötödik tanács)
2022. december 8. ( *1 )
„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – 2., 4. és 6. cikk – A 2016/679 rendelet alkalmazhatósága – A »jogos érdek« fogalma – A »közérdekű vagy […] közhatalmi jogosítvány gyakorlásának keretében végzett feladat« fogalma – (EU) 2016/680 irányelv – 1., 3., 4., 6. és 9. cikk – Nyomozás keretében gyűjtött személyes adatok kezelésének jogszerűsége – A bűncselekmény feltételezett áldozatára vonatkozó adatoknak az e személlyel szembeni vádemelés érdekében történő további kezelése – Az »[adatgyűjtés] céljától eltérő cél« fogalma – Az állam felelősségének megállapítására irányuló eljárás keretében a tagállami ügyészség által a védekezése céljából felhasznált adatok”
A C‑180/21. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet az Administrativen sad – Blagoevgrad (blagoevgradi közigazgatási bíróság, Bulgária) a Bírósághoz 2021. március 23‑án érkezett, 2021. március 19‑i határozatával terjesztett elő a
VS
és
az Inspektor v Inspektorata kam Visshia sadeben savet
között,
a Teritorialno otdelenie – Petrich kam Rayonna prokuratura – Blagoevgrad
részvételével folyamatban lévő eljárásban,
A BÍRÓSÁG (ötödik tanács),
tagjai: E. Regan tanácselnök, D. Gratsias (előadó), M. Ilešič, I. Jarukaitis és Csehi Z. bírák,
főtanácsnok: M. Campos Sánchez‑Bordona,
hivatalvezető: A. Calot Escobar,
tekintettel az írásbeli szakaszra,
figyelembe véve a következők által előterjesztett észrevételeket:
– |
VS képviseletében V. Harizanova, |
– |
az Inspektor v Inspektorata kam Visshia sadeben savet képviseletében S. Mulyachka, |
– |
a bolgár kormány képviseletében M. Georgieva és T. Mitova, meghatalmazotti minőségben, |
– |
a cseh kormány képviseletében O. Serdula, M. Smolek és J. Vláčil, meghatalmazotti minőségben, |
– |
a holland kormány képviseletében M. K. Bulterman és J. M. Hoogveld, meghatalmazotti minőségben, |
– |
az Európai Bizottság képviseletében H. Kranenborg és I. Zaloguin, meghatalmazotti minőségben, |
a főtanácsnok indítványának a 2022. május 19‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 |
Az előzetes döntéshozatal iránti kérelem a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/680 európai parlamenti és tanácsi irányelv (HL 2016. L 119., 89. o.; helyesbítések: HL L 127., 2018.5.23., 7. o. és HL L 74., 2021.3.4., 39. o.) 1. cikke (1) bekezdésének, valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendeletnek (HL 2016. L 119., 1. o.; a továbbiakban: általános adatvédelmi rendelet), különösen e rendelet 6. cikke (1) bekezdésének az értelmezésére vonatkozik. |
2 |
E kérelmet a VS és az Inspektor v Inspektorata kam Visshia sadeben savet (a legfelsőbb igazságszolgáltatási tanács felügyeleti hatósága, Bulgária; a továbbiakban: IVSS) között a petrichi (Bulgária) kerületi ügyészség által végzett személyesadat‑kezelés jogszerűsége tárgyában folyamatban lévő jogvita keretében terjesztették elő. |
Jogi háttér
Az uniós jog
Az általános adatvédelmi rendelet
3 |
Az általános adatvédelmi rendelet (19), (45) és (47) preambulumbekezdése a következőket mondja ki:
[…]
[…]
|
4 |
Az általános adatvédelmi rendelet „Tárgyi hatály” című 2. cikke az (1) és a (2) bekezdésében a következőképpen rendelkezik: „(1) E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. (2) E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:
[…]
|
5 |
Az általános adatvédelmi rendelet „Fogalommeghatározások” című 4. cikke a következőképpen rendelkezik: „E rendelet alkalmazásában:
[…]
[…]” |
6 |
Az általános adatvédelmi rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke az (1) bekezdésében a következőképpen rendelkezik: „A személyes adatok: […]
[…]” |
7 |
Az általános adatvédelmi rendeletnek „Az adatkezelés jogszerűsége” című 6. cikke értelmében: „(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül: […]
[…]
[Az (1) bekezdés első albekezdésének f) pontja] nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre. […] (3) Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:
Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. […]” |
8 |
Az általános adatvédelmi rendeletnek „A tiltakozáshoz való jog” című 21. cikke az (1) bekezdésében a következőket írja elő: „Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen […]. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.” |
9 |
Az általános adatvédelmi rendelet „Korlátozások” című 23. cikke az (1) bekezdésében kimondja, hogy az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint különösen az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban. |
A 2016/680 irányelv
10 |
A 2016/680 irányelv (8)–(12), (27) és (29) preambulumbekezdése a következőket mondja ki:
[…]
[…]
|
11 |
Ezen irányelv „Tárgy és célok” című 1. cikke az (1) bekezdésében a következőképpen rendelkezik: „Ez az irányelv szabályokat állapít meg a természetes személyek védelmére a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – így többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végzett kezelése tekintetében.” |
12 |
A „személyes adat”, illetve az „adatkezelés” kifejezéseknek az említett irányelv „Fogalommeghatározások” című 3. cikke 1., illetve 2. pontjában szereplő meghatározásai átveszik az általános adatvédelmi rendelet 4. cikkének 1. és 2. pontjában szereplő meghatározásokat. |
13 |
A 2016/680 irányelv 3. cikke 7. pontja a) alpontjának, valamint ugyanezen cikk 8. pontjának értelmében: „Ezen irányelv alkalmazásában: […] 7. »illetékes hatóság«:
[…] 8. »adatkezelő«: az az illetékes hatóság, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az ilyen adatkezelés céljait és eszközeit az uniós vagy tagállami jog határozza meg, az adatkezelőt vagy a kijelölésre vonatkozó különös szempontokat az uniós vagy tagállami jog is meghatározhatja”. |
14 |
A 2016/680 irányelvnek „A személyes adatok kezelésére vonatkozó elvek” című 4. cikke az (1) bekezdésében a következőket mondja ki: „A tagállamok előírják, hogy a személyes adatok: […]
[…]” |
15 |
A 2016/680 irányelv 4. cikkének (2) bekezdése a következőképpen rendelkezik: „Az azonos vagy más adatkezelő által az 1. cikk (1) bekezdésében meghatározott, de a személyes adatok gyűjtésének céljától eltérő célból végzett adatkezelés akkor megengedett, ha:
|
16 |
A 2016/680 irányelvnek „Az érintettek különböző kategóriái közötti különbségtétel” című 6. cikke értelmében: „A tagállamok előírják az adatkezelő számára, hogy adott esetben és amennyire lehetséges, tegyen világos különbséget az érintettek különböző kategóriáinak személyes adatai között az alábbiak szerint:
[…]” |
17 |
A 2016/680 irányelv „Különös adatkezelési feltételek” című 9. cikke az (1) és (2) bekezdésében a következőképpen rendelkezik: „(1) Az illetékes hatóságok által az 1. cikk (1) bekezdésében meghatározott célokból gyűjtött személyes adatok az 1. cikk (1) bekezdésében meghatározottaktól eltérő célból nem kezelhetők, kivéve, ha az az ilyen adatkezelésre uniós vagy tagállami jog felhatalmazást ad. Ha személyes adatokat ilyen más célokból kezelnek, az [általános adatvédelmi] rendeletet kell alkalmazni, kivéve, ha az adatkezelést az uniós jog hatályán kívül eső tevékenység keretében végzik. (2) Ha a tagállami jog az 1. cikk (1) bekezdésében meghatározott célokból végzett feladatoktól eltérő feladatok elvégzését írja elő az illetékes hatóságok számára, az ilyen célokból történő adatkezelésre […] az [általános adatvédelmi] rendeletet kell alkalmazni, kivéve, ha az adatkezelést az uniós jog hatályán kívül eső tevékenység keretében végzik.” |
A bolgár jog
A Bolgár Köztársaság alkotmánya
18 |
A Bolgár Köztársaság alkotmányának 127. cikke a következőképpen rendelkezik: „Az ügyészség gondoskodik a jogszabályok tiszteletben tartásáról, a következők szerint: (1) Irányítja a nyomozásokat és ellenőrzi azok lefolytatásának jogszerűségét; (2) Nyomozást folytathat; (3) A közvádra üldözendő bűncselekmények esetében az azokat elkövető személyek bűntetőjogi felelősségének megállapítása érdekében vádat emel a bíróság előtt. […]” |
A ZZLD
19 |
A Zakon za zashtita na lichnite danni (a személyes adatok védelméről szóló törvény, a DV 2002. január 4‑i 1. száma; a továbbiakban: ZZLD) 1. cikkével összhangban e törvény célja a természetes személyek védelmének biztosítása az általános adatvédelmi rendelet által szabályozott személyesadat‑kezelés vonatkozásában, valamint ezen adatok illetékes hatóságok által bűncselekmények megelőzése és felderítése, nyomozása, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében, beleértve a közbiztonságot és a közrendet fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését is. |
20 |
A ZZLD 17. cikkének (1) bekezdésével összhangban az IVSS biztosítja az általános adatvédelmi rendeletnek, a ZZLD‑nek és a személyes adatok védelmére vonatkozó jogszabályoknak a személyes adatok kezelése tekintetében való ellenőrzését és tiszteletben tartását, különösen az ügyészségnek és a nyomozóhatóságoknak a bűncselekmények megelőzése, felderítése, nyomozása, illetve a vádeljárás lefolytatása vagy a büntetőjogi szankciók végrehajtása céljából történő igazságügyi hatósági feladataik ellátása során. A ZZLD 38b. cikke biztosítja az érintett személy számára az ahhoz való jogot, hogy a jogainak különösen e hatóságok általi megsértése esetén keresetet nyújtson be az IVSS‑hez. |
21 |
A ZZLD 42. cikkének (2) és (3) bekezdése, 45. cikkének (2) bekezdése, valamint 47. cikke a 2016/680 irányelv 9. cikke (1) és (2) bekezdésének, 4. cikke (2) bekezdésének, illetve 6. cikkének a rendelkezéseit hajtja végre. |
A büntetőeljárásról szóló törvénykönyv
22 |
A Nakazatelno‑protsesualen kodeks (a büntetőeljárásról szóló törvénykönyv, a DV 2005. október 28‑i 86. száma) alapeljárásra alkalmazandó változatának 191. cikke a következőképpen rendelkezik: „A közvádra üldözendő bűncselekmények esetében nyomozati eljárást kell folytatni.” |
23 |
A büntetőeljárásról szóló törvénykönyv alapeljárásra alkalmazandó változatának 192. cikke a következőképpen rendelkezik: „A nyomozati eljárás a nyomozást, majd annak befejezését követően az ügyész által tett eljárási cselekményeket foglalja magában.” |
A polgári perrendtartás
24 |
A Grazhdanski protsesualen kodeks (polgári perrendtartás, a DV 2007. július 20‑i 59. száma) alapeljárásra alkalmazandó változatának 8. és 9. cikke rögzíti a kontradiktórius eljárás elvét, illetve a fegyveregyenlőség elvét. |
25 |
A polgári perrendtartás alapeljárásra alkalmazandó változatának „Bizonyítási teher” című 154. cikke az (1) bekezdésében a következőket írja elő: „Az egyes feleknek kell bizonyítaniuk a kérelmeik vagy a kifogásaik alapjául hivatkozott tényeket.” |
A Zakon za otgovornostta na darzhavata i obshtinite za vredi
26 |
A Zakon za otgovornostta na darzhavata i obshtinite za vredi (az állam és az önkormányzatok kárfelelősségéről szóló törvény; a DV 1988. augusztus 5‑i 60. száma) 2b. cikke a következőképpen rendelkezik: „(1) Az állam felel a polgároknak és a jogi személyeknek az ügyek észszerű időn belüli megvizsgálásához és elbírálásához való, az [emberi jogok és alapvető szabadságok védelméről szóló, 1950. november 4‑én Rómában aláírt európai egyezmény] 6. cikke (1) bekezdésének megfelelő jog megsértésével okozott károkért. (2) Az (1) bekezdés szerinti kereseteket a polgári perrendtartással összhangban kell vizsgálni azzal, hogy a bíróság figyelembe veszi az eljárás teljes időtartamát és tárgyát, a ténybeli és jogi összetettségét, a felek, valamint az eljárásban őket képviselő személy vagy a jogi képviselő magatartását, az eljárásban részt vevő többi fél és az illetékes hatóságok magatartását, valamint a jogvita megfelelő elbírálása szempontjából releváns egyéb tényeket. […]” |
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
27 |
2013‑ban a petrichi kerületi ügyészség megindította az ismeretlen tettes ellen folyó 252/2013. sz. nyomozati eljárást a Nakazatelen Kodeks (büntető törvénykönyv) 325. cikkének e törvény 20. cikke (2) bekezdésével összefüggésben értelmezett (1) bekezdése szerinti bűncselekmény elkövetése miatt egy bárban történt esemény tekintetében. Az alapeljárás felperese, VS ezen eljárásban e bűncselekmény sértettjeként vett részt. |
28 |
A petrichi kerületi ügyészség 2016‑ban a többek között VS‑sel szemben benyújtott több panasz nyomán több olyan ügyiratot is összeállított, amelyek e személyre vonatkozó információkat tartalmaztak, anélkül azonban, hogy nyomozati eljárást indított volna, mivel nem álltak fenn bűncselekmény elkövetésére utaló valószínűsítő körülmények. |
29 |
2018‑ban a 252/2013. sz. nyomozati eljárás keretében az ügyész az ezen eljárás tárgyát képező cselekményekben részt vevő valamennyi személlyel szemben – köztük VS‑sel szemben is – vádat emelt. |
30 |
VS 2018‑ban a 252/2013. sz. büntetőeljárás túlzott időtartamával állítólagosan okozott kár megtérítése iránti polgári jogi keresetet indított a Bolgár Köztársaság ügyészsége ellen az Okrazhen sad – Blagoevgrad (blagoevgradi regionális bíróság, Bulgária) előtt. A 2018. október 15‑i tárgyaláson az említett ügyészség védekezése céljából az országos ügyészség képviseletében eljáró petrichi kerületi ügyész kérte az ügyészség által 2016‑ban összeállított, a jelen ítélet 28. pontjában említett ügyiratoknak az említett kereset keretében való benyújtását. Az előzetes döntéshozatalra utaló határozatból kitűnik, hogy az említett ügyész ezzel azt kívánta bizonyítani, hogy az alapeljárás felperese által hivatkozott egészségügyi problémák a felperes állításával ellentétben nem az említett nyomozati eljárásból fakadtak, hanem azokat a rendőrség és a petrichi kerületi ügyészség által az említett ügyekben folytatott vizsgálatok okozták. E tárgyaláson az Okrazhen sad Blagoevgrad (blagoevgradi regionális bíróság, Bulgária) elrendelte az említett kerületi ügyészséggel szemben, hogy nyújtsa be a szóban forgó ügyiratok hiteles másolatait, amit ezen ügyészség ügyésze meg is tett. |
31 |
2020. március 12‑én VS keresetet nyújtott be az IVSS‑hez, amely keresetben arra hivatkozott, hogy a petrichi kerületi ügyészség megsértette a személyes adatok védelmére vonatkozó rendelkezéseket. Egyrészt az első jogalapjával azt állította, hogy ezen ügyészség jogellenesen használta fel a VS-re mint egy bűncselekmény sértettjére vonatkozóan gyűjtött személyes adatokat abból a célból, hogy ugyanazon eljárás keretében és ugyanazon cselekmények miatt büntetőeljárást folytasson ellene. Másrészt a második jogalapjával arra hivatkozott, hogy ugyanezen ügyészség jogellenesen kezelte a jelen ítélet 28. pontjában említett ügyek keretében gyűjtött személyes adatokat azon kereset keretében, amelyet VS a Bolgár Köztársaság ügyészségével szemben az ügyészség felelősségének megállapítása iránt indított. Ezt a keresetet az IVSS a 2020. június 22‑i határozatával elutasította. |
32 |
2020. július 31‑én VS e határozattal szemben keresetet nyújtott be a kérdést előterjesztő bírósághoz, amely keresetben egyrészt azt állítja, hogy a rá vonatkozó személyes adatoknak a 252/2013. sz. vizsgálati eljárás keretében történő kezelése ellentétes többek között a 2016/680 irányelv elveivel, másrészt pedig, hogy a jelen ítélet 28. pontjában említett ügyiratok keretében gyűjtött adatoknak a nyomozati eljárás megindításának ügyészség általi megtagadását követő kezelése sérti az általános adatvédelmi rendelet elveit. |
33 |
A kérdést előterjesztő bíróságban – mivel a Bíróság ítélkezési gyakorlatának fényében véleménye szerint az alapeljárás a személyes adatoknak az általános adatvédelmi rendelet és a 2016/680 irányelv hatálya alá tartozó tevékenységek keretében történő kezelésére vonatkozik – kérdések merülnek fel az adatkezelő által eredetileg a bűncselekmények nyomozása és felderítése céljából gyűjtött személyes adatok további kezelése tekintetében az uniós jog által meghatározott korlátokat illetően. |
34 |
Közelebbről, a kérdést előterjesztő bíróság egyrészt arra keresi a választ, hogy abban az esetben, ha a Bolgár Köztársaság ügyészsége a 2016/680 irányelv 3. cikke 7. pontjának a) alpontja értelmében vett „illetékes hatóságként” és az ezen irányelv 3. cikkének 8. pontja értelmében vett „adatkezelőként” valamely bűncselekmény nyomozása és felderítése céljából személyes adatokat gyűjtött egy olyan személyről, akit ezen adatgyűjtés időpontjában az említett bűncselekmény áldozatának tekintett, ezen adatoknak az e személlyel szembeni büntetőeljárás lefolytatása céljából történő, ugyanazon hatóság általi további kezelése megfelel‑e az említett irányelvnek az ezen irányelv 4. cikkének (2) bekezdése értelmében vett, a személyes adatok gyűjtésének céljától eltérő valamely céljának. |
35 |
Másrészt a kérdést előterjesztő bíróság megállapítja, hogy a VS által benyújtott, felelősség megállapítása iránti kereset keretében az e személyre vonatkozó, a petrichi kerületi ügyészség által 2016‑ban megnyitott ügyek irataiban szereplő információkra való hivatkozás eltérő célt követ, mint amelyre vonatkozóan ezeket az információkat gyűjtötték, és rámutat arra, hogy e kereset keretében az ügyészség mint alperes nem a bűncselekmények megelőzése, nyomozása, felderítése vagy üldözése céljából jár el. A kérdést előterjesztő bíróságban ugyanakkor felmerül a kérdés, hogy pusztán az, hogy a hatáskörrel rendelkező polgári bíróság előtt rámutatnak arra, hogy az említett ügyiratok érintik VS‑t, és ezen információk egészét vagy egy részét továbbítják e bíróság számára, az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett „személyes adatokon” végzett, az ugyanezen cikk 2. pontja értelmében vett „adatkezelésnek” minősül‑e, amely az általános adatvédelmi rendelet 2. cikkének (1) bekezdésével összhangban e rendelet hatálya alá tartozik. |
36 |
Egyébiránt a kérdést előterjesztő bíróság lényegében úgy véli, hogy az alapeljárás felveti a személyes adatok védelme és a bírósági eljárásban részt vevő fél jogai összeegyeztetésének a kérdését, amennyiben ezeket az adatokat e fél a 2016/680 irányelv 3. cikkének 8. pontja értelmében vett adatkezelőként gyűjtötte, különösen az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének f) pontjára tekintettel, amely az adatkezelésnek az adatkezelő jogos érdekei érvényesítése szempontjából való szükségességére vonatkozik. |
37 |
A kérdést előterjesztő bíróság véleménye szerint ugyanis az alapeljárás keretében nem relevánsak az általános adatvédelmi rendelet 6. cikke (1) bekezdésének első albekezdésében foglalt egyéb indokok, amelyek alapján az e rendelet hatálya alá tartozó adatkezelés jogszerűnek tekinthető. Konkrétabban úgy véli, hogy ha az ügyészség egy polgári eljárás keretében való védekezésének ellátása céljából a hatáskörrel rendelkező bíróság rendelkezésére bocsátja az ügyészség által valamely büntetőügyben összeállított ügyiratokra vonatkozó információkat, az nem valamely közérdekű feladat végrehajtásához szükséges, és nem tartozik a közhatalmi jogosítvány említett rendelet 6. cikke (1) bekezdése első albekezdésének e) pontja értelmében vett gyakorlása körébe sem. |
38 |
E körülmények között az Administrativen sad – Blagoevgrad (blagoevgradi közigazgatási bíróság, Bulgária) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
|
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az első kérdésről
39 |
Mindenekelőtt rá kell mutatni arra, hogy még ha a kérdést előterjesztő bíróság az első kérdését formálisan a 2016/680 irányelv 1. cikke (1) bekezdésének az értelmezésére korlátozta is, e körülmény nem képezi akadályát annak, hogy a Bíróság megadja e bíróság számára az uniós jog értelmezésének minden olyan elemét, amely hasznos lehet az alapügy elbírálásához, az e bíróság által szolgáltatott elemek összessége és különösen az előzetes döntéshozatalra utaló határozat indokolása alapján kiválasztva az uniós jog azon elemeit, amelyek a jogvita tárgyára tekintettel értelmezést igényelnek (lásd ebben az értelemben: 2021. április 22‑iProfi Credit Slovakia ítélet, C-485/19, EU:C:2021:313, 50. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
40 |
Ebből következik, hogy első kérdésével a kérdést előterjesztő bíróság lényegében arra keresi a választ, hogy a 2016/680 irányelv 1. cikkének (1) bekezdését ezen irányelv 4. cikkének (2) bekezdésével és 6. cikkével összefüggésben úgy kell‑e értelmezni, hogy a személyes adatokat az adatgyűjtés eredeti céljától eltérő célból kezelik, ha az ilyen adatokat bűncselekmény felderítése és nyomozása keretében gyűjtötték, és az érintett személyt ezen adatgyűjtés időpontjában áldozatnak tekintették, az említett adatkezelésre ugyanakkor a szóban forgó nyomozás végén az e személy elleni vádemelés érdekében kerül sor, és adott esetben arra a kérdésre, hogy ezen adatkezelés megengedett‑e. |
41 |
A Bíróság állandó ítélkezési gyakorlata értelmében valamely uniós jogi rendelkezés értelmezésekor nemcsak annak szövegét, hanem összefüggéseit, és annak a szabályozásnak a célkitűzéseit is figyelembe kell venni, amelynek a részét képezi. Valamely uniós jogi rendelkezés keletkezéstörténete szintén releváns elemeket hordozhat értelmezése szempontjából (2019. október 1‑jei Planet49 ítélet, C‑673/17, EU:C:2019:801, 48. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
42 |
Először is rá kell mutatni mindenekelőtt arra, hogy a 2016/680 irányelv 1. cikkének az ezen irányelv tárgyára vonatkozó (1) bekezdése a szövegében kifejezetten különbséget tesz azon különböző tevékenységi kategóriák között, amelyeknek az ilyen tevékenységek céljából végzett személyesadat‑kezelés megfelelhet. E tekintetben az említett rendelkezés különböző nyelvi változataiból, különösen a bolgár, a spanyol, a német, a görög, az angol és az olasz nyelvi változatból kitűnik, hogy az ezen 1. cikk (1) bekezdésében említett különböző célkitűzések a bűncselekmények „megelőzésének”, „felderítésének”, „nyomozásának”, „a vádeljárás lefolytatásának” és „a büntetőjogi szankciók végrehajtásának” felelnek meg, ideértve a „közbiztonságot fenyegető veszélyekkel” szembeni „védelmet”, illetve e veszélyek „megelőzését” is. |
43 |
Ezt követően ezen irányelv 4. cikke (2) bekezdésének a szövege, amely kimondja, hogy „az 1. cikk (1) bekezdésében meghatározott, de a személyes adatok gyűjtésének céljától eltérő célból végzett” adatkezelés az e rendelkezésben meghatározott követelmények tiszteletben tartása mellett megengedett, kifejezetten megerősíti, hogy az ezen 1. cikk (1) bekezdésében felsorolt kifejezések, vagyis a „megelőzés”, „felderítés”, „nyomozás”, „a vádeljárás lefolytatása”, „a büntetőjogi szankciók végrehajtása”, „a közbiztonságot fenyegető veszélyekkel szembeni védelem” és „e veszélyek megelőzése” a személyes adatok ugyanezen irányelv hatálya alá tartozó kezelésének egymástól elkülönülő több céljára utal. |
44 |
A 2016/680 irányelv 1. cikkének az ezen irányelv 4. cikke (2) bekezdésével összefüggésben értelmezett (1) bekezdésének magából a szövegéből tehát az következik, hogy amennyiben a személyes adatokat valamely bűncselekmény „felderítése” és „nyomozása” céljából gyűjtötték, és ezt követően „a vádeljárás lefolytatása” céljából kezelik azokat, az említett gyűjtés és adatkezelés eltérő célokat követ. |
45 |
Végül meg kell jegyezni, hogy ugyanezen irányelv 6. cikke értelmében a tagállamok kötelesek előírni az adatkezelő számára, hogy adott esetben és amennyire lehetséges, tegyen világos különbséget az érintettek különböző kategóriáinak személyes adatai között, amely személykategóriák többek között az e cikk a), b), illetve c) pontjában említett személyek, azaz olyan személyek, akik tekintetében alapos okkal feltételezhető, hogy bűncselekményt követtek el vagy készülnek elkövetni, akik a bűncselekmény elkövetéséért elítélt személyek, illetve akik a bűncselekmény áldozatai, és olyan személyek, akikről bizonyos tények alapján okkal feltételezhető, hogy bűncselekmény áldozatai lehetnek. |
46 |
Következésképpen azt a személyt, akinek a személyes adatait a vádeljárás lefolytatása céljából kezelik, a 2016/680 irányelv 6. cikkének a) pontja értelmében vett azon személyek kategóriájába tartozónak kell tekinteni, akik tekintetében alapos okkal feltételezhető, hogy bűncselekményt követtek el. Ebből az következik, hogy amennyiben – az első kérdésben említett esethez hasonlóan – ezt a személyt eredetileg valamely bűncselekmény áldozatának tekintették ezen irányelv 6. cikkének c) pontja értelmében, az említett adatkezelés az említett személy kategóriájának megváltozását tükrözi, amit az adatkezelőnek a személyek különböző kategóriáira vonatkozó, az e cikkben előírt világos különbségtétel követelménye értelmében figyelembe kell vennie. |
47 |
Mindezzel együtt meg kell állapítani, hogy sem a 2016/680 irányelv 1. cikkének (1) bekezdése, sem a 4. cikkének (2) bekezdése nem hivatkozik ezen irányelv 6. cikkére vagy annak tartalmára annak meghatározása érdekében, hogy a személyes adatok kezelése a céljukra tekintettel az említett irányelv hatálya alá tartozik. |
48 |
Végezetül, amint arra a főtanácsnok az indítványának 62. pontjában lényegében rámutatott, a 2016/680 irányelv 6. cikkében használt „adott esetben és amennyire lehetséges” kifejezés egyértelműen azt jelzi, hogy nem feltétlenül lehet világosan különbséget tenni az ilyen adatok között, különösen akkor, ha – a jelen esethez hasonlóan – ezeket az adatokat valamely bűncselekmény „nyomozása” vagy „felderítése” céljából gyűjtötték, mivel ugyanazon személy az ezen irányelv 6. cikkében említett személyek több kategóriájába is tartozhat, és mivel a nyomozás során a szóban forgó tényállás fokozatos megvilágítása függvényében megváltozhat az érintett kategóriák meghatározása. |
49 |
Ebből azt a következtetést kell levonni, hogy e 6. cikk az említett 4. cikk (2) bekezdésében előírt kötelezettségtől eltérő kötelezettséget ír elő, és a főtanácsnok indítványának 61–64. pontjában foglaltakhoz hasonlóan az említett kötelezettség nem releváns annak meghatározása szempontjából, hogy a személyes adatok kezelésére e rendelkezés értelmében az ezen adatok gyűjtésének céljától eltérő célból került‑e sor. |
50 |
Másodszor, a szóban forgó szabályozás összefüggéseit illetően rá kell mutatni arra, hogy a 2016/680 irányelv 4. cikke (1) bekezdésének b) és c) pontja úgy rendelkezik, hogy egyrészt a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és ezen adatok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon, másrészt pedig ezen adatoknak az adatkezelés céljai szempontjából megfelelőeknek és relevánsaknak kell lenniük, és a szükségesre kell korlátozódniuk. E két követelményt lényegében azonos megfogalmazásban tartalmazza az általános adatvédelmi rendelet 5. cikke (1) bekezdésének b) és c) pontja, amely rendelet pontosítja, hogy e követelmények a célhoz kötöttség, illetve az adattakarékosság elvének felelnek meg. |
51 |
Mindezzel együtt az említett irányelv (29) preambulumbekezdésének fényében meg kell jegyezni, hogy ezen irányelv 4. cikkének (2) bekezdése megengedi a személyes adatoknak az adatok gyűjtésének céljától eltérő célból végzett további kezelését, amennyiben ez a cél szerepel az ugyanezen irányelv 1. cikkének (1) bekezdésében felsorolt célok között, és ezen adatkezelés megfelel az említett 4. cikk (2) bekezdésének a) és b) pontjában előírt két feltételnek. Így egyrészt az adatkezelőnek az uniós vagy tagállami joggal összhangban jogosultnak kell lennie az említett személyes adatokat az említett célból kezelni. Másrészt az adatkezelésnek az említett egyéb cél szempontjából szükségesnek és arányosnak kell lennie. |
52 |
Konkrétabban, a bűncselekmények „megelőzése” és „felderítése” vagy „nyomozása” céljából gyűjtött személyes adatok adott esetben a különböző illetékes hatóságok általi további kezelés tárgyát képezhetik a „vádeljárás lefolytatása” vagy „büntetőjogi szankciók végrehajtása” érdekében, amennyiben bűncselekményt azonosítottak, ami következésképpen büntetőjogi felelősségre vonást igényel. |
53 |
Ugyanakkor a személyes adatoknak a bűncselekmények „felderítése” és „nyomozása” céljából történő gyűjtése során az illetékes hatóságoknak minden olyan adatot be kell szerezniük, amely esetlegesen releváns lehet a szóban forgó bűncselekmény tényállási elemeinek meghatározása szempontjából egy olyan időpontban, amikor megvalósulásának a megállapítására még nem került sor. Ezzel szemben a személyes adatoknak a „vádeljárás lefolytatása” céljából történő kezelése keretében ezen adatok célja annak megállapítása, hogy a terheltnek felrótt cselekmények kellő bizonyító erővel rendelkeznek, és hogy pontos e cselekmények büntetőjogi minősítése, ezáltal lehetővé téve a hatáskörrel rendelkező bíróság határozathozatalát. |
54 |
Következésképpen egyrészt a bűncselekmény „felderítéséhez” és „nyomozásához” szükséges személyes adatok nem feltétlenül szükségesek a „vádeljárás lefolytatásához”. Másrészt a személyes adatok kezelésének az érintett személyekre gyakorolt következményeiben lényeges különbségek mutatkozhatnak, különösen ami az ezen adatok védelméhez való jogukba való beavatkozás mértékét és ezen adatkezelésnek a szóban forgó büntetőeljárás keretében betöltött jogi helyzetükre gyakorolt hatásait illeti. |
55 |
Ezenkívül rá kell mutatni arra, hogy az említett 4. cikk (2) bekezdésének hatálya nem korlátozódik a személyes adatok ugyanazon bűncselekményekkel összefüggésben történő kezelésére, mint amely ugyanezen adatok gyűjtését indokolta. Amint azt ugyanis a 2016/680 irányelv (27) preambulumbekezdése kifejti, az irányelv figyelembe veszi annak szükségességét, hogy a bűncselekmények elleni küzdelem területén illetékes hatóság a személyes adatokat a gyűjtésük céljától eltérő célból kezelje különösen annak érdekében, hogy megértsék a bűnözői tevékenységeket és a különböző felderített bűncselekmények közötti összefüggéseket feltárják. |
56 |
A fentiekből az következik, hogy a 2016/680 irányelv 4. cikke (2) bekezdésének a) és b) pontjában foglalt követelményeknek való megfelelés érdekében azt, hogy a személyes adatoknak az 1. cikk (1) bekezdésében felsorolt valamely célból történő, ugyanazon vagy más adatkezelő által végzett, az adatgyűjtés céljától eltérő célból való kezelése tiszteletben tartja‑e ezeket a követelményeket, az ezen 1. cikk (1) bekezdésében meghatározott egyes célok különös és önálló célként való figyelembevételével kell megvizsgálni. |
57 |
Harmadszor, a szóban forgó szabályozás célkitűzéseit illetően rá kell mutatni arra, hogy – amint az a 2016/680 irányelv (10) és (11) preambulumbekezdéséből kitűnik – az uniós jogalkotó olyan szabályokat kívánt elfogadni, amelyek figyelembe veszik az ezen irányelv hatálya alá tartozó terület sajátos jellegét. |
58 |
E tekintetben a (12) preambulumbekezdés kimondja, hogy a rendőrség vagy egyéb bűnüldöző szervek által végzett tevékenységek középpontjában elsősorban a bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása áll, ideértve az annak előzetes ismerete nélkül végzett rendőri tevékenységeket is, hogy egy adott eset bűncselekménynek minősül‑e. |
59 |
Ebből következik, hogy az uniós jogalkotó olyan szabályokat kívánt elfogadni, amelyek megfelelnek az ezen irányelv hatálya alá tartozó területen illetékes hatóságok által végzett tevékenységeket jellemző sajátosságoknak, figyelembe véve azt, hogy e tevékenységek egymástól elkülönülő olyan tevékenységek, amelyek a rájuk jellemző sajátos célokat követnek. |
60 |
Ezt az értelmezést – amely a szóban forgó rendelkezés összefüggésein, és azon rendelet célkitűzésein alapul, amelynek e rendelkezés a részét képezi – e rendelkezés keletkezéstörténete, különösen a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, üldözése vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló európai parlamenti és a tanácsi irányelv elfogadása céljából a Tanács első olvasatbeli (EU) 5/2016 álláspontjának Tanács általi indokolása is megerősíti. Ebben az indokolásban ugyanis az Európai Unió Tanácsa azzal indokolja az említett rendelkezés 2016/680 irányelvbe történő felvételét, hogy az „lehetővé teszi például azt, hogy az ügyész ugyanazokat a személyes adatokat kezelje egy adott bűncselekményre vonatkozó büntetőeljárás során, mint amelyeket a rendőrség kezelt a bűncselekmény felderítésekor, tekintettel arra, hogy a példában említett mindkét célra kiterjed [ezen irányelv] 1. cikk[ének] (1) bekezdése”. |
61 |
Így tehát a kérdést előterjesztő bíróság feladata az, hogy az alapjogvita megoldása érdekében meghatározza, hogy a VS‑re vonatkozó személyes adatoknak a petrichi kerületi ügyészség által az e személy elleni vádeljárás lefolytatása céljából végzett kezelése a 2016/680 irányelv 4. cikkének (2) bekezdésében foglalt feltételekre tekintettel megengedett lehetett‑e, megvizsgálva egyrészt azt, hogy a bolgár büntetőjog lehetővé tette‑e e hatóság számára ezen adatkezelést, másrészt pedig azt, hogy az említett adatkezelés szükséges és arányos volt‑e ezen adatkezelés céljához képest. |
62 |
E tekintetben rá kell mutatni arra, hogy az ilyen adatkezelés szükséges és arányos jellegének értékelése érdekében a kérdést előterjesztő bíróság adott esetben figyelembe veheti azt, hogy az ezen eljárásokat lefolytató hatóságnak lehetőséggel kell rendelkeznie arra, hogy a bűncselekményt megvalósító tényállási elemek bizonyítékaként és különösen a bűncselekményben érintett személyekkel kapcsolatos bizonyítékként alapul vegye az említett nyomozás során gyűjtött adatokat, feltéve hogy ezek az adatok szükségesek az említett személyek azonosításához és a bűncselekményben való részvételük megállapításához. |
63 |
A fentiekre tekintettel az első kérdésre azt a választ kell adni, hogy a 2016/680 irányelv 1. cikkének (1) bekezdését ezen irányelv 4. cikkének (2) bekezdésével és 6. cikkével összefüggésben úgy kell értelmezni, hogy a személyes adatokat az adatgyűjtés eredeti céljától eltérő célból kezelik, ha az ilyen adatokat bűncselekmény felderítése és nyomozása keretében gyűjtötték, az említett adatkezelésre ugyanakkor a szóban forgó nyomozás végén valamely személy elleni vádemelés érdekében kerül sor, függetlenül attól, hogy ezt a személyt az említett adatgyűjtés időpontjában áldozatnak tekintették, és az ilyen adatkezelés ezen irányelv 4. cikkének (2) bekezdése értelmében megengedett, feltéve hogy az megfelel az e rendelkezésben előírt feltételeknek. |
A második kérdésről
64 |
Második kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy egyrészt a 2016/680 irányelv 3. cikkének (8) bekezdését és 9. cikkének (1) és (2) bekezdését, valamint az általános adatvédelmi rendelet 2. cikkének (1) és (2) bekezdését úgy kell‑e értelmezni, hogy e rendelet alkalmazandó a személyes adatok azon kezelésére, amelyet a tagállami ügyészség az állam felelősségének megállapítására irányuló eljárás keretében a védelemhez való jogának gyakorlása érdekében végez, amennyiben tájékoztatja a hatáskörrel rendelkező bíróságot az ezen eljárásban félként részt vevő természetes személyre vonatkozó, az ezen irányelv 1. cikkének (1) bekezdésében meghatározott célokból összeállított ügyiratok meglétéről, és ezen ügyiratokat továbbítja e bíróság részére, másrészt pedig, az előző kérdésre adott igenlő válasz esetén, hogy e rendelet 6. cikke (1) bekezdése első albekezdésének f) pontját úgy kell‑e értelmezni, hogy a személyes adatok ilyen kezelése e rendelkezés értelmében jogszerűnek tekinthető az adatkezelő jogos érdekeinek érvényesítése céljából. |
Az elfogadhatóságról
65 |
Írásbeli észrevételeiben az IVSS megkérdőjelezi a második kérdés elfogadhatóságát azon az alapon, hogy e kérdést az előterjesztő bíróság a VS által hivatkozott olyan jogalap vizsgálatával összefüggésben tette fel, amelyet az alapügyben benyújtott kereset tárgyát képező határozat a jogalap előterjesztésére nyitva álló törvényes határidő lejárta miatt elfogadhatatlanként elutasított. |
66 |
A Bíróság állandó ítélkezési gyakorlata szerint a nemzeti bíróság által saját felelősségére meghatározott jogszabályi és ténybeli háttér alapján – amelynek helytállóságát a Bíróság nem vizsgálhatja – az uniós jog értelmezésére vonatkozóan előterjesztett kérdések releváns voltát vélelmezni kell. A Bíróság csak akkor utasíthatja el a nemzeti bíróságok által előzetes döntéshozatalra előterjesztett kérdés megválaszolását, ha az uniós jog kért értelmezése nyilvánvalóan semmilyen összefüggésben nincs az alapügy tényállásával vagy tárgyával, ha a probléma hipotetikus jellegű, vagy ha nem állnak a Bíróság rendelkezésére azok a ténybeli és jogi elemek, amelyek szükségesek ahhoz, hogy az elé terjesztett kérdésekre hasznos választ adhasson (lásd különösen: 2017. szeptember 27‑iPuškár ítélet, C‑73/16, EU:C:2017:725, 50. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
67 |
A jelen esetben rá kell mutatni arra, amint azt a főtanácsnok az indítványának 76. és 77. pontjában megjegyezte, hogy a VS által az IVSS‑hez benyújtott keresetében felhozott jogalapok elfogadhatóságának kérdése teljes egészében a kérdést előterjesztő bíróság hatáskörébe tartozik. Mindemellett az előzetes döntéshozatalra utaló határozatban e bíróság jelezte, hogy a második kérdést annak ellenére relevánsnak tekinti, hogy az IVSS a jelen ítélet 65. pontjában említett jogalapot mint elfogadhatatlant elutasította. A Bíróság semmi esetre sem vizsgálhatja felül ezt a megállapítást. |
68 |
Következésképpen a második kérdés elfogadható. |
Az ügy érdeméről
– Az általános adatvédelmi rendeletnek a személyes adatok azon kezelésére történő alkalmazásáról, amelyet a tagállami ügyészség az állam felelősségének megállapítására irányuló eljárás keretében a védelemhez való jogának gyakorlása érdekében végez
69 |
Először is meg kell határozni, hogy az, hogy a tagállami ügyészség a védelemhez való jogának polgári eljárás keretében való gyakorlása céljából felhasználja a 2016/680 irányelv 1. cikke (1) bekezdésének hatálya alá tartozó célokból gyűjtött és kezelt, valamely természetes személyre vonatkozó információkat, az általános adatvédelmi rendelet 4. cikkének 1. és 2. pontja értelmében a „személyes adatok”„kezelésének” minősül‑e. |
70 |
Mindenekelőtt emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett „személyes adat”„az azonosított vagy azonosítható természetes személyre […] vonatkozó bármely információ”, azzal, hogy az ítélkezési gyakorlat szerint e fogalommeghatározás alkalmazandó, amennyiben a szóban forgó információ a tartalmánál, céljánál vagy hatásánál fogva egy meghatározott személyhez kapcsolódik (lásd ebben az értelemben: 2017. december 20‑iNowak ítélet, C‑434/16, EU:C:2017:994, 35. pont). Egyébiránt az általános adatvédelmi rendelet 4. cikkének 2. pontja akként határozza meg az „adatkezelés” fogalmát, hogy az „a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége”, így többek között a „betekintés”, a „felhasználás”, a „közlés továbbítás” útján, a „terjesztés” vagy az „egyéb módon történő hozzáférhetővé tétel”. E fogalommeghatározások az uniós jogalkotó azon célkitűzését tükrözik, hogy e két fogalomnak tág értelmet tulajdonítson (lásd ebben az értelemben: 2017. december 20‑iNowak ítélet, C‑434/16, EU:C:2017:994, 34. pont; 2022. február 24‑iValsts ieņēmumu dienests [Személyes adatok adóügyi célból történő kezelése] ítélet, C‑175/20, EU:C:2022:124, 35. pont). |
71 |
E tekintetben egyrészt az, hogy a polgári eljárás alperese a beadványaiban vagy a tárgyaláson akárcsak röviden is tájékoztatja a hatáskörrel rendelkező bíróságot arról, hogy az ezen eljárást megindító természetes személyre vonatkozóan különösen valamely bűncselekmény „felderítése” vagy „nyomozása” céljából ügyiratokat állított össze, magában foglalja, hogy ezen alperes az általános adatvédelmi rendelet 4. cikkének 1. és 2. pontja értelmében a személyes adatokba „betekintett”, azokat „felhasználta” és „továbbította” vagy „közölte”. Ezek az információk tehát mind a tartalmuknál, mind a céljuknál és hatásuknál fogva egy meghatározott személyhez kapcsolódnak, aki az információkat közlő fél és azon bíróság által egyaránt azonosítható, amelyhez az információkat továbbították. |
72 |
Másrészt az, hogy ugyanezen alperes a hatáskörrel rendelkező bíróság kérésére benyújtja az említett természetes személyre vonatkozó eljárásokkal kapcsolatos ügyiratokat, magában foglalja legalábbis a „személyes adatoknak” az általános adatvédelmi rendelet 4. cikke 1., illetve 2. pontja értelmében vett „felhasználását”, illetve „közlését továbbítás” útján”. |
73 |
Másodszor emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 2. cikkének (1) bekezdése tágan határozza meg e rendelet tárgyi hatályát (2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 61. pont), amely magában foglalja „a személyes adatok részben vagy egészben automatizált módon történő kezelésé[t], valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésé[t], amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni”. E tág meghatározás velejárója az, hogy az általános adatvédelmi rendelet alkalmazása alóli kivételeket, amelyeket e rendelet 2. cikkének (2) bekezdése felsorol, szigorúan kell értelmezni. Ez különösen igaz az említett cikk (2) bekezdésének d) pontjában meghatározott kivételre, amely a személyes adatok olyan kezelésére vonatkozik, amelyet az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végeznek (lásd ebben az értelemben: 2022. február 24‑iValsts ieņēmumu dienests [Személyes adatok adóügyi célból történő kezelése] ítélet, C‑175/20, EU:C:2022:124, 40. és 41. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
74 |
E tekintetben a Bíróság kimondta, hogy amint az e rendelet (19) preambulumbekezdéséből következik, e kivételt az a körülmény indokolja, hogy a személyes adatok illetékes hatóságok általi, az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontjában foglalt célból történő kezelésére külön uniós jogi aktus, nevezetesen a 2016/680 irányelv az irányadó, amelyet ugyanazon a napon fogadtak el, mint az általános adatvédelmi rendeletet (lásd ebben az értelemben: 2022. február 24‑iValsts ieņēmumu dienests [Személyes adatok adóügyi célból történő kezelése] ítélet, C‑175/20, EU:C:2022:124, 42. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
75 |
Amint az a 2016/680 irányelv (12) preambulumbekezdéséből következik, az uniós jogalkotó ezen irányelv 9. cikkében a személyes adatoknak az említett irányelv 1. cikkének (1) bekezdésében meghatározott céloktól – amely célokból ezen adatokat gyűjtötték – eltérő célokra történő kezelésére vonatkozó szabályokat írt elő. |
76 |
E tekintetben a 2016/680 irányelv 9. cikkének (1) bekezdése előírja egyrészt, hogy az ilyen személyesadat‑kezelésre főszabály szerint nem kerülhet sor, kivéve, ha arra uniós vagy tagállami jog felhatalmazást ad, másrészt pedig, hogy az általános adatvédelmi rendeletet kell alkalmazni, kivéve, ha az adatkezelést az uniós jog hatályán kívül eső tevékenység keretében végzik. Egyébiránt ezen irányelv 9. cikkének (2) bekezdése értelmében az általános adatvédelmi rendeletet kell alkalmazni az illetékes hatóságok által az említett irányelv 1. cikkének (1) bekezdésében meghatározott célokból végzett feladatoktól eltérő feladataik keretében végzett adatkezelésre, kivéve, ha az adatkezelést az uniós jog hatályán kívül eső tevékenység keretében végzik. |
77 |
Márpedig a jelen ítélet 71. és 72. pontjában említett esetekben a személyes adatoknak a bűncselekmények „megelőzése”, „felderítése”, „nyomozása” vagy a „vádeljárás lefolytatása” céljából történő, tagállami ügyészség általi gyűjtése és kezelése kétségtelenül a 2016/680 irányelv 1. cikkének (1) bekezdésében meghatározott célokból történő személyesadat‑kezelésnek minősül ezen irányelv 9. cikkének (1) és (2) bekezdése értelmében. |
78 |
Ugyanakkor, még ha az állam felelősségének megállapítása iránti kereset benyújtása mögött az ügyészség által büntetőeljárás keretében feltételezhetően elkövetett kötelezettségszegések, így – a jelen ügyhöz hasonlóan – az észszerű időn belüli határozathozatalhoz való jog állítólagos megsértése áll is, az állam ilyen kereset keretében történő védelme nem az ezen ügyészség által a 2016/680 irányelv 1. cikkének (1) bekezdésében meghatározott célokból ellátandó feladatok mint olyanok teljesítésének biztosítására irányul. |
79 |
Ezenkívül az általános adatvédelmi rendelet alkalmazása alóli kivételek szigorú értelmezésének elvére tekintettel ugyanezen személyesadat‑kezelések nem tekinthetők úgy, mint amelyeket az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontja és a 2016/680 irányelv 9. cikkének (1) és (2) bekezdése értelmében „az uniós jog hatályán kívül eső tevékenységek során” végeznek. E tekintetben az ítélkezési gyakorlatból az következik, hogy e kifejezés egyedüli célja az, hogy kizárja az általános adatvédelmi rendelet hatálya alól a személyes adatok olyan kezelését, amelyet az állami hatóságok a nemzetbiztonság megóvására irányuló vagy ugyanezen kategóriába tartozónak tekinthető tevékenység keretében végeznek. Márpedig az, hogy a hatóság alperesként részt vesz az állam felelősségének megállapítására irányuló polgári eljárásban, nem a nemzetbiztonság megőrzésére irányul, és nem sorolható ugyanezen tevékenységi kategóriába (lásd ebben az értelemben: 2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 66–68. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
80 |
Harmadszor rá kell mutatni arra, hogy az általános adatvédelmi rendeletnek a jelen ítélet 71. és 72. pontjában említett adatkezelésre való alkalmazása szempontjából az ügyészséget „adatkezelőnek” kell tekinteni nem csupán az általános adatvédelmi rendelet 4. cikkének 7. pontja, hanem a 2016/680 irányelv 3. cikkének 8. pontja értelmében is, mivel ez utóbbi rendelkezés értelmében „önállóan vagy másokkal együtt”„meghatározza” ezen adatkezelések „céljait és eszközeit”. Az eljárásban részt vevő félként ez a hatóság értesíti ugyanis a hatáskörrel rendelkező bíróságot a másik félre vonatkozó büntetőügyben összeállított ügyiratokról, és továbbítja azokat számára. „Adatkezelői” minősége – tekintettel e fogalom tág meghatározására, amely az érintettek hatékony és teljes védelmének biztosítására irányul – független a közreműködésének mértékétől és felelősségének szintjétől, amelyek eltérhetnek a hatáskörrel rendelkező bíróságéitól, amely utóbbinak a hatáskörébe az ilyen adatkezelés engedélyezése, sőt elrendelése tartozik (lásd analógia útján: 2019. július 29‑iFashion ID ítélet, C‑40/17, EU:C:2019:629, 66–70. pont). |
81 |
Márpedig, függetlenül attól a kérdéstől, hogy a jelen ítélet 80. pontjában említett adatkezelések a 2016/680 irányelv 9. cikke (1) vagy (2) bekezdésének a hatálya alá tartoznak‑e, e bekezdések szövegéből és a kapcsolatukból kitűnik, hogy az általános adatvédelmi rendelet alkalmazandó az ezen irányelv 1. cikkének (1) bekezdésében meghatározott célokból gyűjtött személyes adatok eltérő célból történő kezelésére, kivéve ha a szóban forgó adatkezelés az uniós jog hatályán kívül esik, beleértve azt az esetet is, amikor az említett irányelv 3. cikkének 8. pontja értelmében vett „adatkezelő” az ezen irányelv 3. cikke 7. pontja a) alpontjának értelmében vett „illetékes hatóság”, amely a személyes adatok kezelését az ugyanezen irányelv 1. cikkének (1) bekezdésében meghatározott célokból folytatott feladatoktól eltérő feladatok keretében végzi. |
82 |
A fentiek összességére figyelemmel meg kell állapítani, hogy az általános adatvédelmi rendelet alkalmazandó a személyes adatok azon kezelésére, amelyet a tagállami ügyészség az állam felelősségének megállapítására irányuló eljárás keretében a védelemhez való jogának gyakorlása érdekében végez, amennyiben egyrészt tájékoztatja a hatáskörrel rendelkező bíróságot az ezen eljárásban félként részt vevő természetes személyre vonatkozó, a 2016/680 irányelv 1. cikkének (1) bekezdésében meghatározott célokból összeállított ügyiratok meglétéről, és másrészt ezen ügyiratokat továbbítja e bíróság részére. |
– A személyes adatok azon kezelésének jogszerűségéről, amelyet a tagállami ügyészség az állam felelősségének megállapítására irányuló eljárás keretében a védelemhez való jogának gyakorlása érdekében végez
83 |
Emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 6. cikke tartalmazza azon esetek korlátozó jellegű felsorolását, amelyekben a személyes adatok kezelése jogszerűnek minősíthető (lásd ebben az értelemben: 2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 99. pont). |
84 |
Ezen esetek között az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének e) pontja a közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelésről, míg e rendelet 6. cikke (1) bekezdése első albekezdésének f) pontja az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelésről rendelkezik, kivéve ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé. Az említett rendelet 6. cikke (1) bekezdésének második albekezdése szerint e rendelet 6. cikke (1) bekezdése első albekezdésének f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre. |
85 |
Rá kell mutatni arra, hogy – amint azt a Bizottság az írásbeli észrevételeiben helyesen megjegyezte – az általános adatvédelmi rendelet 6. cikke (1) bekezdése második albekezdésének szövegéből egyértelműen kitűnik, hogy a személyes adatoknak a közhatalmi szervek által feladataik ellátása során végzett kezelése nem tartozhat az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdése f) pontjának a hatálya alá, amely a személyes adatoknak az adatkezelő jogos érdekeinek érvényesítése érdekében szükséges kezelésére vonatkozik. Amint az az általános adatvédelmi rendelet (47) preambulumbekezdéséből következik, és amint arra a Bizottság is hivatkozott, ez utóbbi rendelkezés nem alkalmazható az ilyen adatkezelésekre, mivel azok jogalapját a jogalkotónak kell előírnia. Ebből következik, hogy amennyiben a hatóság által végzett adatkezelés valamely közérdekű feladat végrehajtásához szükséges, és ennélfogva e rendelet 6. cikke (1) bekezdésének második albekezdésében említett feladatok körébe tartozik, az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdése e) pontjának, valamint 6. cikke (1) bekezdése első albekezdése f) pontjának az alkalmazása kölcsönösen kizárja egymást. |
86 |
Mielőtt megvizsgálnánk az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdése f) pontja alkalmazásának a kérdését, meg kell tehát határozni, hogy az eredetileg a 2016/680 irányelv 1. cikkének (1) bekezdésében meghatározott célok közül egy vagy több célból gyűjtött személyes adatok azon kezelése, amelyet a tagállami ügyészség az állam vagy valamely közjogi szerv védelmének ellátása céljából végez az állam vagy a közjogi szerv által a feladataik ellátása során elkövetett kötelezettségszegésből fakadóan okozott károk megtérítésére irányuló, felelősség megállapítása iránti kereset keretében, e rendelet 6. cikke (1) bekezdése első albekezdésének e) pontja értelmében szükséges‑e valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. |
87 |
Márpedig, amint arra a főtanácsnok az indítványának 94. és 100. pontjában lényegében rámutatott, amennyiben az ügyészség feladatai közé tartozik az állam jogi és vagyoni érdekeinek védelme a felelősség megállapítására irányuló olyan kereset keretében, amely megkérdőjelezi e hatóságnak a büntetőjog területén rá bízott közérdekű feladatok keretében tett intézkedéseit vagy tanúsított magatartását, ezen érdekek védelme a nemzeti jog értelmében az említett rendelet 6. cikke (1) bekezdése első albekezdésének e) pontja értelmében vett közérdekű feladatnak minősülhet. |
88 |
Egyrészt ugyanis az említett hatóság az őt alperesként megillető eljárási jogok gyakorlásával fenntartja a közérdekből tett azon intézkedésekkel és a közérdekből elfogadott azon határozatokkal kapcsolatos jogbiztonságot, amelyeket a felperes vitat. Az említett hatóságnak a felperes jogalapjaival és érveivel kapcsolatos állásfoglalása révén adott esetben elkerülhető annak kockázata, hogy e jogalapok és érvek veszélyeztessék az azon feladatok ellátása keretében betartandó szabályok tényleges alkalmazását, amely feladatok kötelezettségszegést megvalósító ellátását számára felróják. |
89 |
Másrészt ugyanezen hatóság a védekezésül felhozott jogalapjaival és érveivel rámutathat arra, hogy – amennyiben ez a helyzet – a felperes kártérítési kérelmei esetlegesen megalapozatlanok vagy túlzott mértékűek, különösen annak elkerülése érdekében, hogy a kártérítési keresetek kilátásba helyezése akadályozza azon közérdekű feladatok ellátását, amelyeket a felelősség megállapítása iránti kereset keretében kifogásolnak, amennyiben e feladatok sérthetik a magánszemélyek érdekeit. |
90 |
E tekintetben nincs jelentősége annak, hogy az állam felelősségének megállapítása iránti kereset keretében az ügyészség alperesként a többi féllel egyenrangú félként jár el, és nem gyakorol közhatalmi jogköröket, amint azt a büntetőjog területén meglévő feladatai ellátása során teszi. |
91 |
A jelen esetben az előzetes döntéshozatalra utaló határozatból, valamint a bolgár kormány által a Bíróság kérdéseire válaszul tett pontosításokból kitűnik, hogy a – részben – az alapeljárás alapjául szolgáló, felelősség megállapítása iránti kereset a jelen ítélet 26. pontjában említett, az állam és az önkormányzatok kárfelelősségéről szóló törvényen alapul, amely az ügyek észszerű időn belüli megvizsgálásához és elbírálásához való jog megsértésével okozott károkkal kapcsolatos állami kárfelelősségi rendszert vezet be, valamint hogy e törvény 7. cikkével összhangban a jogellenes intézkedései, fellépései vagy mulasztásai révén kárt okozó hatóság vesz részt félként a jogvitában és lép e minőségében az eljárásban az állam helyére. |
92 |
Így a felelősség megállapítása iránti ilyen kereset keretében az állítólagos kárt okozó hatóság szerepe elkülönül azon eljárás alperesének szerepétől, amelyben az állam visszkereseti igényt érvényesít azzal a köztisztviselővel szemben, aki a feladatai ellátása keretében elkövetett mulasztásai okán személyes felelősséggel tartozik, mivel ez utóbbi esetben e szerep a magánérdekek védelmére irányul (lásd ebben az értelemben: 2021. május 18‑iAsociaţia Forumul Judecătorilor din România és társai ítélet, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 és C‑397/19, EU:C:2021:393, 225. pont). |
93 |
Ennélfogva a fenti megfontolásokra tekintettel meg kell állapítani, hogy az eredetileg a 2016/680 irányelv 1. cikkének (1) bekezdésében említett egy vagy több célból gyűjtött és kezelt személyes adatok tagállami ügyészség általi kezelése annak érdekében, hogy ellássa az állam védelmét a felelősség megállapítása iránti olyan kereset keretében, amely az ezen ügyészség által a feladatai ellátása során megvalósított kötelezettségszegéssel okozott károk megtérítésére irányul, a jellege alapján főszabály szerint nem az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdése f) pontjának, hanem az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdése e) pontjának a hatálya alá tartozik. |
94 |
Egyébiránt nem zárható ki, hogy amennyiben valamely tagállam ügyészsége a felelősség megállapítása iránti kereset keretében az állam védelmének ellátása érdekében a hatáskörrel rendelkező bíróság kérésére továbbítja a személyes adatokat e bíróság részére, ezen adattovábbítás egyúttal az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdése c) pontjának a hatálya alá is tartozzon, amennyiben az alkalmazandó nemzeti jog értelmében az említett ügyészség köteles az ilyen kérelmet teljesíteni. |
95 |
E körülmények között annak megállapítása érdekében, hogy a személyes adatok olyan kezelései, mint amelyekről az alapeljárásban szó van, az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdése említett rendelkezéseinek a hatálya alá tartoznak‑e, a kérdést előterjesztő bíróság feladata annak vizsgálata, hogy e rendelet 6. cikkének (3) bekezdésével összhangban a nemzeti jog meghatározza‑e egyrészt az ilyen adatkezelés alapját, másrészt pedig a céljait, illetve e 6. cikk (1) bekezdése első albekezdésének e) pontját illetően azt, hogy az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges‑e. |
96 |
Egyébiránt a kérdést előterjesztő bíróság feladata annak meghatározása, hogy a felelősség megállapítása iránti keresetet indító személlyel kapcsolatos, az e kereset alapjául szolgáló ügyektől eltérő ügyekben rendelkezésre álló ügyiratokban szereplő információk ügyészség általi közlése megfelel‑e az általános adatvédelmi rendelet által előírt többi követelménynek, különösen az e rendelkezés c) pontjában szereplő „adattakarékosság” elvének, amely szerint a személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük, és a szükségesre kell korlátozódniuk, és amely az arányosság elvét fejezi ki (lásd ebben az értelemben: 2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 98. pont). Ezenkívül meg kell vizsgálnia, hogy a személyes adatok e kezelésére a megfelelő garanciák tiszteletben tartásával került‑e sor, amely garanciák között szerepel különösen az ügyészség által e keretben szolgáltatott információk és bizonyítékok tényleges észrevételezésének lehetősége, valamint az általános adatvédelmi rendelet 21. cikkének (1) bekezdésével összhangban az érintett azon lehetősége, hogy tiltakozzon ezen információk és bizonyítékok hatáskörrel rendelkező bírósággal való közlése ellen, figyelemmel e tiltakozáshoz való jognak a nemzeti jogszabályokban az e rendelet 23. cikkének (1) bekezdésével összhangban előírt korlátozásaira. |
97 |
A fentiekre tekintettel a második kérdésre a következő választ kell adni:
|
A költségekről
98 |
Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg. |
A fenti indokok alapján a Bíróság (ötödik tanács) a következőképpen határozott: |
|
|
|
Aláírások |
( *1 ) Az eljárás nyelve: bolgár.