Ez a dokumentum az EUR-Lex webhelyről származik.
Dokumentum 62020CJ0175
Judgment of the Court (Fifth Chamber) of 24 February 2022.#SIA 'SS' v Valsts ieņēmumu dienests.#Request for a preliminary ruling from the Administratīvā apgabaltiesa.#Case C-175/20.
A Bíróság ítélete (ötödik tanács), 2022. február 24.
SIA „SS” kontra Valsts ieņēmumu dienests.
Administratīvā apgabaltiesa által benyújtott előzetes döntéshozatal iránti kérelem.
Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – 2. cikk – Hatály – 4. cikk – Az »adatkezelés« fogalma – 5. cikk – Az adatkezelésre vonatkozó elvek – Célhoz kötöttség – Adattakarékosság – 6. cikk – Az adatkezelés jogszerűsége – Az adatkezelő közérdekű feladatainak ellátásához szükséges adatkezelés – Az adatkezelő jogi kötelezettségének teljesítéséhez szükséges adatkezelés – 23. cikk – Korlátozások – Adóügyi célból történő adatkezelés – Gépjármű‑értékesítésre vonatkozóan online közzétett hirdetésekhez kapcsolódó információk közlése iránti kérelem – Arányosság.
C-175/20. sz. ügy.
A Bíróság ítélete (ötödik tanács), 2022. február 24.
SIA „SS” kontra Valsts ieņēmumu dienests.
Administratīvā apgabaltiesa által benyújtott előzetes döntéshozatal iránti kérelem.
Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – 2. cikk – Hatály – 4. cikk – Az »adatkezelés« fogalma – 5. cikk – Az adatkezelésre vonatkozó elvek – Célhoz kötöttség – Adattakarékosság – 6. cikk – Az adatkezelés jogszerűsége – Az adatkezelő közérdekű feladatainak ellátásához szükséges adatkezelés – Az adatkezelő jogi kötelezettségének teljesítéséhez szükséges adatkezelés – 23. cikk – Korlátozások – Adóügyi célból történő adatkezelés – Gépjármű‑értékesítésre vonatkozóan online közzétett hirdetésekhez kapcsolódó információk közlése iránti kérelem – Arányosság.
C-175/20. sz. ügy.
Határozatok Tára – Általános EBHT – „A közzé nem tett határozatokra vonatkozó információk” rész
Európai esetjogi azonosító: ECLI:EU:C:2022:124
A BÍRÓSÁG ÍTÉLETE (ötödik tanács)
2022. február 24. ( *1 )
„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – 2. cikk – Hatály – 4. cikk – Az »adatkezelés« fogalma – 5. cikk – Az adatkezelésre vonatkozó elvek – Célhoz kötöttség – Adattakarékosság – 6. cikk – Az adatkezelés jogszerűsége – Az adatkezelő közérdekű feladatainak ellátásához szükséges adatkezelés – Az adatkezelő jogi kötelezettségének teljesítéséhez szükséges adatkezelés – 23. cikk – Korlátozások – Adóügyi célból történő adatkezelés – Gépjármű‑értékesítésre vonatkozóan online közzétett hirdetésekhez kapcsolódó információk közlése iránti kérelem – Arányosság”
A C‑175/20. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet az Administratīvā apgabaltiesa (regionális közigazgatási bíróság, Lettország) a Bírósághoz 2020. április 14‑én érkezett, 2020. március 11‑i határozatával terjesztett elő
az „SS” SIA
és
a Valsts ieņēmumu dienests
között folyamatban lévő eljárásban,
A BÍRÓSÁG (ötödik tanács),
tagjai: E. Regan tanácselnök, K. Lenaerts, a Bíróság elnöke, az ötödik tanács bírájaként eljárva, C. Lycourgos, a negyedik tanács elnöke, I. Jarukaitis és M. Ilešič (előadó) bírák,
főtanácsnok: M. Bobek,
hivatalvezető: A. Calot Escobar,
tekintettel az írásbeli szakaszra,
figyelembe véve a következők által előterjesztett észrevételeket:
– |
az „SS” SIA képviseletében M. Ruķers, |
– |
a lett kormány képviseletében kezdetben: K. Pommere, V. Soņeca és L. Juškeviča, később: K. Pommere, meghatalmazotti minőségben, |
– |
a belga kormány képviseletében J.‑C. Halleux és P. Cottin, meghatalmazotti minőségben segítőjük: C. Molitor avocat, |
– |
a görög kormány képviseletében E.‑M. Mamouna és M. Tassopoulou, meghatalmazotti minőségben, |
– |
a spanyol kormány képviseletében kezdetben: J. Rodríguez de la Rúa Puig és S. Jiménez García, később: J. Rodríguez de la Rúa Puig, meghatalmazotti minőségben, |
– |
az Európai Bizottság képviseletében kezdetben: H. Kranenborg, D. Nardi és I. Rubene, később: H. Kranenborg és I. Rubene, meghatalmazotti minőségben, |
a főtanácsnok indítványának a 2021. szeptember 2‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 |
Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; a továbbiakban: GDPR) és különösen e rendelet 5. cikke (1) bekezdésének értelmezésére vonatkozik. |
2 |
E kérelmet az „SS” SIA és a Valsts ieņēmumu dienests (adóhatóság, Lettország; a továbbiakban: lett adóhatóság) között az SS honlapján közzétett gépjármű‑értékesítési hirdetésekkel kapcsolatos információk közlése iránti kérelem tárgyában folyamatban lévő jogvita keretében terjesztették elő. |
Jogi háttér
Az uniós jog
A 2016/679 rendelet
3 |
Az EUMSZ 16. cikken alapuló 2016/679 rendeletet 99. cikkének (2) bekezdése értelmében 2018. május 25‑től kell alkalmazni. |
4 |
E rendelet (1), (4), (10), (19), (26), (31), (39), (41) és (50) preambulumbekezdése a következőket mondja ki:
[…]
[…]
[…]
[…]
[…]
[…]
[…]
[…]
|
5 |
A 2016/679 rendelet „Tárgyi hatály” című 2. cikke ekképp rendelkezik: „(1) E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. (2) E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:
[…]” |
6 |
E rendelet „Fogalommeghatározások” című 4. cikkének szövege a következő: „E rendelet alkalmazásában:
[…]
[…]
[…]” |
7 |
Az említett rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke szerint: „(1) A személyes adatok:
(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).” |
8 |
Az említett rendeletnek „Az adatkezelés jogszerűsége” címet viselő 6. cikke a következőképpen rendelkezik: „(1) „A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre. (2) Az e rendeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében, a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzeteket is. (3) Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:
Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. […] Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal. (4) Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető‑e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:
|
9 |
A 2016/679 rendelet 13. cikkének (3) bekezdése szerint: „Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.” |
10 |
E rendelet 14. cikke ekképp rendelkezik: „(1) Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat: […]
[…] (5) Az (1)–(4) bekezdést nem kell alkalmazni, ha és amilyen mértékben: […]
[…]” |
11 |
Az említett rendelet 23. cikke (1) bekezdésének e) pontja szerint: „Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban: […]
[…]” |
12 |
A 2016/679 rendelet 25. cikkének (2) bekezdése az alábbiak szerint rendelkezik: „Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.” |
A 2016/680 irányelv
13 |
A 2016/680 irányelv (10) és (11) preambulumbekezdése szerint:
|
14 |
Ezen irányelv 3. cikke a következőképpen rendelkezik: „Ezen irányelv alkalmazásában: […] 7. »illetékes hatóság«:
[…]” |
A lett jog
15 |
A likums „Par nodokļiem un nodevām” (az adózás rendjéről szóló törvény, Latvijas Vēstnesis, 1995, 26. sz.) alapügyre alkalmazandó változata (a továbbiakban: adózás rendjéről szóló törvény) 15. cikkének (6) bekezdése értelmében az onlinehirdetés‑szolgáltató a lett adóhatóság megkeresésére köteles átadni a hirdetéseket közzétevő és a szolgáltatásait igénybe vevő adóalanyok vonatkozásában rendelkezésére álló adatokat. |
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
16 |
Az SS Lettországban letelepedett, online hirdetési szolgáltatásokat nyújtó szolgáltató. |
17 |
2018. augusztus 28‑én a lett adóhatóság információkérést intézett az SS‑hez az adózás rendjéről szóló törvény 15. cikkének (6) bekezdése alapján, amelyben felszólította e társaságot, hogy állítsa helyre ezen adóhatóságnak az említett társaság által működtetett internetes oldalon közzétett hirdetésekben szereplő gépjárművek alvázszámával és a hirdetők telefonszámával kapcsolatos információkhoz való hozzáférését, és legkésőbb 2018. szeptember 3‑ig adjon tájékoztatást a 2018. július 14. és augusztus 31. között e portál „Gépjármű” rovatában közzétett hirdetésekről. |
18 |
E kérelem pontosította, hogy ezeket az információkat, amelyek magukban foglalják a hirdetésre mutató linket, a hirdetés szövegét, a gépjármű márkáját, modelljét, alvázszámát és árát, valamint az eladó telefonszámát, elektronikus úton, az adatok szűrését vagy kiválasztását lehetővé tevő formátumban kell megadni. |
19 |
Ezenkívül arra az esetre, ha a szóban forgó internetes portálon közzétett hirdetésekben szereplő információkhoz való hozzáférést nem lehet helyreállítani, az SS‑t felhívták arra, hogy közölje ennek indokát, valamint hogy legkésőbb minden hónap harmadik napján nyújtsa be az előző hónapban közzétett hirdetésekre vonatkozó releváns információkat. |
20 |
Mivel úgy ítélte meg, hogy a lett adóhatóság információkérése nem felel meg a 2016/679 rendeletben kimondott arányosság és adattakarékosság elvének, az SS panaszt nyújtott be e kérelemmel szemben a lett adóhatóság főigazgatójához. |
21 |
2018. október 30‑i határozatával ez utóbbi elutasította a fenti panaszt, kifejtve többek között, hogy az alapügyben szóban forgó személyesadat‑kezelés keretében a lett adóhatóság a törvény által ráruházott jogköröket gyakorolja. |
22 |
Az SS keresetet indított az administratīvā rajona tiesa (kerületi közigazgatási bíróság, Lettország) előtt e határozat megsemmisítése iránt. A panaszában kifejtett érveken kívül arra hivatkozott, hogy az említett határozat nem jelölte meg a személyes adatok kezelésének a lett adóhatóság által kitűzött konkrét célját, sem pedig az adatkezeléshez szükséges adatok mennyiségét, és ezzel megsértette a 2016/679 rendelet 5. cikkének (1) bekezdését. |
23 |
2019. május 21‑i ítéletével az administratīvā rajona tiesa (kerületi közigazgatási bíróság) elutasította ezt a keresetet, és lényegében kimondta, hogy a lett adóhatóság megalapozottan kér hozzáférést a bármely személyre vonatkozó és korlátlan mennyiségű információhoz, amennyiben ezen információk nem tekinthetők összeegyeztethetetlennek az adóbeszedés céljával. E bíróság egyébiránt úgy ítélte meg, hogy a 2016/679 rendelet rendelkezései e hatóság tekintetében nem alkalmazandók. |
24 |
Az SS fellebbezést nyújtott be ezen ítélettel szemben a kérdést előterjesztő bírósághoz, egyrészt arra hivatkozva, hogy a 2016/679 rendelet hatálya kiterjed a lett adóhatóságra, másrészt pedig arra, hogy e hatóság megsértette az arányosság elvét azzal, hogy azon konkrét adóalanyok megjelölése nélkül, amelyekkel szemben adóellenőrzést indított, megkövetelte, hogy vele minden hónapban korlátlan számú hirdetéssel kapcsolatban jelentős mennyiségű adatot közöljenek. |
25 |
A kérdést előterjesztő bíróság rámutat, hogy az alapeljárás keretében nem vitatott sem az, hogy a szóban forgó információkérés teljesítése szervesen kapcsolódik a személyes adatok kezeléséhez, sem pedig az, hogy a lett adóhatóság jogosult olyan információk megszerzésére, amelyek az online hirdetési szolgáltatásokat nyújtó szolgáltató rendelkezésére állnak, és az adóbeszedés területére tartozó konkrét intézkedések végrehajtásához szükségesek. |
26 |
Az alapeljárás a lett adóhatóság által igényelhető információk mennyiségére és típusára, azok korlátozottságára vagy korlátlanságára, valamint arra a kérdésre vonatkozik, hogy kell‑e időbeli korlátot meghatározni az SS tájékoztatási kötelezettségére vonatkozóan. |
27 |
Közelebbről, a kérdést előterjesztő bíróság úgy véli, hogy az ő feladata annak meghatározása, hogy az alapügy körülményei között a személyes adatokat átlátható módon kezelik‑e az érintett személyek tekintetében, hogy a szóban forgó információkérésben említett információkat meghatározott, egyértelmű és jogszerű célból kérik‑e, és hogy a személyes adatokat csak olyan mértékben kezelik‑e, amely a 2016/679 rendelet 5. cikkének (1) bekezdése értelmében ténylegesen szükséges a lett adóhatóság feladatainak ellátásához. |
28 |
Ennek érdekében meg kell határozni az annak értékelését lehetővé tevő kritériumokat, hogy a lett adóhatóságtól származó információkérés tiszteletben tartja‑e az alapvető szabadságok és jogok lényegét, és hogy az alapügyben szóban forgó információkérés egy demokratikus társadalomban szükségesnek és arányosnak tekinthető‑e a pénzügyi és költségvetési területen fennálló fontos uniós célok és lett közérdekek biztosítása érdekében. |
29 |
E körülmények között az Administratīvā apgabaltiesa (regionális közigazgatási bíróság, Lettország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
|
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az első kérdésről
30 |
Első kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a 2016/679 rendelet rendelkezéseit úgy kell‑e értelmezni, hogy a jelentős mennyiségű személyes adatot tartalmazó információ tagállami adóhatóság általi, a gazdasági szereplőtől történő gyűjtésének meg kell felelnie az e rendeletben, különösen az utóbbi 5. cikkének (1) bekezdésében előírt követelményeknek. |
31 |
E kérdés megválaszolása érdekében először is meg kell vizsgálni, hogy az ilyen kérelem a 2016/679 rendeletnek az e rendelet 2. cikkének (1) bekezdésében meghatározott tárgyi hatálya alá tartozik‑e, másodszor pedig azt, hogy az nem szerepel‑e azon személyesadat‑kezelések között, amelyeket e rendelet 2. cikkének (2) bekezdése kizár e hatály alól. |
32 |
A 2016/679 rendelet 2. cikkének (1) bekezdése értelmében e rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. |
33 |
A 2016/679 rendelet 4. cikkének 1. pontja pontosítja, hogy „személyes adat” bármely információ, amely azonosított vagy azonosítható természetes személyre, azaz olyan természetes személyre vonatkozik, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható. E rendelet (26) preambulumbekezdése e tekintetben pontosítja, hogy valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja. |
34 |
Az alapeljárás keretében nem vitatott, hogy azok az információk, amelyek közlését a lett adóhatóság kéri, a 2016/679 rendelet 4. cikkének 1. pontja értelmében vett személyes adatoknak minősülnek. |
35 |
E rendelet 4. cikkének 2. pontja szerint a személyes adatokat érintő gyűjtés, betekintés, közléstovábbítás, valamint minden egyéb módon történő hozzáférhetővé tétel az e rendelet értelmében vett „adatkezelésnek” minősül. E rendelkezés szövegéből, különösen a „bármely művelet” kifejezésből kitűnik, hogy az uniós jogalkotó az „adatkezelés” fogalmának tág értelmet kívánt tulajdonítani. Ezt az értelmezést megerősíti az e rendelkezésben említett ügyletek nem kimerítő jellege, amelyet az „így” szó fejez ki. |
36 |
A jelen ügyben a lett adóhatóság azt követeli meg az érintett gazdasági szereplőtől, hogy állítsa helyre az ezen adóhatóság szolgálatainak az e gazdasági szereplő internetes portálján közzétett hirdetések tárgyát képező járművek alvázszámához való hozzáférését, és nyújtson tájékoztatást az e portálon közzétett hirdetésekről. |
37 |
Az ilyen kérés, amellyel a tagállami adóhatóság egy gazdasági szereplőtől olyan személyes adatok közlését és rendelkezésre bocsátását kéri, amelyeket ez utóbbi e tagállam nemzeti szabályozása alapján köteles a részére szolgáltatni és a rendelkezésére bocsátani, ezen adatoknak a 2016/679 rendelet 4. cikkének 2. pontja értelmében vett „gyűjtésére” irányuló folyamatot indít meg. |
38 |
Egyébiránt az említett adatoknak a szóban forgó gazdasági szereplő által e hatósággal való közlése és annak rendelkezésére bocsátása az e 4. cikk 2. pontja értelmében vett „adatkezelést” feltételez. |
39 |
Másodszor meg kell vizsgálni, hogy az a művelet, amellyel a tagállami adóhatóság egy gazdasági szereplőtől egyes adóalanyokra vonatkozó személyes adatokat kíván gyűjteni, tekinthető‑e úgy, hogy a 2016/679 rendelet 2. cikkének (2) bekezdése alapján ki van zárva e rendelet hatálya alól. |
40 |
E tekintetben először is emlékeztetni kell arra, hogy e rendelkezés kivételeket ír elő e rendeletnek a 2. cikkének (1) bekezdésében meghatározott hatálya alól, és e kivételeket szigorúan kell értelmezni (2020. július 16‑iFacebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 84. pont). |
41 |
Közelebbről, a 2016/679 rendelet 2. cikke (2) bekezdésének d) pontja úgy rendelkezik, hogy e rendelet nem alkalmazandó a személyes adatok olyan kezelésére, amelyet az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végeznek. |
42 |
Amint az e rendelet (19) preambulumbekezdéséből következik, e kivételt az a körülmény indokolja, hogy a személyes adatok illetékes hatóságok általi, ilyen célból történő kezelésére külön uniós jogi aktus, nevezetesen a 2016/680 irányelv az irányadó, amelyet ugyanazon a napon fogadtak el, mint a 2016/679 rendeletet, és amely 3. cikkének 7. pontjában meghatározza, hogy mit kell „illetékes hatóság” alatt érteni, amely meghatározást analógia útján e rendelet 2. cikke (2) bekezdésének d) pontja tekintetében is alkalmazni kell (lásd ebben az értelemben: 2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 69. pont). |
43 |
A 2016/680 irányelv (10) preambulumbekezdéséből kitűnik, hogy az „illetékes hatóság” fogalmát a személyes adatoknak a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén megvalósuló védelmével összefüggésben kell értelmezni, figyelembe véve azon kiigazításokat, amelyek e területek sajátos természetéből adódóan e tekintetben szükségessé válhatnak. Ezenkívül ezen irányelv (11) preambulumbekezdése pontosítja, hogy a 2016/679 rendeletet olyan személyesadat‑kezelésre kell alkalmazni, amelyet az említett irányelv 3. cikkének 7. pontja értelmében vett „illetékes hatóság” végez, de az ezen irányelvben meghatározottaktól eltérő célokból (2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 70. pont). |
44 |
Ily módon, amennyiben azt kéri egy gazdasági szereplőtől, hogy az adóbeszedés és az adócsalás elleni küzdelem céljából közöljön vele egyes adóalanyokra vonatkozó személyes adatokat, nem tűnik úgy, hogy a tagállami adóhatóságot a 2016/680 irányelv 3. cikkének 7. pontja értelmében vett „illetékes hatóságnak” lehetne tekinteni, sem pedig úgy, hogy az ilyen információkérések a 2016/679 rendelet 2. cikke (2) bekezdésének d) pontjában előírt kivétel hatálya alá tartozhatnak. |
45 |
Ezenkívül, még ha nem is kizárt, hogy az alapügyben szóban forgó személyes adatok felhasználhatók azon büntetőeljárások keretében, amelyeket adóügyi jogsértés esetén az érintett személyek némelyikével szemben folytathatnak, nem tűnik úgy, hogy ezeket az adatokat ilyen büntetőeljárások folytatásának konkrét céljával vagy a büntetőjog területét érintő állami tevékenységek keretében gyűjtenék (lásd ebben az értelemben: 2017. szeptember 27‑iPuškár ítélet (C‑73/16, EU:C:2017:725, 40. pont). |
46 |
Következésképpen az, hogy valamely tagállam adóhatósága személyes adatokat gyűjt egy gazdasági szereplő internetes oldalán közzétett, járművek értékesítésére vonatkozó hirdetésekkel kapcsolatban, a 2016/679 rendelet tárgyi hatálya alá tartozik, következésképpen ezen adatgyűjtésnek tiszteletben kell tartania többek között a személyes adatok kezelésére vonatkozó, e rendelet 5. cikkében rögzített elveket. |
47 |
A fenti megfontolások összességére tekintettel az első kérdésre azt a választ kell adni, hogy a 2016/679 rendelet rendelkezéseit úgy kell értelmezni, hogy a jelentős mennyiségű személyes adatot tartalmazó információ tagállami adóhatóság általi, valamely gazdasági szereplőtől történő gyűjtésének meg kell felelnie az e rendeletben, különösen az utóbbi 5. cikkének (1) bekezdésében előírt követelményeknek. |
A második kérdésről
48 |
Második kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a 2016/679 rendelet rendelkezéseit úgy kell‑e értelmezni, hogy valamely tagállam adóhatósága eltérhet az e rendelet 5. cikkének (1) bekezdésében foglalt rendelkezésektől, még akkor is, ha e tagállam nemzeti joga ilyen jogkörrel nem ruházta fel? |
49 |
Elöljáróban emlékeztetni kell arra, hogy amint az a 2016/679 rendelet (10) preambulumbekezdéséből kitűnik, a 2016/679 rendelet célja többek között a természetes személyek Unión belüli magas szintű védelmének biztosítása. |
50 |
E célból a 2016/679 rendelet II. és III. fejezete rögzíti a személyes adatok kezelését szabályozó elveket, illetve az érintett azon jogait, amelyeket minden személyesadat‑kezelésnek tiszteletben kell tartania. Közelebbről, bármely személyesadat‑kezelésének többek között meg kell felelnie az említett rendelet 5. cikkében foglalt, az ilyen adatok kezelésére vonatkozó elveknek (lásd ebben az értelemben: 2020. október 6‑iLa Quadrature du Net és társai ítélet (C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 208. pont). |
51 |
A 2016/679 rendelet 23. cikke ugyanakkor felhatalmazza az Uniót és a tagállamokat arra, hogy olyan „jogalkotási intézkedéseket” fogadjanak el, amelyek korlátozzák a többek között az e rendelet 5. cikkében előírt kötelezettségek és jogok hatályát, amennyiben azok megfelelnek az említett rendelet 12–22. cikkében foglalt jogoknak és kötelezettségeknek, ha az ilyen korlátozás tiszteletben tartja az alapvető szabadságok és jogok lényegét, és egy demokratikus társadalomban szükségesnek és arányos intézkedésnek tekinthető az Unió és az érintett tagállam fontos általános közérdekű céljainak, így különösen a költségvetési és adóügyi területhez is tartozó fontos gazdasági és pénzügyi érdekek biztosítása érdekében. |
52 |
E tekintetben a 2016/679 rendelet (41) preambulumbekezdéséből kitűnik, hogy az e rendeletben szereplő, „jogalkotási intézkedésre” való hivatkozás nem jelenti szükségképpen azt, hogy valamely jogalkotási aktus parlament általi elfogadására van szükség. |
53 |
Mindemellett emlékeztetni kell arra, hogy amint azt a 2016/679 rendelet (4) preambulumbekezdése kimondja, e rendelet minden alapvető jogot tiszteletben tart, és szem előtt tartja a Chartában elismert és a Szerződésekben rögzített szabadságokat és elveket, amelyek között többek között a személyes adatok védelme is szerepel. |
54 |
Márpedig a Charta 52. cikke (1) bekezdése első mondatának megfelelően a Chartában elismert jogok és szabadságok – többek között a Charta 7. cikkében biztosított, a magánélet tiszteletben tartásához való jog és a Charta 8. cikkében biztosított, a személyes adatok védelméhez való jog – gyakorlása csak a törvény által korlátozható, amiből különösen az következik, hogy a beavatkozást lehetővé tevő jogalapnak magának kell meghatároznia az érintett jog gyakorlását érintő korlátozás terjedelmét (lásd ebben az értelemben: 2020. október 6‑iPrivacy International ítélet, C‑623/17, EU:C:2020:790, 65. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
55 |
E tekintetben a Bíróság ezenkívül megállapította, hogy az ilyen beavatkozást lehetővé tevő intézkedést tartalmazó szabályozásnak a szóban forgó intézkedés hatályával és alkalmazásával kapcsolatban egyértelmű és pontos szabályokat kell tartalmaznia, valamint minimumkövetelményeket kell előírnia annak érdekében, hogy azon személyek, akiknek a személyes adataikat továbbították, elegendő biztosítékkal rendelkezzenek ezen adatoknak a visszaélések veszélyeivel szembeni hatékony védelmére (lásd ebben az értelemben: 2021. március 2‑iProkuratuur ítélet [Az elektronikus hírközléssel kapcsolatos adatokhoz való hozzáférés feltételei] ítélet, C‑746/18, EU:C:2021:152, 48. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
56 |
Következésképpen a 2016/679 rendelet 23. cikke alapján elfogadott intézkedéseknek – amint azt az uniós jogalkotó végső soron e rendelet (41) preambulumbekezdésében hangsúlyozta – egyértelműeknek és pontosaknak kell lenniük, és alkalmazásuknak a jogalanyok számára előre láthatónak kell lennie. Konkrétabban, ez utóbbiaknak képesnek kell lenniük azon körülmények és feltételek azonosítására, amelyek mellett az említett rendelet által rájuk ruházott jogok hatálya korlátozható. |
57 |
A fenti megfontolásokból következik, hogy a tagállami adóhatóság nem térhet el a 2016/679 rendelet 5. cikkének rendelkezéseitől olyan egyértelmű és pontos uniós vagy nemzeti jogi jogalap hiányában, amelynek alkalmazása a jogalanyok számára előre látható, és amely előírja azon körülményeket és feltételeket, amelyek mellett az ezen 5. cikkben előírt kötelezettségek és jogok hatálya korlátozható. |
58 |
Következésképpen, a második kérdésre azt a választ kell adni, hogy a 2016/679 rendelet rendelkezéseit úgy kell értelmezni, hogy a tagállami adóhatóság nem térhet el az e rendelet 5. cikkének (1) bekezdésében foglalt rendelkezésektől, amennyiben nem ruháztak rá ilyen jogkört az említett rendelet 23. cikkének (1) bekezdése értelmében vett jogalkotási intézkedés útján. |
A harmadik–kilencedik kérdésről
59 |
Harmadik–kilencedik kérdésével, amelyeket célszerű együttesen vizsgálni, a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a 2016/679 rendelet rendelkezéseit úgy kell‑e értelmezni, hogy azokkal ellentétes, ha a tagállami adóhatóság arra kötelez egy online hirdetési szolgáltatásokat nyújtó szolgáltatót, hogy az információkérés céljának pontosítása nélkül, meg nem határozott időtartam alatt információkat közöljön vele az internetes portál egyik rovatában hirdetéseket közzétevő valamennyi adóalanyra vonatkozóan. |
60 |
Előzetesen meg kell jegyezni, hogy két személyadat‑kezelésre is sor kerülhetett olyan helyzetben, mint amelyről az alapügyben szó van. Amint az a jelen ítélet 37. és 38. pontjából kitűnik, a személyes adatok adóhatóság általi, az érintett szolgáltatótól való gyűjtéséről, továbbá ezen összefüggésben a fenti adatoknak e szolgáltató által az említett hatóság részére történő közléstovábbításáról van szó. |
61 |
Amint az a jelen ítélet 50. pontjában hivatkozott ítélkezési gyakorlatból kitűnik, ezen adatkezelési műveletek mindegyikének – a 2016/679 rendelet 23. cikkében engedett eltérések sérelme nélkül – tiszteletben kell tartania a személyes adatok kezelésére vonatkozó, e rendelet 5. cikkében foglalt elveket, valamint az érintett e rendelet 12–22. cikkében szereplő jogait. |
62 |
A jelen ügyben az előterjesztő bíróság kétségei különösen azon körülménnyel kapcsolatban merülnek fel, hogy egyrészt a jelen ítélet 60. pontjában említett adatkezelések határozatlan időtartamot érintő, korlátlan mennyiségű információkra vonatkoznak, másrészt pedig ezen adatkezelések célját az információkérés nem jelöli meg. |
63 |
E tekintetben először is hangsúlyozni kell, hogy a 2016/679 rendelet 5. cikke (1) bekezdésének b) pontja előírja, hogy a személyes adatok gyűjtése többek között meghatározott, egyértelmű és jogszerű célból történjen. |
64 |
Mindenekelőtt, az a követelmény, amely szerint az adatkezelés céljának meghatározottnak kell lennie, e rendelet (39) preambulumbekezdéséből következően azt jelenti, hogy azt legkésőbb a személyes adatok gyűjtésekor azonosítani kell. |
65 |
Továbbá az adatkezelés céljának egyértelműnek kell lennie, ami azt jelenti, hogy azt világosan meg kell határozni. |
66 |
Végül e célnak jogszerűek kell lennie. Fontos tehát, hogy e cél biztosítsa a fent említett rendelet 6. cikkének (1) bekezdése értelmében vett jogszerű adatkezelést. |
67 |
A jelen ítélet 60. pontjában említett adatkezelések kezdőpontja a lett adóhatóság által az online hirdetési szolgáltatásokat nyújtó szolgáltató részére címzett, személyes adatok közlésére irányuló információkérés. E tekintetben úgy tűnik, hogy az adózás rendjéről szóló törvény 15. cikkének (6) bekezdése értelmében e szolgáltató köteles helyt adni az ilyen információkérésnek. |
68 |
A jelen ítélet 64. és 65. pontjában kifejtett megfontolásokra tekintettel ezen információkérésben egyértelműen meg kell határozni ezen adatkezelések céljait. |
69 |
Feltéve, hogy az említett információkérésben ily módon meghatározott célok szükségesek valamely közérdekű feladat elvégzéséhez vagy az adóhatóság közhatalmi jogosítványainak gyakorlásához, e körülmény – amint az a 2016/679 rendelet 6. cikke (1) bekezdése első albekezdésének az e rendelet 6. cikke (3) bekezdésének második albekezdésével összefüggésben értelmezett e) pontjából következik – elegendő ahhoz, hogy az említett adatkezelések a jelen ítélet 66. pontjában felidézett jogszerűségi követelménynek is megfeleljenek. |
70 |
E tekintetben emlékeztetni kell arra, hogy az adóbeszedést és az adócsalás elleni küzdelmet a 2016/679 rendelet 6. cikke (1) bekezdése első albekezdésének e) pontja értelmében közérdekből elvégzendő feladatoknak kell tekinteni (lásd analógia útján: 2017. szeptember 27‑iPuškár ítélet, C‑73/16, EU:C:2017:725, 108. pont). |
71 |
Ebből következik, hogy abban az esetben, ha a szóban forgó személyes adatok közlése nem közvetlenül az annak alapját képező jogszabályi rendelkezésen alapul, hanem az illetékes hatóság információkérésének eredménye, ezen információkérésnek meg kell határoznia, hogy melyek ezen adatgyűjtésnek a közérdekű feladatra vagy a közhatalom gyakorlására tekintettel fennálló konkrét céljai, annak érdekében, hogy az említett információkérés címzettje meggyőződhessen arról, hogy jogszerű‑e a szóban forgó személyes adatok továbbítása, és hogy a nemzeti bíróságok felülvizsgálhassák az érintett adatkezelési műveletek jogszerűségét. |
72 |
Másodszor, a 2016/679 rendelet 5. cikke (1) bekezdése c) pontjának megfelelően a személyes adatoknak az adatkezelés céljai szempontjából megfelelőeknek és relevánsaknak kell lenniük, és a szükségesre kell korlátozódniuk. |
73 |
E tekintetben emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint az ilyen adatok védelme alóli kivételeknek és korlátozásoknak a feltétlenül szükséges mérték határain belül kell maradniuk (lásd ebben az értelemben: 2021. június 22‑iLatvijas Republikas Saeima (Büntetőpontok) ítélet, C‑439/19, EU:C:2021:504, 110. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
74 |
Ebből következik, hogy az adatkezelő, ideértve azt az esetet is, amikor a rábízott közérdekű feladatok keretében jár el, nem végezheti általános jelleggel és különbségtétel nélkül a személyes adatok gyűjtését, és tartózkodnia kell az adatkezelés céljai szempontjából nem feltétlenül szükséges adatok gyűjtésétől. |
75 |
A jelen ügyben meg kell állapítani, hogy – amint az a jelen ítélet 17–19. pontjából kitűnik – a lett adóhatóság azt kérte az érintett gazdasági szereplőtől, hogy szolgáltasson adatokat az internetes oldalán 2018. július 14. és augusztus 31. között közzétett, gépjárművek értékesítésére vonatkozó hirdetésekről, és amennyiben az ezen információkhoz való hozzáférést nem lehet helyreállítani, legkésőbb minden hónap harmadik napjáig szolgáltasson számára adatokat az internetes oldalán az előző hónapban közzétett, gépjárművek értékesítésére vonatkozó hirdetésekről, anélkül hogy az utóbbi információkérés vonatkozásában időbeli korlátot állapított volna meg. |
76 |
A jelen ítélet 74. pontjában kifejtett megfontolásokra tekintettel a kérdést előterjesztő bíróság feladata annak vizsgálata, hogy ezen adatok gyűjtésének célja elérhető‑e anélkül, hogy a lett adóhatóság potenciálisan rendelkezzen a gépjárművek értékesítésére vonatkozó, az említett gazdasági szereplő internetes oldalán közzétett valamennyi hirdetésre vonatkozó adatokkal, és különösen, hogy elképzelhető‑e, hogy e hatóság bizonyos hirdetéseket sajátos kritériumok alapján célzottan vizsgáljon meg. |
77 |
Ebben az összefüggésben hangsúlyozni kell, hogy a 2016/679 rendelet 5. cikkének (2) bekezdésében foglalt elszámoltathatóság elve szerint az adatkezelőnek képesnek kell lennie annak bizonyítására, hogy megfelel a személyes adatok kezelésére vonatkozóan e cikk (1) bekezdésében rögzített elveknek. |
78 |
Következésképpen a lett adóhatóság feladata annak bizonyítása, hogy e rendelet 25. cikke (2) bekezdésének megfelelően az összegyűjtendő személyes adatok mennyiségnek a lehetőségekhez képest legkisebbre történő csökkentésére törekedett. |
79 |
Ami azt a körülményt illeti, hogy a lett adóhatóságtól származó információkérés arra az esetre, ha az érintett hirdetési szolgáltató nem állítja helyre a kérelemben meghatározott időszakban közzétett hirdetésekhez való hozzáférést, semmilyen időbeli korlátot nem ír elő, emlékeztetni kell arra, hogy az adattakarékosság elvére figyelemmel az adatkezelőnek a szóban forgó adatkezelés céljának fényében a szóban forgó személyes adatok gyűjtésének időtartamát a feltétlenül szükséges mértékre kell korlátoznia. |
80 |
Következésképpen az az időszak, amelyre a gyűjtés vonatkozik, nem haladhatja meg a kitűzött közérdekű cél eléréséhez feltétlenül szükséges időtartamot. |
81 |
Amint az a jelen ítélet 77. pontjából következik, e tekintetben a bizonyítási teher a lett adóhatóságra hárul. |
82 |
Ugyanakkor az a körülmény, hogy az említett adatokat anélkül gyűjtik össze, hogy a lett adóhatóság magában az információkérésben meghatározta volna az ilyen adatkezelés időbeli korlátját, önmagában nem teszi lehetővé annak megállapítását, hogy az adatkezelés időtartama meghaladja a kitűzött cél eléréséhez feltétlenül szükséges időtartamot. |
83 |
Ebben az összefüggésben mindazonáltal emlékeztetni kell arra, hogy a 2016/679 rendelet 5. cikke (1) bekezdésének c) pontjában kimondott arányossági követelmény teljesítéséhez (lásd ebben az értelemben: 2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 98. pont, valamint az ott hivatkozott ítélkezési gyakorlat) az adatkezelés alapját képező szabályozásnak egyértelmű és pontos szabályokat kell tartalmaznia a szóban forgó intézkedés hatályát és alkalmazását illetően, és minimumkövetelményeket kell előírnia annak érdekében, hogy azon személyek, akiknek a személyes adatait az adatkezelés érinti, elegendő biztosítékkal rendelkezzenek ezen adatoknak a visszaélés veszélyeivel szembeni tényleges védelmét illetően. E szabályozásnak a belső jogban jogilag kötelező erejűnek kell lennie, és többek között meg kell jelölnie, hogy milyen körülmények között és milyen feltételek mellett lehet az ilyen adatok kezelését előíró intézkedést megtenni, biztosítva ezáltal, hogy a beavatkozás a szigorúan szükséges mértékre korlátozódjék (2020. október 6‑iPrivacy International ítélet, C‑623/17, EU:C:2020:790, 68. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
84 |
Ebből következik, hogy az olyan információkérésre vonatkozó nemzeti szabályozásnak, mint amely az alapügy tárgyát képezi, objektív kritériumokon kell alapulnia azon körülmények és feltételek meghatározása érdekében, amelyek mellett az online szolgáltató köteles a felhasználóira vonatkozó személyes adatokat továbbítani (lásd ebben az értelemben: 2020. október 6‑iPrivacy International ítélet, C‑623/17, EU:C:2020:790, 78. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
85 |
A fenti megfontolások összességére tekintettel a harmadik–kilencedik kérdésre azt a választ kell adni, hogy a 2016/679 rendelet rendelkezéseit úgy kell értelmezni, hogy azokkal nem ellentétes, ha a tagállami adóhatóság arra kötelezi az online hirdetési szolgáltatásokat nyújtó szolgáltatót, hogy információkat közöljön vele az internetes portáljának egyik rovatában hirdetéseket közzétevő valamennyi adóalanyra vonatkozóan, feltéve többek között, hogy ezen adatok az említett adatok gyűjtésének konkrét céljára tekintettel szükségesek, és azon időszak, amelyet az említett adatok gyűjtése érint, nem haladja meg a kitűzött közérdekű cél eléréséhez feltétlenül szükséges időtartamot. |
A költségekről
86 |
Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg. |
A fenti indokok alapján a Bíróság (ötödik tanács) a következőképpen határozott: |
|
|
|
Aláírások |
( *1 ) Az eljárás nyelve: lett.