62023CJ0169

Ez a dokumentum az EUR-Lex webhelyről származik.

EUROPA
EUR-Lex kezdőlap
EUR-Lex - 62023CJ0169 - HU

Súgó

Tanácsok a kereséshez

Részletesebb keresési feltételekre van szüksége? Használja a következő keresési felületet: Részletes keresés

Dokumentum 62023CJ0169

Súgó

A Bíróság ítélete (harmadik tanács), 2024. november 28.
Nemzeti Adatvédelmi és Információszabadság Hatóság kontra UC.
A Kúria (Magyarország) által benyújtott előzetes döntéshozatal iránti kérelem.
Előzetes döntéshozatal – A természetes személyeknek a személyes adatok kezelése tekintetében történő védelme és az ilyen adatok szabad áramlása – (EU) 2016/679 rendelet – Covid19‑igazolvány kiállítása során kezelt adatok – Nem az érintettől megszerzett adatok – Nyújtandó tájékoztatás – Kivétel a tájékoztatási kötelezettség alól – A 14. cikk (5) bekezdésének c) pontja – Az adatkezelő által a saját eljárásában létrehozott adatok – Panasztételhez való jog – A felügyeleti hatóság hatásköre – A 77. cikk (1) bekezdése – Az adatkezelőre alkalmazandó tagállami jog által előírt, az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedések – Az adatkezelés biztonságát szolgáló intézkedések – 32. cikk.
C-169/23. sz. ügy.

Határozatok Tára – Általános EBHT – „A közzé nem tett határozatokra vonatkozó információk” rész

Európai esetjogi azonosító: ECLI:EU:C:2024:988

Az ügy nyelve

HTML

PDF

Közzétéve az elektronikus Határozatok Tárában. Hivatalos státuszú dokumentum.

A BÍRÓSÁG ÍTÉLETE (harmadik tanács)

2024. november 28. ( *1 )

„Előzetes döntéshozatal – A természetes személyeknek a személyes adatok kezelése tekintetében történő védelme és az ilyen adatok szabad áramlása – (EU) 2016/679 rendelet – Covid19‑igazolvány kiállítása során kezelt adatok – Nem az érintettől megszerzett adatok – Nyújtandó tájékoztatás – Kivétel a tájékoztatási kötelezettség alól – A 14. cikk (5) bekezdésének c) pontja – Az adatkezelő által a saját eljárásában létrehozott adatok – Panasztételhez való jog – A felügyeleti hatóság hatásköre – A 77. cikk (1) bekezdése – Az adatkezelőre alkalmazandó tagállami jog által előírt, az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedések – Az adatkezelés biztonságát szolgáló intézkedések – 32. cikk”

A C‑169/23. sz. [Másdi] ( i ) ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Kúria (Magyarország) a Bírósághoz 2023. március 17‑én érkezett, 2023. február 8‑i határozatával terjesztett elő

a Nemzeti Adatvédelmi és Információszabadság Hatóság

és

között folyamatban lévő eljárásban,

A BÍRÓSÁG (harmadik tanács),

tagjai: K. Jürimäe, a második tanács elnöke, a harmadik tanács elnökeként eljárva, K. Lenaerts, a Bíróság elnöke, a harmadik tanács bírájaként eljárva, N. Jääskinen, M. Gavalec (előadó) és N. Piçarra bírák,

főtanácsnok: L. Medina,

hivatalvezető: A. Calot Escobar,

tekintettel az írásbeli szakaszra,

figyelembe véve a következők által előterjesztett észrevételeket:

–	a Nemzeti Adatvédelmi és Információszabadság Hatóság képviseletében Dudás G. J. ügyvéd,

–	UC képviseletében Karsai D. és Łuszcz V. ügyvédek,

–	a magyar kormány képviseletében Biró‑Tóth Zs. és Fehér M. Z., meghatalmazotti minőségben,

–	a cseh kormány képviseletében L. Březinová, M. Smolek és J. Vláčil, meghatalmazotti minőségben,

–	az Európai Bizottság képviseletében A. Bouchagiar, Kovács C. és H. Kranenborg, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2024. június 6‑i tárgyaláson történt meghallgatását követően,

meghozta a következő

Ítéletet

Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 1. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 14. cikke (1) bekezdésének és (5) bekezdése c) pontjának, 32. cikkének, valamint 77. cikke (1) bekezdésének értelmezésére vonatkozik.

E kérelmet a Nemzeti Adatvédelmi és Információszabadság Hatóság (Magyarország) (a továbbiakban: nemzeti hatóság) és UC között annak tárgyában folyamatban lévő eljárásban terjesztették elő, hogy fennáll‑e a védettségi igazolványnak a Covid19 elleni védőoltásban részesülő vagy az e betegségen átesett személyek részére történő kiállítására hatáskörrel rendelkező Budapest Főváros Kormányhivatalának (Magyarország) (a továbbiakban: kiállító hatóság) a személyes adatok kezelésére vonatkozó tájékoztatási kötelezettsége.

Jogi háttér

Az uniós jog

A GDPR

A GDPR (1), (10) és (61)–(63) preambulumbekezdése értelmében:

„(1)	A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az Európai Unió Alapjogi Chartája 8. cikkének (1) bekezdése és az [EUMSZ 16. cikk] (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.

[…]

(10)

A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok [Európai] Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. A tagállamok számára lehetővé kell tenni, hogy az e rendeletben foglalt szabályok alkalmazását pontosító nemzeti rendelkezéseket tartsanak fenn vagy vezessenek be, ha a személyes adatok kezelésére jogi kötelezettség teljesítéséhez, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához szükséges. […]

[…]

(61)

Az érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az érintett részére megadni, illetve ha az adatokat nem az érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, észszerű határidőn belül kell rendelkezésre bocsátani. Ha a személyes adatok jogszerűen közölhetőek más címzettel, a címzettel történő első közléskor arról az érintettet tájékoztatni kell. Ha az adatkezelő a személyes adatokat a gyűjtésük eredeti céljától eltérő célból kívánja kezelni, a további adatkezelést megelőzően az érintettet erről az eltérő célról és minden egyéb szükséges tudnivalóról tájékoztatnia kell. Ha az adatkezelő nem tud tájékoztatást nyújtani az érintett részére a személyes adatok eredetéről, mivel azok különböző forrásokból származnak, általános tájékoztatást kell adni.

(62)

Mindazonáltal a tájékoztatás nyújtására vonatkozó kötelezettség előírása nem szükséges, ha az érintettnek ez az információ már a birtokában van, vagy ha a személyes adat rögzítését, illetve közlését valamely jogszabály kifejezetten előírja, vagy ha az érintett tájékoztatása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne. […]

(63)	Az érintett jogosult, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz, valamint arra, hogy egyszerűen és észszerű időközönként, az adatkezelés jogszerűségének megállapítása és ellenőrzése érdekében gyakorolja e jogát. […]”

4	E rendelet „Tárgy” című 1. cikkének (2) bekezdése így rendelkezik: „Ez a rendelet a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.”

Az említett rendelet „Fogalommeghatározások” című 4. cikke kimondja:

„E rendelet alkalmazásában:

1)	»személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; […]

»adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

[…]

7)	»adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; […]

[…]”

A GDPR‑nak „Az adatkezelés jogszerűsége” című 6. cikke az (1) bekezdésében a következőképpen rendelkezik:

„A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

[…]

c)	az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

[…]

e)	az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

[…]”

E rendeletnek „A személyes adatok különleges kategóriáinak kezelése” című 9. cikke (1) és (2) bekezdésében a következőképpen rendelkezik:

„(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha:

[…]

az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;

[…]”

8	A GDPR‑nak „Az érintett jogai” című III. fejezete több szakaszt is tartalmaz, köztük a „Tájékoztatás és a személyes adatokhoz való hozzáférés” című 2. szakaszt.

E 2. szakaszban szerepel a GDPR‑nak a „Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik” című 13. cikke, a „Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg” című 14. cikke és „Az érintett hozzáférési joga” című 15. cikke.

E rendelet 14. cikke szerint:

„(1) Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:

a)	az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;

b)	az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c)	a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d)	az érintett személyes adatok kategóriái;

e)	a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

f)	adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, […]

(2) Az (1) bekezdésben említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:

a)	a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

b)	ha az adatkezelés a 6. cikk (1) bekezdésének f) pontján alapul, az adatkezelő vagy harmadik fél jogos érdekeiről;

c)	az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga;

d)	a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

e)	a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;

f)	a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak‑e; és

g)	[az] automatizált döntéshozatal ténye, […]

[…]

(4) Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

(5) Az (1)–(4) bekezdést nem kell alkalmazni, ha és amilyen mértékben:

a)	az érintett már rendelkezik az információkkal;

a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;

c)	az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy

d)	a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.”

E rendelet „Adatbiztonság” című 32. cikke a következőképpen szól:

„(1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

a)	a személyes adatok álnevesítését és titkosítását;

b)	a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;

c)	fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;

d)	az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

(2) A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

(3) Az adatkezelő, illetve az adatfeldolgozó 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmushoz való csatlakozását felhasználhatja annak bizonyítása részeként, hogy az e cikk (1) bekezdésében meghatározott követelményeket teljesíti.

(4) Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.”

12	Ugyanezen rendelet „Illetékesség” című 55. cikkének (1) bekezdése ekként rendelkezik: „A felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.”

A GDPR „Feladatok” című 57. cikkének (1) bekezdése a következőképpen rendelkezik:

„Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, a felügyeleti hatóság a saját területén ellátja a következő feladatokat:

a)	nyomon követi és kikényszeríti e rendelet alkalmazását;

[…]

c)	a tagállami joggal összhangban tanácsot ad a nemzeti parlamentnek, a kormánynak és más intézményeknek és szerveknek a természetes személyek jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelmével kapcsolatos jogalkotási és közigazgatási intézkedésekről;

[…]”

E rendelet „Hatáskörök” című 58. cikkének (3) bekezdése a következőképpen rendelkezik:

„A felügyeleti hatóság engedélyezési és tanácsadási hatáskörében eljárva:

[…]

b)	saját kezdeményezésére vagy kérésre a személyes adatok védelmével kapcsolatos bármilyen kérdésben véleményt bocsát ki a nemzeti parlament, a tagállami kormány vagy a tagállami joggal összhangban más intézmények és szervek, valamint a nyilvánosság részére;

[…]”

A GDPR‑nak „A felügyeleti hatóságnál történő panasztételhez való jog” című 77. cikke az (1) bekezdésében a következőképpen rendelkezik:

„Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.”

A GDPR‑nak „A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog” című 78. cikke a következőképpen szól:

„(1) Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.

(2) Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha az 55. vagy 56. cikk alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a 77. cikk alapján benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.

(3) A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.

(4) Ha a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi mechanizmus keretében a Testület előzőleg véleményt bocsátott ki vagy döntést hozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnak megküldeni.”

Az (EU) 2021/953 rendelet

A Covid19‑világjárvány idején a szabad mozgás megkönnyítése érdekében az interoperábilis, Covid19‑oltásra, tesztre és gyógyultságra vonatkozó igazolványok (uniós digitális Covid‑igazolvány) kiállításának, ellenőrzésének és elfogadásának keretéről szóló, 2021. június 14‑i (EU) 2021/953 európai parlamenti és tanácsi rendeletnek (HL 2021. L 211., 1. o) „A személyes adatok védelme” című 10. cikke az (1) bekezdésében az alábbiak szerint rendelkezett:

„A [GDPR] alkalmazandó a személyes adatok e rendelet végrehajtása során történő kezelésére.”

A magyar jog

A koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet (a továbbiakban: 60/2021. kormányrendelet) alapügyre alkalmazandó változata 2. §‑ának (1) bekezdése szerint:

„A védettségi igazolvány tartalmazza:

a)	az érintett nevét,

b)	az érintett útlevelének számát, ha ezzel rendelkezik,

c)	az érintett állandó személyi azonosító igazolványának számát, okmányazonosítóját, ha ezzel rendelkezik,

d)	a védettségi igazolvány sorszámát,

e)	az oltottság tényének igazolása esetén az oltás idejét,

f)	fertőzésből történő felgyógyulás tényének az igazolása esetén az igazolvány érvényességének a dátumát,

g)	az a)‑f) pont szerinti adatokból képzett, informatikai eszközzel optikailag olvasható adattároló kódot,

szöveges jelzésként

ha)	»A kártya személyazonosító igazolvány vagy útlevél felmutatásával együtt érvényes«,

hb)	»Nem ruházható át«

hc)	»Az igazolványhoz kapcsolódó jogosultságok a koronavirus.gov.hu internetes oldalon ellenőrizhetők« feliratokat.”

19	A 60/2021. kormányrendelet 2. §‑ának (6) és (7) bekezdése értelmében a védettségi igazolványt a jogosult természetes személy részére a kiállító hatóság hivatalból vagy kérelemre állítja ki.

E kormányrendelet 3. §‑ának (3) bekezdése az alábbiak szerint rendelkezett:

„A hatóság – a 2. § (6) bekezdés c) és d) pontja szerinti esetben –

a)	az EESZT [(Elektronikus Egészségügyi Szolgáltatási Tér)] működtetőjétől az érintett TAJ számát, a 2. § (1) bekezdés e) és g) pontja szerinti adatot, valamint az (1) bekezdés szerinti adatokat,

b)	a személyiadat‑ és lakcímnyilvántartást vezető szervtől az érintett nevét, útlevelének és állandó személyazonosító igazolványának okmányazonosítóját, lakcímét automatikus információátadással – szükség esetén az összerendelési nyilvántartáshoz kapcsolódó szolgáltatás útján – átveszi.”

Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

21	UC természetes személy, akinek a részére a kiállító hatóság a 60/2021. kormányrendelet alapján védettségi igazolványt állított ki, amely igazolta, hogy Covid19 elleni védőoltásban részesült.

2021. április 30‑án UC a rá vonatkozó személyes adatok kezelését érintő közigazgatási eljárást indított oly módon, hogy panaszt nyújtott be a nemzeti hatósághoz a GDPR 77. cikkének (1) bekezdése alapján, a kiállító hatóság arra való kötelezése érdekében, hogy adatkezelési műveleteit hozza összhangba a GDPR rendelkezéseivel. Panaszában többek között kifogásolta, hogy a kiállító hatóság elmulasztotta a védettségi igazolványok kiállításával kapcsolatos személyes adatok kezelésére vonatkozóan az adatkezelési tájékoztatót elkészíteni és közzétenni, és arra hivatkozott, hogy nem kapott tájékoztatást arról, hogy mi az adatkezelés célja, jogalapja, melyek, és hogyan érvényesíthetőek az érintett jogok.

Az e panasz alapján indított eljárás keretében a kiállító hatóság úgy nyilatkozott, hogy a védettségi igazolvány kibocsátásával kapcsolatos feladatait a 60/2021. kormányrendelet 2. cikke alapján látja el, a személyes adatok kezelésének jogalapja pedig a GDPR 6. cikke (1) bekezdésének e) pontja, a személyes adatok különleges kategóriáinak kezelése tekintetében pedig e rendelet 9. cikke (2) bekezdésének i) pontja.

Ezenkívül a kiállító hatóság jelezte, hogy az általa kezelt személyes adatokat a 60/2021. kormányrendelet rendelkezéseinek megfelelően egy másik szervtől szerezte meg. Ennek alapján azt állította, hogy a GDPR 14. cikke (5) bekezdésének c) pontja alapján nem volt köteles tájékoztatást nyújtani az említett adatok kezeléséről. Mindazonáltal létrehozta és a honlapján közzétette az érintett által kért, a személyes adatok kezelésére vonatkozó adatkezelési tájékoztatót.

25	2021. november 15‑i határozatával a nemzeti hatóság elutasította UC kérelmét, és megállapította, hogy nem áll fenn a kiállító hatóság tájékoztatási kötelezettsége, mivel az érintett személyesadat‑kezelés a GDPR 14. cikke (5) bekezdésének c) pontjában előírt kivétel hatálya alá tartozik.

Közelebbről e hatóság úgy ítélte meg, hogy a 60/2021. kormányrendelet képezi az adatkezelés jogalapját, és az kifejezetten előírja a kiállító hatóság számára a szóban forgó adatok gyűjtését. Az említett hatóság szerint a kiállító hatóság általi személyesadat‑kezelésre vonatkozó információknak a kiállító hatóság által a honlapján történő közzététele jó gyakorlatnak, nem pedig jogi kötelezettségnek minősül.

Ezenkívül a nemzeti hatóság hivatalból megvizsgálta, hogy léteznek‑e az érintett jogos érdekeinek védelmét szolgáló, a GDPR 14. cikke (5) bekezdése c) pontjának második tagmondata értelmében vett megfelelő intézkedések, és úgy ítélte meg, hogy a 60/2021. kormányrendelet 2., 3. és 5–7. §‑ának rendelkezéseit ilyen intézkedéseknek kell tekinteni.

28	UC e határozattal szemben közigazgatási pert indított a Fővárosi Törvényszék (Magyarország) előtt, amely megsemmisítette az említett határozatot, és e hatóságot új eljárásra kötelezte.

Ítéletében a fenti bíróság úgy ítélte meg, hogy a GDPR 14. cikke (5) bekezdésének c) pontjában előírt kivétel nem alkalmazható, mivel a védettségi igazolványokkal kapcsolatban létrejött bizonyos személyes adatokat az adatkezelő nem egy másik szervtől szerezte be, hanem azokat feladatai ellátása keretében maga hozta létre. Az említett bíróság szerint ez volt a helyzet a védettségi igazolvány sorszáma, a betegségen átesett személyek esetén az igazolvány érvényességi ideje, a kártyán lévő QR kód, a kézbesítő levélen szereplő vonalkód és egyéb alfanumerikus kódok, valamint az adatkezelő eljárása során keletkezett, az ügykezeléshez kapcsolódó adatok esetében. Ugyanezen bíróság álláspontja szerint kizárólag a más szervtől megszerzett személyes adatok tartozhattak a GDPR 14. cikke (5) bekezdésének c) pontjában előírt kivétel hatálya alá.

30	A nemzeti hatóság felülvizsgálati kérelmet terjesztett elő a fenti ítélettel szemben a kérdést előterjesztő bíróság, a Kúria (Magyarország) előtt.

31	E bíróság a fenti összefüggésben mindenekelőtt arra keresi a választ, hogy a GDPR 14. cikke (5) bekezdésének c) pontjában előírt kivétel alkalmazható‑e valamennyi személyesadat‑kezelésre, azok kivételével, amelyek az érintettől gyűjtött személyes adatokra vonatkoznak.

Igenlő válasz esetén az említett bíróság arra keresi a választ, hogy a GDPR 77. cikkének (1) bekezdése szerinti panaszeljárás keretében a felügyeleti hatóság hatáskörrel rendelkezik‑e arra, hogy e kivétel alkalmazhatóságának elbírálása céljából megvizsgálja, hogy az adatkezelő nemzeti joga az érintett jogos érdekeit szolgáló megfelelő intézkedéseket ír‑e elő.

33	Igenlő válasz esetén a kérdést előterjesztő bíróság végül azt kívánja megtudni, hogy e vizsgálat azon intézkedések megfelelőségére is kiterjed‑e, amelyeket az adatkezelőnek a GDPR 32. cikke értelmében a személyesadat‑kezelés biztonságának garantálása érdekében meg kell hoznia.

E körülmények között a Kúria úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„(1)

Úgy kell‑e értelmezni a [GDPR] 14. cikk (5) bekezdés c) pontját – a GDPR 14. cikk (1) bekezdésére és a (62) preambulumbekezdésére figyelemmel –, hogy a 14. cikk (5) bekezdés c.) pont szerinti kivétel nem vonatkozik az adatkezelő saját eljárásban létrehozott adatra, csak az olyan adatra, melyet az adatkezelő kifejezetten mástól szerzett be?

Amennyiben a GDPR 14. cikk (5) bekezdés c) pontja az adatkezelő saját eljárásában létrehozott adatra is alkalmazandó, akkor úgy kell‑e értelmezni a felügyeleti hatóságnál történő panasztételi jogot szabályozó GDPR 77. cikk (1) bekezdését, hogy a tájékoztatási kötelezettség megsértését állító természetes személy a panasztételi joga gyakorlása során annak vizsgálatát is kezdeményezheti, hogy a GDPR 14. cikk (5) bekezdés c) pontjában említett tagállami jog az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik‑e?

3)	Amennyiben a 2. előkérdésre adott válasz igenlő, akkor a GDPR 14. cikk (5) bekezdés c) pontja értelmezhető‑e úgy, hogy az abban szereplő »megfelelő intézkedés« a GDPR 32. cikk szerinti adatbiztonsági intézkedések leírását (a jogszabályban) várja el a tagállami jogalkotótól?”

A Bíróság 2024. január 16‑án felhívta az Európai Unió Bírósága alapokmányának 23. cikke szerinti érdekelteket, hogy a Bíróság eljárási szabályzata 61. cikke alapján írásban válaszoljanak bizonyos kérdésekre. Az alapeljárás felperese és alperese, a magyar és a cseh kormány, valamint az Európai Bizottság válaszolt e kérdésekre.

Az előzetes döntéshozatalra előterjesztett kérdésekről

Az első kérdésről

Első kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 14. cikke (5) bekezdésének c) pontját úgy kell‑e értelmezni, hogy az érintett adatkezelő általi tájékoztatására vonatkozó kötelezettség alóli, e rendelkezésben előírt kivétel kizárólag azokra a személyes adatokra vonatkozik, amelyeket az adatkezelő az érintettől eltérő személytől gyűjtött, vagy az azokra a személyes adatokra is, amelyeket ezen adatkezelő feladatai ellátása során maga hozott létre.

37	E rendelet 14. cikkének (1), (2) és (4) bekezdése meghatározza azokat az információkat, amelyeket az adatkezelő köteles ugyanezen rendelet 4. cikkének 1. pontja értelmében az érintettel közölni abban az esetben, ha a személyes adatokat nem az érintettől szerezték meg.

Ugyanezen rendelet 14. cikkének (5) bekezdése kivételeket állapít meg e kötelezettség alól. E kivételek között ezen (5) bekezdés c) pontja előírja, hogy az említett kötelezettség nem alkalmazandó, ha és amilyen mértékben az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik.

Annak meghatározása érdekében, hogy e kivétel kiterjed‑e azokra a személyes adatokra, amelyeket a feladatainak ellátása keretében maga az adatkezelő hozott létre az érintettől eltérő személytől kapott adatok alapján, az állandó ítélkezési gyakorlat értelmében nemcsak az e kivételt előíró rendelkezés kifejezéseit, hanem e rendelkezés szövegkörnyezetét, és annak a szabályozásnak a célkitűzéseit is figyelembe kell venni, amelynek az részét képezi (lásd ebben az értelemben: 2023. január 12‑iNemzeti Adatvédelmi és Információszabadság Hatóság ítélet, C‑132/21, EU:C:2023:2, 32. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

40	Először is a GDPR 14. cikke (5) bekezdése c) pontjának szövegére tekintettel meg kell határozni az e rendelkezésben említett „megszerzés[…] vagy közlés[…]” tárgyát.

Elsősorban ugyanis az említett rendelkezés egyes nyelvi változatai eltérnek egymástól. Az említett rendelkezés francia nyelvi változata „információk”(„informations”) megszerzésére vagy közlésére utal, míg először is a magyar („adatok”), az észt („isikuandmed”), a horvát („podataka”), a litván („duomenų”), a holland („gegevens”), a portugál („dados”), a román („datelor”), valamint a svéd (« uppgifter ») nyelvi változat „adatok” megszerzését vagy közlését említi, a finn nyelvi változat továbbá egy olyan kifejezést („tietojen”) tartalmaz, amely egyaránt vonatkozhat „adatokra” vagy „információkra”, végül pedig a bolgár, a spanyol, a cseh, a dán, a német, a görög, az angol, az olasz, a lett, a máltai, a lengyel, a szlovák és a szlovén nyelvi változat nem említi a megszerzés vagy a közlés tárgyát.

Márpedig szintén az állandó ítélkezési gyakorlat szerint egy uniós jogi rendelkezés valamely nyelvi változatának megfogalmazása nem szolgálhat e rendelkezés értelmezésének kizárólagos alapjául, illetve e tekintetben nem élvezhet elsőbbséget más nyelvi változatokkal szemben. Az uniós jog rendelkezéseit ugyanis egységesen kell értelmezni és alkalmazni az Unió valamennyi nyelvén készült változatok figyelembevételével. Az uniós jogi szövegek egyes nyelvi változatai közötti eltérés esetén a szóban forgó rendelkezést azon szabályozás általános rendszerére és céljára tekintettel kell értelmezni, amelynek az a részét képezi (2024. március 21‑iCobult ítélet, C‑76/23, EU:C:2024:253, 25. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

Ami a GDPR általános rendszerét illeti, e rendelet 14. cikkének (5) bekezdését e rendelet (61) és (62) preambulumbekezdésének fényében kell értelmezni, amelyek egyrészt a „gyűjt[ött]” és a „közöl[t]”„személyes adatokra”, valamint a „[személyes adatok] valamely jogszabály [által] kifejezetten előír[t]”„rögzítésé[re], illetve közlés[ére]” hivatkoznak, másrészt pedig az „ad[ott]” vagy azon tájékoztatásra, amelyet „rendelkezésre [kell] bocsátani”. Azt az értelmezést, amely szerint a GDPR 14. cikke (5) bekezdésének c) pontja értelmében vett „megszerzés[…] vagy közlés[…]” személyes adatokra vonatkozik, megerősíti továbbá a GDPR 4. cikkének 2. pontja értelmében vett „adatkezelés” fogalmának tág hatálya, amely a személyes adatokon végzett valamennyi műveletre kiterjed (lásd ebben az értelemben: 2023. október 5‑iMinisterstvo zdravotnictví [Covid‑19‑mobilalkalmazás] ítélet, C‑659/22, EU:C:2023:745, 27. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

Azon szabályozás célját illetően, amelynek a GDPR 14. cikke (5) bekezdésének c) pontja a részét képezi, elegendő megjegyezni – amint azt a főtanácsnok az indítványának 31. pontjában is kifejtette –, hogy e kivétel ratio legise az, hogy az érintett tájékoztatására vonatkozóan az e rendelet 14. cikkének (1), (2) és (4) bekezdésében előírt kötelezettség nem indokolt, ha az uniós jog vagy a tagállami jog valamely más rendelkezése kellően teljes körű és kötelező jelleggel előírja az adatkezelő számára, hogy e személy részére személyes adatok megszerzésére vagy közlésére vonatkozó tájékoztatást nyújtson. Az e 14. cikk (5) bekezdése c) pontjának hatálya alá tartozó esetben ugyanis az érintetteknek megfelelő ismeretekkel kell rendelkezniük ezen adatok megszerzésének vagy közlésének módjáról és céljairól.

45	Következésképpen a GDPR 14. cikke (5) bekezdése c) pontjának valamennyi nyelvi változatában szereplő szövegére tekintettel meg kell állapítani, hogy e rendelkezést úgy kell értelmezni, mint amely a személyes adatok megszerzésére vagy közlésére vonatkozik.

Másodsorban meg kell állapítani, hogy a GDPR 14. cikke (5) bekezdése c) pontjának szövege az ott előírt kivételt nem korlátozza kizárólag az adatkezelő által az érintettől eltérő személytől megszerzett személyes adatokra, sőt nem zárja ki azon adatokat sem, amelyeket ilyen adatok alapján, feladatainak ellátása során maga az adatkezelő hozott létre.

Ebből következik, hogy az említett rendelkezés értelmében vett, adatkezelő általi „megszerzés” tárgyát képezi valamennyi olyan adat, amelyet az adatkezelő az érintettől eltérő személytől gyűjt, valamint azon adatok, amelyeket feladatainak ellátása során maga hozott létre az érintettől eltérő személytől kapott adatok alapján.

Másodszor meg kell jegyezni, hogy a GDPR 14. cikkének tárgyi hatályát e rendelet 13. cikkéhez képest negatív módon határozták meg. Amint e rendelkezéseknek a címéből is következik, a 13. cikk a személyes adatoknak az érintettől történő gyűjtése esetén rendelkezésre bocsátandó információkat szabályozza, míg a 14. cikk az információk abban az esetben történő rendelkezésre bocsátásáról rendelkezik, ha a személyes adatokat nem az érintettől szerezték meg. E kettősségre tekintettel, minden olyan eset, amikor az adatokat nem az érintettől szerzik meg, az említett 14. cikk tárgyi hatálya alá tartozik.

Következésképpen a GDPR 13. és 14. cikkének együttes értelmezéséből az következik, hogy mind az adatkezelő által – az érintettől eltérő személytől – gyűjtött személyes adatok, mind pedig a maga az adatkezelő által létrehozott azon adatok, amelyeket jellegüknél fogva szintén nem az érintettől szereztek meg, e 14. cikk hatálya alá tartoznak. Ebből következik, hogy az említett 14. cikk (5) bekezdésének c) pontjában foglalt kivétel az adatok e két kategóriájára vonatkozik.

Harmadszor, a GDPR 14. cikke (5) bekezdésének c) pontját az e rendelet által követett céllal összhangban kell értelmezni, amely – amint az a rendelet (1) és (10) preambulumbekezdésével összefüggésben értelmezett 1. cikkéből kitűnik – többek között abban áll, hogy biztosítsa a természetes személyek alapvető jogainak és szabadságainak, különösen a személyes adatok kezelése tekintetében a magánélet tiszteletben tartásához való, az Alapjogi Charta 8. cikkének (1) bekezdésében és az EUMSZ 16. cikk (1) bekezdésében rögzített joguknak a magas szintű védelmét (lásd ebben az értelemben: 2024. március 7‑iIAB Europe ítélet, C‑604/22, EU:C:2023:214, 53. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

E tekintetben a GDPR (63) preambulumbekezdéséből kitűnik, hogy az uniós jogalkotó szándéka az volt, hogy az e rendelet értelmében vett érintettnek joga legyen hozzáférni a vele kapcsolatban gyűjtött személyes adatokhoz annak érdekében, hogy tudomást szerezzen azok kezeléséről, és ellenőrizze az utóbbi jogszerűségét.

52	Így az adatkezelő mentesülhet azon tájékoztatási kötelezettsége alól, amely őt rendszerint az érintettel szemben terheli, feltéve hogy az utóbbi ellenőrzést gyakorolhat a személyes adatai felett, és gyakorolhatja a GDPR szerinti jogait.

E rendelet céljának megfelelően az érintett tájékoztatására vonatkozó kötelezettség alóli, a GDPR 14. cikke (5) bekezdésének c) pontjában előírt kivétel megköveteli egyrészt, hogy a személyes adatoknak az adatkezelő általi megszerzését vagy közlését az adatkezelőre alkalmazandó uniós vagy tagállami jog kifejezetten előírja. Másrészt e jognak az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket kell előírnia.

Ebből következik, hogy ahhoz, hogy a GDPR 14. cikke (5) bekezdése c) pontjának alkalmazása teljes mértékben összhangban álljon az e rendelet által követett céllal, szigorúan meg kell felelnie az e rendelkezésben előírt feltételeknek, többek között annak, hogy az érintett részére az említett rendelet 14. cikkének (1)–(4) bekezdésében biztosított védelmi szinttel legalább egyenértékű védelmi szintet biztosítson.

A fenti indokokra tekintettel az első kérdésre azt a választ kell adni, hogy a GDPR 14. cikke (5) bekezdésének c) pontját úgy kell értelmezni, hogy az adatkezelőnek az érintett tájékoztatására vonatkozó kötelezettsége alóli, e rendelkezésben előírt kivétel különbségtétel nélkül vonatkozik minden olyan személyes adatra, amelyet az adatkezelő nem közvetlenül az érintettől gyűjtött, függetlenül attól, hogy ezeket az adatokat az adatkezelő az érintettől eltérő személytől szerezte meg, vagy azokat feladatainak ellátása során maga az adatkezelő hozta létre.

A második és a harmadik kérdésről

Második és harmadik kérdésével, amelyeket célszerű együttesen vizsgálni, az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 14. cikke (5) bekezdésének c) pontját és 77. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy a panaszeljárás keretében a felügyeleti hatóság hatáskörrel rendelkezik annak vizsgálatára, hogy azon tagállam joga, amelynek hatálya alá az adatkezelő tartozik, az e 14. cikk (5) bekezdésének c) pontjában előírt kivétel alkalmazása céljából az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket ír‑e elő, és igenlő válasz esetén arra, hogy e vizsgálat azon intézkedések megfelelőségére is kiterjed‑e, amelyeket az adatkezelőnek e rendelet 32. cikke értelmében a személyes adatok kezelése biztonságának garantálása érdekében meg kell hoznia.

Először is emlékeztetni kell arra, hogy a GDPR 77. cikkének (1) bekezdése alapján az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül minden érintett jogosult panaszt benyújtani a felügyeleti hatósághoz, ha a megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.

58	Ami a felügyeleti hatóságok hatáskörét illeti, az említett rendelet 55. cikkének (1) bekezdése előírja, hogy a felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.

59	E feladatokat illetően a GDPR 57. cikke (1) bekezdésének a) pontja úgy rendelkezik, hogy az egyes felügyeleti hatóságok az illetékességi területükön nyomon követik és kikényszerítik e rendelet alkalmazását.

60	A GDPR nem tartalmaz olyan rendelkezést, amely az e rendelet 14. cikke (5) bekezdésének c) pontjában előírt kivétel alkalmazásának bizonyos vonatkozásait kivonná e felügyeleti hatóságok hatásköre alól.

E rendelkezés értelmében az adatkezelő mentesül a GDPR 14. cikkének (1), (2) és (4) bekezdésében említett információk érintettel való közlésére vonatkozó kötelezettség alól, ha és amennyiben egyrészt a személyes adatok megszerzését vagy közlését az adatkezelőre alkalmazandó uniós vagy tagállami jog kifejezetten előírja, másrészt pedig e jog az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik.

62	Ennélfogva a GDPR 77. cikkének (1) bekezdése szerinti panasz az adatkezelő tájékoztatási kötelezettségének az e rendelet 14. cikke (5) bekezdésének c) pontjában előírt kivétel alkalmazási feltételeinek be nem tartásán alapuló megsértésén is alapulhat.

63	Ami a jelen ítélet 61. pontjában felidézett első feltételt illeti, az ilyen panaszt elbíráló felügyeleti hatóság vizsgálhatja, hogy az uniós vagy a nemzeti jog előír‑e az adatkezelő számára személyes adatok megszerzésére vagy közlésére vonatkozó kötelezettséget.

A második feltételt illetően meg kell állapítani, amint azt az indítványának 67. és 69. pontjában a főtanácsnok is kifejtette, hogy „az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedések” kifejezés tartalmát a GDPR nem határozza meg. Mindemellett az ilyen intézkedéseket előíró és az adatkezelőre alkalmazandó uniós vagy tagállami jogi rendelkezéseknek – amint az a jelen ítélet 54. pontjában megállapításra került – az érintett számára a személyes adatainak kezelése tekintetében legalább az e rendelet 14. cikkének (1)–(4) bekezdésében előírttal egyenértékű védelmi szintet kell biztosítaniuk. Így az említett rendelkezéseknek lehetővé kell tenniük az érintett számára, hogy a személyes adatai felett ellenőrzést gyakoroljon, és gyakorolja a GDPR által számára biztosított jogokat.

65	E célból különösen fontos, hogy e nemzeti vagy uniós jogi rendelkezések világosan és előre látható módon tüntessék fel azt a forrást, amelyből az érintett a rá vonatkozó személyes adatok kezeléséről tájékoztatást kap.

A személyes adatoknak a tagállami szervek közötti továbbításával és az ilyen adatoknak az adatkezelő által – az érintettől eltérő személytől gyűjtött adatok alapján – történő létrehozásával összefüggésben meg kell állapítani, hogy az érintett által tett panasz esetén a felügyeleti hatóság feladata többek között annak vizsgálata, hogy a releváns nemzeti vagy uniós jog kellő pontossággal határozza‑e meg a megszerzendő vagy közlendő személyes adatok különböző típusait, valamint azokat a személyes adatokat, amelyeket feladatai ellátása során kell létrehoznia, és e jog előírja‑e, hogy az érintett ténylegesen milyen módon fér hozzá a GDPR 14. cikkének (1), (2) és (4) bekezdésében említett információkhoz.

Amint azt a Bizottság írásbeli észrevételeiben hangsúlyozza, annak a kérdésnek a felügyeleti hatóság általi vizsgálata, hogy a GDPR 14. cikke (5) bekezdésének c) pontjában előírt kivétel valamennyi alkalmazási feltétele teljesül‑e, nem tartozik a nemzeti jog releváns rendelkezései érvényességének vizsgálata körébe. E hatóság kizárólag arról határoz, hogy adott esetben az adatkezelő jogosult‑e az érintettel szemben az e rendelkezésben előírt kivételre hivatkozni.

E vizsgálat eredményét illetően emlékeztetni kell arra, hogy e rendelet 78. cikke értelmében, amennyiben a felügyeleti hatóság adott esetben úgy határoz, hogy az érintett panasza megalapozatlan, az érintettnek a tagállamában hatékony bírósági jogorvoslati lehetőséggel kell rendelkeznie ezen elutasító határozattal szemben.

Ezzel szemben, ha e hatóság úgy ítéli meg, hogy a panasz megalapozott, és az említett rendelet 14. cikke (5) bekezdésének c) pontjában előírt kivétel alkalmazásának feltételei nem teljesülnek, felszólítja az adatkezelőt, hogy ugyanezen rendelet 14. cikke (1), (2) és (4) bekezdésének megfelelően adjon tájékoztatást az érintett részére.

Másodszor, ami azt a kérdést illeti, hogy e vizsgálatnak ki kell‑e terjednie arra is, hogy a GDPR 32. cikkére tekintettel megfelelőek‑e azon intézkedések, amelyeket az adatkezelőnek az adatkezelés biztonságának garantálása érdekében meg kell tennie, hangsúlyozni kell, hogy e rendelet 14. cikke (5) bekezdésének c) pontja kizárólag az említett rendelet 14. cikkének (1), (2) és (4) bekezdésében előírt tájékoztatási kötelezettség alóli kivételt állapít meg, anélkül hogy eltérést írna elő az ugyanezen rendelet más rendelkezéseiben, köztük e rendelet 32. cikkében foglalt kötelezettségek alól.

E 32. cikk arra kötelezi az adatkezelőt és esetleges adatfeldolgozóját, hogy hajtsanak végre megfelelő technikai és szervezési intézkedéseket a személyesadat‑kezelés megfelelő szintű biztonságának garantálása érdekében. Az ilyen intézkedések megfelelőségét konkrétan kell vizsgálni, figyelembe véve az érintett adatkezeléshez kapcsolódó kockázatokat, és értékelni kell, hogy ezen intézkedések jellege, tartalma és végrehajtása igazodik‑e a fenti kockázatokhoz (lásd ebben az értelemben: 2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C‑340/21, EU:C:2023:986, 42., 46. és 47. pont; 2024. január 25‑iMediaMarktSaturn ítélet, C‑687/21, EU:C:2024:72, 37. és 38. pont).

E két rendelkezés szövegére tekintettel meg kell állapítani, hogy a GDPR 32. cikkében foglalt kötelezettségek, amelyeket minden esetben, attól függetlenül tiszteletben kell tartani, hogy fennáll‑e az e rendelet 14. cikke szerinti tájékoztatási kötelezettség, az e 14. cikkben előírt tájékoztatási kötelezettséghez képest eltérő jelleggel és hatállyal rendelkeznek.

Így a GDPR 77. cikkének (1) bekezdése alapján azon okból tett panasz esetén, hogy az adatkezelő tévesen hivatkozott az e rendelet 14. cikke (5) bekezdésének c) pontjában előírt kivételre, a felügyeleti hatóság által elvégzendő vizsgálatok tárgyát kizárólag az említett rendelet 14. cikkének hatálya határozza meg, e rendelet 32. cikkének tiszteletben tartására viszont e vizsgálatok nem terjednek ki.

A fenti indokokra tekintettel a második és a harmadik kérdésre azt a választ kell adni, hogy a GDPR 14. cikke (5) bekezdésének c) pontját és 77. cikkének (1) bekezdését úgy kell értelmezni, hogy a panaszeljárás keretében a felügyeleti hatóság hatáskörrel rendelkezik annak vizsgálatára, hogy azon tagállam joga, amelynek hatálya alá az adatkezelő tartozik, az említett 14. cikk (5) bekezdésének c) pontjában előírt kivétel alkalmazása céljából az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket ír‑e elő. E vizsgálat azonban nem terjed ki azon intézkedések megfelelőségére, amelyeket az adatkezelőnek e rendelet 32. cikke értelmében a személyesadat‑kezelés biztonságának garantálása érdekében kell meghoznia.

A költségekről

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (harmadik tanács) a következőképpen határozott:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 14. cikke (5) bekezdésének c) pontját

a következőképpen kell értelmezni:

az adatkezelőnek az érintett tájékoztatására vonatkozó kötelezettsége alóli, e rendelkezésben előírt kivétel különbségtétel nélkül vonatkozik minden olyan személyes adatra, amelyet az adatkezelő nem közvetlenül az érintettől gyűjtött, függetlenül attól, hogy ezeket az adatokat az adatkezelő az érintettől eltérő személytől szerezte meg, vagy azokat feladatainak ellátása során maga az adatkezelő hozta létre.

A 2016/679 rendelet 14. cikke (5) bekezdésének c) pontját és 77. cikkének (1) bekezdését

a következőképpen kell értelmezni:

a panaszeljárás keretében a felügyeleti hatóság hatáskörrel rendelkezik annak vizsgálatára, hogy azon tagállam joga, amelynek hatálya alá az adatkezelő tartozik, az említett 14. cikk (5) bekezdésének c) pontjában előírt kivétel alkalmazása céljából az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket ír‑e elő. E vizsgálat azonban nem terjed ki azon intézkedések megfelelőségére, amelyeket az adatkezelőnek e rendelet 32. cikke értelmében a személyesadat‑kezelés biztonságának garantálása érdekében kell meghoznia.

Aláírások

( *1 ) Az eljárás nyelve: magyar.

( i ) A jelen ügy neve fiktív. Az nem egyezik az eljárásban részt vevő egyetlen fél valódi nevével sem.

Az oldal tetejére

Válassza ki azokat a kísérleti funkciókat, amelyeket ki szeretne próbálni