–

az Inspektorat kam Visshia sadeben savet képviseletében T. Tochkova, meghatalmazotti minőségben,

–

a bolgár kormány képviseletében T. Mitova, S. Ruseva és R. Stoyanov, meghatalmazotti minőségben,

–

a lengyel kormány képviseletében B. Majczyna, meghatalmazotti minőségben,

–

az Európai Bizottság képviseletében A. Bouchagiar, C. Georgieva, H. Kranenborg és P. Van Nuffel, meghatalmazotti minőségben,

1

Az előzetes döntéshozatal iránti kérelmek az EUSZ 19. cikk (1) bekezdése második albekezdésének, valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 2. cikke (2) bekezdése a) pontjának, 4. cikke 7. pontjának, 32. cikke (1) bekezdése b) pontjának, 33. cikke (3) bekezdése d) pontjának, 51. cikkének, 57. cikke (1) bekezdése b) pontjának és 79. cikke (1) bekezdésének az értelmezésére vonatkoznak, az Európai Unió Alapjogi Chartájának (a továbbiakban: Charta) 47. cikkével összefüggésben.

2

E kérelmeket az Inspektorat kam Visshia sadeben savet (a legfelsőbb igazságszolgáltatási tanács felügyeleti hatósága, Bulgária; a továbbiakban: felügyelet) által kezdeményezett – több bíró és ügyész, valamint családtagjaik bankszámláival kapcsolatos adatok felügyelettel való közlésének elrendelése iránti – eljárásokban terjesztették elő.

3

A GDPR (16) és (20) preambulumbekezdése kimondja:

[…]

4

E rendelet „Tárgyi hatály” című 2. cikkének (1) és (2) bekezdése a következőképpen rendelkezik:

„(1)   E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(2)   E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:

[…]”

5

Az említett rendelet „Fogalommeghatározások” című 4. cikke szerint:

„E rendelet alkalmazásában:

[…]

[…]

[…]”

6

A GDPR „Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések” című 12. cikkének (1) bekezdése kimondja:

„Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa […]. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. […]”

7

E rendeletnek a „Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg” című 14. cikkének (1) és (2) bekezdése a következőképpen rendelkezik:

„(1)   Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:

(2)   Az (1) bekezdésben említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:

8

A GDPR‑nak „A tiltakozáshoz való jog” című 21. cikkének (1) bekezdése a következőképpen rendelkezik:

„Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.”

9

E rendeletnek „Az adatkezelés biztonsága” című 32. cikkének (1) bekezdése kimondja:

„Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

[…]

[…]”

10

Az említett rendeletnek „Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak” című 33. cikkének (1) és (3) bekezdése a következőképpen rendelkezik:

„(1)   Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

[…]

(3)   Az (1) bekezdésben említett bejelentésben legalább:

[…]

11

A GDPR „Független felügyeleti hatóságok” című VI. fejezete tartalmazza e rendelet 51–59. cikkét.

12

E rendelet „Felügyeleti hatóság” című 51. cikkének szövege a következő:

„(1)   A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam előírja, hogy e rendelet alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv (felügyeleti hatóság) felel.

[…]

(3)   Ha valamely tagállamban egynél több felügyeleti hatóságot hoznak létre, az adott tagállam kijelöli azt a felügyeleti hatóságot, amelyik [az Európai Adatvédelmi Testületben] ellátja a szóban forgó hatóságok képviseletét, és létrehozza az arra szolgáló mechanizmust, hogy a többi hatóság a 63. cikkben említett egységességi mechanizmusra vonatkozó szabályokat betartsa.

(4)   Minden tagállam 2018. május 25‑ig értesíti a Bizottságot jogának azon rendelkezéseiről, amelyeket e fejezet alapján elfogad, továbbá haladéktalanul értesíti a Bizottságot az említett rendelkezéseket érintő későbbi módosításokról.”

13

Az említett rendelet „Illetékesség” című 55. cikke a következőképpen rendelkezik:

„(1)   A felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.

(2)   Ha az adatkezelést a 6. cikk (1) bekezdésének c) vagy e) pontja alapján eljáró közhatalmi szervek vagy magánfél szervezetek végzik, az érintett tagállam felügyeleti hatósága az illetékes. Ezekben az esetekben az 56. cikk nem alkalmazandó.

(3)   A felügyeleti hatóságok hatásköre nem terjed ki a bíróságok által igazságügyi feladataik ellátása során végzett adatkezelési műveletek felügyeletére.”

14

A GDPR „Feladatok” című 57. cikkének (1) bekezdése a következőképpen rendelkezik:

„Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, a felügyeleti hatóság a saját területén ellátja a következő feladatokat:

[…]

[…]”

15

E rendelet „Hatáskörök” című 58. cikkének (1) bekezdése felsorolja az egyes felügyeleti hatóságokat megillető vizsgálati hatásköröket, a (2) bekezdésében pedig azokat a korrekciós intézkedéseket, amelyeket a felügyeleti hatóság elfogadhat.

16

A GDPR „Jogorvoslat, felelősség és szankciók” című VIII. fejezete tartalmazza e rendelet 77–84. cikkét.

17

E rendeletnek „A felügyeleti hatóságnál történő panasztételhez való jog” című 77. cikkének (1) bekezdése a következőképpen rendelkezik:

„Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.”

18

Az említett rendelet „A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog” című 78. cikkének (1) bekezdése kimondja:

„Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.”

19

Ugyanezen rendeletnek „Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog” című 79. cikkének (1) bekezdése a következőket írja elő:

„A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.”

20

A Konstitutsia na Republika Bulgaria (a Bolgár Köztársaság alkotmánya) alapügybeli tényállásokra alkalmazandó változata (a továbbiakban: bolgár alkotmány) 117. cikkének (2) bekezdése a következőképpen rendelkezik:

„A bírói hatalmi ág független. A bírák, az ülnökök, az ügyészek, valamint a vizsgálóbírák feladataik ellátása során kizárólag a törvénynek vannak alávetve.”

21

A bolgár alkotmány jelen előzetes döntéshozatal iránti kérelmek benyújtásának időpontjában alkalmazandó változatának 132a. cikke kimondja:

„(1)   A legfelsőbb igazságszolgáltatási tanács mellett felügyelet működik, amely egy vezető felügyelőből és tíz felügyelőből áll.

(2)   A vezető felügyelőt a nemzetgyűlés a képviselők kétharmados többségével, ötéves időtartamra választja.

(3)   A felügyelőket a nemzetgyűlés a (2) bekezdésben meghatározott eljárási szabályoknak megfelelően, négyéves időtartamra választja.

(4)   A vezető felügyelő és a felügyelők újraválaszthatók, azonban nem választhatók meg két egymást követő időszakra.

[…]

(6)   A felügyelet a bírákat, az ülnököket, az ügyészeket és vizsgálóbírákat feladataik ellátása során megillető függetlenség sérelme nélkül ellenőrzi az igazságszolgáltatási szervek tevékenységét. A [felügyelet] a bírák, az ügyészek és a vizsgálóbírák feddhetetlenségére és összeférhetetlenségére, vagyonnyilatkozataira, valamint az igazságszolgáltatás megítélését hátrányosan érintő cselekmények, továbbá a bírák, ügyészek és vizsgálóbírák függetlenségének megsértésével kapcsolatos cselekmények azonosítására vonatkozó ellenőrzéseket végez. A vezető felügyelő és a felügyelők függetlenek, és feladataik ellátása során csak a törvénynek vannak alárendelve.

(7)   A felügyelet a polgárok, a jogi személyek és az állami szervek – köztük a bírák, az ügyészek és a vizsgálóbírák – kezdeményezésére vagy hivatalból jár el.

[…]

(10)   A vezető felügyelő és a felügyelők megválasztásának és felmentésének feltételeit és eljárási szabályait, valamint a felügyelet szervezeti felépítésére és működésére vonatkozó szabályokat törvény állapítja meg.”

22

A Zakon za sadebnata vlast (az igazságszolgáltatásról szóló törvény; a DV 2007. augusztus 7‑i 64. száma) alapügybeli tényállásokra alkalmazandó változatának (a továbbiakban: ZSV) 46. cikke a következőképpen rendelkezik:

„A nemzetgyűlés a vezető felügyelőt és az egyes felügyelőket a képviselők kétharmados többségével, egyénileg választja meg.”

23

E törvény 54. cikkének (1) és (2) bekezdése a következőképpen rendelkezik:

„(1)   A felügyelet

[…]

[…]

[…]

(2)   Az (1) bekezdés 15. pontjában említett felügyeleti tevékenység ellátása során a felügyelet ellátja a személyes adatok védelméről szóló törvényben előírt feladatokat és gyakorolja az ott előírt hatásköröket.

24

Az említett törvény 175a. cikkének (1) bekezdése kimondja:

„A bírák, az ügyészek és a vizsgálóbírák a következő nyilatkozatokat nyújtják be a [felügyeletnek]:

25

A ZSV 175b. cikke (4) bekezdésének szövege a következő:

„A bírák, ügyészek és vizsgálóbírák bejelentik házastársuk vagy élettársuk, valamint kiskorú gyermekeik vagyonát és jövedelmét.”

26

E törvény 175d. cikke a következőképpen rendelkezik:

„(1)   A [felügyelet] nyilvános elektronikus nyilvántartást vezet az adatok megőrzésével az alábbiakról:

(2)   A [felügyelet] a vagyon‑ és érdekeltségi nyilatkozatokat, valamint a bejelentett körülmények változására vonatkozó nyilatkozatokat bejegyzi az (1) bekezdés 1. pontjában említett nyilvántartásba. Ezt a bejegyzést kizárólag a vezető felügyelő által meghatalmazott tisztviselők végezhetik.

[…]

(4)   A nyilvántartás adataihoz bárki hozzáférhet.

(5)   A hozzáférést a [felügyelet] honlapján keresztül kell biztosítani, a személyes adatok védelmére vonatkozó követelmények betartásával.”

27

Az említett törvény 175e. cikkének (1) és (6) bekezdése a következőképpen rendelkezik:

„(1)   A [felügyelet] a nyilatkozat benyújtására nyitva álló határidő lejártát követő hat hónapon belül ellenőrzi, hogy a bejelentett adatok megfelelnek‑e a valóságnak. […]

[…]

(6)   A [felügyelet] információkat szerezhet a hitelintézetekről szóló törvény 56. és 56a. cikkében említett információs rendszerekből. A [felügyelet] vezető felügyelője és felügyelői a banktitok feloldását kérhetik annál a Rayonen sadnál [(kerületi bíróság)], amelynek illetékességi területén az érintett állandó lakóhelye van, kivéve, ha a hitelintézetekről szóló törvény 62. cikke (5) bekezdésének 1. pontja alapján megadták a hozzájárulást. A hozzájárulást a [felügyelet] előtt kell megadni, írásban, az aláírás közjegyző általi hitelesítése nélkül, a vezető felügyelő által jóváhagyott formanyomtatványon.”

28

A ZSV 307. cikkének (2) bekezdése szerint:

„Fegyelmi vétség a szakmai kötelezettségek vétkes megszegése, valamint az igazságszolgáltatás méltóságának megsértése.”

29

E törvény 311. cikkének szövege a következő:

„Fegyelmi szankció kiszabására jogosult:

[…]

30

Az említett törvény 312. cikkének (1) bekezdése a következőképpen rendelkezik:

„A bíróval, ügyésszel, vizsgálóbíróval, igazgatási vezetővel vagy az igazgatási vezető helyettesével szembeni fegyelmi szankció kiszabására irányuló fegyelmi eljárás megindítására irányuló javaslatot a következő személyek vagy szervek terjeszthetik elő:

[…]

3. A [felügyelet];

[…]”

31

Ugyanezen törvény 323. cikkének (1) bekezdése értelmében:

„A legfelsőbb igazságszolgáltatási tanács közgyűlésének vagy érintett kollégiumának határozatát a fegyelmi szankcióval érintett személy, valamint – ha fegyelmi szankció kiszabására nem került sor, vagy az a javasoltnál kevésbé súlyos – a javaslat előterjesztője a Varhoven administrativen sad [(legfelsőbb közigazgatási bíróság, Bulgária)] előtt e határozat közlésétől számított 14 napon belül megtámadhatja.”

32

A Zakon za kreditnite institutsii (a hitelintézetekről szóló törvény; a DV 2006. július 21‑i 59. száma) alapügybeli tényállásokra alkalmazandó változatának (a továbbiakban: ZKI) 62. cikke értelmében:

„(1)   A banki alkalmazottak, a bankok ügyvezető és felügyeleti szerveinek tagjai, a [bolgár nemzeti bank (BNB)] alkalmazottai, a betétbiztosítási alap munkavállalói és igazgatótanácsának tagjai, a felszámolók, az ideiglenes vagyonfelügyelők és a bírósági vagyonfelügyelők, valamint a banknál dolgozó minden más személy számára tilos a banktitoknak minősülő információkat saját személyes előnyére vagy családtagjai előnyére hozzáférhetővé tenni vagy felhasználni.

(2)   Banktitoknak minősülnek a bank ügyfelei számláinak és betéteinek egyenlegét és azokra vonatkozó műveleteket érintő tények és körülmények.

[…]

(5)   A BNB részére, valamint az 56. cikkben említett célokra és feltételek mellett történő információszolgáltatástól eltekintve a bank az egyéni ügyfelekre vonatkozó, a (2) bekezdésben említett információkat csak a következők szerint szolgáltathat:

(6)   A (2) bekezdésben említett információk közlését a bíróság is elrendelheti, a következők kérelmére:

[…]

12. a [felügyelet] vezető felügyelője vagy felügyelője.

(7)   A Rayonen sad [(kerületi bíróság)] bírája a (6) bekezdésben említett kérelemről tanácsülésen, indokolással ellátott határozatban dönt, legkésőbb a kérelem kézhezvételét követő 24 órán belül; ennek során meghatározza azt az időszakot, amelyre vonatkozóan az (1) bekezdésben foglalt adatokat ki kell adni. A bíróság határozatával szemben nincs helye jogorvoslatnak.

[…]”

33

A Zakon za zashtita na lichnite danni (a személyes adatok védelméről szóló törvény; a DV 2002. január 4‑i 1. száma) alapügybeli tényállásokra alkalmazandó változata (a továbbiakban: ZZLD) 6. cikke (1) bekezdésének szövege a következő:

„A Komisia za zashtita na lichnite danni [(a személyes adatok védelméért felelős bizottság, Bulgária; a továbbiakban: KZLD)] állandó és független felügyeleti hatóság, amely biztosítja az egyének védelmét személyes adataik kezelése és az azokhoz való hozzáférés során, valamint [a GDPR‑nak] és a jelen törvénynek való megfelelés ellenőrzését.”

34

E törvény 17. cikkének (1) és (2) bekezdése a következőképpen rendelkezik:

„(1)   A [felügyelet] gondoskodik a [GDPR‑nak], e törvénynek és a személyes adatok védelmére vonatkozó jogszabályoknak való megfelelésről és ellenőrzi e megfelelést, ha a személyes adatok kezelését az alábbi adatkezelők végzik:

(2)   Az (1) bekezdésben foglalt tevékenység végrehajtásának részletes szabályait, ideértve az ellenőrzések lefolytatását és a felügyelet előtti eljárások vizsgálatát a [ZSV] 55. cikkének (8) bekezdésében meghatározott rendelet állapítja meg.”

35

A ZZLD 17a. cikkének (1) bekezdése a következőképpen rendelkezik:

„A 42. cikk (1) bekezdése körében végzett adatkezelés kivételével a bíróság által az igazságszolgáltatási feladatai ellátása során végzett adatkezelés feletti felügyelet gyakorlása körében a felügyelet:

36

A ZZLD 39. cikke kimondja:

„(1)   A [GDPR] és a jelen törvény szerinti jogainak megsértése esetén az érintett a közigazgatási eljárásról szóló törvénykönyvben meghatározott eljárás szabályai szerint bíróság előtt megtámadhatja az adatkezelő és az adatfeldolgozó aktusait és intézkedéseit.”

[…]

(4)   Az érintett nem fordulhat bírósághoz, ha ugyanazon jogsértés miatt a [KZLD] előtt eljárás van folyamatban, vagy a [KZLD] által ugyanazon jogsértés tárgyában meghozott határozattal szemben keresetet terjesztettek elő, és az ügyben még nem született jogerős bírósági határozat. Az érintett vagy a bíróság kérelmére a [KZLD] igazolja, hogy ugyanabban a jogvitában nincs előtte folyamatban eljárás.

(5)   A (4) bekezdést a felügyelet előtt folyamatban lévő eljárásra is alkalmazni kell.”

37

2023. május 15‑én, azt követően, hogy a ZSV 175a. és 175b. cikke alapján a bírákat és ügyészeket, valamint családtagjaikat terhelő vagyonnyilatkozat‑tételi kötelezettség keretében a 2022. évre vonatkozó vagyonnyilatkozatok benyújtásának határideje lejárt, a felügyelet a ZKI 62. cikke (6) bekezdésének 12. pontja alapján több bíró és ügyész, valamint családtagjaik bankszámlái tekintetében a banktitok feloldása iránti kérelmet terjesztett elő a Sofiyski rayonen sadnál (szófiai kerületi bíróság, Bulgária), amely a kérdést előterjesztő bíróság.

38

A kérdést előterjesztő bíróság először is rámutat, hogy vizsgálnia kell, hogy a felügyeletnek van‑e hatásköre egy ilyen kérelem előterjesztésére. E tekintetben kifejti, hogy ennek a bolgár alkotmány 2007‑ben elfogadott módosításával létrehozott szervnek a feladata a bírák és ügyészek feletti jogellenes befolyásgyakorlás kivizsgálása, vagyonnyilatkozataik ellenőrzése, valamint az esetleges összeférhetetlenség vagy az igazságszolgáltatás függetlenségét sértő helyzetek feltárása.

39

A kérdést előterjesztő bíróság megjegyzi, hogy a felügyelet egy vezető felügyelőből és tíz felügyelőből áll, akiket a bolgár nemzetgyűlés öt, illetve négy évre választ meg. 2020‑ban azonban a felügyelet valamennyi tagjának lejárt a megbízatása, és a nemzetgyűlés nem választott új tagokat.

40

Tény, hogy a Konstitutsionen sad (alkotmánybíróság, Bulgária) 2022. szeptember 27‑i ítéletével kimondta, hogy a bolgár alkotmányt úgy kell értelmezni, hogy a vezető felügyelő és a felügyelők hivatali idejük lejártát követően továbbra is ellátják megbízatásukat mindaddig, amíg a nemzetgyűlés nem választja meg a felügyelet új tagjait, tekintettel arra, hogy a felügyelet feladatellátásának fenntartása fontosabb, mint a hivatali idejüket betöltött felügyeleti tagok által elkövetett visszaélések jelentette kockázat. A kérdést előterjesztő bíróság rámutat ugyanakkor, hogy ez az ítélet nem foglalkozott azzal a kérdéssel, hogy a felügyelet azon tagjai, akik megbízatásukat a hivatali idejük lejárta után is ellátják, jogellenes befolyást gyakorolhatnak‑e az igazságszolgáltatásra vagy hogy ők maguk nyomásnak lehetnek‑e kitéve a képviselők részéről.

41

Az említett bíróság tehát arra keresi a választ, hogy az uniós jog szigorúbb feltételeket támaszt‑e, mint a bolgár alkotmány Konstitutsionen sad (alkotmánybíróság) általi értelmezése. Így különösen a Bíróság 2023. május 11‑iInspecția Judiciară ítéletben (C‑817/21, EU:C:2023:391, 50. és 51. pont) kialakított ítélkezési gyakorlatára tekintettel felmerül benne a kérdés, hogy a felügyelet tagjai megbízatásának meghosszabbítása sértheti‑e az e hatóságot mint a bírákkal és ügyészekkel szembeni fegyelmi eljárás megindítására jogosult hatóságot megillető függetlenség garanciáit, és ha igen, melyek azok a kritériumok, amelyek lehetővé teszik annak értékelését, hogy megengedhető‑e az ilyen meghosszabbítás, és milyen időtartamra.

42

Másodszor, az előterjesztő bíróság arra keresi a választ, hogy mi a nemzeti bíróságok szerepe és milyen kötelezettségek terhelik őket akkor, amikor engedélyezniük kell a felügyelet számára a bírák és ügyészek személyes adataihoz való hozzáférést.

43

Ezzel összefüggésben a kérdést előterjesztő bíróság megjegyzi, hogy 2019‑ben a felügyelet birtokában lévő adatok biztonságát érintő súlyos probléma került a bolgár média figyelmének középpontjába. A KZLD ugyanis megállapította, hogy a felügyelet honlapján jogellenesen teljes terjedelmében közzétették mintegy húsz bíró és ügyész olyan személyes adatait, amelyek a felügyelet birtokában voltak, és ezért a KZLD bírságot szabott ki a felügyelettel szemben. Márpedig a kérdést előterjesztő bíróság rámutat, hogy nem rendelkezik olyan információkkal, amelyek alapján meg tudná állapítani, hogy ezen incidens óta hoztak‑e az adatok biztonságának garantálását célzó intézkedéseket.

44

Kérdésként merül fel benne, hogy az a tevékenysége, amely abban áll, hogy engedélyezi a felügyelet számára a banktitok körébe tartozó személyes adatokhoz való hozzáférést, a GDPR hatálya alá tartozik‑e, és ha igen, ez miként befolyásolja az általa végzendő felülvizsgálatot. Hangsúlyozza ezzel összefüggésben, hogy a GDPR megállapítja azokat a kötelezettségeket, amelyek a személyes adatok kezelését végző személyeket, az adatkezelőket és a felügyeleti hatóságokat terhelik.

45

Ezzel szemben a GDPR közvetlenül nem szabályozza, hogy milyen kötelezettségei vannak annak a bíróságnak, amely valamely hatóság számára engedélyezi az ilyen adatokhoz való hozzáférést. Ezért meg kell állapítani, hogy a GDPR 4. cikkének 7. pontja szerinti „adatkezelőnek” vagy az e rendelet 51. cikke értelmében vett „felügyeleti hatóságnak” minősül‑e egy ilyen bíróság arra tekintettel, hogy olyan engedélyt ad ki a felügyelet számára, amelynek hiányában a szóban forgó adatokhoz való hozzáférésnek nem lenne helye. A felügyelet a ZSV 175a. és 175d. cikkében foglalt célból gyűjti és ellenőrzi a bírák és ügyészek vagyonával kapcsolatos adatokat, a bíróságok pedig a szóban forgó adatokhoz való hozzáférés engedélyezése vagy megtagadása révén felülvizsgálatot gyakorolnak e tevékenység felett.

46

Ezzel összefüggésben a kérdést előterjesztő bíróság megjegyzi, hogy a nemzeti jog Bulgáriában bevett értelmezése szerint e felülvizsgálat tisztán formális, és annak ellenőrzésére kell korlátozódnia, hogy a banktitok feloldása iránti kérelemmel érintett személyek a ZSV szerinti nyilatkozattételi kötelezettség hatálya alá tartozó személyi körbe tartoznak‑e, azaz hogy bírák vagy ügyészek‑e, illetve családi kapcsolatban vagy az e törvényben foglalt más kapcsolatban állnak‑e ilyen személyekkel. Ha e feltételek teljesülnek, akkor a bíróságoknak főszabály szerint mindig engedélyezniük kell a banktitok feloldását. Nem ez lenne azonban a helyzet, ha az előzetes felülvizsgálatot végző bíróságokat az általuk engedélyezett hozzáféréssel érintett személyes adatok tekintetében adatkezelőknek lehetne tekinteni, és ezért a GDPR 32–34. cikk értelmében biztosítaniuk kellene az adatok biztonságát.

47

Márpedig, jóllehet e bíróságok nem rendelkeznek közvetlen hozzáféréssel a banktitok hatálya alá tartozó személyes adatokhoz, az ezen adatokhoz való hozzáférés engedélyezése vagy megtiltása révén bizonyos mértékig meghatározzák az adatkezelés céljait. Az alapügyekben alkalmazandó nemzeti szabályok egyébként nem határozzák meg, hogy amennyiben a személyes adatok kezelésének célját törvény határozza meg, mely hatóságokra vonatkoznak a személyes adatok adatkezelőjének jogai és kötelezettségei.

48

Az előterjesztő bíróságban felmerül továbbá a kérdés, hogy az adatokhoz való hozzáférés engedélyezése előtt vizsgálhatja‑e, hogy a felügyelet hozott‑e intézkedéseket az adatkezelés törvényességének biztosítása érdekében, azért, hogy eljárását ne úgy folytassa le, mintha egy egyszerű nyilvántartó szerv lenne.

49

Végül, még ha a felügyelet számára a banktitok körébe eső személyes adatokhoz való hozzáférés engedélyezésének feladatát ellátó bíróság nem is minősül adatkezelőnek vagy felügyeleti hatóságnak, felmerül a kérdés, hogy végeznie kell‑e ilyen vizsgálatot abból a célból, hogy biztosítsa a GDPR 79. cikkben foglalt hatékony bírói jogvédelmet. Ez a rendelkezés kétségkívül azokat az eseteket szabályozza, amikor az érintett jogai védelme érdekében bírósághoz fordul. Ha azonban az adatok közlésére irányuló eljárást az érintett részvétele nélkül folytatják le, és a nemzeti jog előzetes bírósági felülvizsgálatot ír elő, akkor hivatalból érvényesülnie kellene egy hasonló kötelezettségnek. Mindez a Charta 47. cikkében biztosított hatékony jogorvoslathoz való jogból is következik. Ilyen kötelezettség hiányában a bíróság eljárása minden esetben a közigazgatási tevékenység formális vizsgálatára és megerősítésére korlátozódna, ami nyilvánvalóan ellentétes lehet a GDPR 79. cikkének céljaival.

50

E körülmények között a Sofiyski rayonen sad (szófiai kerületi bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő – a C‑313/23., C‑316/23. és C‑332/23. sz. ügyben azonos módon megfogalmazott – kérdéseket terjeszti a Bíróság elé:

51

A Bíróság elnöke 2023. június 30‑i határozatával az írásbeli és a szóbeli szakasz lefolytatása, valamint az ítélethozatal céljából egyesítette a C‑313/23, C‑316/23 és C‑332/23. sz. ügyeket.

52

A felügyelet a Bíróság Hivatalához 2024. október 30‑án benyújtott beadványában a Bíróság eljárási szabályzatának 83. cikke alapján kérte az eljárás írásbeli szakaszának újbóli megnyitását. Mivel az említett 83. cikk az eljárás szóbeli szakaszának újbóli megnyitását szabályozza, és mivel a jelen ügyekben e szakasz a főtanácsnok indítványának ismertetését követően lezárult, e kérelmet úgy kell érteni, hogy az a szóbeli szakasz újbóli megnyitására irányul.

53

A felügyelet kérelmét két indokkal támasztja alá, amelyek az előzetes döntéshozatalra előterjesztett első kérdéssel kapcsolatosak. Először is arra hivatkozik, hogy új tény merült fel, nevezetesen az, hogy a bolgár alkotmány 132a. cikkének (4) bekezdését 2023 decemberében úgy módosították, hogy a felügyelet tagjai ezentúl két egymást követő időszakra is megválaszthatók. Másodszor, a főtanácsnok olyan nemzeti jogszabályokra, valamint a Jog a Demokráciáért Európai Bizottság – az úgynevezett Velencei Bizottság – véleményére hivatkozott, amelyek a jelen ügyekben nem relevánsak, és ezzel helytelen értékelést adott az indítványában az alapügyekben szóban forgó helyzetről.

54

E tekintetben egyrészt emlékeztetni kell arra, hogy az Európai Unió Bíróságának alapokmánya és az eljárási szabályzat nem teszi lehetővé, hogy az ezen alapokmány 23. cikke szerinti érintett érdekeltek a főtanácsnoki indítványra válaszként észrevételeket tegyenek. Másrészt az EUMSZ 252. cikk második bekezdése értelmében a főtanácsnok teljesen pártatlanul és függetlenül eljárva, nyilvános tárgyaláson indokolással ellátott indítványt terjeszt elő azokban az ügyekben, amelyek esetében az említett alapokmány szerint a főtanácsnok részvételére van szükség. A Bíróságot nem köti sem ezen indítvány, sem pedig a főtanácsnoknak az indítvány alapjául szolgáló indokolása. Következésképpen az, hogy az érdekelt fél nem ért egyet a főtanácsnok indítványával, bármilyen kérdéseket is vizsgáljon a főtanácsnok az indítványban, önmagában nem indokolhatja a szóbeli szakasz újbóli megnyitását (2024. december 19‑iFord Italia ítélet, C‑157/23, EU:C:2024:1045, 26. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

55

Tény, hogy az eljárási szabályzat 83. cikke alapján a Bíróság a főtanácsnok meghallgatását követően bármikor elrendelheti az eljárás szóbeli szakaszának megnyitását vagy újbóli megnyitását, különösen, ha úgy ítéli meg, hogy az ügy körülményei nincsenek kellően feltárva, vagy ha a fél e szakasz befejezését követően a Bíróság határozatára nézve döntő jelentőségű új tényt hoz fel, illetve ha az ügyet olyan érv alapján kell eldönteni, amelyet az érdekeltek nem vitattak meg.

56

A jelen ügyekben azonban a Bíróság az előzetes döntéshozatal iránti kérelmek tárgyában történő határozathozatalhoz szükséges valamennyi információval rendelkezik, és a jelen ügyeket nem olyan érvek alapján kell eldönteni, amelyeket az érdekeltek nem vitattak meg. Ezenfelül az eljárás szóbeli szakaszának újbóli megnyitására irányuló kérelem nem tartalmaz olyan új tényeket, amelyek döntően befolyásolnák a Bíróság által az ezen ügyekben meghozandó határozatot.

57

E körülmények között a Bíróság a főtanácsnok meghallgatását követően megállapítja, hogy nem kell elrendelni az eljárás szóbeli szakaszának újbóli megnyitását.

58

A bolgár kormány kétségeit fejezi ki az előzetes döntéshozatal iránti kérelmek elfogadhatóságát illetően, azzal az indokkal, hogy az alapügyekben kérdést előterjesztő szerv az alapeljárások keretében nem rendelkezik az EUMSZ 267. cikk értelmében vett „bíróság” jellemzőivel. Egyrészt ugyanis az e szervezet előtti eljárások egyoldalúak, mivel azokat az érintett személyek részvétele nélkül folytatják le. Másrészt ezen eljárások tárgya nem valamely jogvita megoldása, mivel egyetlen céljuk annak vizsgálata, hogy teljesülnek‑e a banktitok feloldásához szükséges feltételek.

59

A Bíróság állandó ítélkezési gyakorlata szerint annak értékeléséhez, hogy a szóban forgó előzetes döntéshozatalt kezdeményező szervezet az EUMSZ 267. cikk szerinti „bíróság” jellemzőivel rendelkezik‑e – ami kizárólag az uniós jog alapján eldöntendő kérdés –, a Bíróság meghatározott tényezők összességét veszi figyelembe, amelyek közé tartozik többek között az, hogy a szóban forgó szervezet jogszabály alapján jött‑e létre, állandó jelleggel működik‑e, hatásköre kötelező jellegű‑e, jogszabályokat alkalmaz‑e, valamint független‑e (lásd ebben az értelemben: 2022. március 29‑iGetin Noble Bank ítélet, C‑132/20, EU:C:2022:235, 66. pont; 2024. május 7‑iNADA és társai ítélet, C‑115/22, EU:C:2024:384, 35. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

60

Az állandó ítélkezési gyakorlat szerint, noha az EUMSZ 267. cikk nem teszi függővé a Bírósághoz fordulást azon eljárás kontradiktórius jellegétől, amelynek során a nemzeti bíróság előzetes döntéshozatalra előterjesztett kérdést fogalmaz meg, a nemzeti bíróságok csak akkor fordulhatnak a Bírósághoz, ha eljárás van előttük folyamatban, és ha igazságszolgáltatási jellegű határozat meghozatalára irányuló eljárás keretében kell határozatot hozniuk. Ennélfogva azt a kérdést, hogy valamely szervezet jogosult‑e a Bíróság elé kérdést terjeszteni, szervezeti és működési szempontok alapján kell eldönteni. Valamely nemzeti szervezet akkor minősülhet az EUMSZ 267. cikk értelmében vett „bíróságnak”, ha igazságszolgáltatási feladatokat lát el, míg ha más, többek között közigazgatási jellegű feladatokat végez, ez a minősítés nem illeti meg (lásd ebben az értelemben: 2022. május 3‑iCityRail ítélet, C‑453/20, EU:C:2022:341, 42. és 43. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

61

Nem vitatott, hogy maga a Sofiyski rayonen sad (szófiai kerületi bíróság) megfelel a jelen ítélet 59. pontjában felidézett követelményeknek, tekintettel létrejöttére, működésének állandó jellegére, arra, hogy jogszabályokat alkalmaz, valamint arra, hogy független, és e tekintetben a Bíróság rendelkezésére álló iratok nem adnak okot a kételyre. Amit a jelen ügyekben a bolgár kormány felvet, az az a kérdés, hogy e bíróságnak igazságszolgáltatási jellegű határozat meghozatalára irányuló eljárásban kell‑e határozatot hoznia. E tekintetben meg kell állapítani, hogy e bíróság a felügyelet által a ZKI 62. cikke (6) bekezdésének 12. pontja alapján benyújtott, banktitok feloldása iránti kérelem tárgyában jár el. Bár a bolgár kormány arra hivatkozik, hogy a kérdést előterjesztő bíróság által elvégzendő vizsgálat tisztán formális, ettől függetlenül e bíróságnak ellenőriznie kell, hogy a banktitok feloldásának törvényi feltételei teljesülnek‑e, indokolt határozatot kell hoznia, és meg kell határoznia azt az időszakot, amelyre vonatkozóan a banktitkot feloldja.

62

Konkrétabban, amint az a ZKI 62. cikkének (5) bekezdéséből kitűnik, a kérdést előterjesztő bíróság által megadható engedély az érintettek hozzájárulásának kiváltására szolgál. Ezt az engedélyt be lehet mutatni azon bankok számára, amelyeknél e személyek bankszámlával rendelkeznek, és azzal a joghatással jár, hogy lehetővé teszi a felügyelet számára, hogy hozzáférjen az e számlákkal kapcsolatos személyes adatokhoz. Ez a hozzáférés egyébként az említett személyeknek a Charta 7. és 8. cikkében biztosított alapvető jogaiba való beavatkozást jelent (lásd ebben az értelemben: 2020. október 6‑iÉtat luxembourgeois [Adózással kapcsolatos információk iránti kérelemmel szembeni jogorvoslati jog] ítélet, C‑245/19 és C‑246/19, EU:C:2020:795, 74. pont).

63

E körülmények között a kérdést előterjesztő bíróság által a ZKI 62. cikke (6) bekezdésének 12. pontja alapján ellátott feladatok nem olyan közigazgatási jellegű aktusok elfogadásából állnak, amelyek bírósági felülvizsgálat tárgyát képezhetik, hanem azokat igazságszolgáltatási feladatoknak kell minősíteni, mivel e bíróságnak valóban független módon kell meghoznia a határozatát, hogy biztosítsa a banktitok feloldásának jogszerűségét (lásd analógia útján: 2004. január 15‑iSaetti és Frediani végzés, C‑235/02, EU:C:2004:26, 23. pont).

64

Következésképpen az előzetes döntéshozatal iránti kérelmek elfogadhatók.

65

Elöljáróban emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint a nemzeti bíróságok és a Bíróság között az EUMSZ 267. cikkel bevezetett együttműködési eljárás keretében a Bíróság feladata, hogy a nemzeti bíróságnak az előtte folyamatban lévő ügy eldöntéséhez hasznos választ adjon. Erre tekintettel a Bíróságnak adott esetben át kell fogalmaznia az elé terjesztett kérdést (2024. január 30‑iDirektor na Glavna direktsia Natsionalna politsia pri MVR – Sofia ítélet, C‑118/22, EU:C:2024:97, 31. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

66

Bár a jelen ügyekben az első kérdés „a bírákkal szemben fegyelmi szankciók kiszabására és a bírák vagyonára vonatkozó adatok gyűjtésére jogosult” igazságügyi szervre utal, mind az előzetes döntéshozatal iránti kérelmekből, mind pedig a Bíróság rendelkezésére álló iratokból az következik, hogy ez a szerv a bírák és ügyészek feladataik ellátása során végzett tevékenységét, feddhetetlenségét és a személyükben fennálló összeférhetetlenség hiányát ellenőrzi, és ennek keretében hatáskörrel rendelkezik a rájuk vonatkozó személyes adatok gyűjtésére. Így különösen az említett szerv jogosult arra, hogy ezen ellenőrzések nyomán javaslatot tegyen egy másik igazságügyi szervnek az érintettekkel szembeni fegyelmi szankciók kiszabására irányuló fegyelmi eljárás megindítására.

67

Márpedig, amint az az előzetes döntéshozatal iránti kérelmekből kitűnik, a kérdést előterjesztő bíróság úgy véli, hogy az a körülmény, hogy a felügyelet tagjai, akiket a nemzetgyűlés a képviselők kétharmados többségével választ, hivatali idejük lejárta ellenére továbbra is ellátják megbízatásukat, kérdéseket vethet fel az igazságszolgáltatás függetlenségének követelményével kapcsolatban. E bíróságban felmerül ugyanis a kérdés, hogy ebben az összefüggésben lehetséges, hogy az igazságügyi szerv tagjai jogellenes befolyást gyakorolnak a bírákra vagy ügyészekre, vagy hogy tevékenységüket a nemzetgyűlési képviselők nyomásgyakorlása mellett folytatják.

68

Így az előzetes döntéshozatalra előterjesztett első kérdés az EUSZ 19. cikk (1) bekezdése második albekezdésének a Charta 47. cikkével összefüggésben történő értelmezésére vonatkozik, kizárólag a hivatali idejüket betöltött felügyeleti tagok megbízatásának meghosszabbítása szempontjából, e kérdésnek azonban nem tárgya ezen igazságügyi szerv hatáskörének a terjedelme önmagában véve.

69

E körülmények között meg kell állapítani, hogy az előterjesztő bíróság első kérdésével lényegében arra vár választ, hogy az EUSZ 19. cikk (1) bekezdésének a Charta 47. cikkével összefüggésben értelmezett második albekezdésével ellentétes‑e, és ha igen, milyen feltételek mellett, az a tagállami gyakorlat, amely szerint e tagállam egyik igazságügyi szervének tagjai, akiket e tagállam parlamentje határozott időre választ meg, és akiknek a hatáskörébe tartozik a bírák és ügyészek feladataik ellátása során végzett tevékenységének, feddhetetlenségének és a személyükben fennálló összeférhetetlenség hiányának ellenőrzése, valamint az, hogy javaslatot tegyenek egy másik igazságügyi szervnek az érintettekkel szembeni fegyelmi szankciók kiszabására irányuló fegyelmi eljárás megindítására, megbízatásukat az említett tagállam alkotmányában megállapított törvényes hivatali idő lejártát követően továbbra is ellátják mindaddig, amíg e parlament új tagokat nem választ.

70

A lengyel kormány azt állítja, hogy a Bíróságnak nincs hatásköre az első kérdés megválaszolására, mivel az Unió egyáltalán nem rendelkezik hatáskörrel a tagállamok igazságszolgáltatási szervezetrendszerével kapcsolatos kérdésekben.

71

Ezzel összefüggésben, bár a tagállamok igazságszolgáltatásának megszervezése ez utóbbiak hatáskörébe tartozik, e hatáskör gyakorlása során kötelesek tiszteletben tartani az uniós jogból és különösen az EUSZ 19. cikk (1) bekezdésének második albekezdéséből eredő kötelezettségeiket (lásd ebben az értelemben: 2024. január 9‑iG. és társai [A rendes bíróságok bíráinak kinevezése Lengyelországban] ítélet, C‑181/21 és C‑269/21, EU:C:2024:1, 57. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

72

Ez a helyzet a bírák fegyelmi felelősségével kapcsolatos nemzeti szabályozás esetében (lásd ebben az értelemben: 2021. december 21‑iEuro Box Promotion és társai ítélet, C‑357/19, C‑379/19, C‑547/19, C‑811/19 és C‑840/19, EU:C:2021:1034, 133. pont; 2023. május 11‑iInspecţia Judiciară ítélet, C‑817/21, EU:C:2023:391, 44. pont, valamint az ott hivatkozott ítélkezési gyakorlat), ideértve annak az igazságügyi szervnek a szervezetével és működésével kapcsolatos szabályokat is, amelynek – a felügyelethez hasonlóan – a hatáskörébe tartozik a bírák és ügyészek igazságszolgáltatási tevékenységének, feddhetetlenségének és a személyükben fennálló összeférhetetlenség hiányának ellenőrzése, valamint az, hogy javaslatot tegyen egy másik igazságügyi szervnek az érintettekkel szembeni fegyelmi szankciók kiszabására irányuló fegyelmi eljárás megindítására.

73

E körülmények között, és mivel az előzetes döntéshozatalra előterjesztett első kérdés az uniós jog értelmezésére vonatkozik, a Bíróság hatáskörrel rendelkezik e kérdés megválaszolására.

74

A bolgár kormány és a felügyelet vitatja az első kérdés elfogadhatóságát azzal az indokkal, hogy a felügyeletnek nincs hatásköre arra, hogy fegyelmi szankciókat szabjon ki, így ezen első kérdés nincs semmilyen összefüggésben az alapeljárások tárgyával.

75

A felügyelet továbbá arra is hivatkozik, hogy az első kérdés hipotetikus. Egyrészt ugyanis az alapeljárások semmilyen módon nem kapcsolódnak fegyelmi eljárásokhoz. Másrészt, jóllehet az EUSZ 19. cikk (1) bekezdése második albekezdése megsértésének megállapításához a függetlenségi követelmények strukturális megsértésére van szükség, a kérdést előterjesztő bíróság nem részletezi, hogy miben áll az alapügyekben szóban forgó állítólagos jogsértés strukturális jellege.

76

E tekintetben az állandó ítélkezési gyakorlat szerint kizárólag az alapügyben eljáró és a meghozandó bírósági határozatért felelős nemzeti bíróság feladata, hogy az ügy sajátosságaira tekintettel megítélje mind az előzetes döntéshozatalra utalásnak az ítélete meghozatala tekintetében fennálló szükségességét, mind pedig a Bíróság elé terjesztendő kérdéseinek relevanciáját. Következésképpen, ha a feltett kérdések egy uniós jogi szabály értelmezésére vonatkoznak, a Bíróság főszabály szerint köteles határozatot hozni (2023. február 16‑iRzecznik Praw Dziecka és társai [Visszaviteli határozat felfüggesztése] ítélet, C‑638/22 PPU, EU:C:2023:103, 47. pont; 2023. július 24‑iLin ítélet, C‑107/23 PPU, EU:C:2023:606, 61. pont).

77

Az uniós jogra vonatkozóan előterjesztett kérdések releváns voltát ebből következően vélelmezni kell. A Bíróság csak akkor tagadhatja meg a nemzeti bíróság által előterjesztett előzetes döntéshozatal iránti kérelem elbírálását, ha az uniós jogi szabály kért értelmezése nyilvánvalóan nincs összefüggésben az alapügy tényállásával vagy tárgyával, ha a probléma hipotetikus jellegű, vagy ha nem állnak a Bíróság rendelkezésére azok a ténybeli és jogi elemek, amelyek szükségesek ahhoz, hogy az elé terjesztett kérdésekre hasznos választ adhasson (lásd ebben az értelemben: 2023. február 16‑iRzecznik Praw Dziecka és társai [Visszaviteli határozat felfüggesztése] ítélet, C‑638/22 PPU, EU:C:2023:103, 48. pont; 2023. július 24‑iLin ítélet, C‑107/23 PPU, EU:C:2023:606, 62. pont).

78

A jelen ügyekben az előterjesztő bíróság kérdése arra irányul, hogy milyen határozatnak van helye a felügyelet által – több bíró és ügyész, valamint családtagjaik bankszámláira vonatkozó adatokhoz való hozzáférés engedélyezése iránt – benyújtott kérelmek tárgyában. E bíróság különösen azt kívánja megtudni, hogy ellentétes‑e az uniós joggal, ha az ilyen igazságügyi szerv annak ellenére bírósághoz fordulhat az ilyen jellegű kérelmekkel, hogy a szerv valamennyi tagjának megbízatása több éve lejárt. Nyilvánvaló tehát, hogy az említett bíróságnak járulékos jelleggel előzetesen döntést kell hoznia e kérdésről, mielőtt az előtte folyamatban lévő kérelmek tárgyában döntést hozhatna. Ebből következik, hogy az uniós jog kért értelmezése objektív módon szükséges a kérdést előterjesztő bíróság által meghozandó határozathoz (lásd ebben az értelemben: 2021. május 18‑iAsociaţia Forumul Judecătorilor din România és társai ítélet, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 és C‑397/19, EU:C:2021:393, 118. és 119. pont).

79

Ami a felügyeletnek a jelen ítélet 75. pontjában kifejtett megfontolásait illeti, amelyek többek között az alapeljárásokkal összefüggésben őt megillető jogkörökre és az EUSZ 19. cikk (1) bekezdésének második albekezdéséből eredő követelmények strukturális megsértésének hiányára vonatkoznak, ezek valójában az első kérdés érdemi vizsgálata körébe tartoznak, és ennélfogva nem vezethetnek e kérdés elfogadhatatlanságához.

80

A fentiekből következik, hogy az előzetes döntéshozatalra előterjesztett első kérdés elfogadható.

81

Az EUSZ 19. cikk (1) bekezdésének második albekezdése értelmében minden tagállamnak biztosítania kell, hogy azon fórumok, amelyek az uniós jog szerinti fogalommeghatározás értelmében vett „bíróságként” az e jog alkalmazására vagy értelmezésére vonatkozó kérdésekben döntést hozhatnak, és amelyek így az uniós jog által szabályozott területeken a tagállam jogorvoslati rendszerébe tartoznak, teljesítik a hatékony bírói jogvédelem követelményeit, és köztük a függetlenség követelményét (2024. július 11‑iHann‑Invest és társai ítélet, C‑554/21, C‑622/21 és C‑727/21, EU:C:2024:594, 47. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

82

Az uniós jog tiszteletben tartásának biztosítására irányuló hatékony bírói felülvizsgálat fennállása már önmagában a jogállamiság létének velejárója. Ennek keretében az EUSZ 19. cikk (1) bekezdésének második albekezdése alapján a tagállamoknak meg kell teremteniük azokat a jogorvoslati lehetőségeket és eljárásokat, amelyek az uniós jog által szabályozott területeken a jogalanyok hatékony bírói jogvédelemhez való joga tiszteletben tartásának biztosításához szükségesek. A jogalanyok uniós jogból eredő jogai hatékony bírói védelmének elve, amelyre az EUSZ 19. cikk (1) bekezdésének második albekezdése utal, a tagállamok közös alkotmányos hagyományain nyugvó uniós jogi alapelv, amelyet az emberi jogok és az alapvető szabadságok védelméről szóló, Rómában, 1950. november 4‑én aláírt egyezmény (kihirdette: az 1993. évi XXXI. törvény) 6. és 13. cikke rögzít, és amelyet jelenleg a Charta 47. cikke is megerősít (2021. december 21‑iEuro Box Promotion és társai ítélet, C‑357/19, C‑379/19, C‑547/19, C‑811/19 és C‑840/19, EU:C:2021:1034, 219. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

83

Ezért alapvető fontosságú azon szervek függetlenségének védelme, amelyeknek esetlegesen az uniós jog alkalmazásával vagy értelmezésével kapcsolatos kérdésekben kell határozatot hozniuk, amint azt a Charta 47. cikkének második bekezdése is megerősíti, amely a „független” bírósághoz való hozzáférést a hatékony jogorvoslathoz való alapvető jog egyik követelményeként említi (2021. május 18‑iAsociaţia Forumul Judecătorilor din România és társai ítélet, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 és C‑397/19, EU:C:2021:393, 194. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

84

A bíróságok függetlenségére vonatkozó e követelmény – amely a bírói hivatás velejárója – a hatékony bírói jogvédelemhez való jog és a tisztességes eljáráshoz való alapvető jog lényegéből következik, amely döntő jelentőségű a jogalanyok uniós jogból eredő valamennyi joga védelmének biztosítása és a tagállamok EUSZ 2. cikkben felsorolt közös értékeinek, különösen pedig a jogállamiság értékének a megőrzése szempontjából. A hatalmi ágak szétválasztása elvének megfelelően, amely a jogállamiság működését jellemzi, a bíróságok függetlenségét biztosítani kell többek között a jogalkotó és a végrehajtó hatalommal szemben (2021. május 18‑iAsociaţia Forumul Judecătorilor din România és társai ítélet, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 és C‑397/19, EU:C:2021:393, 195. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

85

Az állandó ítélkezési gyakorlat értelmében az uniós jog alapján megkövetelt függetlenség és pártatlanság garanciái olyan szabályok meglétét igénylik, amelyek a jogalanyok számára biztosítják minden, a szóban forgó fórum külső tényezők általi befolyásolhatatlanságára, valamint az ütköző érdekek vonatkozásában fennálló semlegességére vonatkozó jogos kétség kizárását (2021. április 20‑iRepubblika ítélet, C‑896/19, EU:C:2021:311, 53. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2021. május 18‑iAsociaţia Forumul Judecătorilor din România és társai ítélet, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 és C‑397/19, EU:C:2021:393, 196. pont).

86

Még konkrétabban, a bírák fegyelmi rendszerére irányadó szabályokat illetően a bíróságok függetlenségének az EUSZ 19. cikk (1) bekezdésének második albekezdéséből eredő követelménye azt is feltételezi, hogy ez a rendszer tartalmazza az ahhoz szükséges garanciákat, hogy elkerülhető legyen annak veszélye, hogy ezt a rendszert a bírósági határozatok tartalmának politikai ellenőrzését szolgáló rendszerként alkalmazzák. E tekintetben az olyan szabályok megalkotása, amelyek egyaránt meghatározzák – többek között – a fegyelmi vétségnek minősülő magatartásokat és a konkrétan alkalmazandó szankciókat, illetve amelyek egy független fórum olyan eljárását írják elő, amely maradéktalanul biztosítja a Charta 47. és 48. cikkében rögzített jogokat, különösen a védelemhez való jogot, továbbá amely szabályok biztosítják a fegyelmi testület határozatainak bíróság előtti megtámadhatóságát, az igazságszolgáltatás függetlenségének megőrzéséhez elengedhetetlen garanciáknak minősülnek (2021. május 18‑iAsociaţia Forumul Judecătorilor din România és társai ítélet, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 és C‑397/19, EU:C:2021:393, 198. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2023. május 11‑iInspecţia Judiciară ítélet, C‑817/21, EU:C:2023:391, 48. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

87

Mivel a fegyelmi vizsgálat megindításának lehetősége már önmagában nyomást gyakorolhat az ítélethozatal feladatával megbízott személyekre, a Bíróság már megállapította, hogy alapvető fontosságú, hogy a vizsgálatok és a fegyelmi eljárás lefolytatására hatáskörrel rendelkező szerv feladatai ellátása során objektív és pártatlan módon járjon el, és e célból minden külső befolyástól mentes legyen (2021. május 18‑iAsociația Forumul Judecătorilor din România és társai ítélet, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 és C‑397/19, EU:C:2021:393, 199. pont; 2023. május 11‑iInspecţia Judiciară ítélet, C‑817/21, EU:C:2023:391, 49. pont) Ez különösen igaz egy olyan igazságügyi szervre, amely a felügyelethez hasonlóan széles körben rendelkezik hatáskörökkel a bírák és ügyészek feladataik ellátása során végzett tevékenységének, feddhetetlenségének és a személyükben fennálló összeférhetetlenség hiányának ellenőrzésére, valamint arra, hogy az ilyen ellenőrzések nyomán javaslatot tegyen egy másik igazságügyi szervnek az érintettekkel szembeni fegyelmi szankciók kiszabására irányuló fegyelmi eljárás megindítására.

88

Fontos ezért, hogy az ilyen szerv szervezetére és működésére vonatkozó szabályok összességét, köztük a tagok kinevezési eljárására irányadó szabályokat úgy kell kialakítani, hogy azok a jogalanyokban ne kelthessenek semmilyen jogos kétséget az említett szerv előjogainak és feladatainak az igazságszolgáltatási tevékenységre történő nyomásgyakorlás vagy az e tevékenység feletti politikai ellenőrzés eszközeként történő alkalmazását illetően (lásd ebben az értelemben: 2023. május 11‑iInspecţia Judiciară ítélet, C‑817/21, EU:C:2023:391, 50. és 51. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

89

E szabályok ugyanis általánosságban közvetlenül érinthetik az említett szerv gyakorlatát, és így megelőzhetik, vagy éppen ellenkezőleg, elősegíthetik az olyan fegyelmi eljárások megindítását, amelyek célja vagy hatása az, hogy nyomást gyakoroljanak különösen azokra, akiknek a feladata az ítélethozatal vagy a tevékenységük feletti politikai ellenőrzés biztosítása (lásd ebben az értelemben: 2023. május 11‑iInspecţia Judiciară ítélet, C‑817/21, EU:C:2023:391, 52. pont).

90

Végső soron a kérdést előterjesztő bíróság feladata, hogy az e célból szükséges értékelések elvégzését követően határozzon az alapügyben szereplő szerv külső tényezők általi befolyásolhatatlanságáról, valamint a feladatai ellátása során tanúsított objektivitásról és pártatlanságról. Emlékeztetni kell ugyanis arra, hogy az EUMSZ 267. cikk keretében a Bíróság csak arra jogosult, hogy a Szerződések és az uniós intézmények által alkotott aktusok értelmezéséről döntsön, arra viszont nem, hogy az uniós jog szabályait egy meghatározott ügyre alkalmazza. Az állandó ítélkezési gyakorlat értelmében azonban a Bíróság az EUMSZ 267. cikkel bevezetett igazságügyi együttműködés keretében – az iratokban fellelhető tényekből kiindulva – megadhatja a nemzeti bíróságnak az uniós jog értelmezésének azokat az elemeit, amelyek valamely uniós jogi rendelkezés hatásainak értékelése során hasznosak lehetnek a számára (lásd ebben az értelemben: 2023. május 11‑iInspecţia Judiciară ítélet, C‑817/21, EU:C:2023:391, 58. pont).

91

A jelen ügyekben a felügyelet egy vezető felügyelőből és tíz felügyelőből áll, akiket a nemzetgyűlés választ meg tagjainak kétharmados többségével öt, illetve négy évre. A jelen előzetes döntéshozatal iránti kérelmek benyújtásának időpontjában alkalmazandó nemzeti jog értelmében a felügyelet tagjait nem lehetett két egymást követő időszakra megválasztani.

92

Az alapügyekben szóban forgó helyzet tekintetében – amikor is a felügyelet tagjainak hivatali ideje lejárt, de a nemzetgyűlés nem választott új tagokat – úgy tűnik, hogy a nemzeti szabályozás nem tartalmaz olyan rendelkezést, amely alapján továbbra is elláthatják megbízatásukat a felügyelet azon tagjai, akiknek hivatali ideje lejárt. Tény, hogy a kérdést előterjesztő bíróság tájékoztatása szerint ilyen esetben a felügyelet tagjai a Konstitutsionen sad (Alkotmánybíróság) ítélkezési gyakorlata alapján továbbra is ellátják megbízatásukat mindaddig, amíg a nemzetgyűlés új tagokat nem választ. Mindazonáltal azon túl, hogy a bolgár jog nem szabályozza a megbízatás gyakorlásának ilyen módon történő meghosszabbítását, nem tartalmaz olyan jogszabályi rendelkezést sem, amely lehetővé tenné a felügyelet új tagjainak kinevezésére irányuló eljárás esetleges blokkolásának megszüntetését, így a korábbi tagok hivatali idejének meghosszabbítása a gyakorlatban időbeli korlát nélkül lehetséges.

93

Márpedig egyrészt, noha kizárólag a tagállamok dönthetnek arról, hogy engedélyezik‑e, vagy sem, hogy a bírák és ügyészek tevékenységének ellenőrzésére és a velük szembeni fegyelmi eljárások megindítására vonatkozó javaslattételre hatáskörrel rendelkező igazságügyi szerv tagjai megbízatásukat e szerv folyamatos működésének biztosítása érdekében a törvényes hivatali időn túl gyakorolják, a tagállamok – amennyiben a hivatali idő ilyen meghosszabbítása mellett döntenek – kötelesek gondoskodni arról, hogy a megbízatás hivatali idő lejártát követő gyakorlására az e feladatellátást szabályozó egyértelmű és pontos szabályokat tartalmazó, kifejezett belső jogi jogalapon kerüljön sor.

94

A tagállamoknak gondoskodniuk kell továbbá arról, hogy az ilyen feladatellátás feltételeit és részletes szabályait úgy alakítsák ki, hogy azok lehetővé tegyék, hogy az ilyen igazságügyi szerv érintett tagjai feladataik ellátása során objektíven és pártatlanul járjanak el, és ennek érdekében minden külső befolyástól mentesek legyenek, a jelen ítélet 87. és 88. pontjában hivatkozott ítélkezési gyakorlat szerinti követelménynek megfelelően.

95

Másrészt, amint arra a főtanácsnok indítványának 58. pontjában lényegében rámutatott, bár bizonyos körülmények között a megbízatások meghosszabbítása szükségesnek bizonyulhat az érintett igazságügyi szerv által ellátott feladatok jelentőségére tekintettel, ez nem változtat azon, hogy e törvényes hivatali időn túl az említett szerv eljárásának nincs semmilyen, az e feladatellátást szabályozó egyértelmű és pontos szabályokat tartalmazó, kifejezett belső jogi jogalapja. Következésképpen a megbízatás ilyen meghosszabbítása csak kivételesen, és azzal a feltétellel képzelhető el, hogy arra olyan egyértelmű és pontos szabályok vonatkoznak, amelyek a gyakorlatban kizárják azt a lehetőséget, hogy az említett meghosszabbítás időben korlátlan legyen.

96

Mindazonáltal, amikor valamely tagállam ilyen szabályozási keretet hoz létre, nem módosíthatja sem jogszabályait, sem alkotmányát oly módon, hogy az a jogállamiság értéke védelmének leértékelődését eredményezze, amely értéket többek között az EUSZ 19. cikk konkretizál, különösen ami a bírák jogalkotó és végrehajtó hatalomtól való függetlenségének garanciáit illeti (lásd ebben az értelemben: 2021. április 20‑iRepubblika ítélet, C‑896/19, EU:C:2021:311, 63. és 65. pont).

97

A fenti megfontolásokra tekintettel az első kérdésre azt a választ kell adni, hogy az EUSZ 19. cikk (1) bekezdésének második albekezdését a Charta 47. cikkével összefüggésben úgy kell értelmezni, hogy a bírói függetlenség elvével ellentétes az a tagállami gyakorlat, amely szerint e tagállam egyik igazságügyi szervének tagjai, akiket e tagállam parlamentje határozott időre választ meg, és akiknek a hatáskörébe tartozik a bírák és ügyészek feladataik ellátása során végzett tevékenységének, feddhetetlenségének és a személyükben fennálló összeférhetetlenség hiányának ellenőrzése, valamint az, hogy javaslatot tegyenek egy másik igazságügyi szervnek az érintettekkel szembeni fegyelmi szankciók kiszabására irányuló fegyelmi eljárás megindítására, megbízatásukat az említett tagállam alkotmányában megállapított törvényes hivatali idő lejártát követően továbbra is ellátják mindaddig, amíg e parlament új tagokat nem választ, ha a lejárt hivatali idő meghosszabbításának nincs az e megbízatás gyakorlását szabályozó egyértelmű és pontos szabályokat tartalmazó, kifejezett nemzeti jogi jogalapja, és ha nincs biztosítva, hogy e meghosszabbítás a gyakorlatban időben korlátozott legyen.

98

Második kérdésével az előterjesztő bíróság lényegében arra keresi a választ, hogy úgy kell‑e értelmezni a GDPR 2. cikkét, hogy ha egy igazságügyi szervvel a banktitok által védett, bírákra és ügyészekre, valamint családtagjaikra vonatkozó személyes adatokat közölnek az e bírák és ügyészek saját, valamint családtagjaik vagyonára vonatkozó vagyonnyilatkozatainak ellenőrzése érdekében, úgy, hogy e nyilatkozatok közzétételi kötelezettség alá esnek, az az e rendelet tárgyi hatálya alá tartozó adatkezelésnek minősül.

99

Az állandó ítélkezési gyakorlat szerint a GDPR 2. cikkének (1) bekezdése rendkívül tágan határozza meg a rendelet tárgyi hatályát. A GDPR‑t – a 2. cikk (2) és (3) bekezdésében említett esetek kivételével – mind a magánszemélyek, mind a hatóságok által végzett adatkezelésekre alkalmazni kell, ideértve – amint az e rendelet (20) preambulumbekezdésében szerepel – az igazságügyi hatóságokat is (lásd ebben az értelemben: 2022. március 24‑iAutoriteit Persoonsgegevens ítélet, C‑245/20, EU:C:2022:216, 25. pont; 2024. január 16‑iÖsterreichische Datenschutzbehörde ítélet, C‑33/22, EU:C:2024:46, 33. és 36. pont).

100

Ezenkívül a Bíróság már megállapította, hogy sem az a tény, hogy a nemzeti rendelkezések tárgyát képező információk bírákra vonatkoznak, sem pedig az a körülmény, hogy ezek az információk esetleg alkalmasak lehetnek arra, hogy bizonyos kapcsolatot mutassanak a bírák feladatainak ellátásával, önmagában nem vonhatja ki e nemzeti rendelkezéseket a GDPR hatálya alól (2023. június 5‑iBizottság kontra Lengyelország [A bírák függetlensége és magánélete] ítélet, C‑204/21, EU:C:2023:442, 315. pont).

101

A GDPR 2. cikkének (2) és (3) bekezdése ugyanis kimerítő jelleggel állapítja meg az e rendelet tárgyi hatályát meghatározó (1) bekezdésben foglalt szabály alóli kivételeket, és ezeket, különösen a (2) bekezdésben foglalt kivételeket, szigorúan kell értelmezni (lásd ebben az értelemben: 2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504,62. pont; 2023. június 5–iBizottság kontra Lengyelország [A bírák függetlensége és magánélete] ítélet, C‑204/21, EU:C:2023:442, 316. pont; 2024. január 16–iÖsterreichische Datenschutzbehörde ítélet, C‑33/22, EU:C:2024:46, 37. pont).

102

A GDPR 2. cikke (2) bekezdésének a) pontja, amelyre az előzetes döntéshozatalra előterjesztett második kérdés kifejezetten utal, kimondja, hogy e rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt „az uniós jog hatályán kívül eső tevékenységek során” végzik.

103

Az állandó ítélkezési gyakorlat értelmében e rendelkezésnek a GDPR (16) preambulumbekezdésével összefüggésben értelmezve egyedüli célja az, hogy kizárja e rendelet hatálya alól a személyes adatok olyan kezelését, amelyet az állami hatóságok a nemzetbiztonság megóvására irányuló vagy ugyanezen kategóriába tartozónak tekinthető tevékenység keretében végeznek, azzal a pontosítással, hogy a nemzetbiztonság védelmét célzó tevékenységek közé tartoznak különösen az alapvető állami funkciók és a társadalom alapvető érdekeinek védelmére irányuló tevékenységek. Így önmagában az, hogy egy tevékenység az állam vagy valamely közhatalmi szerv sajátos tevékenysége, nem elegendő ahhoz, hogy ezt a kivételt automatikusan alkalmazni lehessen erre a tevékenységre (lásd ebben az értelemben: 2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 66. és 67. pont; 2022. december 8‑iInspektor v Inspektorata kam Visshia sadeben savet [A személyes adatok kezelésének céljai – nyomozás] ítélet, C‑180/21, EU:C:2022:967, 79. pont; 2023. június 5‑iBizottság kontra Lengyelország [A bírák függetlensége és magánélete] ítélet, C‑204/21, EU:C:2023:442, 317. és 318. pont).

104

Márpedig, a tagállamokban a megfelelő igazságszolgáltatás biztosítása, és a bírák és ügyészek, különösen a bírák jogállására és feladataik ellátására vonatkozó szabályok megállapítása ezen államok hatáskörébe tartozik ugyan (lásd ebben az értelemben: 2023. június 5‑iBizottság kontra Lengyelország [A bírák függetlensége és magánélete] ítélet, C‑204/21, EU:C:2023:442, 319. pont), ez nem változtat azon, hogy az olyan adatkezelés, mint amelyről az alapügyekben szó van, amelynek célja a bírák és ügyészek feddhetetlenségének ellenőrzése, valamint a személyükben fennálló esetleges összeférhetetlenség vizsgálata, nem tartozik sem a nemzetbiztonság megóvására irányuló, sem az ugyanezen kategóriába tartozónak tekinthető tevékenység körébe.

105

Egyébiránt meg kell jegyezni, hogy ha egy igazságügyi szervvel a banktitok által védett, bírákra és ügyészekre, valamint családtagjaikra vonatkozó személyes adatokat közölnek az e bírák és ügyészek, valamint családtagjaik vagyonnyilatkozatának ellenőrzése érdekében, úgy, hogy e nyilatkozatok közzétételi kötelezettség alá esnek, az a GDPR 4. cikkének 2. pontja szerinti „adatkezelésnek” minősül. Ez a közlés ugyanis e személyes adatoknak az e szerv számára történő hozzáférhetővé tételét jelenti.

106

Az előzetes döntéshozatalra előterjesztett második kérdésre tehát azt a választ kell adni, hogy a GDPR 2. cikkét úgy kell értelmezni, hogy ha egy igazságügyi szervvel a banktitok által védett, bírákra és ügyészekre, valamint családtagjaikra vonatkozó személyes adatokat közölnek az e bírák és ügyészek saját, valamint családtagjaik vagyonára vonatkozó vagyonnyilatkozatainak ellenőrzése érdekében, úgy, hogy e nyilatkozatok közzétételi kötelezettség alá esnek, az az e rendelet tárgyi hatálya alá tartozó adatkezelésnek minősül.

107

Harmadik kérdésével az előterjesztő bíróság azt szeretné megtudni, hogy úgy kell‑e értelmezni a GDPR 4. cikkének 7. pontját, hogy az a bíróság, amelynek a hatáskörébe tartozik, hogy egy másik igazságügyi szerv kérelme alapján engedélyezze, hogy egy bank bírák és ügyészek, valamint családtagjaik bankszámlájával kapcsolatos személyes adatokat közöljön ezzel a szervvel, az e rendelkezés értelmében vett adatkezelőnek tekinthető.

108

A GDPR 4. cikkének 7. pontja értelmében az „adatkezelő” fogalma magában foglalja azokat a természetes vagy jogi személyeket, közhatalmi szerveket, ügynökségeket vagy bármely egyéb szervet, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. E rendelkezés azt is kimondja, hogy ha az adatkezelés céljait és eszközeit többek között a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat e jog is meghatározhatja.

109

A Bíróság állandó ítélkezési gyakorlata értelmében az említett rendelkezés célja az „adatkezelő” fogalmának tág meghatározása révén, és a GDPR céljával összhangban, hogy biztosítsa a természetes személyek alapvető jogai és szabadságai hatékony és teljeskörű védelmét, valamint többek között a bármely személyt megillető, a rá vonatkozó személyes adatok védelméhez való jog magas szintű védelmét (lásd ebben az értelemben: 2023. december 5‑iNacionalinis visuomenės sveikatos centras ítélet, C‑683/21, EU:C:2023:949, 28. és 29. pont; 2024. március 7‑iIAB Europe ítélet, C‑604/22, EU:C:2024:214, 53–55. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

110

Annak meghatározásához, hogy valamely személyt vagy szervet a GDPR 4. cikkének 7. pontja értelmében vett adatkezelőnek kell‑e minősíteni, azt kell tehát megvizsgálni, hogy e személy vagy szerv – önállóan vagy másokkal együtt – meghatározza‑e az adatkezelés céljait és eszközeit, vagy azokat a nemzeti jog határozza meg. Amennyiben azokat a nemzeti jog határozza meg, meg kell vizsgálni, hogy e jog kijelöli‑e az adatkezelőt, vagy meghatározza‑e a kijelölésére vonatkozó különös szempontokat (2025. február 27‑iAmt der Tiroler Landesregierung ítélet, C‑638/23, EU:C:2025:127, 27. pont).

111

Pontosítani kell továbbá, hogy a GDPR 4. cikkének 7. pontja szerinti „adatkezelő” fogalmának tág meghatározására tekintettel az adatkezelés céljainak és eszközeinek meghatározása – és adott esetben ezen adatkezelőnek a nemzeti jog általi kijelölése – nem csupán kifejezett, hanem hallgatólagos is lehet. Ez utóbbi esetben azonban szükséges, hogy az adatkezelés céljainak és eszközeinek e meghatározása kellő bizonyossággal következzen az érintett személy vagy szerv szerepéből, feladataiból és hatásköreiből (2025. február 27‑iAmt der Tiroler Landesregierung ítélet, C‑638/23, EU:C:2025:127, 28. pont).

112

Az érintettek védelmét ugyanis csökkentené a GDPR 4. cikke 7. pontjának olyan megszorító értelmezése, hogy az csak azokra az esetekre terjed ki, amelyekben a személy, közhatalmi szerv, ügynökség vagy szerv által végzett adatkezelés céljait és eszközeit a nemzeti jog kifejezetten meghatározza, ha egyébként e célok és eszközök lényegében kitűnnek az érintett szervezet tevékenységét szabályozó jogszabályi rendelkezésekből (2024. január 11‑iÉtat belge [Hivatalos lap által kezelt adatok] ítélet, C‑231/22, EU:C:2024:7, 30. pont).

113

A jelen ügyekben a kérdést előterjesztő bíróság arra keresi a választ, hogy adatkezelőnek kell‑e tekinteni az alapügyekben, vagyis a banktitok körébe tartozó személyes adatok felügyelettel való közlése tekintetében azon az alapon, hogy a jogszabályok alapján az ő feladata e közlés engedélyezése.

114

Ezzel összefüggésben az alapügyekben alkalmazandó nemzeti szabályozás értelmében a felügyelet hatáskörébe tartozik többek között a bírák és ügyészek feddhetetlenségének és összeférhetetlensége hiányának, valamint vagyonnyilatkozataiknak az ellenőrzése. E szabályozás ennek érdekében lehetővé teszi a felügyelet számára, hogy hozzáférést kérjen a bírák és ügyészek, valamint családtagjaik bankszámláival kapcsolatos adatokhoz. Abban az esetben, ha az érintettek nem járultak hozzá ehhez a hozzáféréshez, ezen igazságügyi szerv az említett szabályozás értelmében hatáskörrel rendelkezik arra, hogy az említett adatokhoz való hozzáférés céljából előzetes bírósági engedélyt kérjen.

115

Egyértelmű tehát, hogy az alapügyekben alkalmazandó nemzeti szabályozás határozza meg az adatkezeléssel érintett személyi kört és adatokat, ez állapítja meg ezen adatkezelés céljait, és e célok elérése érdekében ez jelöli ki a hatáskörrel rendelkező szervet, azaz a felügyeletet. Az adatok közlésének engedélyezése iránti kérelem tárgyában csak a felügyelet által – a nemzeti jogban megállapított hatáskörei gyakorlása érdekében – előterjesztett kérelem alapján indulhat a bíróság előtt eljárás, amely annak vizsgálatára szorítkozik, hogy teljesülnek‑e az e jogban meghatározott jogszerűségi feltételek. Szintén nem e bíróság, hanem a felügyelet határozza meg az alkalmazandó nemzeti szabályok alapján azokat a személyeket, akiknek az adataihoz e célból hozzá kíván férni, és akikkel kapcsolatban engedély iránti kérelmet nyújt be az említett bírósághoz.

116

Így, bár e bíróság feladata annak vizsgálata, hogy egy adott ügyben teljesülnek‑e, és milyen mértékben, az adatkezelés jogszerűségének feltételei, sem az adatkezelés célját, sem az érintett személyeket és adatokat nem e bíróság határozza meg saját hatáskörében. E körülmények között nem az említett bíróság a GDPR 4. cikkének 7. pontja értelmében vett adatkezelő, hanem az a szerv, amelynek az elérni kívánt célok megvalósítása a hatáskörébe tartozik.

117

A fenti megfontolásokra tekintettel a harmadik kérdésre azt a választ kell adni, hogy a GDPR 4. cikkének 7. pontját úgy kell értelmezni, hogy az a bíróság, amelynek a hatáskörébe tartozik, hogy egy másik igazságügyi szerv kérelme alapján engedélyezze, hogy egy bank bírák és ügyészek, valamint családtagjaik bankszámlájával kapcsolatos személyes adatokat közöljön ezzel a szervvel, nem tekinthető az e rendelkezés értelmében vett adatkezelőnek.

118

Negyedik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy úgy kell‑e értelmezni a GDPR 51. cikkét, hogy az a bíróság, amelynek a hatáskörébe tartozik a személyes adatok másik igazságügyi szervvel történő közlésének engedélyezése, az e cikk értelmében vett felügyeleti hatóságnak minősül.

119

A GDPR 51. cikke alapján a tagállamoknak rendelkezniük kell az e rendelet alkalmazásának ellenőrzéséért felelős egy vagy több független közhatalmi szervről. A független felügyelő hatóságok tagállamokban való létrehozása, amelyről az elsődleges uniós jog, nevezetesen a Charta 8. cikkének (3) bekezdése és az EUMSZ 16. cikk (2) bekezdése is rendelkezik, lényeges eleme az egyének személyes adatok kezelése tekintetében való védelmének (lásd ebben az értelemben: 2014. április 8‑iBizottság kontra Magyarország ítélet, C‑288/12, EU:C:2014:237, 48. pont; 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 229. pont).

120

A GDPR 51. cikkének (1) és (2) bekezdése, valamint 57. cikke (1) bekezdésének a) és g) pontja értelmében a felügyeleti hatóságok fő feladata e rendelet alkalmazásának ellenőrzése és érvényesítésének biztosítása, elősegítve annak az Unió területén történő egységes alkalmazását, a természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint az ilyen adatok Unión belüli szabad áramlásának megkönnyítése érdekében. E célból a felügyeleti hatóságok a GDPR 58. cikke alapján rájuk ruházott különböző hatáskörökkel rendelkeznek (lásd ebben az értelemben: 2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 45. pont).

121

A tagállamok a GDPR 51. cikke (4) bekezdése alapján kötelesek értesíteni a Bizottságot az e rendelet VI. fejezete alapján elfogadott jogszabályi rendelkezésekről és az azokat érintő későbbi módosításokról, különösen az említett rendelet alkalmazásának ellenőrzéséért felelős felügyeleti hatóságra vagy hatóságokra vonatkozó rendelkezésekről.

122

A jelen ügyekben a Bíróság rendelkezésére álló iratokban semmi nem utal arra, hogy a bolgár jog alapján a kérdést előterjesztő bíróság feladata lenne a GDPR alkalmazásának ellenőrzése, és különösen, hogy megilletnék azok a hatáskörök, amelyekkel a felügyeleti hatóságnak e rendelet 58. cikke alapján rendelkeznie kell.

123

A negyedik kérdésre tehát azt a választ kell adni, hogy a GDPR 51. cikkét úgy kell értelmezni, hogy az a bíróság, amelynek a hatáskörébe tartozik a személyes adatok másik igazságügyi szervvel történő közlésének engedélyezése, nem minősül az e cikk értelmében vett felügyeleti hatóságnak, amennyiben saját tagállama – többek között a természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme érdekében – nem telepítette e bíróságra e rendelet alkalmazásának ellenőrzését.

124

Az ötödik kérdést csak arra az esetre terjesztették elő, ha a Bíróság a harmadik vagy a negyedik kérdésre igenlő választ adna. Márpedig, amint az a jelen ítélet 117. és 123. pontjában megállapítást nyert, a harmadik és a negyedik kérdésre nemleges választ kell adni.

125

Következésképpen az előzetes döntéshozatalra előterjesztett ötödik kérdést nem szükséges megválaszolni.

126

Hatodik kérdésével az előterjesztő bíróság lényegében arra kíván választ kapni, hogy a GDPR 79. cikkének (1) bekezdését a Charta 47. cikkével összefüggésben úgy kell‑e értelmezni, hogy az a bíróság, amelynek a hatáskörébe tartozik a személyes adatok másik igazságügyi szervvel történő közlésének engedélyezése, az e rendelkezés alapján benyújtott kereset hiányában is köteles hivatalból biztosítani a szóban forgó adatok érintettjeinek védelmét az e rendelet személyes adatok biztonságára vonatkozó rendelkezéseinek való megfelelés tekintetében, amennyiben köztudott, hogy e szerv korábban megsértette ez utóbbi rendelkezéseket.

127

Ezzel összefüggésben az előterjesztő bíróság pontosítja, hogy e kérdés azért merül fel, mert az előtte indult eljárásban nem vesznek részt azok a személyek, akiknek a személyes adatairól szó van, továbbá mivel az ezen adatok felügyelettel történő közlésére vonatkozó bírósági engedély e személyek hozzájárulásának a kiváltására szolgál, és az ellen nincs helye jogorvoslatnak. E bíróság úgy véli, hogy ha a felügyelet által benyújtott engedély iránti kérelem tisztán formális vizsgálatára szorítkozna, anélkül, hogy meggyőződne arról, hogy e szerv garantálja az érintettek adatainak biztonságát, az elvonná az említett személyek számára a GDPR 79. cikkében biztosított bírói jogvédelem hatékony érvényesülését. A bíróság e körülmények között teszi fel a kérdést, hogy köteles‑e hivatalból biztosítani a felügyelet adatbiztonságra vonatkozó szabályoknak való megfelelését oly módon, hogy tájékoztatást kér e szervtől az e rendelet 33. cikke (3) bekezdésének d) pontja alapján hozott biztonsági intézkedésekről.

128

E tekintetben emlékeztetni kell arra, hogy a GDPR megállapítja az adatbiztonsággal kapcsolatos anyagi jogi és eljárási szabályok összességét, amelyeket az adatkezelőnek tiszteletben kell tartania, és emellett a VIII. fejezetben meghatározza az azon személyek jogainak védelmére szolgáló jogorvoslati eszközöket, akiknek személyes adatait az említett rendelet rendelkezéseit állítólagosan megsértve kezelték, és amelyeket e személyek párhuzamosan és egymástól függetlenül is gyakorolhatnak (lásd ebben az értelemben: 2023. január 12‑iNemzeti Adatvédelmi és Információszabadság Hatóság ítélet, C‑132/21, EU:C:2023:2, 35. pont).

129

Mivel a GDPR‑ban említett adatvédelmi szint a személyes adatok kezelői által elfogadott biztonsági intézkedésektől függ, az adatkezelőket, tekintettel arra, hogy rájuk hárul ezen intézkedések megfelelőségének bizonyítása, arra kell ösztönözni, hogy mindent megtegyenek annak megakadályozása érdekében, hogy az e rendeletnek nem megfelelő adatkezelési műveletekre kerüljön sor (2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C‑340/21, EU:C:2023:986, 55. pont).

130

A GDPR‑ban előírt biztonsági követelményeknek való megfelelés ellenőrzése egyrészt a felügyeleti hatóságok, másrészt a GDPR 78. cikkének (1) bekezdése vagy 79. cikkének (1) bekezdése alapján benyújtott keresetek alapján eljáró nemzeti bíróságok hatáskörébe tartozik.

131

Ami a felügyeleti hatóságokat illeti, e hatóságok fő feladata – amint arra a jelen ítélet 120. pontja emlékeztet – a GDPR alkalmazásának ellenőrzése és érvényesítésének biztosítása. Így különösen e rendelet 33. cikke értelmében az adatkezelőnek tájékoztatni kell e hatóságokat az adatvédelmi incidensekről.

132

Ezenkívül a GDPR 58. cikkének (1) és (2) bekezdése az említett hatóságokat jelentős vizsgálati hatáskörökkel, valamint különböző korrekciós intézkedések elfogadására vonatkozó hatáskörrel ruházza fel. Ehhez kapcsolódóan pontosítani kell, hogy a felügyeleti hatóságoknak fel kell lépniük, ha e rendelet 58. cikkének (2) bekezdésében előírt egy vagy több korrekciós intézkedés elfogadása – az adott eset valamennyi körülményét figyelembe véve – megfelelő, szükséges és arányos a megállapított hiányosság orvoslása és az említett rendeletnek való teljes körű megfelelés biztosítása érdekében (2024. szeptember 26‑iLand Hessen [Az adatvédelmi hatóság eljárási kötelezettsége] ítélet, C‑768/21, EU:C:2024:785, 42. pont).

133

Ezenkívül különösen fontos, hogy a felügyeleti hatóságok tényleges hatáskörökkel rendelkezzenek a GDPR megsértésével szembeni hatékony fellépés, és különösen a jogsértések megszüntetése érdekében, ideértve azokat az eseteket is, amikor az érintetteket nem tájékoztatják a személyes adataik kezeléséről, az érintetteknek nincs tudomásuk e kezelésről, vagy mindenesetre nem nyújtottak be az e rendelet 77. cikkének (1) bekezdése alapján panaszt (lásd ebben az értelemben: 2024. március 14‑iÚjpesti Polgármesteri Hivatal ítélet, C‑46/23, EU:C:2024:239, 41. pont).

134

E hatóságoknak – a GDPR 78. cikkének (1) bekezdése vagy 79. cikkének (1) bekezdése alapján benyújtott kereset tárgyában eljáró nemzeti bíróságokhoz hasonlóan – meg kell róla győződniük, hogy az adatkezelő által választott technikai és szervezési intézkedések megfelelőek a kockázatnak megfelelő adatbiztonsági szint biztosítása érdekében, amint azt e rendelet 32. cikkének (1) bekezdése megköveteli, ezen intézkedéseket konkrétan érdemben vizsgálva, az említett cikkben említett valamennyi szempontra, valamint az adott ügy sajátos körülményeire és az ezzel kapcsolatban e hatóságok vagy bíróságok rendelkezésére álló bizonyítékokra tekintettel (lásd ebben az értelemben: 2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C‑340/21, EU:C:2023:986, 43. és 45. pont; 2024. november 28‑iMásdi ítélet, C‑169/23, EU:C:2024:988, 71. pont).

135

Ezzel szemben azok a nemzeti bíróságok, amelyek nem a GDPR 78. cikkének (1) bekezdése vagy 79. cikkének (1) bekezdése alapján benyújtott kereset tárgyában járnak el, a számukra kifejezetten felügyeleti hatáskört biztosító szabályok hiányában nem kötelesek gondoskodni az e rendelet anyagi jogi rendelkezéseinek való megfelelésről, hogy biztosítsák azok hatékony érvényesülését.

136

Mivel az előterjesztő bíróság kérdése többek között a GDPR 79. cikkének (1) bekezdése szerinti bírósági jogorvoslat hatékonyságára vonatkozik, annak érdekében, hogy e bíróság számára hasznos választ lehessen adni, hangsúlyozni kell azt is, hogy a tagállamoknak biztosítaniuk kell, hogy az e rendelet 77. cikkének (1) bekezdésében, 78. cikkének (1) bekezdésében és 79. cikkének (1) bekezdésében szereplő jogorvoslatok gyakorlására vonatkozó konkrét szabályok ténylegesen megfelelnek a Charta 47. cikkében biztosított hatékony jogorvoslathoz való jogból eredő követelményeknek (lásd ebben az értelemben: 2023. január 12‑iNemzeti Adatvédelmi és Információszabadság Hatóság ítélet, C‑132/21, EU:C:2023:2, 51. pont).

137

E célból fontos, hogy az adatkezelő, vagyis az a hatáskörrel rendelkező igazságügyi szerv, amelynek a személyes adatokhoz hozzáférést biztosítottak, az adott adatok érintettjeinek rendelkezésére bocsássa a GDPR 14. cikkének (1) és (2) bekezdésében felsorolt információkat az e rendelet 12. cikkének (1) bekezdésében és 14. cikkének (3) bekezdésében foglalt részletes szabályok szerint, mivel ezek az információk szükségesek ahhoz, hogy az említett személyek adott esetben gyakorolhassák az említett rendeletben biztosított jogaikat, különösen a személyes adataik kezelése elleni tiltakozáshoz való jogukat, amelyről a GDPR 21. cikke rendelkezik, valamint kár elszenvedése esetén az e rendelet 79. és 82. cikke szerinti jogorvoslathoz való jogukat (lásd analógia útján: 2023. június 22‑iPankki S ítélet, C‑579/21, EU:C:2023:501, 58. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

138

A fenti megfontolásokra tekintettel a hatodik kérdésre azt a választ kell adni, hogy a GDPR 79. cikkének (1) bekezdését a Charta 47. cikkével összefüggésben úgy kell értelmezni, hogy az a bíróság, amelynek a hatáskörébe tartozik a személyes adatok másik igazságügyi szervvel történő közlésének engedélyezése, amennyiben nem az e rendelkezés alapján benyújtott kereset tárgyában jár el, nem köteles hivatalból biztosítani a szóban forgó adatok érintettjeinek védelmét az e rendelet személyes adatok biztonságára vonatkozó rendelkezéseinek való megfelelés tekintetében, akkor sem, ha köztudott, hogy e szerv korábban megsértette ez utóbbi rendelkezéseket.

139

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (első tanács) a következőképpen határozott: