C‑439/19. sz. ügy

B

(a Latvijas Republikas Satversmes tiesa [Lettország] által benyújtott előzetes döntéshozatal iránti kérelem)

A Bíróság ítélete (nagytanács), 2021. június 22.

„Előzetes döntéshozatal – A természetes személyeknek a személyes adatok kezelése tekintetében történő védelme – (EU) 2016/679 rendelet – 5., 6. és 10. cikk – A közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatokhoz való nyilvános hozzáférésről rendelkező nemzeti jogszabály – Megengedhetőség – A »büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok« fogalma – A közúti közlekedésbiztonság javítása céljából történő hozzáférhetővé tétel – A hivatalos dokumentumokhoz való nyilvános hozzáférés joga – A tájékozódás szabadsága – A magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő alapvető jogokkal való összhang biztosítása – Adatok további felhasználása – EUMSZ 267. cikk – Az előzetes döntéshozatali eljárásban hozott határozat időbeli hatálya – Valamely tagállam alkotmánybíróságának azon lehetősége, hogy fenntartsa az uniós joggal összeegyeztethetetlen nemzeti jogszabály joghatásait – Az uniós jog elsőbbségének elve és a jogbiztonság elve”

1. A természetes személyeknek a személyes adatok kezelése tekintetében történő védelme – 2016/679 rendelet – Hatály – Eltérések – Az uniós jog hatálya alá nem tartozó tevékenység keretében történő adatkezelés – A nemzetbiztonság megóvására irányuló vagy ugyanezen kategóriába tartozónak tekinthető tevékenység – Fogalom – A közúti közlekedésbiztonság javítására irányuló tevékenység – Kizártság

   (2016/679 európai parlamenti és tanácsi rendelet, (16) preambulumbekezdés, és 2. cikk, (2) bekezdés, a) pont)

   (lásd: 61–68. pont)

2. A természetes személyeknek a személyes adatok kezelése tekintetében történő védelme – 2016/679 rendelet – Hatály – Eltérések – Az illetékes hatóságok által bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett adatkezelés – Az illetékes hatóság fogalma – A büntetőügyekben folytatott igazságügyi, valamint a rendőrségi együttműködés területén a személyes adatok védelmével való kapcsolat szükségessége – A közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatokat a nyilvánossággal közlő nemzeti hatóság – Kizártság

   (2016/679 európai parlamenti és tanácsi rendelet, (19) preambulumbekezdés, és 2. cikk, (2) bekezdés, d) pont; 2016/680 európai parlamenti és tanácsi irányelv, (10), (11) preambulumbekezdés, és 3. cikk, (7) bekezdés)

   (lásd: 69–72. pont)

3. A természetes személyeknek a személyes adatok kezelése tekintetében történő védelme – 2016/679 rendelet – A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelése – A bűncselekményekre vonatkozó adatok fogalma – Büntetőpontokra vonatkozó adatok – Bennfoglaltság – A bűncselekmények fogalma – Büntetőjogi jelleg – Értékelési szempontok – Büntetőpontok kiszabását eredményező közúti közlekedési jogsértések – Bennfoglaltság

   (2016/679 európai parlamenti és tanácsi rendelet, 10. cikk; 2016/680 európai parlamenti és tanácsi irányelv, (13) preambulumbekezdés)

   (lásd: 77–93. pont és a rendelkező rész első pontja)

4. A természetes személyeknek a személyes adatok kezelése tekintetében történő védelme – 2016/679 rendelet – A személyes adatok kezelése jogszerűségének feltételei – Közérdekből elvégzendő feladat végrehajtásához szükséges vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása alá tartozó adatkezelés – Nemzeti szabályozás, amely kötelezővé teszi a büntetőpontokra vonatkozó személyes adatokhoz való nyilvános hozzáférést, és lehetővé teszi, hogy ezen adatokat további felhasználás céljából közöljék a gazdasági szereplőkkel – A közúti közlekedésbiztonság javítására irányuló általános érdekű célkitűzés – Az említett személyesadat‑kezelés szükséges jellegének hiánya – Elfogadhatatlanság – A nyilvánosság dokumentumokhoz való hozzáféréshez való joga és a tájékozódás szabadságának joga – A hatás hiánya – A magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő alapvető jogok elsőbbsége

   (2016/679 európai parlamenti és tanácsi rendelet, (39), (154) preambulumbekezdés, 5. cikk, (1) bekezdés, 6. cikk, (1) bekezdés, e) pont, és 10., 85. és 86. cikk)

   (lásd: 99., 106., 108–113., 120–122., 126., 129. pont és a rendelkező rész 2. és 3. pontja)

5. Előzetes döntéshozatalra előterjesztett kérdések – Értelmezés – Az értelmező ítéletek időbeli hatálya – Visszaható hatály – A Bíróság általi korlátozás – Az uniós jog elsőbbségének elve és a jogbiztonság elve – Valamely tagállam alkotmánybíróságának azon lehetősége, hogy a végleges és jogerős határozat kihirdetésének időpontjáig fenntartsa az uniós joggal összeegyeztethetetlen nemzeti jogszabály joghatásait – Hiány

   (EUMSZ 267. cikk)

   (lásd: 132–137. pont és a rendelkező rész 4. pontja)

Összefoglalás

Ellentétes az uniós adatvédelmi joggal az a lett szabályozás, amely a közúti közlekedésbiztonsági hatóságot arra kötelezi, hogy tegye a nyilvánosság számára hozzáférhetővé a gépjárművezetőkkel szemben közúti közlekedési jogsértés miatt kiszabott büntetőpontokra vonatkozó adatokat

Nem nyert bizonyítást, hogy e szabályozás szükséges lenne az elérni kívánt, nevezetesen a közúti közlekedésbiztonság javítására irányuló célkitűzés megvalósításához

B természetes személy, akivel szemben egy vagy több közúti közlekedési jogsértés miatt büntetőpontokat szabtak ki. A Ceļu satiksmes drošības direkcija (közúti közlekedésbiztonsági igazgatóság, Lettország, a továbbiakban: CSDD) e büntetőpontokat bejegyezte a gépjárművek és gépjárművezetők nemzeti nyilvántartásába.

A közúti közlekedésre vonatkozó lett szabályozás ( 1 ) értelmében az e nyilvántartásban szereplő, a gépjárművezetőkkel szemben kiszabott büntetőpontokra vonatkozó információk nyilvánosan hozzáférhetőek, és azokat a CSDD közli minden olyan személlyel – többek között a gazdasági szereplőkkel is ezen információk további felhasználása céljából –, aki erre vonatkozó kérelmet terjeszt elő, anélkül hogy igazolnia kellene az ezen információk megszerzéséhez fűződő különös érdekét. B, akinek kétségei voltak e szabályozás jogszerűségével kapcsolatban, alkotmányjogi panasszal fordult a Latvijas Republikas Satversmes tiesához (alkotmánybíróság, Lettország) annak érdekében, hogy az vizsgálja meg e szabályozásnak a magánélet tiszteletben tartásához fűződő alapvető joggal való összhangját.

Az alkotmánybíróság megállapította, hogy az említett alkotmányos jogra vonatkozó vizsgálatának keretében figyelembe kell vennie az általános adatvédelmi rendeletet ( 2 ). Arra kérte tehát a Bíróságot, hogy tisztázza az általános adatvédelmi rendelet több rendelkezésének hatályát annak meghatározása érdekében, hogy a közúti közlekedésre vonatkozó lett szabályozás összeegyeztethető‑e ezzel a rendelettel.

A Bíróság a nagytanácsban hozott ítéletében kimondja, hogy a lett szabályozás ellentétes az általános adatvédelmi rendelettel. A Bíróság megítélése szerint nem nyert bizonyítást, hogy a közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatok közlése szükséges lenne, különösen a lett kormány által hivatkozott, a közúti közlekedésbiztonság javítására irányuló célkitűzésre tekintettel. Ezenfelül a Bíróság szerint sem a nyilvánosságnak a hivatalos dokumentumokhoz való hozzáféréshez fűződő joga, sem a tájékozódás szabadságához való jog nem igazol egy ilyen szabályozást.

A Bíróság álláspontja

Először is a Bíróság kimondja, hogy a büntetőpontokra vonatkozó személyes adatok kezelése „a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelésének” ( 3 ) minősül, amellyel szemben az általános adatvédelmi rendelet fokozott védelmet ír elő a szóban forgó adatok különösen érzékeny jellege folytán.

Ennek keretében a Bíróság mindenekelőtt rámutat arra, hogy a büntetőpontokra vonatkozó információk személyes adatok, és azok CSDD általi, harmadik személyekkel való közlése az általános adatvédelmi rendelet hatálya alá tartozó adatkezelésnek minősül. E rendelet hatálya ugyanis rendkívül tág, és az említett adatkezelés nem tartozik az e rendelet alkalmazhatósága alóli kivételek körébe.

Így egyrészt e tevékenység nem tartozik az általános adatvédelmi rendelet alkalmazhatósága alóli, az uniós jog hatályán kívül eső tevékenységek során végzett adatkezeléssel kapcsolatos kivétel ( 4 ) alá. E kivételt úgy kell tekinteni, hogy annak egyedüli célja az, hogy kizárja az említett rendelet hatálya alól a személyes adatok olyan kezelését, amelyet az állami hatóságok a nemzetbiztonság megóvására irányuló vagy ugyanezen kategóriába tartozónak tekinthető tevékenység keretében végeznek. E tevékenységek különösen azokat a tevékenységeket foglalják magukban, amelyek célja az alapvető állami funkcióknak és a társadalom alapvető érdekeinek a védelme. Márpedig a közúti közlekedés biztonságával kapcsolatos tevékenységek nem ilyen célkitűzés megvalósítására irányulnak, és következésképpen nem sorolhatók a nemzetbiztonság megőrzésére irányuló tevékenységek kategóriájába.

Másrészt a büntetőpontokra vonatkozó személyes adatok közlése nem tartozik az általános adatvédelmi rendelet alkalmazhatóságát kizáró azon kivétel hatálya alá sem, amely a személyes adatoknak az illetékes hatóságok által büntetőügyekben végzett kezelésére vonatkozik. ( 5 ) A Bíróság ugyanis megállapítja, hogy az említett közlés során a CSDD nem tekinthető ilyen „illetékes hatóságnak” ( 6 ).

Annak meghatározása érdekében, hogy a közúti közlekedési jogsértésekre, így a büntetőpontokra vonatkozó személyes adatokhoz való hozzáférés a „bűncselekményekre” vonatkozó és fokozott védelmet élvező személyes adatok kezelésének minősül‑e, ( 7 ) a Bíróság az általános adatvédelmi rendelet keletkezésének körülményeire támaszkodva megállapítja, hogy e fogalom kizárólag a büntetőjog körébe tartozó jogsértésekre utal. Ugyanakkor az, hogy a közúti közlekedési jogsértések a lett jogrendszerben közigazgatási jellegű jogsértésnek minősülnek, nem meghatározó annak értékelése szempontjából, hogy e jogsértések a „bűncselekmények” fogalom hatálya alá tartoznak‑e, mivel az uniós jog olyan önálló fogalmáról van szó, amelyet az Unió egész területén önállóan és egységesen kell értelmezni. A Bíróság így kimondja – miután emlékeztet a jogsértés büntetőjogi jellegének értékelése során releváns három kritériumra, amelyek nevezetesen a jogsértés belső jog szerinti jogi minősítése, a jogsértés jellege, valamint az érintett személlyel szemben kiszabható szankció súlya –, hogy a szóban forgó közúti közlekedési jogsértések az általános adatvédelmi rendelet értelmében vett „bűncselekmények” fogalma alá tartoznak. Az első két kritériumot illetően a Bíróság megállapítja, hogy még azon jogsértések esetében is, amelyek a nemzeti jog szerint nem minősülnek „büntető jellegűnek”, e jelleg megállapítására mindazonáltal a jogsértés jellegéből és különösen a jogsértés miatt kiszabható szankció megtorlásra irányuló céljából fakadóan is sor kerülhet. Márpedig a jelen esetben a büntetőpontok közúti közlekedési jogsértések miatti kiszabása – csakúgy, mint az e jogsértések elkövetése miatt kiszabható többi szankció – többek között ilyen megtorlási célt követ. Ami a harmadik kritériumot illeti, a Bíróság megjegyzi, hogy kizárólag a bizonyos súllyal rendelkező közúti közlekedési jogsértések vonják maguk után büntetőpontok kiszabását, és következésképpen az ilyen jogsértések miatt kiszabható szankciók bizonyos súllyal rendelkeznek. Ráadásul a büntetőpontok kiszabása általában hozzáadódik a kiszabott szankcióhoz, és e pontok összege önmagában is jogkövetkezményeket – akár járművezetéstől való eltiltást – von maga után.

Másodszor, a Bíróság kimondja, hogy az általános adatvédelmi rendelettel ellentétes az a lett szabályozás, amely a CSDD‑t arra kötelezi, hogy tegye a nyilvánosság számára hozzáférhetővé a gépjárművezetőkkel szemben közúti közlekedési jogsértés miatt kiszabott büntetőpontokra vonatkozó adatokat, anélkül hogy a hozzáférést kérő személynek igazolnia kellene az említett adatok megszerzéséhez fűződő különös érdekét.

Ebben az összefüggésben a Bíróság hangsúlyozza, hogy a közúti közlekedésbiztonság javítása, ami a lett szabályozás célját képezi, az Unió által elismert közérdekű célkitűzést képez, és következésképpen a tagállamok a közúti közlekedés biztonságát minősíthetik „közérdekből elvégzendő feladatnak” ( 8 ). Ugyanakkor nem nyert bizonyítást, hogy a közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatok közlésére vonatkozó lett szabályozás szükséges lenne az elérni kívánt célkitűzés megvalósításához. Egyrészt ugyanis a lett jogalkotó számos cselekvési lehetőséggel rendelkezik ahhoz, hogy e célkitűzést az érintett személyek alapvető jogait kevésbé sértő más eszközök révén valósítsa meg. Másrészt figyelembe kell venni a büntetőpontokra vonatkozó adatok különleges jellegét és azt, hogy a nyilvánossággal való közlésük a magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő alapvető jogokba való súlyos beavatkozásnak minősülhet, mivel a társadalom általi helytelenítéshez és az érintett személy megbélyegzéséhez vezethetnek.

Ezenfelül a Bíróság úgy véli, hogy tekintettel ezen adatok különleges jellegére, valamint az említett két alapvető jogba történő beavatkozás súlyára, ezek a jogok elsőbbséget élveznek mind a nyilvánosság ahhoz fűződő érdekével szemben, hogy hozzáférjen a hivatalos dokumentumokhoz, így a gépjárművek és gépjárművezetők nemzeti nyilvántartásához, mind pedig a tájékozódás szabadságához való joggal szemben.

Harmadszor, ugyanezen okokból a Bíróság megállapítja, hogy az általános adatvédelmi rendelettel ellentétes az a lett szabályozás, amely a CSDD számára lehetővé teszi, hogy a közúti közlekedési jogsértés miatt a gépjárművezetőkkel szemben kiszabott büntetőpontokra vonatkozó adatokat közölje a gazdasági szereplőkkel ezen adatok említett szereplők általi további felhasználásának és nyilvánossággal való közlésének lehetővé tétele érdekében.

Negyedszer és utoljára, a Bíróság pontosítja, hogy az uniós jog elsőbbségének elvét úgy kell értelmezni, hogy azzal ellentétes az, ha a kérdést előterjesztő bíróság, amely a Bíróság által az uniós joggal összeegyeztethetetlennek nyilvánított lett szabályozás ellen irányuló alkotmányjogi panasz tárgyában eljár, úgy határoz, hogy e szabályozás joghatásait a végleges és jogerős határozata kihirdetésének időpontjáig fenntartja.

( 1 ) Az 1997. október 1‑jei Ceļu satiksmes likums (közúti közlekedési törvény, Latvijas Vēstnesis, 1997, 274/276. sz.) 14.1 cikkének (2) bekezdése.

( 2 ) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27 i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.).

( 3 ) Az általános adatvédelmi rendelet 10. cikke.

( 4 ) Az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontja.

( 5 ) Az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontja.

( 6 ) A személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/680 európai parlamenti és tanácsi irányelv (HL 2016. L 119., 89. o.; helyesbítések: HL 2018. L 127., 7. o.; HL 2021. L 74., 39. o.) 3. cikkének 7. pontja.

( 7 ) Az általános adatvédelmi rendelet 10. cikke.

( 8 ) Az általános adatvédelmi rendelet 6. cikke (1) bekezdésének e) pontja értelmében a személyes adatok kezelése akkor jogszerű, ha az „közérdekű […] feladat végrehajtásához szükséges”.