1.

Az (EU) 2016/679 rendelet (a továbbiakban: GDPR) ( 2 ) nem egy szűk körre korlátozódó jogszabály. A rendelet tágan meghatározott hatálya, az e hatály alóli bárminemű kivétel bíróságok általi tényleges kiüresítése, ( 3 ) valamint az annak értelmezéséhez való, fogalommeghatározásokon alapuló, elvont, következésképpen meglehetősen átfogó jellegű megközelítés ( 4 ) mind hozzájárult a GDPR hatályának gyakorlatilag korlátlanná tételéhez. Valóban, ha így közelítjük meg a kérdést, manapság meglehetősen nehéz olyan helyzetet találni, amelyben valaki, valahol, valamilyen szakaszban nem kezel személyes adatokat.

2.

Ez a megközelítés, amelynek alapja a személyes adatok Európai Unió Alapjogi Chartája 8. cikke szerinti védelmének mindenre kiterjedő alapvető (szuper) joggá történő emelése, mindazonáltal ahhoz vezet, hogy a személyes adatok védelme centripetális erőt kezdett el kifejteni más jogterületeken és az abból eredő jogvitákra. Számos ügyet kezdtek egyszeriben a személyes adatok védelmével kapcsolatos kérdésként feltüntetni, és azokat a GDPR értelmezésével kapcsolatos kérdésként terjesztik (többek között) a Bíróság elé. Az e jogvitákban felhozott sajátos kérdések olykor nem olyanok, mint amelyeket a meglehetősen széles hatálya ellenére a GDPR‑hoz hasonló jogszabály hatálya alá tartozónak gondolnánk.

3.

Ezelőtt ugyanis valószínűleg nem sokan tartották volna elképzelhetőnek, hogy a GDPR vagy annak előzménye, a 95/46/EK irányelv ( 5 ) irányadó lehet a gyakornok könyvelő‑adószakértők vizsgadolgozatukhoz való hozzáférésére és esetlegesen a személyes adatok vizsgát követő helyesbítéséhez való jogra; ( 6 ) vagy megakadályozhatja a közúti balesetben érintett természetes személy rendőrség általi azonosítását, így a károsult fél polgári bíróság előtt nem indíthat eljárást a gépjárművében okozott károk megtérítése iránt; ( 7 ) vagy a fizetésképtelenséggel kapcsolatos megtámadáson alapuló követelésekkel összefüggésben a közjogi és magánjogi hitelezők közötti egyensúly helyreállítása érdekében korlátozhatja a fizetésképtelen társaság által korábban megfizetett adóra vonatkozó információnak e társaság felszámolójával történő közlését; ( 8 ) hogy csak néhány érdekes példát említsek.

4.

A jelen ügy is a GDPR ilyen centripetális erejének egy másik példája. A SIA „SS” onlinehirdetés‑szolgáltató. E kereskedelmi tevékenység keretében személyes adatokat gyűjt azoktól a személyektől, akik az internetes oldalán hirdetéseket tesznek közzé. A hatáskörrel rendelkező nemzeti adóhatóság felhívta e vállalkozást, hogy továbbítson számára bizonyos mennyiségű, az internetes oldalán közzétett, használt gépjárműre vonatkozó hirdetéssel kapcsolatos adatot, hogy meggyőződhessen a gépjárművek értékesítésére kivetett adók megfelelő beszedéséről. Az adóhatóság részletesen kifejtette, hogy milyen formátumú adatokat kíván gyűjteni. Azt is egyértelművé tette, hogy ezen adattovábbítások állandók és azokért nyilvánvalóan nem jár anyagi ellentételezés.

5.

Ennek alapján a kérdést előterjesztő bíróság arra keresi a választ, hogy milyen terjedelemben fogadhatók el az ilyen adattovábbítási kérelmek. A korábbi ügyekhez hasonlóan a jelen ügyben is a GDPR tűnik alkalmazandónak. A személyes adatokat valaki valahol kezeli vagy kezelni fogja később, természetesen az adattovábbítás során. Az ilyen adatkezelés keretében az érintettek jogait ugyanúgy védeni kell, mint az érintett személyes adatokat. Mindazonáltal ez nem jelenti azt, hogy a GDPR kifejezetten szabályozza a jövőbeli adatkezelők (hatóságok) és a jelenlegi adatkezelők (magánvállalkozások) közötti viszonyt. A GDPR ugyanis mindenütt nyomon követi és védi az adatokat, így szabályozza valamennyi további adatkezelő adatokkal kapcsolatos és az érintett személyek felé fennálló kötelezettségeit. Ezzel ellentétben a GDPR – néhány kifejezett kivételtől eltekintve – nem szabályozza a szóban forgó adatok két egymást követő kezelője közötti kölcsönös viszony konkrét részleteit. Közelebbről, a GDPR nem írja elő az adatkezelők közötti megállapodás pontos módját, legyen szó akár szerződéses, akár közjogi eredetű megállapodásról, amelynek alapján adatokat kérhetnek és kaphatnak egymástól.

6.

A GDPR (31) preambulumbekezdése a következőképpen szól:

„Azok a közhatalmi szervek, amelyekkel hivatalos feladataikkal kapcsolatos jogi kötelezettségeik keretében személyes adatokat közölnek, így például az adó‑ és vámhatóságok, a pénzügyi nyomozóegységek, a független közigazgatási hatóságok, valamint az értékpapírpiacok szabályozásáért és felügyeletéért felelős pénzügyi hatóságok nem tekinthetők címzettnek, amikor olyan személyes adatokat kapnak, amelyek az uniós vagy a tagállami jog alapján egy konkrét közérdekű vizsgálat lefolytatásához szükségesek. A közhatalmi szervek nyilvánosságra hozatal iránti kérelmeit eseti alapon, írásban, indokolással ellátva kell benyújtani, és azok nem vonatkozhatnak teljes nyilvántartási rendszerekre, illetve nem eredményezhetik nyilvántartási rendszerek összekapcsolását. Az említett személyes adatok e közhatalmi szervek általi kezelése során – az adatkezelés céljának megfelelően – a vonatkozó adatvédelmi szabályokat be kell tartani.”

7.

A GDPR (45) preambulumbekezdése a következőképpen szól:

„Ha az adatkezelésre az adatkezelőre vonatkozó jogi kötelezettség teljesítése keretében kerül sor, vagy ha az közérdekű feladat végrehajtásához, illetve közhatalmi jogosítvány gyakorlásához szükséges, az adatkezelésnek az uniós jogban vagy valamely tagállam jogában foglalt jogalappal kell rendelkeznie. Ez a rendelet nem követeli meg, hogy az egyes konkrét adatkezelési műveletekre külön‑külön jogszabály vonatkozzon. Elegendő lehet az is, ha egyetlen jogszabály szolgál jogalapul több olyan adatkezelési művelethez is, amely az adatkezelőre vonatkozó jogi kötelezettségen alapul, illetve amelyre közérdekből végzett feladat ellátásához vagy közhatalmi jogosítvány gyakorlásához van szükség. Az adatkezelés célját is uniós vagy tagállami jogban kell meghatározni. E rendeletnek a személyes adatok kezelésének jogszerűségére vonatkozó általános feltételeit ezen túlmenően ezek pontosíthatják, az adatkezelő megjelölésére vonatkozó pontos szabályokat, az adatkezelés tárgyát képező személyes adatok típusát, az érintetteket, azokat a szervezeteket, amelyekkel a személyes adatok közölhetők, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát, valamint egyéb, a jogszerű és tisztességes adatkezelés biztosításához szükséges intézkedéseket is meghatározhatják. Uniós vagy tagállami jog határozza meg továbbá, hogy a közérdekű vagy közhatalmi feladatot teljesítő adatkezelőnek közhatalmi szervnek vagy egyéb, a közjog hatálya alá tartozó természetes vagy jogi személynek, vagy ha ezt a közérdek egészségügyi célok, mint például a népegészségügyi, illetve szociális védelmi és az egészségügyi szolgálatok irányítása miatt indokolttá teszi, a magánjog hatálya alá tartozó szervnek – például szakmai egyesületnek – kell‑e lennie.”

8.

A 2. cikk rögzíti a GDPR tárgyi hatályát:

„(1)   E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(2)   E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:

[…]

[…]”

9.

A 4. cikk a GDPR keretében alkalmazott fogalommeghatározásokat tartalmaz:

„1.   »személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; […]

2.   »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

[…]

7.   »adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

8.   »adatfeldolgozó«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

9.   »címzett«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél‑e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;

[…]”

10.

A GDPR 5. cikke rögzíti a személyes adatok kezelésére vonatkozó elveket:

„(1)   A személyes adatok:

(2)   Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

11.

A GDPR 6. cikke szerint:

„(1)   A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

[…]

[…]

[…]

(2)   Az e rendeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében, a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzeteket is.

(3)   Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:

Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.”

12.

„Az érintett jogai” címet viselő III. fejezet 12–22. cikke rögzíti az adatkezelő ehhez kapcsolódó jogait és kötelezettségeit. A GDPR 23. cikke zárja ezt a fejezetet. A „Korlátozások” címet viseli, és a következőképpen rendelkezik:

„(1)   Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

[…]

[…]

(2)   Az (1) bekezdésben említett jogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznak legalább:

13.

A Likums „Par nodokļiem un nodevām” (az adózás rendjéről szóló törvény) jelen ügy tényállásának megvalósulása idején hatályos változata 15. cikkének (6) bekezdése értelmében az onlinehirdetés‑szolgáltatók az állami adóhatóság megkeresésére kötelesek átadni minden olyan rendelkezésükre álló adatot, amely az e szolgáltatások igénybevételével hirdetéseket közzétevő adóalanyokkal, valamint az általuk közzétett hirdetésekkel kapcsolatosak.

14.

2018. augusztus 28‑án a Valsts ieņēmumu dienests (állami adóhatóság, Lettország, a továbbiakban: alperes) Nodokļu kontroles pārvaldéjának (adóellenőrzési hivatalának) igazgatója az adózás rendjéről szóló törvény 15. cikkének (6) bekezdése alapján információkérést intézett a SIA „SS”‑hez (a továbbiakban: felperes).

15.

Az alperes az információkérésben a felperest arra szólította fel, hogy újítsa meg az alperes hozzáférését a felperes által működtetett internetes oldalon (www.ss.com) közzétett hirdetésekben szereplő, a hirdetők telefonszámával, valamint a gépjárművek alvázszámával kapcsolatos információkhoz. Az alperes arra is felszólította a felperest, hogy legkésőbb 2018. szeptember 3‑ig adjon tájékoztatást az említett portálon „Gépjárművek” cím alatt a 2018. július 14. és augusztus 31. közötti időszakban közzétett hirdetésekről. A felperest arra kérte, hogy elektronikus úton, olyan formában továbbítsa az adatokat, amely lehetővé teszi az adatok szűrését és kiválasztását. Azt is kérte a felperestől, hogy a fájl a következő információkat tartalmazza: a hirdetés hivatkozása, a hirdetés szövege, a gépjármű gyártmánya, típusa, alvázszáma, ára, az eladó telefonszáma.

16.

Arra az esetre, ha a hozzáférés megújítása nem lehetséges, az adóellenőrzési hivatal igazgatója azt kérte a felperestől, hogy adjon tájékoztatást ennek okáról, valamint arra kérte a felperest, hogy a közzétett hirdetésekkel kapcsolatos adatokat rendszeresen, legkésőbb minden hónap harmadik napjáig közölje.

17.

A felperes közigazgatási panaszt nyújtott be az alperes főigazgatójához, és vitatta az említett információkérést. A felperes álláspontja szerint a GDPR 4. cikkének (1) bekezdése értelmében vett személyes adatokra vonatkozó információkérés terjedelme jogilag nem indokolt. Az információkérésben azonban nincs meghatározva sem az érintettek valamely konkrét csoportja, sem az előírt adatkezelés célja vagy terjedelme, sem pedig az adatközlési kötelezettség fennállásának időtartama. Az adatkezelőként eljáró alperes mint olyan nem a rá vonatkozó GDPR‑ből eredő arányosság elvével és személyes adatok kezelésével kapcsolatos takarékosság elvével összhangban járt el.

18.

Az alperes a 2018. október 30‑i határozattal (a továbbiakban: vitatott határozat) elutasította a panaszt, és helyt adott az információkérésnek.

19.

Az alperes a határozat indokolásában lényegében megállapította, hogy az adóhatóság a fent említett adatok kezelése során a törvény által ráruházott feladatokat látja el és hatásköröket gyakorolja. Az adóhatóság felelős az adók, illetékek és egyéb terhek beszedéséért és ellenőrzéséért. A törvény alapján köteles a természetes és a jogi személyek gazdasági és pénzügyi tevékenységeit nyomon követni annak biztosítása céljából, hogy az említett befizetéseket az államkincstár és az Unió költségvetése részére teljesítsék. E feladatok ellátása céljából a törvény az alperest az elszámoláshoz, valamint az adóztatandó tényállás rögzítéséhez, illetve az adók és járulékok ellenőrzéséhez szükséges iratok és információ begyűjtésére vonatkozó jogkörrel ruházza fel. Közelebbről, az adózás rendjéről szóló törvény 15. cikkének (6) bekezdése alapján az onlinehirdetés‑szolgáltatók az állami adóhatóság kérelmére kötelesek átadni minden olyan rendelkezésükre álló adatot, amely az e szolgáltatások igénybevételével hirdetéseket közzétevő adóalanyokkal, valamint az általuk közzétett hirdetésekkel kapcsolatosak. A törvény védi az alperes birtokában lévő bizalmas információkat, különösen az adóhatóság alkalmazottai számára előírt, az ezen információk megosztására vonatkozó tilalom által. Ebből következik, hogy az információkérés jogszerű.

20.

A felperes a vitatott határozat megsemmisítése iránti keresetet terjesztett az Administratīvā rajona tiesa (körzeti közigazgatási bíróság, Lettország) elé arra hivatkozva, hogy e határozat indokolása nem jelöli meg sem az adatkezelés konkrét célját, sem pedig az azonosítható személyek meghatározott csoportjával kapcsolatban kért információk kiválasztásának szempontjait.

21.

Az Administratīvās rajona tiesa (kerületi közigazgatási bíróság) 2019. május 21‑i határozatával elutasította a keresetet. Lényegében egyetértett az alperessel abban, hogy nem írható elő korlátozás arra vonatkozóan, hogy az adóhatóság valamely személlyel kapcsolatban mennyi információhoz férhet hozzá, kivéve, ha a szóban forgó információ nem áll összhangban az adóhatóság által végzett adatkezelés céljával. Ezen ítélet értelmében a kért információ szükséges a be nem jelentett gazdasági tevékenységek azonosításához. A GDPR rendelkezései csak a felperes mint szolgáltatásnyújtó vonatkozásában alkalmazandók, az adóhatóság vonatkozásában azonban nem.

22.

A felperes ezen ítélet ellen fellebbezést nyújtott be az Administratīvā apgabaltiesa (regionális közigazgatási bíróság, Lettország) elé. A felperes szerint a GDPR alkalmazandó a jelen ügyben. Az információkérés útján begyűjtött személyes adatok tekintetében figyelembe kell venni, hogy az alperes az említett rendelet értelmében adatkezelőnek minősül, ennélfogva teljesítenie kell az abban meghatározott követelményeket. Ugyanakkor az alperes az információkéréssel megsértette az arányosság elvét, mivel azt írja elő, hogy vele minden hónapban meg nem határozott számú hirdetéssel kapcsolatban jelentős mennyiségű adatot közöljenek, és nem jelöl meg olyan konkrét adóalanyokat, amelyekkel szemben adóellenőrzést indított. A felperes előadja, hogy az információkérésben nem szerepel, a felperes mely időtartam alatt köteles az alperes részére az e kérésben megjelölt adatokat közölni. A felperes tehát megállapítja, hogy az alperes megsértette a GDPR 5. cikkében rögzített, a személyes adatok kezelésére vonatkozó elveket (jogszerűség, tisztességes eljárás és átláthatóság). Előadja, hogy sem az információkérés, sem pedig a vitatott határozat indokolása nem határozza meg konkrétan azt, hogy az adatoknak az alperes által meghatározottak szerint történő kezelése milyen konkrét keretbe (célhoz kötöttség) illeszkedik, valamint a szükséges információk mennyiségét (adattakarékosság) sem. Azzal érvel, hogy a közigazgatási hatóságnak az információkérésben egyértelműen meghatározott szempontokat kell szerepeltetnie az e hatóság által az azonosítható személyek meghatározott csoportjával összefüggésben kért adatok kiválasztására vonatkozóan.

23.

A kérdést előterjesztő bíróság álláspontja szerint nem lehet egyértelműen megállapítani, hogy az ilyen információkérés „megfelelően indokoltnak” és „eseti jellegűnek” tekinthető, valamint hogy az nem vonatkozik a „Gépjárművek” rovatban szereplő valamennyi információra, mivel az adóhatóság lényegében egy folyamatos és teljeskörű ellenőrzést kíván folytatni. A kérdést előterjesztő bíróságnak kétségei vannak azzal kapcsolatban, hogy a személyes adatoknak az alperes által kilátásba helyezett kezelése – az adatkezelés GDPR (31) preambulumbekezdése értelmében vett céljára tekintettel – az alkalmazandó adatvédelmi szabályoknak megfelelőnek tekinthető‑e. Ennélfogva meg kell határozni azokat a kritériumokat, amelyek alapján értékelni szükséges, hogy az alperes általi információkérés tiszteletben tartja‑e az alapvető jogokat és szabadságokat, valamint hogy a szóban forgó információkérés szükséges és arányos‑e egy demokratikus társadalomban az Unió és Lettország költségvetési és az adózási kérdések tekintetében fennálló általános közérdekű célkitűzéseinek védelméhez.

24.

A kérdést előterjesztő bíróság álláspontja szerint a szóban forgó információkérés nem hivatkozik semmilyen, az alperes által folytatott, a GDPR rendelkezéseinek értelmében vett „konkrét vizsgálatra”. Az alperes az említett információkérésben nem konkrét személyekről, hanem minden olyan érintettről kér adatot, akik az internetes oldalon a „Személygépkocsik” cím alatt hirdetéseket tettek közzé. Ezenkívül az adóhatóság azt kéri, hogy az említett adatot legkésőbb minden hónap harmadik napjáig továbbítsák (azaz, hogy a felperes az alperes számára adja át az előző hónapban közzétett hirdetésekkel kapcsolatos valamennyi adatot). A fentiek tükrében a kérdést előterjesztő bíróság arra keresi a választ, hogy a nemzeti hatóságok részéről történő ilyen eljárás összhangban áll‑e a GDPR‑ben előírt követelményekkel.

25.

E ténybeli és jogi körülmények között az Administratīvā apgabaltiesa (regionális közigazgatási bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

26.

Írásbeli észrevételeket a belga, a görög, a spanyol és a lett kormány, valamint az Európai Bizottság terjesztett elő. A felperes, a belga, a spanyol és a lett kormány, valamint a Bizottság válaszolt a Bíróság által az eljárási szabályzata 61. cikke (1) bekezdésének megfelelően feltett írásbeli kérdésekre.

27.

A jelen indítvány felépítése a következő. Először azzal foglalkozom, hogy alkalmazható‑e a GDPR valamely hatóság által meghatározott mennyiségű személyes adat továbbítása céljából az adatkezelőhöz intézett kérelemre. A kérdést előterjesztő bíróság által felhozott kérdések tükrében elöljáróban két kérdést is tisztázni kell: pontosan ki kicsoda az alapeljárásban, és a GDPR mely konkrét szabályokat ír elő erre az esetre (A). Ezt követően rátérek az adatoknak a hatóságok által a magánvállalkozásokhoz történő továbbítására irányuló kérelmek esetében a GDPR‑ből következő (meglehetősen egyszerű) jogi háttérre (B). Ezt követően több megjegyzést teszek azzal kapcsolatban, hogy – legalábbis álláspontom szerint – mely a jelen ügy valódi fogas kérdése, még akkor is, ha azt a kérdést előterjesztő bíróság kifejezetten nem hozta fel (C).

28.

A kérdést előterjesztő bíróság kilenc kérdést tett fel, amelyek mindegyike valamilyen módon az adó beszedése és az adócsalás felderítése céljából az adóhatóság meghatározott személyes adatok egy vagy több magánvállalkozás által történő továbbítása iránti egy vagy több kérelmének jogszerűségével kapcsolatos. A magánvállalkozás a szóban forgó személyes adatokat az érintett személyektől rendszeres üzleti tevékenysége körében szerezte be.

29.

Mindazonáltal a feltett kilenc kérdésből nem nyilvánvaló, hogy ki pontosan mire és a GDPR mely rendelkezése alapján köteles. Ez a homályosság inkább arra utal, hogy a jelen ügy kereteit illetően legalább két szempontból is jelentős bizonytalanság áll fenn.

30.

Először is, a GDPR által meghatározott kategóriákon belül ki kicsoda a jelen ügyben? Az ügy tárgyát valamely magánvállalkozás által gyűjtött és ellenőrzött, szélesebb körű adathalmazból származó bizonyos adatoknak a magánvállalkozás által a hatóság részére történő továbbítása képezi. A Bíróság elé terjesztett kérdések alapját ez, a GDPR 4. cikkének (2) bekezdése értelmében vett konkrét adatkezelési művelet képezi.

31.

Ugyanakkor úgy tűnik, a kérdést előterjesztő bíróság úgy véli, hogy ezen adattovábbítást illetően már az adóhatóság (alperes) minősül adatkezelőnek. ( 9 ) Ezt, az előzetes döntéshozatalra utaló határozat egészét megalapozó feltevést a hatodik és a kilencedik kérdés kifejezetten tartalmazza. Ehhez előzetesen tisztázandó: a jelen ügyben konkrétan kinek kell betartania a GDPR‑t? A konkrét adatkezelési művelet esetében ki a konkrét adatkezelő? (2)

32.

Másodszor, e bizonytalanság egy másik fontos kérdést is felvet: ténylegesen a GDPR mely konkrét rendelkezései vonatkoznak már az adattovábbítási kérelmekre, és e rendelkezések közül konkrétan melyek vonatkoznak arra, hogy a hatóság milyen típusú és mennyiségű adatot igényelhet a magánvállalkozástól? E tekintetben meglehetősen beszédes, hogy a kérdést előterjesztő bíróság kérdései közül háromban csak a GDPR 5. cikkének (1) bekezdését említi, amely a személyes adatok bármely adatkezelő általi kezelésével kapcsolatos elveket rögzítő átfogó rendelkezés. Ezzel ellentétben a többi kérdés egyszerűen „a GDPR‑ben előírt követelményekre” utal és pontosan nem jelöli meg, hogy mely konkrét rendelkezések tartalmazzák e követelményeket.

33.

Ily módon előzetesen tisztázni kell azt is, a GDPR mely egy vagy több rendelkezését kell alkalmazni, különös tekintettel a felperes vállalkozás és az alperes adóhatóság közötti viszonyt szabályozó rendelkezésekre. A GDPR konkrétan hogyan szabályozza az ilyen adattovábbítási kérelmeket, valamint a magánvállalkozás és a hatóság kölcsönös jogait és kötelezettségeit? (3)

34.

Ezzel együtt, mielőtt rátérnék e két kérdésre, emlékeztetek azokra az okokra, amelyek miatt álláspontom szerint a GDPR alkalmazása és az annak való megfelelés nem vizsgálható absztrakt módon, olyan meghatározások értelmezésével, amelyek nem egy konkrét, kiindulópontnak tekinthető adatkezelési művelethez kapcsolódnak. Csak ennek tisztázása után lehetséges a szereplők és kötelezettségeik megfelelő vizsgálata (1).

35.

A jelen ügyben valamennyi érdekelt fél, köztük a lett kormány is egyetért abban, hogy amennyiben az elemzés kiindulópontja a „személyes adatok” és az „adatkezelés” fogalmának a GDPR 4. cikkében szereplő jogszabályi meghatározásán alapul, ez a jogszabály bizonyosan alkalmazandó az alapügyben.

36.

Először is, az információkéréssel érintett adatok a GDPR 4. cikkének (1) bekezdése értelmében vett személyes adatok. A kért információ – mint például az érintett személyek telefonszáma vagy a járművek alvázszáma – „azonosított vagy azonosítható személyre vonatkozó információnak” minősül. Ezen adatok alapján ugyanis azonosíthatók a gépjárművek értékesítői, így a potenciális adóalanyok is.

37.

Másodszor, az állandó ítélkezési gyakorlat szerint az adatok közlése ( 10 ) vagy a személyes adatok közlés továbbítása, például az adatok megőrzése vagy más módon történő rendelkezésre bocsátása adatkezelésnek minősül. ( 11 ) A „közléstovábbítás” fogalma ugyanis szerepel az adatkezelési műveletek GDPR 4. cikkének (2) bekezdése szerinti leíró felsorolásában.

38.

Harmadszor, a személyes adatok e kezelését egyértelműen a GDPR 2. cikkének (1) bekezdése értelmében vett automatizált módon végzik.

39.

Egyébiránt a jelen ügyben egyik kivétel sem alkalmazható, amelyeket mindenesetre megszorítóan kell értelmezni. ( 12 ) Az Österreischischer Rundfunk és társai ítéletre ( 13 ) tekintettel, és különösen a közelmúltbeli Büntetőpontok ügyet ( 14 ) követően nem lehet azt állítani, hogy a szóban forgó személyesadat‑kezelést a GDPR 2. cikke (2) bekezdésének a) pontja értelmében „az uniós jog hatályán kívül eső tevékenységek során” végezték.

40.

Ehhez hasonlóan úgy tűnik, hogy a GDPR 2. cikke (2) bekezdésének d) pontjában előírt kivétel sem alkalmazható. Úgy tűnik, hogy az e rendelkezés értelmében vett „illetékes hatóságok” a rendőrséghez vagy az állami bűnüldözési szolgálatokhoz hasonló szervek. ( 15 ) Azok nem foglalják magukban az adóbeszedés érdekében eljáró adóhatóságokat, még kevésbé az onlinehirdetés‑szolgáltatókat. Ezenkívül, még ha az adatoknak az illetékes adóhatóságok általi kezelése bizonyos esetekben adóelkerülés formájában elkövetett bűncselekmény felderítéséhez vezethet is, ezen a ponton csak hipotetikus lehetőségről van szó. ( 16 )

41.

Ebből a szempontból arra kell következtetni, hogy a GDPR alkalmazandó: automatizált eszközzel feldolgozott személyes adatokról van szó. Ugyanakkor – amint arra a jelen indítvány bevezetőjében már utaltam – az ilyen megközelítésből, amely a GDPR 4. cikkében szereplő, az „adatkezeléshez”, ( 17 ) a „személyes adatokhoz” ( 18 ) vagy az „adatkezelőhöz” ( 19 ) hasonló releváns fogalmakon alapul, és amelyet kiterjesztően, valamint mindenfajta konkrét adatkezelési művelettől függetlenül értelmeznek, az következik, hogy minden információ minden közlésére a GDPR az irányadó.

42.

Az összes érintett szereplő kötelezettségének helyes értelmezése érdekében a GDPR keretében végzett elemzésnek a konkrét adatkezelési művelet egyértelmű meghatározásából kell kiindulnia. Csak ezt követően lehet e konkrét műveletet illetően megfelelően elvégezni a GDPR‑ből eredő kötelezettségek értékelését az aktuális adatkezelésben részt vevő szereplők vonatkozásában. ( 20 ) Az a konkrét adatkezelési műveletet, az adatokon és az adatokkal végzett munkát szabályozza. A GDPR szabályozási logikája és fókusza teljesítmény‑ és eljárásalapú, tehát szükségképpen dinamikus.

43.

Mi a konkrét adatkezelési művelet a jelen ügyben? Kétségtelen, hogy az alapügyben szereplőkhöz hasonló információkérések teljesítése személyes adatok kezelését igényli, amelyre főszabály szerint a GDPR alkalmazandó. A jelen ügyben két különböző jogalany végez valamikor adatkezelést. A kérdést előterjesztő bíróság kérdéseiben az alperes, vagyis a nemzeti adóhatóság által végzett adatkezelésre összpontosít. A jelen ügy tényállása alapján azonban úgy tűnik, hogy először a felperesnek, vagyis a magánvállalkozásnak kell adatkezelést végeznie.

44.

A Bíróság a Fashion ID ítéletben ( 21 ) a releváns adatkezelő(k) meghatározása érdekében az adatkezelés keretében végzett konkrét műveleteket vizsgálta. A Bíróság úgy ítélte meg, hogy az „adatkezelő” fogalma nem feltétlenül egyetlen szervre utal, hanem több, az adatkezelésben részt vevő szereplőt is érinthet, és így mindegyikükre vonatkoznak a személyes adatok védelmére vonatkozó rendelkezések. ( 22 ) Mindazonáltal valamely természetes vagy jogi személy nem tekinthető adatkezelőnek az adatkezelési lánc olyan korábbi vagy későbbi műveletei tekintetében, amelyek céljait és módját nem ő határozza meg. ( 23 )

45.

A jelen ügyben az alperes akkor lehet adatkezelő, ha megkapta a kért adatokat a felperestől és a GDPR 4. cikkének (2) bekezdése értelmében megkezdi azoknak a kezelését. ( 24 ) Ekkor az alperes nem csak az adatkezelést kezdi meg, hanem a GDPR 4. cikkének (7) bekezdése értelmében saját adatkezelésének eszközeit és céljait is meghatározhatja. Ha az alperes maga végez jövőbeli adatkezelési műveleteket, feltéve hogy a GDPR 23. cikke alapján a tagállam semmilyen korlátozást nem fogadott el e tekintetben, tiszteletben kell tartania a GDPR 5. cikkében rögzített, az adatok minőségére vonatkozó elveket, valamint a GDPR 6. cikkének (1) bekezdésében szereplő esetek egyikére kell alapítania az általa végzett egy vagy több adatkezelést. ( 25 )

46.

Márpedig az előzetes döntéshozatalra utaló határozatból kitűnik, hogy a jelen eljárás még nem érkezett meg ebbe a szakaszba. Az adóhatóság nem rendelkezik a kért adatokkal. Ennélfogva nem kezdhetett meg semmilyen, ezen adatok kezelésére irányuló műveletet. Ezenkívül a Bíróság semmilyen információt nem kapott arról, hogy az alperes mit kíván tenni az adatokkal, vagy hogy milyen típusú adatkezelést kíván végezni.

47.

Eddig pusztán annyi történt, hogy az adóhatóság egy magánvállalkozást arra kért, hogy meghatározott adathalmazt bocsásson rendelkezésére. Ez önmagában nem minősül a személyes adatok kezelésének, különösen nem a még beszerzendő adatok kezelésének. Ilyen ténybeli helyzetben a felperes magánvállalkozás marad az adatkezelő annyiban, amennyiben elsősorban a saját tevékenysége, tehát az általa meghatározott eszközök és célok érdekében szerezte meg az adatokat. A felperes ugyanis a birtokában lévő adatoknak az alperessel a vele szemben támasztott feltételek szerinti közlése során is adatkezelő marad ezen adatkezelési művelet tekintetében. A felperes végzi el ezt a további adatkezelést. ( 26 )

48.

Ebben az összefüggésben és a GDPR 6. cikke (1) bekezdése c) pontjának megfelelően a felperes ezáltal biztosítja az adatkezelőként rá háruló jogi kötelezettségnek, jelesül az adózás rendjéről szóló törvény 15. cikke (6) bekezdésének való megfelelést. A felperes adatkezelői minőségében a személyes adatok kezelése, valamint azoknak az alperessel való közlése során is köteles a GDPR‑t tiszteletben tartani. A kérdést előterjesztő bíróság azonban nem vizsgálja azt, hogy a felperesnek a szóban forgó kérés teljesítéséhez milyen körben kell adatokat kezelnie. Ugyanis nem tett fel kérdéseket a felperest az adatkezelés során a GDPR alapján terhelő esetleges kötelezettségekre vonatkozóan.

49.

Úgy tűnik, hogy a kérdést előterjesztő bíróság – azáltal, hogy az alperest a GDPR‑ből eredő kötelezettségek feltételezett alanyának tekinti – az adatkezelés GDPR 6. cikkének (3) bekezdése értelmében vett (jog)alapjával, vagyis az adókról és illetékekről szóló törvény 15. cikkének (6) bekezdésével foglalkozik, amelyet az alperes az általa előterjesztett információkérések révén hajtanak végre.

50.

Összefoglalva, úgy tűnik, hogy a kérdést előterjesztő bíróság által feltett kilenc kérdés mindegyikének alapját az a kulcsfontosságú kérdés képezi, hogy a személyes adatok milyen terjedelemben és feltételekkel továbbíthatók két egymást követő adatkezelő között. ( 27 ) Adott esetben melyek a GDPR‑nek az egymást követő adatkezelők közötti viszonyt szabályozó rendelkezései? Tartalmaz‑e a GDPR (tárgyi vagy időbeli) korlátokat a személyes adatok két adatkezelő – a jelen ügyben egy magánvállalkozás és egy hatóság közötti – továbbításának hatályára és típusára vonatkozóan? E kérdések mindegyike a személyes adatok megszerzésének jogalapjához tartozik, és valójában nem vonatkozik az adatkezelési műveletre.

51.

A GDPR elsődlegesen az érintettek személyes adatainak védelmére, valamint az e személyek és az adataikat kezelő jogalany közötti viszonyra vonatkozik. A GDPR e célból rögzíti, hogy a személyes adatok kezelése során az érintetteket milyen jogok illetik meg és a szóban forgó adatkezelőket milyen kötelezettségek terhelik.

52.

Az ilyen szabályozási logika az adatokra és az ahhoz hozzáférő, valamint azokkal dolgozó jogalanyokra összpontosít. A GDPR nagyon kevés olyan rendelkezést tartalmaz, amely közvetlenül és kifejezetten szabályozza az adatkezelést végző jogalanyok viszonyát. ( 28 ) Igaz, hogy a GDPR közvetetten érinti ezeket a viszonyokat. Minden további, az adatokat megszerző jogalanyt arra kötelez, hogy védje az adatokat és az érintettek jogait. A GDPR ugyanis ily módon bizonyos feltételeket határoz meg az adatok közlésére és az adattovábbításra vonatkozóan. Ez azonban természetesen nem jelenti azt, hogy a GDPR közvetlenül szabályozza az e jogalanyok közötti viszonyt.

53.

Ha ugyanis az adatokat árunak kellene tekinteni, a GDPR szabályozási logikája bizonyos típusú (értékes, művészeti, történelmi) javak esetében egy sajátos közjogi rendszerhez lenne hasonló. Az ilyen rendszer bizonyos korlátozásokat ír elő az árukra vonatkozóan azzal kapcsolatban, hogy hogyan gyárthatók, hogyan használhatók fel, milyen feltételek mellett változtathatók meg, raktározhatók, értékesíthetők tovább vagy semmisíthetők meg. Az ilyen sajátos rendszer védi az árukat, ezáltal közvetetten kötelező ezen áruk valamennyi későbbi tulajdonosára vagy birtokosára. Mindazonáltal önmagában véve ez a sajátos rendszer továbbra is az árukhoz kapcsolódik. Nem szabályozza sem azt a magánjogi rendszert, amelynek keretében az ilyen árukat két magánszemély között értékesíteni lehet, sem pedig azokat a feltételeket, amelyek mellett ugyanazon árukat magánjogi jogalanyról közjogi jogalanyra lehet vagy kell átruházni. Az áruk szabályozása eltér az árukhoz való mögöttes jogcímnek és az áruk kereskedelmének szabályozásától.

54.

A GDPR kizárólag szabályozási logikájának tisztázásával, valamint az e jogszabályból eredő esetleges kötelezettségek kiindulópontjaként az egyedi adatkezelési műveletre való összpontosítással értelmezhető észszerűen. Ellenkező esetben ugyanis a GDPR mindig alkalmazandó lesz, míg a GDPR bármilyen kreatív értelmezése esetén sincs olyan rendelkezés, amely a feltett konkrét kérdésre vonatkozna. Az ilyen esetek szükségszerűen azzal a következménnyel járnak, hogy a GDPR nem ellentétes bizonyos nemzeti jogszabályokkal vagy gyakorlattal. Márpedig az „ellentét hiánya” nem feltétlenül a nemzeti rendszerek általános jogszerűségének az eredménye, hanem inkább annak, hogy e kérdést a GDPR egyszerűen nem rendezi, még ha valamilyen módon személyes adatokat érint is.

55.

A Bíróság ítélkezési gyakorlata ismeri ezeket a „hamis pozitív eredményeket” a nemzeti jog által különböző okokból előírt különböző adatközlési kötelezettségeket illetően. Még egyszer, ezen esetek többsége nem magára a folyamatban lévő adatkezelési műveletre – mint olyanra – vonatkozik, hanem inkább egy ilyen jövőbeli művelet jogalapjának előzetes kérdésére. Ezek a szerzői jogok érvényesítésére, ( 29 ) a közpénzek megfelelő kezelésére ( 30 ) vagy a nemzetbiztonság megóvására irányuló ( 31 ) polgári eljárások kezdeményezéséig terjednek. Az e cím alatt szereplő példák a Rigas satiksme ügyhöz, ( 32 ) a Promusicae ügyhöz, ( 33 ) a Bonnier ügyhöz ( 34 ) vagy a J & S Service ügyhöz ( 35 ) hasonló ügyeket is magukban foglalhatnak.

56.

Kétségtelen, hogy mindezekben helyzetekben a GDPR az érintettek éppen bekövetkezett vagy most bekövetkező konkrét adatkezelési műveletek keretében az adatkezelővel vagy adatkezelőkkel szemben fennálló jogaira tekintettel volt alkalmazandó. Ugyanakkor megismétlem, a GDPR szabályozási logikájának és hatályának követnie kell az adatáramlást, és biztosítania kell a személyes adatok kezelési műveletek keretében történő védelmét. A GDPR‑nek nem célja, hogy szabályozza az adat birtokában lévő különböző jogalanyok közötti minden korábbi viszonyt, beleértve azokat az okokat is, amelyek miatt és ahogyan ezen adatok birtokába juthatnak. Másképpen fogalmazva, a GDPR semmilyen „jogot” nem biztosít az adatkezelő számára egy másik adatkezelővel szemben.

57.

Ezzel nem azt akarom mondani, hogy e kérdéseket a jog nem szabályozza. Azokat szabályozza a jog, azonban más, elsősorban a törvény végrehajtására irányuló eszközökkel. E jogi eszközök tartalmazzák azt az adatkezelési jogalapot, amelyet elsősorban a GDPR 6. cikkének (3) bekezdése ír elő. A személyes adatok kötelező továbbításáról – meglehetősen értelemszerűen – valóban uniós jogi ( 36 ) vagy nemzeti jogi „végrehajtási eszközök” rendelkeznek. Amennyiben a GDPR mint közjogi szabályozás ezt lehetővé teszi, a személyes adatok önkéntes továbbítása a nemzeti kereskedelmi vagy szerződési jogon alapul, figyelemmel az egymást követő adatkezelők között fennálló megállapodásokra.

58.

E pontosításokra figyelemmel úgy vélem, hogy a jelen ügy (még) semmilyen adatkezelési műveletre nem vonatkozik. Az az adatkezelés jogalapjáról szól, amelyre a GDPR csak utal, de azt nem szabályozza közvetlenül. Ezzel együtt, és a kérdést előterjesztő bíróság teljes körű segítésére törekedve, a jelen indítvány következő részében felvázolom a GDPR‑ből eredő azon alapvető keretet, amelyet akkor kell alkalmazni, ha az adatkezelő, a magánvállalkozás elvégezte az adatkezelést (B). A GDPR célja az érintett, nem pedig valamely magánvállalkozás védelme az adatfelhasználás révén a vállalkozási szabadságába vagy a tulajdonhoz való jogába történő állami beavatkozással szemben. Ezzel nem arra utalok, hogy e kérdés nem vethet fel jogos aggodalmat, hanem inkább arra, hogy ezt a GDPR útján aligha lehet szabályozni (C).

59.

Az alábbiakban meglehetősen általánosságban tárgyalom az alperes információkérésének teljesítése során a felperes által végzendő adatkezelés jogalapját. E tekintetben a releváns rendelkezés a GDPR 6. cikke, különösen pedig annak (45) preambulumbekezdésével összefüggésben értelmezett (1) és (3) bekezdése bírhat relevanciával.

60.

Elöljáróban megemlítendő, hogy a Bíróság semmilyen konkrét információval nem rendelkezik az adatvédelem területén esetlegesen az alapügy körülményeihez hasonló körülmények között alkalmazandó további nemzeti szabályokkal kapcsolatban. Egyébiránt a Bíróság arra vonatkozóan sem kapott információt, hogy léteznek‑e az adózás rendjéről szóló törvény 15. cikkének (6) bekezdésén túl más, általánosan alkalmazandó nemzeti jogi aktusok (például rendelet vagy végrehajtási iránymutatások), amelyek a szolgáltatók (onlinehirdetés‑szolgáltatók) vonatkozásában a szóban forgó, bizonyos adatoknak az adóhatósággal való közlésére vonatkozó kötelezettséget tovább szabályoznák. A GDPR‑t általánosságban végrehajtó nemzeti jogszabályi keretről is nagyon kevés információ áll rendelkezésre.

61.

Ezenkívül nem tisztázott, hogy a GDPR 23. cikke (1) bekezdésének e) pontját bármilyen módon végrehajtották‑e a nemzeti jogban. Az, hogy az uniós jog e rendelkezését végrehajtották‑e, nem befolyásolja az információtovábbítás iránti kérelem jogszerűségét. Mindazonáltal relevanciával bír a későbbi adatkezelők (hatóságok) érintettekkel szembeni kötelezettségei terjedelmének és jellegének meghatározása, valamint az eredeti adatkezelő kötelezettségeinek és az eredeti adatkezelő által az érintett személyeknek nyújtandó tájékoztatás meghatározása szempontjából.

62.

Következésképpen a következő vita csak valamelyest általános lehet. A valamely magánvállalkozás által a hatóság adatkérésének való megfelelés érdekében teljesítendő jövőbeli adatkezelést illetően a GDPR 6. cikkéből következő elvekkel foglalkozom, elsősorban ezen adattovábbítások tárgyára (1), valamint azok terjedelmére és időtartamára (2) tekintettel. Ezt követően az ilyen továbbítások jogalapját vizsgálom meg, mivel a jogalapra vonatkozó követelmények egyértelműbbé válnak az előző kérdések megválaszolását követően (3).

63.

Általánosságban véve kétségtelenül jogszerű az az átfogó cél, amely miatt az adóhatóság a személyes adatok közlését kéri az alapügyben. Az adó megfelelő beszedésének biztosítása és az adófizetési kötelezettség esetleges megszegésének felderítése ugyanis a GDPR 6. cikkének (1) és (3) bekezdése értelmében is kétségtelenül az adatkezelés jogszerű céljainak és tárgyának körébe tartozhat. ( 37 )

64.

A jelen ügyben felvetődő kérdések megválaszolásának kulcsa az, hogy e célt mennyire elvontan kell meghatározni. E tekintetben úgy tűnik, hogy bizonyos mértékű ellentmondás van két sajátos cél között: i. bizonyos típusú adatok keresése (a jogszabálysértések felderítése érdekében), nem pedig ii. bizonyos jogsértések bekövetkezésének vizsgálata (és e feltételezés megerősítése érdekében konkrét adatok közlésének kérése).

65.

Az adattovábbítások két típusának jellege (és terjedelme) szükségképpen különbözik egymástól. A keresés és felderítés logikája ex ante, széles körű és nagymértékben meghatározatlan a pontos érintetteket illetően. Ha a cél az esetleges jogsértések felderítése, a képletes hálót meglehetősen széles körben kell kivetni. Ezzel szemben az esetleges jogsértések releváns adatok közlésével történő ellenőrzésének logikája sokkal árnyaltabb és célzottabb lehet. Ebben az esetben a logika sokkal inkább ex post jellegű, amely bizonyos, jellemzően már felismerhető érintettel kapcsolatos gyanú ellenőrzésére irányul.

66.

Álláspontom szerint a GDPR 6. cikke lehetővé teszi mindkét esetet. Mindemellett a GDPR 6. cikkének (3) bekezdése ezen adattovábbítások mindegyike esetében egyértelmű jogalapot követel meg.

67.

Mindazonáltal az adózás rendjéről szóló törvény 15. cikke (6) bekezdésének szövegére figyelemmel megértem a kérdést előterjesztő bíróság jelen üggyel kapcsolatos kétségeit. A kérdést előterjesztő bíróság előzetes döntéshozatal iránti kérelme benyújtásának időpontjában nyilvánvalóan hatályban lévő szöveg rögzítette, hogy az onlinehirdetés‑szolgáltatók a nemzeti adóhatóság kérésére kötelesek lehetnek arra, hogy információt szolgáltassanak az (adott) adóalanyokról.

68.

Ennélfogva úgy tűnik, hogy a jelen ügyben a közlésnek a releváns jogalapban megjelölt célja, egyes adatoknak konkrét adóalanyok vonatkozásában történő ellenőrzése a fent ismertetett második esethez hasonló. Ugyanakkor úgy tűnik, hogy a nemzeti adóhatóság e jogalapot (korlátlan) adattovábbítás iránti kérelem, sőt nyílt adatbegyűjtés céljára használta a fentiekben bemutatott első esetkörbe tartozó általános keresés és felderítés elvégzéséhez. Itt található az a logikai disszonancia, amely a jelek szerint a nemzeti szinten a jelen ügy hátterét képezi, és amely zavart eredményez mind az ilyen intézkedés arányosságát (2), mind pedig a megfelelő jogalapját illetően (3).

69.

Az arányosság, valamint e tekintetben a „takarékosság” a (kinyilvánított) célok és a (kiválasztott) eszközök közötti kapcsolat vizsgálatát foglalja magában. A jelen ügyben a problémát az képezi, hogy az arányosság értékelése eltérő lehet attól függően, hogy az imént felvázolt két (ideális ( 38 )) forgatókönyv közül célként melyikre esik a választás.

70.

A hatóságok a „keresési és felderítési” cél keretében a lehető legszélesebb körben vetik ki a hálójukat annak biztosítása érdekében, hogy megtalálhassák a releváns információkat. Ez jelentős mennyiségű adat kezelését vonhatja maga után. A szélesebb körű adathalmazok megszerzésének és kezelésének szükségessége ugyanis az információk ilyen jellegű általános és meghatározatlan keresésének velejárója. Ebben az esetben az adatkezelés arányossága és takarékossága csak akkor vonatkozhat ténylegesen a kért adat típusára, ha potenciálisan fellelhetők a szükséges információk. ( 39 )

71.

A „vizsgálati” cél keretében, amikor a hatóságok kötelesek egy adott művelet vagy műveletsorozat tartalmára vonatkozóan bizonyítékokat beszerezni, az arányosság értékelése természetesen szigorúbb lehet. Az adóhatóság ilyen esetben az utólagos ellenőrzés elvégzése érdekében – jellemzően egy vagy több meghatározott adóalany vonatkozásában – adott határidőn belül és csak konkrét ügyletek iránt érdeklődhet. Az információkérések tehát valószínűleg az ilyen típusú információkat tartalmazó konkrét adatokhoz igazodnak.

72.

Úgy tűnik, hogy a GDPR (31) preambulumbekezdésének gondolatmenete – amennyire ezt meg tudom ítélni – csak ez utóbbi esetre vonatkozik. E preambulumbekezdés második mondata – amelyre az érdekelt felek, különösen a Bizottság hivatkoztak, és amelyet széles körben megvitattak – úgy szól, hogy a hatóságok által megküldött, adatközlés iránti kérelmeket mindig eseti alapon, írásban, indokolással ellátva kell benyújtani, és azok nem vonatkozhatnak teljes nyilvántartási rendszerekre, illetve nem eredményezhetik nyilvántartási rendszerek összekapcsolását.

73.

Álláspontom szerint azonban nem lehet valamely rendelet preambulumbekezdését (annak egy részét) a kontextusából kiragadni, önálló és kötelező rendelkezésként kezelni, ha az valahol, a rendelet jogilag kötelező szövegében nem tükröződik, ( 40 ) és ennek alapján kijelenteni, hogy a személyes adatokat a hatóságok részére kizárólag ilyen feltételek mellett lehet továbbítani. Egyszerűen nem tudom elfogadni azt az érvet, hogy a (31) preambulumbekezdés egy része egymagában véve megtiltja az adatoknak a hatóságok részére történő bármilyen nagyobb mértékű továbbítását, még az olyan adattovábbításokat is, amelyek (a nemzeti jogban és/vagy az uniós jogban) kellő jogalappal rendelkeznek, és megfelelnek a GDPR valamennyi kötelező rendelkezésének.

74.

A jelen ügyben a lett kormány azt állította, hogy a kért információk mennyisége észszerűnek tekinthető, mivel a tájékoztatáskérés a felperes által üzemeltetett internetes oldal 112 menüpontjából csak egyben, a „Gépjármű” menüpontban közzétett hirdetésekre vonatkozik. A belga és a spanyol kormány hozzátette, hogy álláspontjuk szerint nem a kért adatok mennyisége, hanem azok típusa a kérdés.

75.

Egyetértek ezekkel az észrevételekkel.

76.

Az előzetes vizsgálat és felderítés esetében az arányosság a kért adatok típusára tekintettel történő „minőségi ellenőrzést” foglal magában. A „mennyiségi ellenőrzés” csak bizonyos tények utólagos ellenőrzése esetén végezhető el teljeskörűen. Ellenkező esetben az adatok ellenőrzésére vagy felügyeletére szolgáló eszközök nagy része gyakorlatilag nem lenne alkalmazható.

77.

Megfelelő uniós vagy nemzeti jogi jogalap esetén a nemzeti adóhatóság főszabály szerint időbeli korlátozás nélkül kérheti az általa elvégzendő vizsgálattípushoz szükséges valamennyi adatot. A kért adatok típusát illetően a GDPR‑ből eredő egyetlen korlát az arányosság. Ahogyan arra a görög kormány helyesen rámutat, az információkéréseket az adóalanyok gazdasági tevékenységére vonatkozó adattípusra kell korlátozni, az nem vonatkozhat az adóalanyok magánéletére.

78.

Például, ha a kinyilvánított cél a használt gépjárművek értékesítéséből származó be nem vallott jövedelmek felderítése, az adóhatóságnak nincs joga tájékoztatást kérni abban a kérdésben is, hogy a gépjárművet eladó személy haja vörös‑e, követ‑e valamilyen konkrét étrendet, vagy hogy rendelkezik‑e úszómedencével. Ennélfogva a kért információ típusának egyértelműen a közölt kereséshez és vizsgálathoz kell kapcsolódnia.

79.

Ettől eltekintve az arányosság értékelését a fentiekben ismertetett két forgatókönyv bármelyikében a nemzeti bíróságnak kell elvégeznie az egyes esetek ténybeli és jogi körülményeinek fényében. ( 41 ) Egyszerűen megfogalmazva, a jelen esetben az a kérdés merül fel, hogy a kért adattípus lehetővé teszi‑e, hogy az alperes megszerezhesse a kinyilvánított céljának megvalósításához szükséges információkat?

80.

Végezetül, a jogalap alapvető kérdése az imént végzett egyértelműsítések tükrében, csak ezen a ponton értékelhető hasznosan. Természetesen a jelen indítvány előző alfejezeteiben felvázolt két forgatókönyv („keresés és felderítés” és „ellenőrzés”) esetében a felperes az adatkezelést kizárólag akkor végezheti el, ha arra a GDPR 6. cikkének (3) bekezdése szerinti jogalappal rendelkezik. E rendelkezés kifejezetten lehetővé teszi a GDPR általános szabályai alkalmazásának egyedi kiigazítását, akár az uniós jog, akár a tagállamok joga alapján.

81.

Mindenesetre a megjelölt jogalapnak értelemszerűen ki kell terjednie a konkrét célra és az e célból végzett adatkezelés típusára. Ennek pontos módja a tagállam vagy az Unió által a GDPR 6. cikkének (3) bekezdése alapján elfogadott különleges kiigazítási rendelkezésektől függ. Általában véve, minél általánosabbak, szélesebb körűek és állandóbbak az adattovábbítások, annál szilárdabbnak, részletesebbnek és kifejezettnek kell lennie a jogszabályi alapnak, mivel az ilyen adattovábbítások az adatvédelembe történő jelentősebb beavatkozásnak minősülnek. Ezzel szemben minél visszafogottabb és korlátozottabb a közlés iránti kérelem – amely általában egy vagy néhány érintettre, sőt, korlátozott mennyiségű adatra vonatkozik –, annál inkább lehetséges e kérelmeket az egyedi közigazgatási kérelmek szintjén megtenni, amennyiben a jogszabályi felhatalmazási záradék meglehetősen széles körű és általános marad.

82.

Másképpen megfogalmazva, a két szabályozási réteg, jelesül a jogszabályi és a közigazgatási réteg, amelyek az adatkezelés esetleges jogalapját képezik, együttesen működnek. Legalább az egyiknek kellően konkrétnak kell lennie, és a kért személyes adatok meghatározott típusához vagy mennyiségéhez kell igazodnia. Ugyanis minél konkrétabb a jogszabályi és strukturális szint az ilyen adattovábbításokat illetően, annál kevésbé kell konkrétnak lennie az egyedi közigazgatási kérelemnek. A jogszabályi réteg olyan részletes és átfogó jellegű is lehet, hogy azt teljes mértékben önálló és automatikusan alkalmazandó. Ezzel szemben minél általánosabb és homályosabb a jogszabályi szint, annál részletesebbnek kell lennie az egyedi közigazgatási kérelem szintjének, beleértve a cél egyértelmű meghatározását, amely így behatárolja a hatályát.

83.

Ez közvetve megválaszolja a kérdést előterjesztő bíróság által arányosság címén felhozott kérdést, amelyet ugyanis ezen a ponton a legcélszerűbb megválaszolni annak megállapítása keretében, hogy az adóhatóságok előterjeszthetnek‑e időben korlátlan adatkéréseket. Álláspontom szerint a GDPR alapján igen. Mindazonáltal annak a kérdésnek kellene relevánsabbnak lennie, hogy a nemzeti jogban megfelelő jogalappal rendelkeznek‑e a lényegében folyamatos és állandó adattovábbításra. Mindaddig, amíg az ilyen adattovábbítások egyértelműen megalapozottak és azok időtartama egyértelmű a nemzeti jogban, azok nem ellentétesek a GDPR 6. cikkének (3) bekezdésével. A GDPR (31) preambulumbekezdése ezen sem változtat sokat. ( 42 ) Kevés gyakorlati értelmét látom e preambulumbekezdés oly módon történő értelmezésének, hogy az valójában arra kötelezné a közigazgatási hatóságokat, hogy azok időről időre (naponta, havonta vagy évente) ugyanolyan egyedi kérelmeket nyújtsanak be olyasminek a megszerzése érdekében, amit a nemzeti jogszabályok alapján már megszerezhettek volna.

84.

A jelen ügyben úgy tűnik, hogy az adózás rendjéről szóló törvény 15. cikkének (6) bekezdése és az adóhatóság által megfogalmazott, az adatok közlésére irányuló egyedi kérelmek együttesen alkotják az adatkezelés jogalapját. Ennélfogva úgy tűnik, hogy a jogalap kettős, mivel egy általános jogszabályi felhatalmazási záradékot és annak e rendelkezésben meghatározott és célzott közigazgatási alkalmazását tartalmazza.

85.

Összességében véve úgy tűnik, az ilyen kettős jogalap kellően igazolja a személyes adatoknak a felperes által a GDPR 6. cikke (1) bekezdésének c) pontja és 6. cikkének (3) bekezdése alapján valamely hatóság részére továbbítása céljából történő kezelését. Habár az adóhatóságokat információ kérésére felhatalmazó nemzeti szabályozás továbbra is meglehetősen általános, úgy tűnik, hogy a konkrét adatkérések nagyrészt bizonyos adattípusokra irányulnak, bár azok mennyisége jelentős lehet.

86.

Végső soron azonban a kérdést előterjesztő bíróság feladata, hogy a nemzeti jog, beleértve a jelen eljárásban nem említett minden további nemzeti végrehajtási szabály teljes körű ismeretében megvizsgálja, hogy az alapeljárás felperese által kért adatkezelés megfelel‑e ezen indítvány jelen pontjában meghatározott követelményeknek.

87.

Ezen értékelés középpontjában az, a jogalap vizsgálatakor különös figyelmet igénylő kérdés áll, hogy az adózásról szóló törvény 15. cikkének (6) bekezdése és az egyedi információkérések tiszteletben tartják‑e a kiszámíthatóság követelményét. ( 43 ) Az adattovábbítást lehetővé tevő szabályozásnak ugyanis egyértelmű és pontos szabályokat kell tartalmaznia a szóban forgó intézkedés hatályát és alkalmazását illetően, és minimális biztosítékokat kell előírnia annak érdekében, hogy az adatkezeléssel érintett személyek elegendő biztosítékkal rendelkezzenek ezen adatok visszaélés veszélyével szembeni tényleges védelmét illetően. ( 44 )

88.

Ennélfogva a (jogalkotási és közigazgatási) jogalapot egészében véve kellő pontossággal kell megfogalmazni minden érintett személy vonatkozásában: a hatóságok esetében azt, hogy mit kérhetnek, a vállalkozások esetében azt, hogy mit szolgáltathatnak, és mindenekelőtt az érintettek esetében, hogy tudják, ki és milyen célból férhet hozzá az adataikhoz. Emlékeztetni lehet arra, hogy az adatkezeléssel kapcsolatos tájékoztatás a GDPR keretében valójában alapvető követelménynek minősül. Az érintetteknek tudniuk kell az adatkezelésről, és az erre vonatkozó tájékoztatás előfeltételét képezi a hozzáféréshez vagy törléshez, illetve helyesbítéshez való további jogok gyakorlásának. ( 45 )

89.

Hacsak a GDPR 23. cikkét valamilyen módon nem ültették át a nemzeti jogba az érintettek GDPR III. fejezete szerinti jogainak korlátozása érdekében, a GDPR 13. és 14. cikkéből az következik, hogy az adatkezelőnek tájékoztatnia kell az érintettet. Előfordulhat, hogy az egymást követő adattovábbítások keretében nehéz meghatározni, kire hárul a tájékoztatási kötelezettség. ( 46 ) Ezenkívül a gyakorlatban a GDPR 23. cikkének (1) bekezdése alapján elfogadott esetleges korlátozások hiányában – amelyeknek a nemzeti jogban meg kell felelniük a GDPR 23. cikkének (2) bekezdésében foglalt követelménynek – az adatokat megszerző hatóság kötelezhető arra, hogy a GDPR 14. cikke alapján minden érintett számára megfelelő tájékoztatást adjon. Olyan egyértelmű és előre látható jogalap hiányában ugyanis, amely végeredményben lehetővé tenné az ilyen adattovábbításokat, nehezen várható el az adatok gyűjtését végző adatkezelőtől, hogy erről a GDPR 13. cikke alapján már tájékoztassa az érintettet.

90.

Álláspontom szerint tehát a GDPR 6. cikke (1) bekezdésének c) pontjával és 6. cikkének (3) bekezdésével nem ellentétes, ha a nemzeti szabályok időbeli korlátozás nélkül arra kötelezik az onlinehirdetés‑szolgáltatókat, hogy bizonyos személyes adatokat közöljenek az adóhatósággal, amennyiben az ilyen típusú adattovábbítás a nemzeti jogban egyértelmű jogalappal rendelkezik, és a kért adatok megfelelőek és szükségesek ahhoz, hogy az adóhatóság ellássa hivatali feladatait.

91.

Aligha az én feladatom, hogy a kérdést előterjesztő bíróság előtti felek valódi indítékairól találgatásokba bocsátkozzam. Következésképpen hűnek kell maradnom a mások védelmében önzetlenül fellépő, jó szamaritánusok létezésébe vetett hitemhez. Valamely magánvállalkozás miért ne védhetné meg egyszerűen azon érintettek jogait, akiktől személyes adataikat gyűjtötte?

92.

Habár csak örvendeni lehet annak, amikor gazdasági társaságok elkötelezetté válnak az adatvédelem ügye iránt, feltételezem, hogy egyes más vállalkozásoknak más indokai is lehetnek, amelyek miatt ellenezni kívánják az általuk gyűjtött személyes adatok hatósági rendelkezés alapján történő továbbítását. Az egyik ilyen indok a szóban forgó törekvés költségeihez kapcsolódhat. Lehetővé kell‑e tenni a hatóságok számára, hogy a közigazgatás egy részét valójában kiszervezzék, amivel arra kényszerítik a magánvállalkozásokat, hogy viseljék az alapvetően a közigazgatást terhelő költségeket? Ez a kérdés olyan, nagy mennyiségű állandó adattovábbítás esetében válik jelentőssé, amelyet a közjó érdekében magánvállalkozásoknak kell elvégezniük mindenféle ellentételezés nélkül. ( 47 ) Más okok jobban kapcsolódhatnak a vállalkozási tevékenységhez. Ha ugyanis egy röpke pillanatig – természetesen tisztán hipotetikusan – feltételeznénk, hogy az emberek általában nem élvezik az adófizetést, nem légből kapott azt is feltételezni, hogy e személyek közül egyesek a használt gépjárműveik hirdetésének eltérő módját választhatják az olyan internetes oldalhoz képest, amely ezt követően ezeket az adatokat közli az adóhatósággal.

93.

Az ilyen helyzetben fennálló valamennyi érdek közötti egyensúlyra való törekvés egyáltalán nem magától értetődő. Egyrészt ugyanis a hatóság esetében a magánvállalkozásoktól olyan adatok kérése, amelyeket a hatóság pontos szükségletei szerint kell elkészíteni és benyújtani, túlzottan közel kerülhet a közigazgatás kényszerű kiszervezéséhez. Különösen azon adatok esetében lehet ez a helyzet, amelyek egyébként szabadon hozzáférhetők, és amelyeket a közjogi szervek csekély műszaki ráfordítással maguk is beszerezhettek volna. Másrészt, amint azt a belga kormány ezzel kapcsolatban kiemelte, az alapügyben fennálló helyzet tágabb jelentőségét hangsúlyozva, talán némileg árnyaltabb válasz szükséges a megosztott gazdaság platformjainak különböző formái esetében, vagy más olyan esetekben, amelyekben a hatóságok a kinyilvánított jogszerű közcél szempontjából alapvető, de szabadon nem hozzáférhető, így a hatóságok által nem gyűjthető adatokhoz kérnek hozzáférést. Mindazonáltal az esetleges ellentételezés kérdése még ilyen körülmények között is nyitott marad.

94.

Én mindenképpen ilyen kérdéseket látok az alapügy hátterében meghúzódni. Mindazonáltal az ilyen esetekben nemzeti vagy uniós szinten, a szóban forgó adattovábbítások jogalapját biztosító szabályozás elfogadása során törekedni kell az észszerű egyensúly megteremtésére. Nem lehet szó bírósági beavatkozásról, különösen olyan esetben, amelyben a kérdést előterjesztő bíróság e kérdések egyikét sem vetette fel kifejezetten. Egyébiránt legalább két további indoka van annak, amelyek miatt a jelen ügy nem megfelelő arra, hogy ilyen típusú kérdéseket vitassunk meg.

95.

Először is, a személyes adatok áramlását körülvevő, de valójában nem az érintettek jogainak védelméhez kapcsolódó számos egyéb kérdéshez hasonlóan az ilyen kérdéseket egész egyszerűen nem szabályozza kifejezetten a GDPR. Az adatkezelők – magánvállalkozások – üzletvitelének szabadságába, esetleges tulajdonjogukba, ( 48 ) illetve a továbbított adatokért történő méltányos ellentételezéshez való esetleges jogukba történő esetleges jogellenes vagy aránytalan beavatkozással szembeni jogvédelmének kérdése nem a GDPR által szabályozott kérdés.

96.

Másodszor, mivel az ilyen adattovábbítás jogalapját az uniós jog nem biztosítja, ( 49 ) a kötelező adattovábbításért járó esetleges ellentételezés kérdése szintén nem tartozik az uniós jog hatálya alá. Ez ismételten csak nem jelenti azt, hogy ilyen kérdések nem vetődhetnek fel még az (érintett adatkezelők) alapvető jogainak védelmével kapcsolatban sem. Ezekkel a kérdésekkel azonban az ilyen adattovábbításokat előíró tagállam bíróságainak kellene megfelelően foglalkozniuk. Minden ilyen ügyet tehát a nemzeti bíróság (alkotmánybíróság) elé kell terjeszteni.

97.

Azt javaslom, hogy a Bíróság az Administratīvā apgabaltiesa (regionális közigazgatási bíróság, Lettország) által előzetes döntéshozatalra előterjesztett kérdéseket a következőképpen válaszolja meg: