1.

Az (EU) 2016/680 irányelv ( 2 ) – ismertebb nevén „a bűnüldözésben érvényesítendő adatvédelemről szóló irányelv” – a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén a személyes adatok védelmére és ezen adatok szabad áramlására vonatkozó különös szabályokat állapít meg, lényegében „e területek sajátos természeté[t]” tükrözve. ( 3 ) A 2016/680 irányelv két szakpolitikai célt követ. Egyfelől az irányelv szándékoltan hozzájárul a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség megteremtéséhez, ( 4 ) lehetővé téve az illetékes hatóságok között a személyes adatok bűnüldözés céljából történő szabad áramlását. ( 5 ) Másfelől az irányelv biztosítani kívánja az ilyen adatok magas szintű védelmét. Az irányelv jogalapja az EUMSZ 16. cikk (2) bekezdése, amely az uniós jogalkotóra bízza a személyes adatok védelmére vonatkozó szabályok megállapításának feladatát.

2.

Ennek a 2016/680 irányelv által követett két szakpolitikai célnak az „összeegyeztetése” azonban továbbra is nehéz feladat. ( 6 ) A jelen ügy lehetőséget nyújt a Bíróságnak arra, hogy megvizsgálja, miként hozható egyensúlyba a bűnüldözés és az adatvédelem egy konkrét esetben az érintettek általi joggyakorlás összefüggésében. Az irányelv megerősíti az érintettek jogait a 2008/977/IB tanácsi kerethatározat ( 7 ) szerinti korábbi rendszerhez képest. Ez a megerősítés különösen az érintett közvetlen hozzáférési jogának elismerésére vonatkozik, amely az adatvédelemhez való alapvető jog elengedhetetlen eleme. Amint azt a szakirodalom megjegyzi, az érintetteket a bűnüldözés területén megillető jogok „elengedhetetlen eszközt jelentenek az információs hatalmi aszimmetriákkal és a jogellenes adatkezelési műveletekkel szemben”. ( 8 ) Ezért alapvető fontosságú annak biztosítása, hogy e jogokat hatékonyan lehessen gyakorolni.

3.

A 2016/680 irányelv 3. cikke a következő fogalommeghatározásokat tartalmazza:

„8.   »adatkezelő«: az az illetékes hatóság, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az ilyen adatkezelés céljait és eszközeit az uniós vagy tagállami jog határozza meg, az adatkezelőt vagy a kijelölésre vonatkozó különös szempontokat az uniós vagy tagállami jog is meghatározhatja;

[…]

15.   »felügyeleti hatóság«: a tagállam által a 41. cikk alapján létrehozott független közhatalmi szerv”.

4.

A 2016/680 irányelv III. fejezete „Az érintett jogai” címet viseli. E fejezetben „Az érintett rendelkezésére bocsátandó vagy számára nyújtandó információk” címet viselő 13. cikk (3) és (4) bekezdése a következőképpen rendelkezik:

„(3)   A tagállamok jogalkotási intézkedéseket fogadhatnak el az érintett (2) bekezdés szerinti tájékoztatásának annyiban és addig történő késleltetésére, korlátozására vagy mellőzésére, amennyiben és ameddig az említett intézkedés – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:

(4)   A tagállamok jogalkotási intézkedéseket fogadhatnak el abból a célból, hogy meghatározzák, mely adatkezelési kategóriák tartozhatnak teljesen vagy részlegesen a (3) bekezdés valamely pontjának hatálya alá.”

5.

A 2016/680 irányelv „Az érintett hozzáférési joga” címet viselő 14. cikke értelmében:

„A 15. cikkre is figyelemmel a tagállamok előírják, hogy az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‑e és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

[…]”

6.

A 2016/680 irányelv „A hozzáférési jog korlátozása” címet viselő 15. cikke a következőképpen rendelkezik:

„(1)   A tagállamok jogalkotási intézkedéseket fogadhatnak el az érintettek hozzáférési jogának annyiban és addig történő teljes vagy részleges korlátozására, amennyiben és ameddig e részleges vagy teljes korlátozás – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:

(2)   A tagállamok jogalkotási intézkedéseket fogadhatnak el abból a célból, hogy meghatározzák, mely adatkezelési kategóriák tartozhatnak teljesen vagy részlegesen az (1) bekezdés a)–e) pontjának hatálya alá.

(3)   A tagállamok előírják, hogy az (1) és (2) bekezdésben említett esetekben az adatkezelőnek írásban haladéktalanul tájékoztatnia kell az érintettet a hozzáférés megtagadásáról vagy korlátozásáról és a megtagadás vagy korlátozás indokairól. Az ilyen tájékoztatás elhagyható abban az esetben, ha e tájékoztatás nyújtása ellentétes lenne az (1) bekezdésbe foglalt valamelyik céllal. A tagállamok előírják, hogy az adatkezelőnek tájékoztatnia kell az érintettet a felügyeleti hatósághoz címezhető panasz benyújtásának jogáról, illetve a bírósági jogorvoslat lehetőségéről.

(4)   A tagállamok előírják, hogy az adatkezelőnek nyilván kell tartania a döntés ténybeli vagy jogi indokait. Ezeket az információkat a felügyeleti hatóságok rendelkezésére kell bocsátani.”

7.

A 2016/680 irányelv „A személyes adatok helyesbítéséhez, törléséhez és kezelésének korlátozásához való jog” címet viselő 16. cikkének (4) bekezdése a következőképpen rendelkezik:

„A tagállamok előírják, hogy az adatkezelőnek az érintettet írásban tájékoztatnia kell a helyesbítésnek, a törlésnek vagy az adatkezelés korlátozásának a megtagadásáról és a megtagadás indokairól. A tagállamok jogalkotási intézkedéseket fogadhatnak el az ilyen információkra vonatkozó tájékoztatási kötelezettség annyiban történő teljes vagy részleges korlátozására, amennyiben e korlátozás – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül ahhoz, hogy:

A tagállamok előírják, hogy az adatkezelő az érintettet tájékoztassa a felügyeleti hatósághoz címzett panasz benyújtásának jogáról, illetve a bírósági jogorvoslat lehetőségéről.”

8.

A 2016/680 irányelv „Az érintett jogainak gyakorlása és a felügyeleti hatóság általi ellenőrzés” címet viselő 17. cikke értelmében:

„(1)   A 13. cikk (3) bekezdése, a 15. cikk (3) bekezdése és a 16. cikk (4) bekezdése szerinti esetekben a tagállamok olyan rendelkezéseket fogadnak el, amelyek értelmében az érintett jogainak gyakorlására az illetékes felügyeleti hatóság közreműködésével is sor kerülhet.

(2)   A tagállamok előírják, hogy az adatkezelőnek tájékoztatnia kell az érintettet arról, hogy jogait a felügyeleti hatóság közreműködésével is gyakorolhatja az (1) bekezdésnek megfelelően.

(3)   Amennyiben az (1) bekezdés szerinti jog gyakorlására sor kerül, a felügyeleti hatóság az érintettet tájékoztatja legalább arról, hogy minden szükséges ellenőrzést, illetve felülvizsgálatot elvégzett. A felügyeleti hatóság az érintetett a bírósági jogorvoslathoz való jogáról is tájékoztatja.”

9.

A 2018. július 30‑i loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (a személyes adatok kezelése tekintetében a természetes személyek védelméről szóló törvény; Moniteur belge, 2018. szeptember 5., 68616. o.; a továbbiakban: LPD) ülteti át a 2016/680 irányelvet a belga jogba. Az LPD 2. címének III. fejezete szabályozza az érintett jogait, nevezetesen lényegében a tájékoztatáshoz való jogot, az adatokhoz való hozzáférés jogát és a helyesbítéshez való jogot.

10.

Az LPD 42. cikke a következőképpen rendelkezik:

„Az e fejezetben említett jogok gyakorlására irányuló kérelmet a rendőrségi szolgálatokkal […] vagy az Inspection générale de la police fédérale et de la police locale‑lal [(a szövetségi és a helyi rendőrség főfelügyelősége, Belgium)] szemben a 71. cikkben említett felügyeleti hatósághoz kell benyújtani.

A 37. cikk 2. §‑ában, a 38. cikk 2. §‑ában, a 39. cikk 4. §‑ában és a 62. cikk 1. §‑ában említett esetekben a 71. cikkben említett felügyeleti hatóság csak arról tájékoztatja az érintettet, hogy a szükséges ellenőrzéseket elvégezték.

A második bekezdéstől eltérve a 71. cikkben említett felügyeleti hatóság közölhet bizonyos háttér‑információkat az érintett személlyel.

A Király a 71. cikkben említett felügyeleti hatóság véleményének kikérését követően meghatározza az érintett személlyel e hatóság által közölhető háttér‑információk kategóriáit.”

11.

A kérdést előterjesztő bíróság megállapítja, hogy mindeddig nem került sor azon „háttér‑információknak” az LPD 42. cikkének negyedik mondata által előírt királyi rendeletben való meghatározására, amelyeket a rendőrségi információs felügyeleti testület közölhet az érintettel.

12.

Az LPD 71. cikke a következőképpen rendelkezik:

„1.   § A képviselőház mellett létrejön a rendőrségi információk független felügyeleti hatósága, az Organe de contrôle de l’information policière [(rendőrségi információs felügyeleti testület, Belgium)].

[…]

[E testület] feladata: 1° e cím alkalmazásának felügyelete […]”.

13.

Az LPD 5. címének I. fejezete a „Jogsértés megszüntetésére irányuló kereset” címet viseli. Az e fejezetben foglalt 209. cikk szövege a következő:

„Az elsőfokú bíróság elnöke – bármely más bírósági, közigazgatási vagy bíróságon kívüli jogorvoslat sérelme nélkül – ideiglenes intézkedéssel megállapítja a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére vonatkozó törvényi vagy rendeleti rendelkezések megsértését jelentő adatkezelés fennállását, és elrendeli annak megszüntetését.

Az elsőfokú bíróság elnöke ideiglenes intézkedéssel határoz minden olyan kérelemről, amely a személyes adatokhoz való hozzáféréshez való, törvényben vagy törvény alapján biztosított joggal kapcsolatos, valamint minden olyan személyes adat helyesbítésére, törlésére vagy felhasználásának megtiltására irányuló kérelemről, amely pontatlan, vagy az adatkezelés céljára tekintettel hiányos vagy irreleváns, vagy amelynek rögzítése, közlése vagy tárolása tilos, vagy amelynek kezelése ellen az érintett tiltakozott, vagy amelyet a megengedett időtartamot meghaladóan tároltak.”

14.

Az LPD 240. cikke előírja, hogy a rendőrségi információs felügyeleti testület:

„4° kezeli a panaszokat, a panasz tárgyát a szükséges mértékben kivizsgálja, és észszerű határidőn belül tájékoztatja a panaszost a vizsgálat fejleményeiről és eredményéről, különösen, ha további vizsgálat vagy másik felügyeleti hatósággal való együttműködés válik szükségessé. […]”

15.

2016‑ban BA részt kívánt venni a Brüsszelben (Belgium) tizedik alkalommal megrendezett „Európai Fejlesztési Napok” installációinak felállításában és lebontásában. Ehhez „biztonsági tanúsítványt” kellett beszereznie.

16.

Az Autorité nationale de sécurité (nemzeti biztonsági hatóság, Belgium) 2016. június 22‑i levelében megtagadta a kért biztonsági tanúsítvány kiadását. Ezt azzal indokolta, hogy a rendelkezésére bocsátott adatokból kitűnik, hogy az érintett személyről ismert, hogy 2007 és 2016 között 10 demonstráción vett részt, ami nem teszi lehetővé a biztonsági tanúsítvány megadását. BA nem támadta meg a nemzeti biztonsági hatóság e határozatát.

17.

A rendőrségi információs felügyeleti testületet létrehozó LPD 2018. szeptember 5‑én lépett hatályba.

18.

2020. február 4‑én BA ügyvédje kérte a rendőrségi információs felügyeleti testületet, hogy azonosítsa a vitatott adatkezelésért felelős személyeket, és kötelezze őket a BA‑ra vonatkozó valamennyi információhoz történő hozzáférés biztosítására.

19.

A rendőrségi információs felügyeleti testület 2020. február 6‑i elektronikus levelében foglalt válasza szerint BA csak közvetett hozzáférési joggal rendelkezik, e testület biztosította ugyanakkor, hogy ellenőrizni szándékozik BA személyes adatait annak érdekében, hogy garantálja a Banque de données nationale générale‑ban (BNG – általános nemzeti adatbázis) nyilvántartott adatok bármilyen kezelésének jogszerűségét. A rendőrségi információs felügyeleti testület rámutatott, hogy hatáskörrel rendelkezik arra, hogy szükség esetén a rendőrséget az adatok törlésére vagy módosítására utasítsa, és hogy ezen ellenőrzés befejezésekor BA‑t tájékoztatni fogják „a szükséges ellenőrzések elvégzésének” tényéről.

20.

2020. június 22‑én a rendőrségi információs felügyeleti testület a következőket közölte:

„[…] A[z LPD] 42. cikkével összhangban tájékoztatom, hogy a felügyeleti testület elvégezte a szükséges ellenőrzéseket.

Ez azt jelenti, hogy ügyfele személyes adatait ellenőrizték a rendőrségi adatbázisokban az esetleges adatkezelés jogszerűségének biztosítása érdekében.

Szükség esetén a személyes adatokat módosították vagy törölték.

Amint azt a június 2‑i elektronikus levelemben kifejtettem, az LPD 42. cikke nem teszi lehetővé, hogy a felügyeleti testület több információt közöljön.”

21.

2020. szeptember 2‑án az alapeljárás felperesei – nevezetesen BA és a Ligue des droits humains – az LPD 209. cikkének második mondata alapján keresetet indítottak a rendőrségi információs felügyeleti testülettel szemben a tribunal de première instance francophone de Bruxelles (brüsszeli francia nyelvű elsőfokú bíróság, Belgium) elnöke előtt. Azt kérték, hogy a felügyeleti hatósággal szemben indított keresetüket nyilvánítsák elfogadhatónak. Másodlagosan azt kérdezték a bíróságtól, hogy az LPD 42. cikke ellentétes‑e a 2016/680 irányelv 47. cikkének (4) bekezdésével és 17. cikkének (3) bekezdésével. E tekintetben BA és a Ligue des droits humains előadta, hogy az LPD 42. cikke nem biztosít bírósági jogorvoslati lehetőséget a független felügyeleti hatóság által hozott határozatokkal szemben, és nem kötelezi e hatóságot arra, hogy az érintetett tájékoztassa a bírósági jogorvoslathoz való jogáról.

22.

Keresetük érdemét illetően a felperesek a BA‑ra vonatkozó valamennyi személyes adathoz való hozzáférést kértek, és azt kérték, hogy a rendőrségi információs felügyeleti testületet kötelezzék az adatkezelők és ezen adatok lehetséges címzettjeinek azonosítására. Másodlagosan lényegében azon kérdésnek a Bíróság elé terjesztését kérték, hogy az LPD 42. cikkének második bekezdése összeegyeztethető‑e a 2016/680 irányelvnek az Európai Unió Alapjogi Chartájának (a továbbiakban: Charta) 8. és 47. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett 14., 15. és 17. cikkével. E tekintetben azt kifogásolták, hogy az LPD 42. cikkének második bekezdése a személyes adatokhoz való hozzáférés jogától való általános és rendszeres eltérést ír elő.

23.

2021. május 17‑i végzésével a tribunal de première instance francophone de Bruxelles (brüsszeli francia nyelvű elsőfokú bíróság) megállapította a hatáskörének hiányát a felperesek keresete tekintetében.

24.

A 2021. június 15‑i fellebbezéssel BA és a Ligue des droits humains fellebbezési eljárást indított a cour d’appel de Bruxelles (brüsszeli fellebbviteli bíróság, Belgium) előtt. A fellebbezők lényegében fenntartották az LPD 42. cikkének második bekezdésével szemben megfogalmazott kifogásaikat és az elsőfokú eljárásban előterjesztett kérelmeiket.

25.

A rendőrségi információs felügyeleti testület a fellebbezés elutasítását kérte.

26.

A kérdést előterjesztő bíróság megállapítja, hogy a rendőrségi szolgálatok által kezelt adatokra a belga jog szerint sajátos szabályok vonatkoznak. Az LPD 42. cikke szerint az e személyes adatokhoz fűződő jogokra vonatkozó minden kérelmet a rendőrségi információs felügyeleti testületnek kell címezni. E testület csupán arról tájékoztatja az érintettet, hogy „a szükséges ellenőrzéseket elvégezték”.

27.

A kérdést előterjesztő bíróság megállapítja, hogy a 2016/680 irányelv 17. cikkének (3) bekezdését nem ültették át megfelelően a belső jogba. Először is, az LPD 42. cikke nem írja elő, hogy a felügyeleti hatóságnak tájékoztatnia kell az érintettet a bírósági jogorvoslathoz való jogáról. Másodszor, az LPD nem teszi lehetővé bírósági jogorvoslat igénybevételét a rendőrségi információs felügyeleti testülettel szemben.

28.

E tekintetben a kérdést előterjesztő bíróság egyrészt megállapítja, hogy az LPD 240. cikkében biztosított jogorvoslatnak, amely lehetővé teszi az érintett számára, hogy panaszt nyújtson be a felügyeleti hatósághoz, az adatkezelő ellen kell irányulnia.

29.

Másrészt az LPD 209. és azt követő cikkei által előírt, jogsértés megszüntetése iránti kereset sem biztosít BA számára hatékony jogorvoslatot a rendőrségi információs felügyeleti testülettel szemben. E tekintetben a kérdést előterjesztő bíróság megállapítja, hogy e rendelkezésekből először is az következik, hogy a keresetet az adatkezelővel szemben kell megindítani. BA tehát nem indíthat keresetet a rendőrségi információs felügyeleti testülettel szemben. Másodszor, az LPD 42. cikke nem teszi lehetővé BA számára, hogy ilyen keresetet indítson az adatkezelővel szemben, mivel jogai gyakorlását a rendőrségi információs felügyeleti testületre bízták. Harmadszor, a rendőrségi információs felügyeleti testület által az LPD 42. cikkének megfelelően adott különösen tömör tájékoztatás nem teszi lehetővé sem BA, sem a bíróság számára, hogy utólagos felülvizsgálat keretében értékelje, hogy a rendőrségi információs felügyeleti testület megfelelően gyakorolta‑e BA jogait.

30.

Végül, még ha a jogsértés megszüntetése iránti keresetet az LPD „minden más bírósági, közigazgatási vagy bíróságon kívüli jogorvoslat sérelme nélkül” és „az elsőfokú bíróság és az elsőfokú bíróság elnöke hatáskörének korlátozása nélkül” (az LPD 209. és 219. cikke) írja is elő, – a kérdést előterjesztő bíróság véleménye szerint – a BA által benyújtott bármely más jogorvoslat is ugyanezen akadályokba ütközne.

31.

E körülmények között a cour d’appel de Bruxelles (brüsszeli fellebbviteli bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

32.

Az alapeljárás felperesei, a belga kormány, a Cseh Köztársaság, az Európai Bizottság, valamint az Európai Parlament nyújtott be írásbeli észrevételeket. A Bíróság számos írásbeli és írásban megválaszolandó kérdést intézett a belga kormányhoz. Az említett kormány 2023. március 13‑án válaszolt. Az alapeljárás felperesei és alperese, a francia kormány, valamint az Európai Bizottság és az Európai Parlament részt vett a 2023. március 29‑én tartott tárgyaláson.

33.

Az előzetes döntéshozatalra előterjesztett kérdések lényegében a felügyeleti hatóság intézkedésének bírósági felülvizsgálatára, valamint annak terjedelmére és hatékonyságára vonatkoznak olyan helyzetben, amelyben e hatóság az érintett nevében gyakorolja az érintett jogait, vagyis amelyben a jogok gyakorlására közvetetten kerül sor. A kérdést előterjesztő bíróság nem kérdőjelezte meg önmagában az érintettek általi közvetett hozzáférés belga rendszerének szerkezetét. A hatékony jogorvoslathoz való jogra mindazonáltal szükségszerűen hatással van az olyan rendszer, amelyben az érintettek általi hozzáférés gyakorlatilag lehetetlen vagy rendkívül nehéz. Ezért fontos elöljáróban röviden ismertetni az érintettek 2016/680 irányelv szerinti jogainak szerkezetét, mielőtt megvizsgálnám, hogy a közvetett hozzáférés belga rendszere hogyan illeszkedik ebbe a szerkezetbe.

34.

A gyűjtött adatok megismeréséhez és az adatok kijavíttatásához való jog a Charta 8. cikkének (2) bekezdésében rögzített, a személyes adatok védelméhez való jog alapvető részét képezi. A hozzáférési jog általánosságban két fő célt szolgál, nevezetesen „az átláthatóság növelését és az ellenőrzés megkönnyítését”. ( 9 ) Amint arra ugyanis a szakirodalom rámutat, ez a jog növeli az átláthatóságot, mert „egy mélyebb és részletesebb második információs réteghez való hozzáférés[t tesz lehetővé] az érintett számára”. ( 10 ) A hozzáférési jog megkönnyíti az ellenőrzést, mivel előfeltételét képezi más jogok, nevezetesen a személyes adatok helyesbítéséhez vagy törléséhez, illetve a bírósági jogorvoslathoz való jog gyakorlásának. ( 11 )

35.

A 2016/680 irányelv (7) preambulumbekezdéséből az következik, hogy ezen irányelv célja a személyes adatok Európai Unió egészére kiterjedő hatékony védelmének megvalósítása, amelynek érdekében mind az érintettek jogait, mind a személyes adatok kezelőinek kötelezettségeit megerősíteni szükséges, valamint a tagállamokban a személyes adatok védelmére vonatkozó szabályok betartásának ellenőrzéséhez és biztosításához egyenértékű hatásköröket kell biztosítani. Ez fontos előrelépés a 2008/977 kerethatározat szerinti korábbi rendszerhez képest. E kerethatározat hatálya a határokon átnyúló adatkezelésre korlátozódott. Ezen túlmenően e kerethatározat „az EU Lisszaboni Szerződést megelőző pillérszerkezetét tükröz[te]”, ( 12 ) és „nagy mozgásteret enged[ett] a tagállamok […] számára”. ( 13 ) Az említett korábbi rendszerhez képest a 2016/680 irányelv III. fejezete „az érintettek jogainak új struktúráját [írja elő], amelynek alapelve, hogy az érintetteknek joguk van a tájékoztatáshoz, a hozzáféréshez, a helyesbítéshez, a törléshez vagy az adatkezelés korlátozásához, kivéve, ha e jogok korlátozva vannak”. ( 14 )

36.

Konkrétabban, a 2016/680 irányelv 13. cikke előírja, hogy az adatkezelőknek az érintettek rendelkezésére kell bocsátaniuk bizonyos információkat (tájékoztatáshoz való jog). A 14. cikk értelmében az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy adatainak kezelése folyamatban van‑e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és bizonyos információkhoz hozzáférést kapjon (hozzáférési jog). A 16. cikk szerint az érintett jogosult arra, hogy kérésére az adatkezelő helyesbítse a rá vonatkozó pontatlan személyes adatokat, valamint a személyes adatok törlésére vagy adott esetben az adatkezelés korlátozására (helyesbítéshez, törléshez vagy az adatkezelés korlátozásához való jog). Az érintett főszabály szerint közvetlenül gyakorolhatja jogait.

37.

A 2016/680 irányelv lehetővé teszi a tagállamok számára, hogy a 2016/680 irányelv 13. cikkének (3) bekezdésében, 15. cikkében és 16. cikkének (4) bekezdésében meghatározott feltételek mellett jogalkotási intézkedéseket fogadjanak az érintettek jogainak teljes vagy részleges korlátozására. Ilyen intézkedésekre lényegében „annyiban és addig” van lehetőség, „amennyiben és ameddig” azok „– kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedés[ek]nek” minősülnek egy meghatározott közérdekű cél megőrzése, nevezetesen annak érdekében, hogy ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé, ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása, biztosított legyen a közbiztonság és a nemzetbiztonság védelme, vagy biztosított legyen mások jogainak és szabadságainak védelme. A 2016/680 irányelv 13. cikkének (4) bekezdése és 15. cikkének (2) bekezdése értelmében a tagállamok jogalkotási intézkedéseket fogadhatnak el abból a célból, hogy meghatározzák, mely adatkezelési kategóriák tartozhatnak teljesen vagy részlegesen e célok valamelyikének hatálya alá.

38.

A 2016/680 irányelv 15. cikkének (3) bekezdése szerint a hozzáférési jog korlátozása esetén az adatkezelőnek írásban haladéktalanul tájékoztatnia kell az érintettet a hozzáférés megtagadásáról vagy korlátozásáról és a megtagadás vagy korlátozás indokairól. Az ilyen tájékoztatás elhagyható abban az esetben, ha e tájékoztatás nyújtása ellentétes lenne az irányelv 15. cikkének (1) bekezdésében említett valamelyik közérdekű céllal. Az adatkezelőnek tájékoztatnia kell az érintettet a felügyeleti hatósághoz címezhető panasz benyújtásának jogáról, illetve a bírósági jogorvoslat lehetőségéről. Ezenkívül a 2016/680 irányelv 15. cikkének (4) bekezdése értelmében a hozzáférési jog korlátozása vagy a hozzáférés megtagadása esetén az adatkezelőnek nyilván kell tartania a döntés ténybeli vagy jogi indokait, és ezeket az információkat a felügyeleti hatóságok rendelkezésére kell bocsátania.

39.

Az érintett 2016/680 irányelv III. fejezetében rögzített jogainak szerkezetéből az következik, hogy az általános szabály az, hogy a bűnüldözés területén az érintetteket az adataik védelmére vonatkozó jogok illetik meg, és e jogokat közvetlenül gyakorolhatják. E jogok bármilyen korlátozása kivételt képez. Az állandó ítélkezési gyakorlat szerint az általános szabály alóli kivételt szigorúan kell értelmezni. ( 15 ) A korlátozásokra ezen túlmenően az alkalmazott korlátozások indokolásának kötelezettségével és az érintett megfelelő tájékoztatásával kapcsolatos megkötések vonatkoznak. Az ilyen tájékoztatás csak kivételes esetben hagyható el.

40.

Ugyanez a szabály és kivétel közötti kapcsolat áll fenn a tagállamok számára biztosított azon lehetőség tekintetében is, hogy meghatározzák, mely „adatkezelési kategóriák” minősülhetnek teljesen vagy részlegesen közérdekű céloknak, lehetővé téve ezáltal az érintettek jogai gyakorlásának a 2016/680 irányelv 13. cikkének (3) bekezdése vagy 15. cikkének (1) bekezdése alapján történő korlátozását. Amint arra a 29. cikk alapján létrehozott munkacsoport ( 16 ) a 2016/680 irányelvre vonatkozó véleményében lényegében rámutatott, a tagállamok számára az ilyen adatkezelési kategóriák meghatározása tekintetében biztosított lehetőség nem teszi lehetővé az érintettek tájékoztatáshoz és hozzáféréshez való jogának „általános korlátozását”. ( 17 ) Az ilyen általános korlátozások a kivételt a szabály elé helyeznék, nagyrészt kiüresítve az érintettek jogait rögzítő rendelkezéseket. ( 18 )

41.

A 2016/680 irányelv fontos eleme, hogy jogai gyakorlása érdekében az érintett jogosult közvetlenül az adatkezelőhöz fordulni. Az említett irányelv „főszabály szerint” biztosítja az érintettek jogainak közvetlen gyakorlását. ( 19 ) Az érintettek – korlátozás hiányában – jogosultak a közvetlen hozzáférésre. Ha korlátozás áll fenn, és ha ezért a közvetlen hozzáféréshez való jog már nem gyakorolható, a 2016/680 irányelv 17. cikkének (1) bekezdése alapján az érintett az illetékes felügyeleti hatóság közreműködésével közvetve gyakorolhatja jogait.

42.

Amint arra a francia kormány és a Bizottság rámutatott, és amint azt a 29. cikk alapján létrehozott munkacsoport is hangsúlyozta a 2016/680 irányelvre vonatkozó véleményében, a jogoknak az illetékes hatóság közreműködésével történő közvetett gyakorlása további garanciát jelent az érintettek számára korlátozások fennállása esetén. ( 20 ) A jogok közvetett gyakorlásának további garanciaként történő szabályozása fontos előrelépést jelent a 2008/977 kerethatározat szerinti korábbi helyzethez képest. ( 21 ) E kerethatározat keretében ugyanis a közvetett hozzáférés egyenrangú volt a közvetlen hozzáféréssel. ( 22 ) A 2016/680 irányelv által megvalósítani kívánt harmonizáció céljának egészével ellentétes lenne, ha a tagállamok – az irányelv által az érintettek jogainak szerkezetével kapcsolatban tett előrelépés ellenére – nem az érintettek számára elérhető további lehetőségként, hanem az érintettek számára elérhető egyetlen lehetőségként szabályoznák a közvetett hozzáférés biztosítását.

43.

A 2016/680 irányelv 17. cikkét az LPD 42. cikke ültette át a belga jogba. Az LPD 42. cikkének első mondata értelmében az érintetteknek a jogaik rendőrségi szolgálatokkal szembeni gyakorlására irányuló minden kérelmet a rendőrségi információs felügyeleti testületnek kell címezniük. Az LPD 42. cikkének második mondata értelmében a hozzáférés adatkezelő általi korlátozása vagy megtagadása esetén az említett felügyeleti hatóságnak csak arról kell tájékoztatnia az érintettet, hogy minden szükséges ellenőrzést elvégeztek.

44.

Úgy tűnik számomra, hogy az LPD 42. cikke olyan rendszert hoz létre, amely a rendőrségi szolgálatok által kezelt valamennyi adat tekintetében eltér az érintettek jogai közvetlen gyakorlásának elvétől. Azon adatok rendkívül széles körére tekintettel ugyanis, amelyekre az eltérés rendszere vonatkozik, ez a rendszer általános kivételt állapít meg a közvetlen hozzáférési jog alól. Amint azt a fenti előzetes észrevételek keretében kifejtettem, a közvetlen hozzáféréshez való jog alóli ilyen széles körű és általános kivétel nem tekinthető összeegyeztethetőnek a 2016/680 irányelvvel. ( 23 ) Amint azt a Conseil d’État (államtanács, Belgium) az LPD tervezetével kapcsolatos véleményében lényegében kifejtette, a 2016/680 irányelv 17. cikkével ellentétes, ha a közvetlen joggyakorlás érintett személy számára történő lehetővé tétele helyett a közvetett joggyakorlás előírását teszik lehetővé a jogalkotó számára. ( 24 )

45.

Az LPD 42. cikkében a közvetlen hozzáférés közvetett hozzáféréssel való felváltása még problematikusabb, ha figyelembe vesszük a rendőrségi információs felügyeleti testület korlátozott hatáskörét. A tárgyaláson ezzel kapcsolatban feltett kérdésre e hatóság jogi képviselője megerősítette, hogy az érintett jogainak közvetett gyakorlásával összefüggésben a rendőrségi információs felügyeleti testület csak arról tájékoztathatja az érintettet, hogy minden szükséges ellenőrzést elvégeztek. Emlékeztetni kell azonban arra, hogy a közvetett hozzáférés rendszere a kivétel, amely azt feltételezi, hogy az érintettek jogai korlátozva vannak a 2016/680 irányelvben meghatározott feltételekkel összhangban. Ezzel szemben a belga rendszerben az érintett köteles a felügyelő hatóságtól kérni jogainak gyakorlását a rendőrségi szolgálatok által kezelt adatok tekintetében. Az érintett nem férhet hozzá a rá vonatkozó adatokhoz, és csupán megerősítést kaphat arról, hogy minden szükséges ellenőrzést elvégeztek. Úgy tűnik, hogy a nemzeti jogalkotó a 2016/680 irányelvtől eltérően abból indult ki, hogy az érintettek jogai – a rendőrség által kezelt valamennyi adat tekintetében – mindig korlátozottak, és nincs lehetőség közvetlen hozzáférésre.

46.

A fenti megfontolások fényében úgy vélem, hogy az LPD 42. cikke olyan közvetett joggyakorlási rendszert hoz létre, amely nem egyeztethető össze az érintettek jogai gyakorlásának a 2016/680 irányelvben meghatározott módjával. Az előzetes döntéshozatalra előterjesztett kérdéseket e megfontolás fényében vizsgálom meg.

47.

Elöljáróban emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint a nemzeti bíróságok és a Bíróság között az EUMSZ 267. cikkel bevezetett együttműködési eljárás keretében a Bíróság feladata, hogy a nemzeti bíróságnak az előtte folyamatban lévő ügy eldöntéséhez hasznos választ adjon. Ebből a szempontból adott esetben a Bíróságnak át kell fogalmaznia az elé terjesztett kérdéseket. E tekintetben a Bíróságnak kell a kérdést előterjesztő bíróság által szolgáltatott információk összessége és különösen az előzetes döntéshozatalra utalás indokolása alapján meghatározni az uniós jog azon rendelkezéseit, amelyeknek az értelmezése az alapeljárás tárgyára figyelemmel szükséges. ( 25 )

48.

A jelen ügyben az előzetes döntéshozatalra utaló határozatból egyértelműen kitűnik, hogy első kérdésével a kérdést előterjesztő bíróság a 2016/680 irányelv 17. cikkének értelmezését kéri. A kérdést előterjesztő bíróság lényegében arra vár választ, hogy az említett rendelkezést úgy kell‑e értelmezni a Charta 47. cikkével és 8. cikkének (3) bekezdésével összefüggésben, hogy annak alapján bírósági jogorvoslatot kell biztosítani az érintett számára a független felügyeleti hatósággal szemben, ha az érintett a felügyeleti hatóság közreműködésével gyakorolja jogait.

49.

Előzetesen rá kell mutatni arra, hogy a kérdést előterjesztő bíróság azért teszi fel ezt a kérdést, mert úgy véli, hogy a belga jog nem biztosít bírósági jogorvoslathoz való jogot a felügyeleti hatósággal szemben, ha ez utóbbi közvetve gyakorolja az érintett jogait. A kérdést előterjesztő bíróság e tekintetben először is megállapítja, hogy az említett rendelkezést nem ültették át megfelelően a nemzeti jogba, mivel az LPD 42. cikke nem kötelezi a felügyeleti hatóságot arra, hogy tájékoztassa az érintettet a bírósági jogorvoslathoz való jogáról. Másodszor, a kérdést előterjesztő bíróság úgy véli, hogy az LPD egyetlen más rendelkezése – különösen a 209. és azt követő cikkei, valamint a 240. cikke – sem teszi lehetővé az érintett számára, hogy jogainak közvetett gyakorlása esetén keresetet indítson a felügyeleti hatósággal szemben. ( 26 )

50.

A belga kormány az írásbeli észrevételeiben azt állította, hogy az LPD 209. cikke második mondatának értelmezésétől függetlenül a belga jogrendszer hatékony bírósági felülvizsgálatot biztosít az alapügy körülményei között. E tekintetben arra hivatkozik, hogy az LPD‑ben szabályozott különös jogorvoslatok nem sértik a polgári bíróságok általános hatáskörét. Mindemellett a belga kormány helyesen mutat rá arra, hogy az állandó ítélkezési gyakorlat szerint a Bíróság kizárólag az uniós jogszabály értelmezésére vagy érvényességére vonatkozóan határozhat azon tényállás alapján, amelyet számára a nemzeti bíróság megjelöl. Ezzel szemben kizárólag a kérdést előterjesztő bíróság feladata a nemzeti jogszabályok értelmezése. ( 27 )

51.

Annak megállapítása érdekében, hogy jogainak közvetett gyakorlása esetén megilleti‑e az érintettet a bírósági jogorvoslathoz való jog a felügyeleti hatósággal szemben, emlékeztetni kell arra, hogy a 2016/680 irányelv VIII. fejezete az érintettek rendelkezésére álló számos jogorvoslati lehetőséget határoz meg. A 2016/680 irányelv 52. cikke alapján az érintetteket megilleti a felügyeleti hatóságnál történő panasztételhez való jog. A 2016/680 irányelv 53. cikkének (1) bekezdése értelmében biztosítani kell, hogy az érintettek hatékony bírósági jogorvoslatra legyenek jogosultak a felügyeleti hatóság rájuk vonatkozó, jogilag kötelező erejű döntésével szemben. Az 53. cikk (2) bekezdése értelmében minden érintett hatékony bírósági jogorvoslatra jogosult, ha a felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről. Emellett az érintetteket megilleti az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog, ha megítélésük szerint személyes adataik jogellenes kezelése következtében megsértették jogaikat. Mindezen rendelkezések szerint az említett jogorvoslatok mindegyike „[a]z egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül” áll rendelkezésre.

52.

A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jogot illetően a 2016/680 irányelv (86) preambulumbekezdése kimondja, hogy ez a jog „a valamely felügyeleti hatóság által hozott és az említett természetes vagy jogi személyekre nézve jogkövetkezményekkel járó döntéssel” szemben gyakorolható. Ugyanezen preambulumbekezdés megállapítja, hogy ide tartoznak különösen a felügyeleti hatóság vizsgálati, korrekciós és engedélyezési hatásköreinek gyakorlására, illetve a panaszok megalapozatlannak tekintésére vagy elutasítására vonatkozó döntések, a hatékony bírósági jogorvoslathoz való jog nem vonatkozik azonban „a felügyeleti hatóságok egyéb, jogilag kötelező erővel nem bíró intézkedéseire, például a felügyeleti hatóság által kibocsátott véleményekre vagy általa adott tanácsokra”.

53.

A 2016/680 irányelv 53. cikkének ezen irányelv (86) preambulumbekezdésével összefüggésben értelmezett (1) bekezdéséből az következik, hogy az érintett jogosult megtámadni a felügyeleti hatóság olyan döntését vagy intézkedését, amely kötelező joghatással jár.

54.

E tekintetben emlékeztetni kell arra, hogy a Charta 47. cikkében biztosított hatékony bírósági jogorvoslathoz való jog minden olyan személyt megillet, aki az uniós jog által részére biztosított jogokra vagy szabadságokra hivatkozik az őt hátrányosan érintő, e jogokat vagy szabadságokat sértő határozattal szemben. ( 28 )

55.

Ezt követően rá kell mutatni arra, hogy „a felperesre kötelező joghatással járó, érdekeinek – jogi helyzete lényeges megváltoztatásával történő – közvetlen és azonnali befolyásolására alkalmas jogi aktusok vagy intézkedések” minősülnek valamely személyt hátrányosan érintő aktusoknak. ( 29 ) E tekintetben a szóban forgó aktus lényegét kell figyelembe venni, és az említett hatásokat olyan objektív kritériumok alapján kell megítélni, mint az említett aktus tartalma, adott esetben figyelembe véve az elfogadásának körülményeit, valamint az azt elfogadó intézmény hatáskörét. ( 30 )

56.

A valamely személyt hátrányosan érintő aktust meghatározó elemek fényében annak megállapításához, hogy a felügyeleti hatóság jogilag kötelező erejű döntést hoz‑e, amikor a 2016/680 irányelv 17. cikkével összhangban közvetve gyakorolja az érintett jogait, meg kell vizsgálni a felügyeleti hatóság aktusának tartalmát vagy lényegét, figyelembe véve az aktus körülményeit, valamint az említett hatóság hatáskörét.

57.

Ami először is a felügyeleti hatóság aktusának lényegét illeti, elöljáróban tisztázni kell, hogy valamely aktus arra való alkalmassága, hogy közvetlen hatást gyakoroljon valamely természetes vagy jogi személy jogi helyzetére, nem értékelhető pusztán azon tény alapján, hogy ez az aktus elektronikus levél formáját ölti (ahogyan ez az alapügyben történt), mivel ez azt jelentené, hogy a megtámadott aktus formájának elsőbbséget kell adni az aktus tartalmával szemben. ( 31 )

58.

A 2016/680 irányelv 17. cikkének (1) bekezdése értelmében az érintett jogainak gyakorlására az illetékes felügyeleti hatóság „közreműködésével” is sor kerülhet. Az említett irányelv (48) preambulumbekezdése szerint a felügyeleti hatóság az érintett „nevében” jár el. Ugyanezen irányelv 17. cikkének (3) bekezdése értelmében a felügyeleti hatóság az érintettet „tájékoztatja” legalább arról, hogy minden szükséges ellenőrzést, illetve felülvizsgálatot elvégzett.

59.

A rendőrségi információs felügyeleti testület azzal érvel, hogy e rendelkezések szövegéből az következik, hogy a felügyeleti hatóság csak annyit tesz, hogy az érintett nevében megbízást teljesít, és „hírvivőként” jár el, aki csupán tájékoztatja az érintettet. Ezért az e hatóság által elfogadott aktus nem tekinthető az érintettre kötelező joghatással járó aktusnak. A cseh kormány hasonló érvet hoz fel.

60.

Nem vitatom, hogy az érintett jogainak a felügyeleti hatóság „közreműködésével” történő gyakorlásával vagy a felügyeleti hatóság érintett „nevében” történő eljárásával kapcsolatban használt megfogalmazás önmagában úgy értelmezhető, hogy a felügyeleti hatóság pusztán tájékoztatással van megbízva.

61.

Úgy vélem azonban, hogy az aktus körülményeinek és a felügyeleti hatóság hatáskörének vizsgálata nem támasztja alá az egyszerű megbízás feltevését. Az érintett jogainak közvetett gyakorlása keretében a felügyeleti hatóság szerepe túlmutat az érintett „megbízottjához” hasonló módon, „hírvivőként” vagy közvetítőként történő eljáráson. Ellenkezőleg, amint azt a következőkben bemutatom, az uniós jogalkotó vezető és aktív szerepet biztosított a felügyeleti hatóságnak az olyan adatkezelés jogszerűségének ellenőrzésében, amelyet kizárólag valamely közhatalmi szerv végezhet.

62.

Konkrétabban, a 2016/680 irányelv 17. cikkét – a Bizottság és a belga kormány érvelésének megfelelően – az említett irányelv VI. fejezete 2. szakaszának rendelkezéseivel összefüggésben kell értelmezni, amely szakasz a független felügyeleti hatóságok illetékességére, feladataira és hatásköreire vonatkozó szabályokat állapítja meg. Az említett irányelv 46. cikke (1) bekezdésének g) pontja értelmében a felügyeleti hatóság „a 17. cikkel összhangban ellenőrzi az adatkezelés jogszerűségét, valamint észszerű határidőn belül tájékoztatja az érintettet az említett cikk (3) bekezdése szerinti ellenőrzés eredményéről vagy az ellenőrzés elmaradásának okairól”.

63.

A belga kormány a Bíróság írásbeli kérdésére adott válaszában helyesen mutatott rá arra, hogy az adatkezelés jogszerűsége ellenőrzésének konkrét feladata alátámasztja, hogy a felügyeleti hatóság szerepe nem korlátozódik arra, hogy egyszerű „hírvivőként” járjon el az érintett és az adatkezelő között. Ellenkezőleg, az említett hatóság az adatkezelés jogszerűségének megfelelő jogi értékelését végzi el.

64.

Ezenfelül a 2016/680 irányelv 47. cikkével összhangban minden felügyeleti hatóság bizonyos kikényszerítési hatáskörökkel rendelkezik annak érdekében, hogy betölthesse az adatkezelés jogszerűségének független ellenőrzésével kapcsolatos szerepét. E hatáskörök „tényleges vizsgálati hatáskör[ök]”, amelyek magukban foglalják legalább azt, hogy „a felügyeleti hatóság hozzáférjen az adatkezelő és az adatfeldolgozó által valamennyi kezelt személyes adathoz”, valamint „korrekciós” hatáskörök, amelyek magukban foglalják a személyes adat helyesbítésének vagy törlésének, vagy az adatkezelés korlátozásának elrendelésére vonatkozó hatáskört. Ezen túlmenően a 47. cikk (5) bekezdése szerint a felügyeleti hatóságok hatáskörrel rendelkeznek arra, hogy bírósági eljárásban vegyenek részt a 2016/680 irányelv alapján elfogadott adatvédelmi szabályok érvényre juttatása érdekében. Egyetértek a Bizottsággal, amely e tekintetben rámutatott arra, hogy a felügyelő hatóság csak a saját nevében, közhatalmi szervként gyakorolhatja e hatásköröket, egyszerű megbízottként vagy az érintett nevében azonban nem.

65.

Amikor a felügyeleti hatóság tájékoztatja az érintettet a 2016/680 irányelv 17. cikkének (3) bekezdésével és 46. cikke (1) bekezdésének g) pontjával összhangban általa elvégzett ellenőrzés eredményéről, szükségszerűen az adatkezelés jogszerűségével kapcsolatos döntéshozatali folyamat végére ért. Az érintett jogi helyzetére ezért hatást gyakorol, i. hogy a felügyeleti hatóság helyesen végezte‑e el „az adatkezelés jogszerűség[e 17. cikkel összhangban történő ellenőrzésének]” rá háruló feladatát, és ii. az e hatóság által az említett folyamatot követően levont következtetés.

66.

A 2016/680 irányelvnek a Chartára tekintettel történő értelmezése is annak elismerése mellett szól, hogy a felügyeleti hatóság önálló szereppel rendelkezik az irányelv 17. cikke alapján, nem pedig egyszerű közvetítői szereppel. A Charta 8. cikkének (3) bekezdése független hatóságra bízza az adatvédelmi szabályok és konkrétabban az adatok megismeréséhez való jog tiszteletben tartásának ellenőrzését. Az adatvédelmi hatóságok szerepe alkotmányos jelentőséggel bír annak a Chartában történő említése alapján. A 2016/680 irányelv alkalmazásának nyomon követése és érvényre juttatása a felügyeleti hatóság feladata. Az olyan értelmezés, amely szerint e hatóság az érintett személytől függetlenül jár el, amikor közvetve gyakorolja az érintett jogait, előmozdítja a felügyeleti hatóság alkotmányos szerepét.

67.

Emellett ha elfogadnák, hogy a felügyeleti hatóság az érintett „megbízottjához” hasonló módon jár el, akkor e hatóságnak jelentést kellene tennie az érintettnek mint megbízójának. A rendőrségi információs felügyeleti testület mindazonáltal azzal érvel, hogy nem rendelkezik hatáskörrel arra, hogy további információkat bocsásson az érintett rendelkezésére. Ez a megközelítés olyan sajátos helyzethez vezet, amelyben a megbízott tájékozottabb, mint a megbízója.

68.

A tárgyaláson a francia kormány lényegében azzal érvelt, hogy a felügyeleti hatóság által a 2016/680 irányelv 46. cikke (1) bekezdésének f) pontja alapján történő panaszkezelés esetétől eltérően e hatóságot nem illetik meg hatáskörök az adatkezelővel szemben a 46. cikk (1) bekezdésének g) pontja keretében. A francia kormány úgy véli, hogy mivel az érintettet nem illetik meg hatáskörök az adatkezelővel szemben, amikor közvetlenül gyakorolja jogait, akkor sem illethetik meg ilyen hatáskörök, amikor jogait a felügyeleti hatóság közreműködésével közvetve gyakorolja. A francia kormány állítása szerint a 2016/680 irányelv 47. cikke csak a felügyeleti hatóság által a saját nevében gyakorolt hatáskörökre vonatkozik, az érintett nevében gyakorolt hatáskörökre azonban nem.

69.

A francia kormány álláspontja lényegében azon a feltevésen alapul, hogy a felügyeleti hatóság csupán az érintett közvetítőjeként jár el. A fent kifejtett okok miatt nem osztom a felügyeleti hatóság szerepének ilyen megszorító értelmezését. Az érintett jogai közvetett gyakorlásának hozzáadott értékkel kell rendelkeznie, amely további garanciát és biztosítékot jelent az érintett számára. Ha a hatóságnak minden körülmények között csupán meg kellene erősítenie, hogy a szükséges ellenőrzéseket elvégezték, anélkül, hogy gyakorolhatná hatásköreit, az adatkezelés jogszerűségének ellenőrzésében betöltött szerepe korlátozott hozzáadott értékkel rendelkezne.

70.

E tekintetben a 2016/680 irányelv 17. cikke úgy rendelkezik, hogy a felügyeleti hatóság az érintettet tájékoztatja „legalább” arról, hogy minden szükséges ellenőrzést elvégzett. Ez azt jelenti, hogy fennállhatnak olyan körülmények, amelyek között a felügyeleti hatóság e minimális tájékoztatásnál bővebb tájékoztatást nyújthat vagy köteles nyújtani. Ezt az értelmezést alátámasztja a 2016/680 irányelv 46. cikke (1) bekezdésének g) pontja, amely azt a feladatot rója a felügyeleti hatóságra, hogy a 2016/680 irányelv 17. cikkével összhangban ellenőrizze az adatkezelés jogszerűségét, valamint tájékoztassa az érintettet az említett cikk (3) bekezdése szerinti ellenőrzés eredményéről. Az „ellenőrzés eredménye” magában foglalja a minimális tájékoztatás nyújtását, de nem minden esetben korlátozódik arra.

71.

Amint arra a Bizottság rámutatott, a 2016/680 irányelv 17. cikke mérlegelési jogkörrel ruházza fel a felügyeleti hatóságot. Nem ruházza fel a tagállamokat arra vonatkozó mérlegelési jogkörrel, hogy a hatóság szerepét a hírvivő szerepére korlátozzák, vagy hogy teljes mértékben megszüntessék az ilyen hatóság mérlegelési mozgásterét annak előírásával, hogy az kizárólag a minimális tájékoztatást nyújthatja. Ha ugyanis valamely tagállam eltérhetne a 2016/680 irányelvtől, és kevesebb hatáskörrel ruházhatná fel a felügyeleti hatóságokat, az súlyosan veszélyeztetné az érintettek jogainak megerősítésére, valamint az adatvédelmi szabályok tagállamokbeli tiszteletben tartásának nyomon követésére és biztosítására vonatkozó hatáskörök harmonizálására irányuló célkitűzést. Az ilyen eltérés veszélyeztetné az átláthatóság és az ellenőrzés fokozásának az említett irányelv által követett célját is.

72.

A tárgyaláson a rendőrségi információs felügyeleti testület aggodalmának adott hangot a csupán az érintett nevében történő megbízásteljesítésen túlmutató szerep elismerésével kapcsolatban. Azzal érvelt, hogy a 2016/680 irányelv 17. cikke keretében a felügyeleti hatóság nem dönthet arról, hogy az adatkezelő valamely aktusa célszerű‑e, és nem mérlegelheti a releváns információk közlésével kapcsolatos érdekeket. Az említett hatóság azzal érvelt, hogy ha ez nem így lenne, akkor az adatkezelő helyébe kellene lépnie, ami ellentétes lenne a függetlenségével.

73.

E tekintetben a felügyeleti hatóságnak a 2016/680 irányelv 17. cikke szerinti mérlegelési jogkörét nem úgy kell értelmezni, mint az adatkezelő helyébe lépésre és az azon információhoz való automatikus hozzáférés biztosítására vonatkozó hatáskört, amelynek közlését az adatkezelő megtagadta. Függetlenségénél fogva a felügyeleti hatóság bizalmas párbeszédet folytat az adatkezelővel az adatkezelés jogszerűségének ellenőrzése érdekében. Amint arra a Bizottság lényegében hivatkozott, ez a párbeszéd az adatkezelőnek abból a 2016/680 irányelv 15. cikkének (4) bekezdésében meghatározott kötelezettségéből vezethető le, hogy a felügyeleti hatóság rendelkezésére kell bocsátania a hozzáférési jog korlátozására vonatkozó döntés ténybeli vagy jogi indokait.

74.

E párbeszéd keretében, ha a felügyeleti hatóság úgy véli, hogy az érintett jogainak korlátozása nem indokolt, lehetőséget kell adnia az adatkezelőnek e helyzet orvoslására. E párbeszédet követően a 17. cikk (3) bekezdése mérlegelési mozgásteret biztosít a felügyeleti hatóság számára azon információk terjedelmét illetően, amelyeket közölhet az érintettel az általa elvégzett ellenőrzés eredményével kapcsolatban. Az általa közölhető információk terjedelmét eseti alapon, az arányosság elvével összhangban kell meghatározni. Ezenfelül a felügyeleti hatóságnak képesnek kell lennie arra, hogy biztosítsa a 2016/680 irányelv szabályainak tiszteletben tartását, és gyakorolja az ezen irányelv 47. cikkében meghatározott hatásköröket. Az említett rendelkezés nem korlátozza e hatáskörök gyakorlását az 2016/680 irányelv 17. cikkével összefüggésben. Ellenkezőleg, a felügyeleti hatóság tényleges hatáskörei szükséges és erős ellensúlyt képeznek az érintett hozzáférési jogának korlátozásával szemben.

75.

Végül a rendőrségi információs felügyeleti testület és a cseh kormány a bírósági jogorvoslatok hierarchiájával kapcsolatos érvet terjesztett elő. Lényegében azt állítják, hogy a felügyeleti hatóság közreműködésével történő közvetett joggyakorlás keretében a bírósági jogorvoslathoz való jogot a 2016/680 irányelv 54. cikkével összhangban az adatkezelővel szemben, nem pedig a felügyeleti hatósággal szemben kell gyakorolni, kivéve, ha ez utóbbi elmulaszt intézkedni.

76.

E tekintetben meg kell jegyezni, hogy a 2016/680 irányelv egyetlen rendelkezéséből sem következik, hogy az ezen irányelvben előírt jogorvoslatok kölcsönösen kizárnák egymást. Ellenkezőleg, a 2016/680 irányelv fent hivatkozott ( 32 ) 52., 53. és 54. cikkének szövegéből az következik, hogy e rendelkezések különböző jogorvoslati lehetőségeket kínálnak az ezen irányelv megsértésére hivatkozó személyek számára, azzal, hogy e jogorvoslatok mindegyikének gyakorlását a többi rendelkezés „sérelme nélkül” kell biztosítani. ( 33 ) Emlékeztetni kell arra, hogy az (EU) 2016/679 rendeletben előírt jogorvoslatok ( 34 ) közötti kapcsolatot illetően a Bíróság azt állapította meg a Nemzeti Adatvédelmi és Információszabadság Hatóság ítéletben, hogy ez a rendelet „nem ír elő sem elsődleges vagy kizárólagos hatáskört, sem pedig az abban említett hatóság vagy bíróságok által – az ugyanezen rendelet által biztosított jogok megsértésére vonatkozóan – végzett értékelés elsőbbségéről nem rendelkezik”. ( 35 )

77.

A francia kormány és a rendőrségi információs felügyeleti testület álláspontjával ellentétben úgy vélem, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság ítéletben szereplő érvelés analógia útján alkalmazandó a 2016/680 irányelvben előírt jogorvoslatok tekintetében. Először is, a felügyeleti hatósággal és az adatkezelővel szemben a 2016/679 rendelet és a 2016/680 irányelv alapján az érintett rendelkezésére álló jogorvoslatok hasonlóak. Másodszor, a 2016/680 irányelv (7) preambulumbekezdése kimondja, hogy a személyes adatok Unió egészére kiterjedő hatékony védelme érdekében az érintettek jogait megerősíteni szükséges. ( 36 ) Több jogorvoslati lehetőség rendelkezésre bocsátása erősíti azt a 2016/680 irányelv (85) preambulumbekezdésében is megfogalmazott azon célt, hogy a Charta 47. cikkével összhangban hatékony bírósági jogorvoslatot kell biztosítani minden érintett számára, aki úgy ítéli meg, hogy az ezen irányelv alapján elfogadott rendelkezések értelmében őt megillető jogokat megsértették.

78.

Arra is rá kell mutatni, hogy a felügyeleti hatósággal szembeni jogorvoslat és az adatkezelővel szembeni jogorvoslat célja eltérő. Egyrészt, amint azt a Bizottság helyesen megjegyezte, az adatkezelőnek az érintett jogainak korlátozására vonatkozó döntésével szembeni kereset célja annak bírósági felülvizsgálata, hogy helyesen alkalmazták‑e a 2016/680 irányelv 13. cikkének (3) bekezdését, 15. cikkének (3) bekezdését és 16. cikkének (4) bekezdését. Másrészt a felügyeleti hatósággal szembeni kereset célja annak bírósági felülvizsgálata, hogy helyesen alkalmazták‑e a 2016/680 irányelv 17. cikkét és 46. cikke (1) bekezdésének g) pontját, ami magában foglalja annak vizsgálatát, hogy az adott felügyeleti hatóság megfelelően végezte‑e az adatkezelés jogszerűségének ellenőrzésére vonatkozó feladatát.

79.

Azt is meg kell jegyezni, hogy a bírói jogvédelem rendszere inkoherens és hiányos lenne, ha az érintett csak a felügyeleti hatóság tétlenségét támadhatná meg, miközben annak intézkedései és kötelezettségei teljesítésének módja ki lenne zárva a bírósági felülvizsgálat alól.

80.

Mindenesetre úgy tűnik, hogy az alapügyben nem indítható kereset az adatkezelővel szemben. Az előzetes döntéshozatalra utaló határozatból kitűnik, hogy az érintettek nem indíthatnak keresetet az adatkezelővel szemben, mivel minden joguk gyakorlása a rendőrségi információs felügyeleti testületre van bízva. A Ligue des droits humains ezenfelül arra hivatkozott, hogy a rendőrségi adatbázisok belga rendszerében az érintett számára még az adatkezelő azonosítása is rendkívül nehéz. Ilyen körülmények között az érintett tekintetében fennáll annak a kockázata, hogy teljes mértékben elesik a hatékony bírói jogvédelemtől, mivel nem tudja, hogy ki az adatkezelő, és még ha tudná is, nem jogosult közvetlenül az adatkezelőhöz fordulni. Emellett az érintett nem támadhatja meg a rendőrségi információs felügyeleti testület intézkedését. Úgy tűnik számomra, hogy az érintett olyan rendszerrel áll szemben, amelyben „minden ajtó zárva van” előtte, ami ellentétes a 2016/680 irányelvvel.

81.

A fenti megfontolásokra tekintettel úgy vélem, hogy a 2016/680 irányelvnek ezen irányelv 46. cikke (1) bekezdésének g) pontjával, valamint a Charta 47. cikkével és 8. cikkének (3) bekezdésével összefüggésben értelmezett 17. cikkét úgy kell értelmezni, hogy az megköveteli, hogy a független felügyeleti hatósággal szemben bírósági jogorvoslat álljon az érintett rendelkezésére, ha az érintett e hatóság közreműködésével gyakorolja jogait, amennyiben az említett jogorvoslat az adott felügyeleti hatóságnak az adatkezelés jogszerűségének ellenőrzésével kapcsolatos feladatára vonatkozik.

82.

Második kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy összhangban van‑e a 2016/680 irányelv 17. cikke a Charta 8. cikkének (3) bekezdésével és 47. cikkével, amennyiben az azt írja elő, hogy a felügyeleti hatóság csupán arról tájékoztassa az érintettet, i. „hogy elvégezte az összes szükséges ellenőrzést vagy vizsgálatot”, valamint ii. „a bírósági jogorvoslathoz való jogáról”, ugyanakkor az ilyen információk nem teszik lehetővé a felügyeleti hatóság érintettre vonatkozó intézkedésének és értékelésének utólagos felülvizsgálatát az adatkezelő kötelezettségeire tekintettel.

83.

Elöljáróban emlékeztetni kell arra, hogy egy általános értelmezési elv szerint valamely uniós jogi aktust – amennyiben lehetséges – úgy kell értelmezni, hogy ne váljon kérdésessé annak érvényessége, és hogy megfeleljen az elsődleges jog egészének, különösen a Charta rendelkezéseinek. Ily módon, ha a másodlagos uniós jogszabály szövege többféleképpen értelmezhető, azt az értelmezést kell előnyben részesíteni, amelynek alapján a rendelkezés összeegyeztethető az elsődleges joggal, szemben azzal, amely az azzal való összeegyeztethetetlenség megállapításához vezetne. ( 37 )

84.

Amint azt az előzetes észrevételek keretében és az első kérdés elemzése során kifejtettem, a 2016/680 irányelv 17. cikke szerint az érintett jogainak közvetett gyakorlására az illetékes felügyeleti hatóság közreműködésével is sor kerülhet, ha az érintett jogai korlátozva vannak a 2016/680 irányelv 13. cikkének (3) bekezdése, 15. cikkének (3) bekezdése és 16. cikkének (4) bekezdése alapján. Az érintett jogai csak akkor korlátozhatók, ha a korlátozás – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül az említett rendelkezésekben meghatározott valamely közérdekű cél megőrzése érdekében.

85.

A kérdés az, hogy az érintett jogait közvetve gyakorló felügyeleti hatóság által nyújtott tájékoztatás tartalma mennyiben teszi lehetővé az érintett számára, hogy a Charta 47. cikkének első bekezdése szerinti hatékony bírósági jogorvoslathoz való jogát gyakorolja.

86.

E tekintetben az első kérdés elemzése során már emlékeztettem arra, hogy a Charta 47. cikkében biztosított hatékony bírósági jogorvoslathoz való jog minden olyan személyt megillet, aki az uniós jog által részére biztosított jogokra vagy szabadságokra hivatkozik az őt hátrányosan érintő, e jogokat vagy szabadságokat sértő határozattal szemben. ( 38 )

87.

Mindazonáltal emlékeztetni kell arra, hogy a hatékony bírói jogvédelemhez való jog nem jelent korlátlan jogosultságot, és az a Charta 52. cikke (1) bekezdésének megfelelően korlátozható, feltéve, hogy először is, e korlátozást törvény írja elő, másodszor, arra a szóban forgó jogok és szabadságok lényeges tartalmának tiszteletben tartásával kerül sor, harmadszor pedig, az arányosság elvére figyelemmel e korlátozás elengedhetetlen és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja. ( 39 )

88.

A felügyeleti hatóság közreműködésével történő közvetett joggyakorlással összefüggésben rá kell mutatni arra, hogy a közvetett joggyakorlás lehetőségét az érintett jogainak korlátozása teremti meg. A felügyeleti hatóság feladata, hogy eljárjon olyan helyzetben, amelyben kivételesen korlátozva van valamely jog, ideértve azt is, amikor – a körülményektől függően – az adatkezelő elhagyja a korlátozás okairól való tájékoztatást. ( 40 ) Amint azt az első kérdés elemzése során részletesen bemutattam, e feladat ellátása során a felügyeleti hatóság szerepe nem az, hogy egyszerű „hírvivőként” járjon el, hanem az, hogy biztosítsa az adatkezelés jogszerűségét.

89.

A felügyeleti hatóság által az érintettel közölhető információk terjedelme szükségszerűen a hozzáférési jog korlátozását kiváltó okoktól függ. Minél nyomósabbak a korlátozás és a tájékoztatás esetleges elhagyásának okai, annál kevesebb információt tud a felügyeleti hatóság nyújtani. Az előzetes döntéshozatalra előterjesztett kérdés szövegének alapjául szolgáló feltevéssel ellentétben a 2016/680 irányelv 17. cikkének (3) bekezdéséből nem következik, hogy a felügyeleti hatóság minden körülmények között „csupán” megerősítheti, hogy minden szükséges ellenőrzést elvégeztek. Ellenkezőleg, e rendelkezés szerint a felügyeleti hatóság közli „legalább” azt, hogy minden szükséges ellenőrzést, illetve felülvizsgálatot elvégzett.

90.

Ebből következik, hogy a felügyeleti hatóság által nyújtandó információk nem határozhatók meg előre. Más szóval, a 17. cikk (3) bekezdésében meghatározott minimális tartalom nem az egyetlen lehetséges tartalom. Amint arra a Bizottság rámutatott, az információk terjedelmét eseti alapon kell meghatározni, és az a körülményektől, valamint a szóban forgó érdekeknek az arányosság elvére tekintettel történő mérlegelésétől függően változhat. Egy példával szemléltetve, amint azt a szakirodalom ( 41 ) helyesen megjegyzi, a felügyeleti hatóság számára problémamentesnek tűnik közölni az érintettel, hogy elírás miatt került az érintett neve egy rendőrségi adatbázisba.

91.

Meg kell jegyezni, hogy a bűnüldözésben érvényesítendő adatvédelemről szóló irányelvre vonatkozó bizottsági javaslat értelmében a felügyeleti hatóságoknak a minimális tájékoztatás mellett „a szóban forgó adatfeldolgozás [helyesen: adatkezelés] jogszerűségére vonatkozó eredményről” is tájékoztatniuk kellett volna az érintettet. ( 42 ) Ez utóbbi tájékoztatás – nevezetesen az adatkezelés jogszerűségére vonatkozó eredmény – nem került be a 2016/680 irányelv 17. cikkébe. Ez azonban nem jelenti azt, hogy az adatvédelmi szabályok esetleges megsértése tolerálható. Az első kérdés elemzése során rámutattam arra, hogy a felügyeleti hatóság bizalmas párbeszédet folytat az adatkezelővel. Ha a felügyeleti hatóság úgy ítéli meg, hogy az adatkezelés jogellenes, lehetőséget biztosít az adatkezelőnek a helyzet orvoslására. Ha azonban a helyzet orvoslására nem kerül sor, a felügyeleti hatóság köteles gyakorolni a 2016/680 irányelv 47. cikke szerinti kikényszerítési hatásköreit. Ilyen helyzetben véleményem szerint nem elegendő, hogy a felügyeleti hatóság jelentést tesz a nemzeti parlamentnek, ahogyan azt a rendőrségi információs felügyeleti testület a tárgyaláson kifejtette. A 2016/680 irányelv 47. cikkének (5) bekezdése alapján köteles gyakorolni arra vonatkozó hatáskörét, hogy az adatvédelmi szabályok megsértéséről tájékoztassa az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzen vagy abban más módon részt vegyen.

92.

Azt az értelmezést, hogy a felügyeleti hatóság mérlegelési mozgástérrel rendelkezik, amikor közvetve gyakorolja az érintett jogait, a független felügyeleti hatóságok Charta 8. cikkének (3) bekezdésében rögzített szerepének alkotmányos jelentősége is alátámasztja.

93.

Mindemellett fennállhatnak olyan körülmények, amelyek között a felügyeleti hatóság úgy ítéli meg, hogy nem közölhet a minimálisnál, tehát annál több információt, hogy minden szükséges ellenőrzést elvégeztek. Ilyen körülmények között a bírósági felülvizsgálat lehetetlen lenne, kivéve, ha a felügyeleti hatóság döntésének felülvizsgálatával megbízott bíróság meg tudja vizsgálni az e döntés alapjául szolgáló valamennyi indokot, valamint az adatkezelőnek a hozzáférés korlátozására vonatkozó döntését.

94.

E tekintetben először is rá kell mutatni arra, hogy a 2016/680 irányelv 15. cikkének (4) bekezdése szerint az adatkezelőnek nyilván kell tartania a hozzáférési jog korlátozására vonatkozó döntés ténybeli vagy jogi indokait, és ezeket az információkat a felügyeleti hatóságok rendelkezésére kell bocsátania. Amint arra az Európai Parlament rámutatott, el kell fogadni, hogy amennyiben ez az információ a felügyeleti hatóság rendelkezésére áll, úgy azt az igazságügyi hatóságnak is rendelkezésére kell bocsátani, ha az érintett gyakorolja az adatkezelő és/vagy a felügyeleti hatóság döntésének felülvizsgáltatásához való jogát.

95.

Másodszor, azokban a kivételes esetekben, amelyekben az adatkezelő nem nyújt tájékoztatást a megtagadás vagy az érintett jogai korlátozásának indokairól, a felügyeleti hatóság pedig csak a minimális tájékoztatást nyújtja, nevezetesen közli, hogy minden szükséges ellenőrzést elvégeztek, az érintett tagállam illetékes bíróságának az eljárásjog olyan technikáival és szabályaival kell rendelkeznie, és kell azokat alkalmaznia, amelyek lehetővé teszik egyrészről az e határozat elfogadásához figyelembe vett információk jellegére és forrásaira vonatkozó jogszerű közbiztonsági vagy közérdekű megfontolásokat, másfelől pedig azon szükséglet összehangolását, hogy a jogalanynak biztosítsák eljárási jogai – mint a meghallgatáshoz való jog és a kontradiktórius eljárás elve – tiszteletben tartását. ( 43 )

96.

A 2013. június 4‑iZZ ítéletből (C‑300/11, EU:C:2013:363) eredő ítélkezési gyakorlatban alkalmazott érveléssel összhangban ennek érdekében a tagállamok kötelesek egyfelől hatékony bírósági felülvizsgálatot előírni a nemzeti hatóság által hivatkozott okok fennállása és megalapozottsága tekintetében, másfelől a jelen indítvány előző pontjában említetteknek megfelelően e felülvizsgálatra vonatkozó technikákat és szabályokat előírni. ( 44 )

97.

A tárgyaláson a francia kormány azzal érvelt, hogy a ZZ ítélet háttere eltér az alapügy hátterétől, mivel a ZZ ítélet tárgyát az európai uniós polgárnak valamely tagállam területére való beutazását közbiztonsági okokból megtiltó határozat bírósági felülvizsgálata képezte. E tekintetben rá kell mutatni arra, hogy a Bíróságnak a Kadi ítéletre ( 45 ) támaszkodó ZZ ítéletből eredő ítélkezési gyakorlatban alkalmazott érvelése azon a követelményen alapul, hogy megfelelő módon mérlegelni kell a nemzetbiztonsági és a hatékony bírói jogvédelemhez való jogból eredő követelményeket. A tárgyaláson feltett kérdésre válaszolva a francia kormány jogi képviselője elfogadta, hogy ezen ítélkezési gyakorlatból lényegében az következik, hogy a bíróság előtt nincs titoktartás. Ezért úgy vélem, hogy ezt az ítélkezési gyakorlatot analógia útján a 2016/680 irányelvvel összefüggésben is alkalmazni kell, ha az illetékes hatóságok úgy vélik, hogy nemzetbiztonsági okok vagy bármely más, az érintettek jogainak korlátozásának igazolására alkalmas közérdekű ok megakadályozza a korlátozás alkalmazására vonatkozó ilyen döntés indokainak pontos és teljes körű közlését.

98.

A fentiekből az következik, hogy a 2016/680 irányelv 17. cikke összhangban van a Charta 8. cikkének (3) bekezdésével és 47. cikkével, amennyiben i. a felügyeleti hatóság a körülményektől függően többet is közölhet annál, hogy minden szükséges ellenőrzést elvégeztek, és ii. az érintett a felügyeleti hatóság rá vonatkozó intézkedésének és értékelésének bírósági felülvizsgálatát kérheti az adatkezelő kötelezettségeire tekintettel.

99.

A fentiekre tekintettel nem kérdőjeleződik meg a 2016/680 irányelv 17. cikkének érvényessége.

100.

A fentiek alapján azt javaslom, hogy a Bíróság a cour d’appel de Bruxelles (brüsszeli fellebbviteli bíróság, Belgium) részére a következőképpen válaszoljon: