1.

1946‑ban George Orwell a következő megjegyzéseket tette a „Keep Death off the Roads” (Tartsuk távol a halált az utaktól) kampányról, amelyet az Európai Unió egy volt tagállama folytatott a fenti időpontban: „Ha valóban távol akarjuk tartani a halált az utaktól, a teljes közútrendszert újra kell terveznünk úgy, hogy lehetetlenné váljanak az összeütközések. Gondolják végig, hogy ez mit jelent (például azzal jár, hogy Londont teljes egészében le kell bontani és újra kell építeni), és nyilvánvalóvá válik, hogy ez jelenleg minden nemzet lehetőségeit meghaladja. Ennek hiányában csak enyhítő intézkedéseket lehet hozni, amelyek végső soron arra irányulnak, hogy az embereket óvatosabbá tegyék”. ( 2 )

2.

A jelen előzetes döntéshozatal iránti kérelmet a Bíróság elé terjesztő Satversmes tiesa (alkotmánybíróság, Lettország) előtti, szóban forgó ügy középpontjában a fent említett „enyhítő intézkedések” állnak: annak érdekében, hogy a gépjárművezetők tudatosabbá és óvatosabbá tétele révén előmozdítsák a közúti közlekedésbiztonságot, a vezetőkkel szemben a közlekedési jogsértésekért büntetőpontokat szabnak ki. Ezen információt ezt követően közlik és további felhasználás céljából továbbítják. A kérdést előterjesztő bíróság, amelyhez alkotmányjogi panasszal fordultak, a szóban forgó nemzeti törvénynek az (EU) 2016/679 rendelettel ( 3 ) (a továbbiakban: általános adatvédelmi rendelet) való összeegyeztethetőségét kívánja értékelni.

3.

Emiatt a jelen ügy szinte klasszikus adatvédelmi ügy, abban az értelemben, hogy elsősorban az offline világban játszódik, és az állam és egy magánszemély közötti vertikális jogviszonyra vonatkozik, ezért zökkenőmentesen illeszkedik a kétségtelenül az első tág értelemben vett adatvédelmi ügyben ( 4 ) hozott, a fejlődést elindító Stauder ítélet ( 5 )óta a Bíróság elé kerülő ügyek sorába.

4.

Annak értékelése során, hogy milyen mértékben avatkozhat be egy tagállam valamely magánszemély személyes jogaiba a közúti közlekedésbiztonság előmozdítására irányuló céljának követése során, azt a választ fogom javasolni a Bíróságnak, hogy a szóban forgó lett jogszabályhoz hasonló intézkedések nem arányosak az általuk elérni kívánt céllal.

5.

Ám mielőtt erre rátérnék, a jelen ügy számos alapvető és összetett kérdést vet fel, amelyek nyaktörő sebességgel visznek majd végig minket az általános adatvédelmi rendeleten. Csatolják be a biztonsági öveket. Ezzel talán elkerülnek egy‑két büntetőpontot.

6.

Az általános adatvédelmi rendelet „Általános rendelkezések” című I. fejezete tartalmazza az 1–4. cikket, amelyek rögzítik a tárgyat, a tárgyi és a területi hatályt, valamint a fogalommeghatározásokat.

7.

Az általános adatvédelmi rendelet „Tárgy” című 1. cikke a következőképpen szól:

„(1)   Ez a rendelet a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg.

(2)   Ez a rendelet a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.

(3)   A személyes adatok Unión belüli szabad áramlása nem korlátozható vagy tiltható meg a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével összefüggő okokból.”

8.

Az általános adatvédelmi rendelet „Tárgyi hatály” című 2. cikke a következőképpen rendelkezik:

„(1)   E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(2)   E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:

[…]”

9.

Az általános adatvédelmi rendelet 5–11. cikkét tartalmazó II. fejezete a rendelet elveivel foglalkozik: a személyes adatok kezelésére vonatkozó elvekkel, az adatkezelés jogszerűségével, a hozzájárulás feltételeivel, ideértve az információs társadalommal összefüggő szolgáltatások vonatkozásában a gyermek hozzájárulására vonatkozó feltételeket is, a személyes adatok különleges kategóriáinak kezelésével és a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelésével, valamint az azonosítást nem igénylő adatkezeléssel.

10.

Az általános adatvédelmi rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke szerint:

„(1)   A személyes adatok:

(2)   Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

11.

Az általános adatvédelmi rendeletnek „A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelése” című 10. cikke kimondja:

„A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatoknak a 6. cikk (1) bekezdése alapján történő kezelésére kizárólag abban az esetben kerülhet sor, ha az közhatalmi szerv felügyelete alatt történik, vagy ha az adatkezelést az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós vagy tagállami jog lehetővé teszi. A büntetőjogi felelősség megállapítására vonatkozó határozatok teljes körű nyilvántartása csak közhatalmi szerv által végzett adatkezelés keretében történhet.”

12.

A 2003/98/EK irányelv ( 6 )„Tárgy és hatály” című 1. cikke a következőképpen szól:

„(1)   Ez az irányelv minimum szabályokat állapít meg a tagállamok közigazgatási szervei birtokában lévő dokumentumok további felhasználása, valamint további felhasználása megkönnyítésének gyakorlati eszközei vonatkozásában.

(2)   Ezt az irányelvet nem kell alkalmazni:

(3)   Ez az irányelv a tagállamok hozzáférési szabályaira épül, és azokat nem érinti.

(4)   Ez az irányelv semmilyen módon nem érinti az egyéneknek a uniós és nemzeti jog szerinti védelmi szintjét a személyes adatok feldolgozása vonatkozásában, különösen nem változtatja meg a 95/46/EK irányelv[ ( 7 )] szerinti jogokat és kötelezettségeket.

(5)   Az irányelv által meghatározott kötelezettségeket annyiban kell alkalmazni, amennyiben azok összeegyeztethetők a szellemi tulajdonjogok védelméről szóló nemzetközi egyezményekkel, különösen a Berni Egyezménnyel[ ( 8 )] és a TRIPS‑megállapodással”.[ ( 9 )]

13.

A 2003/98 irányelv „Fogalom‑meghatározások” című 2. cikkének szövege a következő:

„Ennek az irányelvnek az alkalmazásában a következő meghatározásokat kell alkalmazni:

14.

A 2003/98 irányelv „Alapelv” című 3. cikkének szövege a következő:

„(1)   A (2) bekezdésre figyelemmel a tagállamok biztosítják, hogy az 1. cikk szerint ezen irányelv alkalmazási körébe tartozó dokumentumok kereskedelmi vagy nem kereskedelmi célú további felhasználására a III. és IV. fejezetben meghatározott feltételek szerint kerül sor.

(2)   A könyvtár, ideértve az egyetemi könyvtárakat is, múzeum vagy levéltár szellemi tulajdonát képező dokumentumok esetében a tagállamok biztosítják, hogy amennyiben az ilyen dokumentumok további felhasználása engedélyezett, ezeknek a dokumentumoknak a kereskedelmi vagy nem kereskedelmi célú további felhasználására a III. és IV. fejezetben meghatározott feltételek szerint kerül sor.”

15.

A Ceļu satiksmes likums (közúti közlekedési törvény) 141. cikke (2) bekezdésének ( 10 ) szövege a következő:

„Valamely jogi személy tulajdonát képező gépjárműre, […] valamely személy gépjárművezetéshez való jogára, valamely személlyel szemben közlekedési jogsértések elkövetése miatt kivetett és a törvényes határidőn belül megfizetni elmulasztott bírságokra vonatkozó információt, és a gépjárművek és gépjárművezetők nemzeti nyilvántartásába [a továbbiakban: gépjárművek nemzeti nyilvántartása], valamint a vontatójárművekre és vezetőkre vonatkozó információs rendszerbe bejegyzett egyéb információkat nyilvánosan hozzáférhető információnak kell tekinteni.”

16.

B, a kérdést előterjesztő bíróság előtti eljárás felperese, természetes személy, akivel szemben a közúti közlekedési törvény és egy kapcsolódórendelet alapján jogsértés miatt büntetőpontokat szabtak ki. ( 11 ) A Ceļu satiksmes drošības direkcija (közúti közlekedésbiztonsági igazgatóság, Lettország, a továbbiakban: CSDD) az az állami szerv, amely e büntetőpontokat a gépjárművek nemzeti nyilvántartásába bejegyezte.

17.

Tekintettel arra, hogy a büntetőpontokra vonatkozó információ kérésre közölhető, és azt B szerint további felhasználásra több társaság részére továbbították, B alkotmányjogi panasszal fordult a kérdést előterjesztő bírósághoz, amelyben megkérdőjelezte a közúti közlekedési törvény 141. cikke (2) bekezdésének a Latvijas Republikas Satversme (a Lett Köztársaság alkotmánya) 96. cikkében foglalt, a magánélet tiszteletben tartásához való joggal való összeegyeztethetőségét.

18.

Mivel a közúti közlekedési törvény 141. cikkének (2) bekezdését a Latvijas Republikas Saeima (lett parlament) fogadta el, ez az intézmény részt vett az eljárásban. Ezenkívül a CSDD‑t, amely a szóban forgó adatokat kezeli, szintén meghallgatták. Emellett a Datu valsts inspekciját (adatvédelmi hatóság, Lettország), amely Lettországban az általános adatvédelmi rendelet 51. cikke értelmében vett felügyeleti hatóság, valamint több más hatóságot és személyt is felkértek arra, hogy amici curiae minőségükben fejtsék ki véleményüket a kérdést előterjesztő bíróság előtt.

19.

A Saeima (parlament) elismeri, hogy a szóban forgó rendelkezés alapján bárki információkat szerezhet egy másik személy jogsértés miatt kiszabott pontjairól akár oly módon, hogy közvetlenül a CSDD‑hez fordul, akár az adatok kereskedelmi célú további felhasználását végző szolgáltatók szolgáltatásainak igénybevétele útján.

20.

Ezzel együtt a Saeima (parlament) szerint e rendelkezés jogszerű, mivel azt a közúti közlekedésbiztonság javításának célkitűzése igazolja, amely megköveteli, hogy a közlekedési jogsértést elkövetőket nyíltan azonosítsák, és a gépjárművezetőket visszatartsák a jogsértések elkövetésétől.

21.

Ezenkívül tiszteletben kell a tartani a lett alkotmány 100. cikkében foglalt, az információkhoz való hozzáférés jogát. A büntetőpontokra vonatkozó információk kezelésére mindenesetre a hatóság ellenőrzése alatt és az érintettek jogai és szabadságai tekintetében megfelelő garanciák tiszteletben tartása mellett kerül sor.

22.

A Saeima (parlament) kifejti továbbá, hogy a gyakorlatban a gépjárművek nemzeti nyilvántartásában szereplő információ közlésének az a feltétele, hogy az információt kérő személy megadja azon gépjárművezető nemzeti azonosító számát, akiről érdeklődni kíván. Az információ megszerzésének e feltételét az indokolja, hogy valamely személy nevétől eltérően a nemzeti azonosító szám egyedi azonosítónak minősül.

23.

A CSDD a kérdést előterjesztő bíróság előtt bemutatta a jogsértésért kiszabott büntetőpontok rendszerének működését és megerősítette, hogy a nemzeti jogszabályok nem írnak elő korlátozásokat a büntetőpontokra vonatkozó adatokhoz való nyilvános hozzáférést és ezen adatok további felhasználását illetően.

24.

A CSDD ezenkívül a kereskedelmi céllal további felhasználást végzőkkel kötött szerződésekre vonatkozó információkkal is szolgált. Rámutatott, hogy e szerződések nem rendelkeznek az adatok jogi átruházásáról, és a további felhasználást végzők biztosítják, hogy az ügyfeleiknek továbbított információk nem terjednek túl a CSDD‑től megszerezhető információk körén. Ráadásul az egyik szerződéses rendelkezés kimondja, hogy az információk vevőjének az információkat a hatályos szabályozásban rögzített módon és a szerződésben foglalt céloknak megfelelően kell felhasználnia.

25.

Az adatvédelmi hatóság kétségeit fejezte ki a szóban forgó rendelkezésnek a lett alkotmány 96. cikkével való összeegyeztethetőségét illetően. Nem zárta ki annak lehetőségét, hogy a szóban forgó adatkezelés alkalmatlan vagy aránytalan lehet.

26.

E hatóság megjegyezte továbbá, hogy bár a lettországi közúti balesetekre vonatkozó statisztikák a balesetek számának csökkenését mutatják, nincs bizonyíték arra, hogy a jogsértésért kiszabott büntetőpontok rendszere és azzal kapcsolatos információkhoz való nyilvános hozzáférés hozzájárult ehhez a kedvező fejleményhez.

27.

A Satversmes tiesa (alkotmánybíróság) mindenekelőtt megjegyzi, hogy az előtte folyamatban lévő eljárás nem teljes egészében vonatkozik a közlekedési törvény 141. cikkének (2) bekezdésére, hanem csak annyiban érinti e rendelkezést, amennyiben az a gépjárművek nemzeti nyilvántartásába bejegyzett büntetőpontokat a nyilvánosság számára hozzáférhetővé teszi.

28.

E bíróság megállapítja továbbá, hogy a büntetőpontok személyes adatnak minősülnek, azokat ezért a magánélet tiszteletben tartásához való joggal összhangban kell kezelni. Hangsúlyozza, hogy a lett alkotmány 96. cikke hatályának értékelése során figyelembe kell venni az általános adatvédelmi rendeletet, valamint az EUMSZ 16. cikket és az Európai Unió Alapjogi Chartájának (a továbbiakban: Charta) 8. cikkét.

29.

A közúti közlekedési törvény célkitűzései tekintetében a kérdést előterjesztő bíróság kijelenti, hogy a gépjárművezetők által elkövetett jogsértéseket – amely Lettországban közigazgatási jellegű jogsértéseknek minősülnek – azzal a céllal jegyzik be a nemzeti bűnügyi nyilvántartásba, a büntetőpontokat pedig a gépjárművek nemzeti nyilvántartásába, hogy a gépjárművezetők magatartását befolyásolják, és így minimalizálják a személyek életét, egészségét és vagyonát érintő kockázatokat.

30.

A nemzeti bűnügyi nyilvántartás a(z akár büntetőjogi, akár közigazgatási) jogsértést elkövető személyekkel szemben hozott, felelősség megállapítására vonatkozó határozatok egységes nyilvántartása, amelynek célja többek között a kiszabott szankciók vagy korlátozások alkalmazása felülvizsgálatának megkönnyítése. A gépjárművek nemzeti nyilvántartása ezzel szemben a közúti közlekedési jogsértések nyomon követését és az elkövetett ilyen jogsértések számától függően intézkedések végrehajtását teszi lehetővé. A jogsértésért kiszabott büntetőpontok rendszerének célja, hogy javítsa a közúti közlekedésbiztonságot azáltal, hogy különbséget tesz a közúti közlekedési szabályokat rendszeresen és rosszhiszeműen figyelmen kívül hagyó gépjárművezetők, és azon gépjárművezetők között, akik alkalmanként követnek el jogsértéseket, továbbá elrettentő jelleggel befolyásolja az úthasználók magatartását.

31.

A kérdést előterjesztő bíróság megjegyzi, hogy a közúti közlekedési törvény 141. cikkének (2) bekezdése bárkinek biztosítja a jogot, hogy a CSDD‑től kérje és megkapja a gépjárművek nemzeti nyilvántartásában a gépjárművezetőkre jogsértés miatt kiszabott büntetőpontokra vonatkozóan szereplő információkat. A gyakorlatban a büntetőpontokra vonatkozó információkat akkor közlik az azokat kérő személlyel, ha megjelöli az érintett gépjárművezető nemzeti azonosító számát.

32.

A Satversmes tiesa (alkotmánybíróság) ezt követően pontosítja, hogy a büntetőpontok, mivel nyilvánosan hozzáférhető információnak minősülnek, az információ nyilvánosságra hozataláról szóló törvény hatálya alá tartoznak, és így az információ létrehozásának eredeti céljától eltérő kereskedelmi vagy nem kereskedelmi célokra további felhasználás tárgyát képezhetik.

33.

A lett alkotmány 96. cikkének az uniós joggal összhangban történő értelmezése és alkalmazása érdekében a kérdést előterjesztő bíróság először azt kívánja megtudni, hogy a lett jogban előírtakhoz hasonló büntetőpontok az általános adatvédelmi rendelet 10. cikkének hatálya alá tartoznak‑e. Közelebbről, a kérdést előterjesztő bíróság arról kíván megbizonyosodni, hogy a közúti közlekedési törvény 141. cikkének (2) bekezdése sérti‑e az általános adatvédelmi rendelet 10. cikkében foglalt azon követelményt, amely szerint az e rendelkezésben említett adatok kezelésére csak „közhatalmi szerv felügyelete alatt” vagy „az érintett jogai és szabadságai tekintetében megfelelő garanciá[k]” mellett kerülhet sor.

34.

E bíróság megjegyzi, hogy a 95/46 irányelv 8. cikkének (5) bekezdését – amely a tagállamokra bízta annak értékelését, hogy a bűncselekményekre és büntetőítéletekre vonatkozó adatokra irányadó különös szabályokat ki kell‑e terjeszteni a közigazgatási jogsértésekre és szankciókra is – Lettországban a Fizisko personu datu aizsardzības likums (a természetes személyek adatainak védelméről szóló törvény) 12. cikke ültette át, amely szerint a közigazgatási jogsértésekre vonatkozó adatokat – a bűncselekményekre és büntetőítéletekre vonatkozó adatokhoz hasonlóan – csak a törvény által meghatározott személyek a törvény által meghatározott körülmények között kezelhetik.

35.

Ennélfogva Lettországban több mint egy évtizeden keresztül hasonló követelmények vonatkoztak a bűncselekményekre és büntetőítéletekre vonatkozó személyes adatok, illetve a közigazgatási jogsértésekre vonatkozó személyes adatok kezelésére.

36.

E bíróság megjegyzi továbbá, hogy az általános adatvédelmi rendelet 10. cikkének hatályát e rendelet (4) preambulumbekezdésével összhangban az alapvető jogok társadalomban betöltött szerepének figyelembevételével kell vizsgálni. E bíróság e tekintetben úgy ítéli meg, hogy az annak biztosítására irányuló célkitűzés, hogy valamely személy korábbi elítélése ne gyakoroljon túlzottan negatív hatást a magánéletére és szakmai életére, a büntetőítéletekre és a közigazgatási jogsértésekre egyaránt vonatkozhat.

37.

A Satversmes tiesa (alkotmánybíróság) másodszor az általános adatvédelmi rendelet 5. cikkének hatályát kívánja meghatározni. Közelebbről, felteszi a kérdést, hogy a lett jogalkotó e rendelet (39) preambulumbekezdésére tekintettel eleget tett‑e az általános adatvédelmi rendelet 5. cikke (1) bekezdésének f) pontjában foglalt azon kötelezettségnek, amely szerint biztosítani kell, hogy a személyes adatokat az „integritás és bizalmas jelleg” tiszteletben tartásával kezeljék. Megjegyzi, hogy a közúti közlekedési törvény 141. cikkének (2) bekezdéséhez, amely a jogsértés miatt kiszabott büntetőpontokra vonatkozó információkhoz való hozzáférés biztosítása révén lehetővé teszi annak megállapítását, hogy valakit közúti közlekedési jogsértés miatt elítéltek‑e, nem kapcsolódnak az ilyen adatok biztonságát biztosító különös intézkedések.

38.

E bíróság harmadszor azt kívánja megtudni, hogy a 2003/98 irányelv releváns‑e a közlekedési törvény 141. cikke (2) bekezdésének a lett alkotmány 96. cikkével való összeegyeztethetőségének vizsgálata szempontjából. Ez az irányelv ugyanis kimondja, hogy a személyes adatok további felhasználása csak a magánélethez való jog tiszteletben tartása mellett engedhető meg.

39.

Negyedszer, a Bíróság azon ítélkezési gyakorlatára tekintettel, amely szerint az uniós jog előzetes döntéshozatali eljárásban történő értelmezése erga omnes és ex tunc hatállyal bír, a kérdést előterjesztő bíróság felteszi a kérdést, hogy amennyiben a közlekedési törvény 141. cikkének (2) bekezdése a lett alkotmánynak – a Bíróság által értelmezett uniós jogra tekintettel értelmezett – 96. cikkével összeegyeztethetetlennek minősül, fenntarthatja‑e a 141. cikk (2) bekezdésének időbeli hatályát az említett rendelkezés alkotmányellenességét megállapító ítélete meghozatalának időpontjáig azon jogviszonyok nagy számára tekintettel, amelyeket az ítélete érinteni fog.

40.

E tekintetben a kérdést előterjesztő bíróság kifejti, hogy a lett jog értelmében az alkotmányellenesnek nyilvánított jogi aktus a Satversmes tiesa (alkotmánybíróság) ítélete kihirdetésének napjától hatályát veszti, hacsak a Satversmes tiesa (alkotmánybíróság) eltérően nem határoz. Bemutatja továbbá a saját gyakorlatát, amely egyensúlyt kíván teremteni a jogbiztonság elve és a különböző érintett felek alapvető jogai között azon időpont meghatározása során, amelytől kezdve az alkotmányellenesnek nyilvánított rendelkezés hatályát veszti.

41.

A fentiek alapján a Satversmes tiesa (alkotmánybíróság, Lettország) a Bírósághoz 2019. június 11‑én érkezett, 2019. június 4‑i határozatával a következő kérdéseket terjesztette a Bíróság elé előzetes döntéshozatalra:

42.

Írásbeli észrevételeket a lett, a holland, az osztrák és a portugál kormány, valamint az Európai Bizottság nyújtott be.

43.

A SARS‑CoV‑2 vírus terjedésére tekintettel a Bíróság úgy határozott, hogy nem tartja meg a jelen ügyben 2020. május 11‑re kitűzött tárgyalást. Pervezető intézkedések keretében, kivételes jelleggel a Bíróság úgy határozott, hogy e tárgyalás helyett írásbeli választ igénylő kérdéseket intéz a felekhez. A lett és a svéd kormány, valamint a Bizottság válaszolt a Bíróság által a részükre feltett kérdésekre.

44.

A jelen előzetes döntéshozatal iránti kérelem több alapvető kérdést vet fel az általános adatvédelmi rendelettel kapcsolatban. Mindezek a kérdések azonban feltételezik, hogy az általános adatvédelmi rendeletet a szóban forgó ügyre alkalmazni kell. ( 12 ) Ezt a kérdést azért vetem fel, mivel az Európai Unió nem alkotott jogot a közlekedési jogsértésekért kiszabott büntetőpontok területén.

45.

Az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontja szerint e rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt az uniós jog hatályán kívül eső tevékenységek során végzik. Látható, hogy míg az általános adatvédelmi rendelet 2. cikkének (1) bekezdése pozitív módon fogalmazza meg, hogy mi tartozik e rendelet hatálya alá, ( 13 ) 2. cikkének (2) bekezdése pedig négy tevékenységtípust kizár annak hatálya alól. A főszabály alóli kivételként az általános adatvédelmi rendelet 2. cikkének (2) bekezdését megszorítóan kell értelmezni. ( 14 )

46.

Az uniós jogalkotó jogi eszközként annak érdekében választotta a rendeleti formát, hogy növelje az uniós adatvédelmi jog egységességét, és különösen annak érdekében, hogy a belső piaci (gazdasági) szereplők számára a letelepedési helyüktől függetlenül egyenlő versenyfeltételeket biztosítson. ( 15 )

47.

Az EUMSZ 16. cikk nem csupán a jogalapot tartalmazza az általános adatvédelmi rendelethez hasonló jogszabályok elfogadásához, hanem általánosabban véve, mivel az EUM‑Szerződés első része II. címének ( 16 ) részét képezi, alkotmányos jellegű horizontális rendelkezésnek minősül, amelyet bármely uniós hatáskör gyakorlása során figyelembe kell venni.

48.

Elődjéhez, a 95/46 irányelvhez hasonlóan az általános adatvédelmi rendelet célja, hogy biztosítsa a természetes személyek alapvető jogainak és szabadságainak, különösen a személyes adatok kezelése tekintetében a magánélet tiszteletben tartásához való jog magas szintű védelmét. ( 17 )

49.

Az általános adatvédelmi rendelet 2. cikke (2) bekezdése a) pontjának szövege lényegében e rendelet elsődleges jogi jogalapjának, vagyis az EUMSZ 16. cikk (2) bekezdésének a szövegét tükrözi, ( 18 ) amely szerint az uniós jogalkotónak meg kell állapítania a tagállamoknak „az uniós jog alkalmazási körébe tartozó tevékenységeik során” a természetes személyek személyes adatainak a tagállamok által végzett feldolgozása tekintetében történő védelmére, „valamint az ilyen adatok szabad áramlására vonatkozó szabályokat”. ( 19 ) E rendelkezés tehát deklaratív jellegű. Ennek megfelelően az alábbiakban következő elemzés egyaránt vonatkozik az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontjára és az EUMSZ 16. cikk (2) bekezdésére.

50.

Először is meg kell jegyezni, hogy az általános adatvédelmi rendelet 2. cikke (2) bekezdése a) pontjának szövege („az uniós jog hatályán kívül eső tevékenységek”) eltér a Charta 51. cikke ( 20 ) (1) bekezdésének szövegétől, amely szerint „[e] Charta rendelkezéseinek címzettjei […] a tagállamok annyiban, amennyiben az Unió jogát hajtják végre”. ( 21 )

51.

Jóllehet ezt arra utaló jelnek kellene tekintenünk, hogy az általános adatvédelmi rendelet 2. cikke (2) bekezdése a) pontjának megfogalmazása tágabb, mint a Charta 51. cikkének (1) bekezdéséé, ( 22 ) tekintettel arra, hogy a Bíróság a Charta 51. cikkének (1) bekezdését úgy értelmezte, hogy a Chartát akkor kell alkalmazni, „amikor valamely nemzeti szabályozás az uniós jog hatálya alá tartozik” ( 23 ), nincs lényegi különbség a Bíróság által értelmezett e két rendelkezés megfogalmazása között. ( 24 )

52.

Ezzel együtt nem gondolom, hogy analógiát kellene vonni a Bíróságnak a Charta alkalmazási körével kapcsolatos ítélkezési gyakorlatával. ( 25 ) Ez túlságosan megszorító lenne, és ellentétes lenne az EUMSZ 16. cikk és általános adatvédelmi rendelet által elérni kívánt célkitűzéssel. A Charta logikája ugyanis teljesen más, mint az általános adatvédelmi rendeleté: a Charta célja, hogy „megszelídítse” az uniós intézmények és az uniós jog alkalmazási körében eljáró tagállam általi hatalomgyakorlást, és fordítva, hogy védőpajzsot biztosítson az egyéneknek a jogaik érvényesítéséhez. Ezzel szemben a személyes adatok védelme több, mint alapvető jog. Amint azt az EUMSZ 16. cikk mutatja, ( 26 ) az adatvédelem önálló uniós szakpolitikai területet jelent. Az általános adatvédelmi rendelet célja éppen az, hogy azt a személyes adatok kezelésének tárgyától függetlenül annak bármely formájára alkalmazzák, akár tagállamok, akár magánszemélyek végzik azt. Az általános adatvédelmi rendelet 2. cikke (2) bekezdése a) pontja szövegének megszorító értelmezése teljes mértékben meghiúsítaná ezt a célkitűzést. Az általános adatvédelmi rendelet, amelyet az adatvédelem tigrisének szántak, házicicának bizonyulna.

53.

Az általános adatvédelmi rendelet 10. cikkéhez hasonló rendelkezésnek – amelyet a kérdést előterjesztő bíróság első kérdésének elemzése során az alábbiakban részletesen értelmezni fogok – a puszta létezése éppen ezt mutatja. Ha az általános adatvédelmi rendelet a „büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatoknak a[z e rendelet] 6. cikk[ének] (1) bekezdése alapján történő kezelésé[vel]” ( 27 ) foglalkozik akkor, amikor a büntetőjogi felelősség megállapítására vonatkozó határozatokat és bűncselekményeket szinte kizárólag a nemzeti, és nem az uniós jog határozza meg, akkor – hacsak nem érvénytelen az általános adatvédelmi rendelet 10. cikke – e rendelet nem rendelkezhet olyan járulékos funkcióval, amely a Chartát jellemzi.

54.

Ugyanez vonatkozik az általános adatvédelmi rendelet 87. cikkének létezésére, amely cikk lehetővé teszi a tagállamoknak, hogy részletesebben meghatározzák a nemzeti azonosító számok kezelésének konkrét feltételeit. ( 28 )

55.

Ezenkívül figyelembe kell venni az általános adatvédelmi rendelet (16) preambulumbekezdését, amely e rendelet nem előíró jellegű, azonban tanulságos részében az általános adatvédelmi rendelet 2. cikkét tükrözi. Itt az uniós jog hatályán kívül eső területek példájaként a nemzetbiztonságot említi. Ugyanez a helyzet az EUM‑Szerződés 16. cikkéről szóló, szintén nem kötelező erejű nyilatkozat ( 29 ) esetében, amelyben szerepel az a kijelentés, hogy „minden olyan esetben, amikor a[z EUSZ] 16. cikk alapján elfogadandó, a személyes adatok védelmére vonatkozó rendelkezéseknek a nemzetbiztonságot közvetlenül érintő vonatkozásuk van, a kérdés sajátos jellegére kellő figyelmet kell fordítani”, és amely emlékeztet, hogy „különösen a [95/46 irányelv] különleges eltérésekről rendelkezik e tekintetben”. ( 30 )

56.

A nemzetbiztonságra helyezett e kifejezett hangsúly egyértelműen mutatja, hogy a vonatkozó bekezdések megszövegezése során mind az EUM‑Szerződés alkotói (az EUMSZ 16. cikk), mind az uniós jogalkotó (az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontja) mit tartottak szem előtt.

57.

Az uniós jogalkotó másutt, szintén az adatvédelemmel összefüggésben pontosította, hogy nemzetbiztonság alatt ebben az összefüggésben „az állam biztonsága” értendő. ( 31 )

58.

Ebben az összefüggésben az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontját az EUSZ 4. cikk (2) bekezdésére tekintettel kell vizsgálni, amely kimondja, hogy az Európai Unió tiszteletben tartja a tagállamok alapvető állami funkcióit, ( 32 ) és ezzel összefüggésben példaként rögzíti, hogy „a nemzeti biztonság az egyes tagállamok kizárólagos feladata marad”. Az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontja nem tesz mást, mint megismétli az állam működésének garantálására vonatkozó ezen alkotmányos követelményt. ( 33 )

59.

A fenti elemzés alapján nincs okom feltételezni sem azt, hogy az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontja a rendelet alkalmazhatóságához elérendő magas küszöböt tartalmazó tesztet vezet be, sem pedig azt, hogy az uniós jogalkotó szándéka erre irányult volna.

60.

Végül az általános adatvédelmi rendelet tárgyi hatálya alóli három fennmaradó – a rendelet 2. cikke (2) bekezdésének b)–d) pontjában szereplő – kivételre vetett gyors pillantás is megerősíti ezt az elemzést. Az általános adatvédelmi rendelet tehát nem alkalmazandó a személyes adatok kezelésére, ha azt a tagállamok az EU közös kül‑ és biztonságpolitikájának hatálya alá tartozó tevékenységek során végzik, ( 34 ) ha azt természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik, ( 35 ) valamint, ha azt az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését is. ( 36 )

61.

A még mindig túlnyomóan kormányközi jellegű közös kül‑ és biztonságpolitika kizárása teljesen logikus. ( 37 ) A természetes személyek kizárólag személyes vagy otthoni tevékenységei mindenesetre főszabály szerint az uniós jog hatályán kívül esnek, mivel azokat az elsődleges vagy a másodlagos jog nem szabályozza. Főszabály szerint ugyanez vonatkozik a bűncselekmények megelőzésére, nyomozására, felderítésére, vádeljárás lefolytatására vagy büntetőjogi szankciók végrehajtására. Ez utóbbi kivételt mindazonáltal az indokolja, hogy az Unió külön irányelvet ( 38 ) fogadott el, mégpedig egyébiránt éppen az általános adatvédelmi rendelet elfogadásának napján. Ezenkívül az általános adatvédelmi rendelet 23. cikke (1) bekezdésének d) pontjából egyértelműen kitűnik, hogy a személyes adatok ugyanezen célokból történő, magánszemélyek általi kezelése az általános adatvédelmi rendelet hatálya alá tartozik. ( 39 )

62.

Ennek megfelelően, amennyiben az utolsó két kivételnek bármilyen normatív jogi jelentőséget kell tulajdonítani, azok nem tekinthetők úgy, hogy az általános adatvédelmi rendelet 2. cikke (2) bekezdése a) pontjának értelmében az uniós jog hatályán kívül esnek.

63.

Végül rá kell mutatni, hogy nincs látható bizonyítéka annak, hogy a Bíróság főszabály szerint az általános adatvédelmi rendelet 2. cikke alapján e rendelet hatályára, illetve a 95/46 irányelv 3. cikke alapján ezen irányelv hatályára vonatkozóan szigorú vizsgálatot végezne. ( 40 ) Épp ellenkezőleg, a Bíróság általában inkább azt hangsúlyozza, hogy „a 95/46 irányelv alkalmazhatósága nem függhet attól a kérdéstől, hogy az alapügyekben szereplő konkrét helyzetek elégséges kapcsolatot tartanak‑e a fenn a Szerződés által biztosított alapvető szabadságok gyakorlásával” ( 41 ).

64.

Az elemzés ezen előzetes részének lezárásaként kimondható, hogy az általános adatvédelmi rendelet 2. cikke (2) bekezdése a) pontjának megfelelő értelmezése alapján e rendeletet alkalmazni kell a személyes adatok valamely tagállamban vagy tagállam által történő kezelésére, kivéve, ha erre az adatkezelésre olyan területen kerül sor, ahol az Európai Unió nem rendelkezik hatáskörrel.

65.

Következésképpen az általános adatvédelmi rendeletet alkalmazni kell a jelen ügyben, és azt a kérdést előterjesztő bíróságnak a nemzeti jog érvényességének vizsgálata során figyelembe kell vennie.

66.

A teljesség érdekében a jelen ügyben röviden foglalkozom az általános adatvédelmi rendelet 86. cikkének rendelkezésével.

67.

E cikk szerint a közérdekű feladat teljesítése céljából közhatalmi szervek, vagy egyéb, közfeladatot ellátó szervek, illetve magánfél szervezetek birtokában lévő hivatalos dokumentumokban szereplő személyes adatokat az adott szerv vagy szervezet az uniós joggal vagy a szervre vagy szervezetre alkalmazandó tagállami joggal összhangban nyilvánosságra hozhatja annak érdekében, hogy a hivatalos dokumentumokhoz való nyilvános hozzáférést összeegyeztesse a személyes adatok általános adatvédelmi rendelet szerinti védelméhez való joggal.

68.

E rendelkezés csupán elismeri a hivatalos dokumentumokhoz való nyilvános hozzáférés fontosságát. Ezenkívül, amint arra a Bizottság helytállóan rámutat, e rendelkezés nem ad további útmutatást arra vonatkozóan, hogy a hivatalos dokumentumokhoz való nyilvános hozzáférést hogyan kell összeegyeztetni az adatvédelmi szabályokkal. ( 42 ) E rendelkezés inkább deklaratív jellegű, vagyis inkább egy preambulumbekezdéshez, mint egy jogszabályszöveg előíró jellegű rendelkezéséhez hasonlít. ( 43 ) Ebből következően véleményem szerint az általános adatvédelmi rendelet 86. cikkének „narratív normája” nem befolyásolja az alábbiakban következő elemzést.

69.

Első kérdésével a kérdést előterjesztő bíróság arról kíván meggyőződni, hogy az általános adatvédelmi rendelet 10. cikkét úgy kell‑e értelmezni, hogy az kiterjed a nemzeti jogban előírt, a gépjárművezetőkkel szemben közlekedési jogsértésért kiszabott büntetőpontokra vonatkozó információ kezelésére vonatkozó helyzetekre.

70.

E rendelkezés szerint a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatoknak az általános adatvédelmi rendelet 6. cikkének (1) bekezdése ( 44 ) alapján történő kezelésére kizárólag abban az esetben kerülhet sor, ha az közhatalmi szerv felügyelete alatt történik. ( 45 ) A büntetőjogi felelősség megállapítására vonatkozó határozatok teljes körű nyilvántartása csak közhatalmi szerv által végzett adatkezelés keretében történhet.

71.

Tekintettel arra, hogy a CSDD közhatalmi, azaz „állami” szervnek tűnik, az első kérdés relevanciája megkérdőjelezhető, és felvethető, hogy e kérdés a Bíróság elfogadhatóságra vonatkozó ítélkezési gyakorlata értelmében nem hipotetikus jellegű‑e. E kétségeket mindazonáltal eloszlatnám azzal, hogy rámutatok, a jelen ügy mind a büntetőpontok (CSDD általi) közlésére, mind pedig ezen adatok más szervek általi további felhasználására vonatkozik. Az első kérdés véleményem szerint elfogadható, amennyiben az említett más szervekre vonatkozik.

72.

Az általános adatvédelmi rendelet 4. cikkének 1. pontja szerint „személyes adat” azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat vagy online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

73.

Nincs okom kétségbe vonni, hogy a gépjárművezetőkkel szemben közlekedési jogsértésért kiszabott büntetőpontokra vonatkozó információ az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében személyes adatnak minősül.

74.

Az általános adatvédelmi rendelet 10. cikkében említett „bűncselekményeket” illetően megjegyzendő, hogy nem egyértelmű e rendelkezés összes nyelvi változatában, hogy e kifejezés csak a büntetőjogi jogsértésekre (bűncselekményekre) utal‑e, vagy a közigazgatási jogsértésekre is kiterjed. Az angol nyelvi változat legtermészetesebb és legintuitívabb értelmezése szerint a „criminal” (büntetőjogi) szót úgymond a zárójel elé helyezték, így az a „convictions” (felelősség megállapítására vonatkozó határozatok) és az „offences” (jogsértések) szóhoz is kapcsolódik. Egyes nyelvi változatok ( 46 ) ebben az összefüggésben nem hagynak teret a kétségnek: az általános adatvédelmi rendelet 10. cikke értelmében vett jogsértéseket bűncselekményként kell értelmezni. Más nyelvi változatok ( 47 ) több módon is értelmezhetők. A lett nyelvi változat (saistītiem drošības pasākumiem), amelyet a kérdést előterjesztő bíróság valószínűleg a legjobban ismer, szintén nem egyértelmű. Itt nem csupán azt nem pontosítják, hogy a jogsértések (pārkāpumi) büntetőjogi jellegűek‑e, hanem azt a kérdést is nyitva hagyják, hogy a „felelősség megállapítására vonatkozó határozatok”(sodāmība) büntetőjogi jellegűek‑e. ( 48 )

75.

Még ha a különböző nyelvi változatok tarka mozaiknak tűnnek is, bizonyos következtetéseket már most le lehet vonni.

76.

Az Európai Unió valamennyi hivatalos nyelve, amelyen a jogi aktust megszövegezik, a jogi aktus hiteles nyelvének minősül, így főszabály szerint valamely uniós jogi aktus valamennyi nyelvi változatának azonos értéket kell tulajdonítani. ( 49 ) Egy uniós jogi rendelkezés értelmezése maga után vonja a különböző nyelvi változatok összehasonlítását. ( 50 ) Ezenkívül valamely uniós jogszabály eltérő nyelvi változatait egységesen kell értelmezni. ( 51 )

77.

E körülmények között a „pontosabb” nyelvi változatok jelentését kell helyesnek tekinteni, különösen, mivel ez a pontosabb jelentés a kevésbé pontos nyelvi változatok esetében is a lehetséges értelmezések egyike, vagyis ezek tekintetében elmondható, hogy az egyik lehetőség egy olyan értelmezés, amely szerint a jogsértések csak büntetőjogi jellegűek. Ezért e szakaszban ideiglenes jelleggel megállapítható, hogy az általános adatvédelmi rendelet 10. cikke különböző nyelvi változatainak összehasonlító értelmezése alapján a „büntetőjogi” kifejezés a „felelősség megállapítására vonatkozó határozatokra” és a jogsértésekre egyaránt vonatkozik. ( 52 )

78.

Az általános adatvédelmi rendelet 10. cikkének e javasolt értelmezése ezenkívül megtartja a rendelet előzményét alkotó 95/46 irányelv 8. cikkének (5) bekezdésében szereplő különbségtételt is. Ez utóbbi rendelkezés alapján a büntetőítéletek és bűncselekmények esetében a hatóság általi ellenőrzésre vonatkozó követelmény állt fenn, ( 53 ) míg közigazgatási szankciók esetében lehetőség volt az adatkezelés hatóság általi ellenőrzésére. ( 54 ) Ha a 95/46 irányelv 8. cikkének (5) bekezdése keretében a „bűncselekmények” kifejezést úgy értelmezték volna, hogy az a közigazgatási jogsértésekre is kiterjed, e rendelkezés második albekezdése felesleges lett volna.

79.

Ez a megállapítás még mindig nyitva hagyja azt a kérdést, hogy pontosan mi értendő a „bűncselekmények” kifejezés alatt.

80.

Az első kérdés itt az, hogy e kifejezés esetében az uniós jog önálló fogalmáról van‑e szó, vagy e fogalom értelmezését a tagállamokra bízzák.

81.

A Bíróság állandó ítélkezési gyakorlata szerint az uniós jog egységes alkalmazásának követelményéből és az egyenlőség elvéből az következik, hogy a jelentésének és hatályának meghatározása érdekében a tagállamok jogára kifejezett utalást nem tartalmazó uniós jogi rendelkezést önállóan és egységesen kell értelmezni az egész Unióban. ( 55 ) Ezen értelmezés során figyelembe kell venni a szóban forgó rendelkezés kifejezéseit, céljait és szövegkörnyezetét, valamint az uniós jogi rendelkezések összességét is. Valamely uniós jogi rendelkezés keletkezéstörténete szintén releváns elemeket hordozhat értelmezése szempontjából. ( 56 )

82.

E tekintetben egyértelmű, hogy főszabály szerint a büntetőjogi jogszabályok és a büntetőeljárás szabályai a tagállamok hatáskörébe tartoznak. ( 57 ) Következésképpen a tagállamok képesek annak meghatározására, hogy mi minősül bűncselekménynek. ( 58 )

83.

Ugyanakkor, mivel az uniós jogalkotó az irányelv helyett a rendelet jogi formáját választotta, véleményem szerint e rendelet fogalmainak az Európai Unió egészében történő egységes értelmezése kell hogy legyen a főszabály, annak érdekében, hogy az EUMSZ 288. cikk (2) bekezdésével összhangban biztosított legyen a rendelet általános hatálya és valamennyi tagállamban való közvetlen alkalmazandósága.

84.

Hasonlóképpen, vannak arra utaló jelek, hogy az uniós jogalkotó a „bűncselekmények” kifejezés értelmezését illetően nem kívánt a nemzeti jog(ok)ra hivatkozni. Így a 2016/680 irányelv ( 59 ) (13) preambulumbekezdése kimondja, hogy a bűncselekmény ezen irányelv értelmében vett fogalma az Európai Unió Bírósága általi értelmezésnek megfelelő, önálló uniós jogi fogalomnak minősül. Véleményem szerint az a maiore ad minus szellemében ez az állítás az általános adatvédelmi rendeletre is vonatkozik, amely – amint azt az imént megállapítottam – rendelet lévén olyan jogi aktust jelent, amely automatikusan nagyobb mértékű integrációt és központosítást biztosít.

85.

A második kérdés, amely annak megállapítására irányul, hogy a szóban forgó személyes adatok az általános adatvédelmi rendelet 10. cikke értelmében büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre, illetve kapcsolódó biztonsági intézkedésekre vonatkoznak‑e, nehezebben megválaszolható.

86.

A Bíróságnak a Charta 50. cikke szerinti ne bis in idem elvével ( 60 ) összefüggésben már volt alkalma a „bűncselekmény” meghatározásáról határozni. ( 61 )

87.

E tekintetben a Bíróság az Emberi Jogok Európai Bíróságának ítélkezési gyakorlatára ( 62 ) támaszkodik, amely szerint a „büntetőeljárás” fogalmának meghatározása során három kritériumnak van jelentősége: a jogsértés belső jog szerinti jogi minősítésének, a jogsértés jellegének, és az érintett személlyel szemben kiszabható szankció természetének és súlyának. ( 63 )

88.

A szóban forgó nemzeti törvény szerinti, jogsértés miatt kiszabott büntetőpontok véleményem szerint ezen ítélkezési gyakorlat alapján nem minősülnek bűncselekménnyel kapcsolatosnak, mivel nem felelnek meg e kritériumoknak. Közelebbről, nem igazán súlyos jellegűek. ( 64 )

89.

Végül hangsúlyozni szeretném, hogy ezen elemzés eredményeként nem szükséges vizsgálni az általános adatvédelmi rendelet 10. cikke és a 2016/680 irányelv rendelkezéseinek elhatárolását, mivel ezen irányelv a jelen ügyben nem alkalmazandó.

90.

Az első kérdésére ezért azt a választ javaslom adni, hogy az általános adatvédelmi rendelet 10. cikkét úgy kell értelmezni, hogy az nem terjed ki a gépjárművezetőkkel szemben közlekedési jogsértésért kiszabott büntetőpontokra vonatkozó információ kezelésére vonatkozó, olyan nemzeti jogi rendelkezésben szabályozott helyzetekre, mint a közúti közlekedési törvény 141. cikkének (2) bekezdése.

91.

Második kérdésével a kérdést előterjesztő bíróság lényegében arról kíván meggyőződni, hogy az általános adatvédelmi rendelet rendelkezései kizárják‑e, hogy egy tagállam a gépjárművezetőkkel szemben közlekedési jogsértésért kiszabott büntetőpontokra vonatkozó információkat kezelje és közölje.

92.

Bár a kérdést előterjesztő bíróság példaként az általános adatvédelmi rendelet 5. cikke (1) bekezdésének f) pontjában ( 65 ) szereplő integritás és bizalmas jelleg elvére utal, a kérdés tágan került megfogalmazásra, mivel az egész rendelet rendelkezéseire hivatkozik. ( 66 ) Az alábbi elemzés ezért az általános adatvédelmi rendelet más rendelkezéseire is kiterjed, mint amelyet a kérdést előterjesztő bíróság a kérdésében említett.

93.

A személyes adatok bármely kezelésének egyrészt meg kell felelnie az általános adatvédelmi rendelet 5. cikkében kifejtett, az adatok minőségére vonatkozó elveknek, másrészt pedig teljesítenie kell az e rendelet 6. cikkében felsorolt, az adatkezelés jogszerűvé tételére vonatkozó kritériumok valamelyikét. ( 67 ) E két rendelkezés szövegéből levezethető, hogy az előbbi kritériumok együttes, ( 68 ) az utóbbiak pedig vagylagos jellegűek. ( 69 )

94.

A második kérdés az adatok minőségével kapcsolatos elvekre vonatkozik. A kérdést előterjesztő bíróság – helytállóan – azt feltételezi, hogy a CSDD adatokat kezel, és nem maguknak a büntetőpontoknak a nyilvántartását, hanem a büntetőpontok kérelemre történő közlését kérdőjelezi meg.

95.

A CSDD kétségkívül az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett „adatkezelő”, amely e rendelet 4. cikkének 2. pontja értelmében személyes adatokat kezel azzal, hogy a büntetőpontokat a gépjárművek nemzeti nyilvántartásában rögzíti.

96.

Elegendő rámutatni, hogy a Bíróság egy állami tulajdonban lévő „cégnyilvántartás” vonatkozásában megállapította, hogy a cégnyilvántartást vezető hatóság azzal, hogy az említett információkat e nyilvántartásba bejegyzi, ott tárolja, és azokat adott esetben kérelemre harmadik felekkel közli, „személyes adatokat kezel”, és ezen adatkezelés tekintetében a 95/46 irányelvben szereplő – az általános adatvédelmi rendelet 4. cikke 2. pontjában és 7. cikkében szereplő fogalommeghatározások előzményét alkotó – fogalommeghatározások ( 70 ) értelmében ő az „adatkezelő”. ( 71 )

97.

Ez felveti a kérdést, hogy tiszteletben tartották‑e az általános adatvédelmi rendelet 5. cikke (1) bekezdésének f) pontjában szereplő integritás és bizalmas jelleg elvét, amely rendelkezésre kérdésében maga a kérdést előterjesztő bíróság is hivatkozik.

98.

Az általános adatvédelmi rendelet 5. cikke (1) bekezdésének f) pontja szerint a személyes adatok kezelését oly módon kell végezni, hogy a megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

99.

Amint az e rendelkezés szövegéből egyértelmű, e rendelkezés a személyes adatok kezelésével összefüggésben tett biztonsági, valamint technikai és szervezési intézkedésekről szól. ( 72 ) Itt az adatok biztonságára vonatkozó általános alaki követelményekről van szó. ( 73 )

100.

A kérdést előterjesztő bíróság ezzel szemben alapvetőbb jellegű és az ilyen adatkezelés jogi lehetőségével kapcsolatos iránymutatást kér. Másként – szemléletesebben – fogalmazva, a kérdést előterjesztő bíróság arról kér iránymutatást, hogy sor kerülhet‑e egyáltalán a személyes adatok kezelésére, míg az általános adatvédelmi rendelet 5. cikke (1) bekezdésének f) pontja azzal foglalkozik, hogy hogyan történjen az ilyen adatkezelés. Következésképpen az általános adatvédelmi rendelet 5. cikke (1) bekezdésének f) pontja a jelen ügyben nem releváns.

101.

Az általános adatvédelmi rendelet 5. cikke (1) bekezdésének a) pontja szerint a személyes adatokat jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell kezelni.

102.

Megjegyzendő, hogy a „jogszerűség” kifejezés az általános adatvédelmi rendelet 5. cikke (1) bekezdésének a) pontjában és 6. cikkében egyaránt szerepel. Jogszabályszerkesztési szempontból nem sok értelme lenne annak, hogy a 6. cikk részletes követelményeit beleértsük a rendelet 5. cikkébe, ha az 5. cikk az általános adatvédelmi rendelet 6. cikkének kritériumait is tartalmazná.

103.

Ehelyett az általános adatvédelmi rendelet 5. cikke (1) bekezdésének a) pontja értelmében vett jogszerűséget e rendelet (40) preambulumbekezdésére ( 74 ) tekintettel kell értelmezni, amely előírja, hogy az adatkezelésre vagy hozzájárulás alapján, vagy jogszabály által megállapított más jogalap alapján kerüljön sor. ( 75 )

104.

Mivel ez így van (létezik nemzeti jogi jogalap), nem látom okát annak, hogy kétségbe vonjam a szóban forgó adatkezelés jogszerűségét. ( 76 )

105.

Egyetértek tehát az osztrák kormány által előadottakkal ( 77 ) abban, hogy ez az elv nem releváns a szóban forgó ügy tényállása szempontjából.

106.

Az általános adatvédelmi rendelet 5. cikke (1) bekezdésének b) pontja rögzíti a „célhoz kötöttség” elvét, kimondva, hogy a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon. ( 78 )

107.

A kérdést előterjesztő bíróság kifejti, hogy a szóban forgó rendelkezés, a közúti közlekedési törvény 141. cikkének (2) bekezdése, a közúti közlekedésbiztonság célját kívánja elérni azáltal, hogy láthatóvá teszi a szabályokat megsértő gépjárművezetőket. Ekképpen úgy tűnik, hogy a jogsértésért kiszabott büntetőpontok közlése meghatározott, egyértelmű és jogszerű célból történik. Ezenkívül a személyes adatok kezelése nem tűnik e céllal összeegyeztethetetlennek.

108.

Az általános adatvédelmi rendelet 5. cikke (1) bekezdésének c) pontja értelmében az adattakarékosság elve megköveteli, hogy a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak legyenek, és a szükségesre korlátozódjanak. Ennek megfelelően az általános adatvédelmi rendelet (39) preambulumbekezdése kimondja, hogy személyes adatok csak abban az esetben kezelhetők, ha az adatkezelés célját egyéb eszközzel észszerű módon nem lehetséges elérni.

109.

Az általános adatvédelmi rendelet 5. cikkének (1) bekezdésében foglalt további elvekhez hasonlóan ezt az elvet is úgy értelmezem, hogy az az arányosság elvét tükrözi, ( 79 ) ezért helyénvalónak tartom e szakaszban megvizsgálni, hogy a szóban forgó nemzeti törvény az általa elérni kívánt célkitűzés szempontjából arányos‑e.

110.

Az állandó ítélkezési gyakorlat szerint az uniós jog általános elvei közé tartozó arányosság elve megköveteli, hogy a valamely uniós jogi aktus által alkalmazott eszközök alkalmasak legyenek az érintett szabályozással kitűzött célok megvalósítására, és ne menjenek túl az azok eléréséhez szükséges mértéken. ( 80 )

111.

Így a közúti közlekedési törvény 141. cikke (2) bekezdésének alkalmasnak kell lennie állítólagos céljának, vagyis a közúti közlekedésbiztonság növelésének elérésére, valamint ahhoz szükségesnek kell lennie.

112.

A szóban forgó nemzeti törvény állítólagos első célkitűzése az, hogy azonosítani lehessen azokat a gépjárművezetőket, akik rendszeresen figyelmen kívül hagyják a közúti közlekedés rendszerének szabályait. Nyilvánvaló, hogy a közúti közlekedési szabályokat megsértők azonosítása semmilyen módon nem függ a valamely jogsértés elkövetőjére kiszabott büntetőpontok nyilvános (általánosan elérhető) jellegétől. Kizárólag a hatóság feladata, hogy az ilyen elkövetőket pontosan azonosítsa és a rájuk jogsértés miatt kiszabott büntetőpontokat nyilvántartsa annak érdekében, hogy a megfelelő jogkövetkezmények bekövetkezzenek, és a vonatkozó szankciókat alkalmazni lehessen.

113.

A szóban forgó személyes adatok közlését engedélyező nemzeti jogi rendelkezésnek – a Saeima (parlament) által hivatkozott – második célkitűzése az, hogy az úthasználók magatartását befolyásolja annak érdekében, hogy a lehetséges elkövetőket visszatartsa a további jogsértések elkövetésétől. Itt el lehetne fogadni, hogy az, hogy bármely személy számára lehetővé teszik annak megismerését, hogy ki szegi meg a közlekedési szabályokat, valószínűleg jár bizonyos fokú visszatartó hatással: számos gépjárművezető – azért, hogy ne bélyegezzék meg törvénysértőként – ellenzi, hogy a rá vonatkozó ilyen információkat nyilvánosságra hozzák.

114.

Ezt a célt a közúti közlekedési törvény 43. cikke is egyértelműen rögzíti a jogsértésért kiszabott büntetőpontok rendszerének bevezetésével elérni kívánt célként. Meglehetősen egyértelmű, hogy a büntetőpontokat nyilvánossá tétele bizonyos fokig további visszatartó tényezőt jelent. A szóban forgó rendelkezés tehát főszabály szerint összhangban állhat az elérni kívánt közérdekkel, nevezetesen a közúti közlekedésbiztonság előmozdításával és a közlekedési balesetek elkerülésével.

115.

Ezzel együtt, ha a szóban forgó személyes adatokat csak kérelemre teszik hozzáférhetővé, és a kérelmező megadja az érintett személy személyi azonosító számát, ez felveti azt a kérdést, hogy mennyire nehéz ezt a számot megszerezni. Minél nehezebb ugyanis ezen adatok megszerzése, annál kevésbé visszatartó erejű a hozzáférhetővé tétel rendszere, mivel az, hogy ezen adatok nyilvánosan hozzáférhetők‑e, nehezen előre látható további tényezőktől fog függeni.

116.

Ezért súlyos kétségeim vannak a szóban forgó nemzeti törvény alkalmasságát illetően.

117.

Az ügy összes körülményére tekintettel a kérdést előterjesztő bíróságnak kell eldöntenie, hogy a közúti közlekedési törvény 141. cikkének (2) bekezdése valóban alkalmas‑e a közúti közlekedésbiztonság javítására irányuló jogszerű célkitűzés elérésre.

118.

A szükségesség kérdését, vagyis azon követelményt illetően, hogy a szóban forgó intézkedés nem lépheti túl a kitűzött cél eléréséhez szükséges mértéket, a helyzet egyértelműbbnek tűnik.

119.

Ismét a kérdést előterjesztő bíróságnak kell eldöntenie az ügy összes körülményére tekintettel, hogy a szóban forgó rendelkezés valóban szükséges‑e. A rendelkezésre álló információk alapján azonban nem látom, hogy e rendelkezést hogyan lehetne bármilyen szempontból szükségesnek tekinteni.

120.

Noha a közúti közlekedésbiztonság előmozdításának célkitűzése fontos, az érintett különböző érdekek között megfelelő egyensúlyt kell biztosítani, és következésképpen a nemzeti jogalkotónak kell eldöntenie, hogy a szóban forgó személyes adatok hozzáférhetővé tétele nem terjed‑e túl a kitűzött jogszerű célok eléréséhez szükséges mértéken, tekintettel különösen az alapvető jogok ilyen hozzáférhetővé tétellel megvalósított megsértésére.

121.

Az előzetes döntéshozatalra utaló határozat nem jelzi, hogy a Saeima (parlament) a szóban forgó rendelkezés elfogadása előtt megvizsgálta‑e a közúti közlekedésbiztonság előmozdítására irányuló célkitűzés elérésének olyan más eszközeit, amelyek az egyének adatvédelemhez való jogába való kisebb mértékű beavatkozáshoz vezetnek. Ezenkívül a jogalkotónak alá kell tudnia támasztani, hogy az adatvédelemtől való eltérések és az arra vonatkozó korlátozások szigorúan tiszteletben tartják az előírt korlátokat. Valamely adatsor közzététele (vagy közzétételét előíró törvény elfogadása) előtt el kell végezni az adatvédelemre gyakorolt hatás körültekintő értékelését, különösen a további felhasználás lehetőségeinek és a további felhasználás potenciális hatásának értékelését is beleértve.

122.

Az ilyen információk megléte és pontossága elengedhetetlen annak eldöntéséhez, hogy a közúti közlekedésbiztonság elősegítésére és a közlekedési balesetek számának csökkentésére irányuló célkitűzéseket el lehet‑e érni olyan intézkedésekkel, amelyek kevésbé hátrányosak az érintett személyek jogaira nézve, és így elkerülik vagy legalábbis mérséklik a Charta 8. cikke által biztosított védelem megsértését.

123.

A magánélet megsértése, amelyet a jogsértésekre és a kiszabott büntetésekre vonatkozó adatok közzététele okoz, önmagában véve különösen súlyos: egy adott egyén által elkövetett jogsértésekre vonatkozó információkat tár fel a nyilvánosság előtt. Ezenkívül nem zárható ki, hogy a szóban forgó adatok közzétételével járó ilyen adatkezelés az elkövető megbélyegzéséhez és más hátrányos következményekhez vezethet. Ezért az ilyen „feketelistákat” szigorúan szabályozni kell.

124.

Végül, amint azt az adatvédelmi hatóság előadta, a szóban forgó rendelkezés megelőző jellege és a kedvező tendenciákat, vagyis a közúti balesetek számának csökkenését mutató statisztikák nem mutatják, hogy ez a csökkenés magával a büntetőpontok rendszerének bevezetésével, vagy pedig azzal függ‑e össze, hogy a kiszabott büntetőpontokra vonatkozó információk nyilvánosan hozzáférhetőek.

125.

Ennek megfelelően azt javaslom a Bíróságnak, hogy a második kérdésre azt a választ adja, hogy az általános adatvédelmi rendelet 5. cikke (1) bekezdésének c) pontjával ellentétes az olyan nemzeti jogszabály, mint a közúti közlekedési törvény 141. cikkének (2) bekezdése, amely lehetővé teszi a gépjárművezetőkkel szemben közlekedési jogsértésekért kiszabott büntetőpontokra vonatkozó információ kezelését és közlését.

126.

Amint azt a 2003/98 irányelv 1. cikkének (1) bekezdése kimondja, ezen irányelv minimumszabályokat állapít meg a tagállamok közigazgatási szervei birtokában lévő dokumentumok további felhasználása, valamint további felhasználása megkönnyítésének gyakorlati eszközei vonatkozásában.

127.

A jelen összefüggésben feltételezhetjük, hogy Lettországban a kiszabott büntetőpontokat a CSDD – mint e rendelkezés értelmében vett közigazgatási szerv – birtokában lévő dokumentumokban rögzítik.

128.

Ugyanakkor e helyzetre nem terjed ki a 2003/98 irányelv hatálya, mivel az utóbbi 1. cikke (2) bekezdésének cc) pontja kimondja, hogy az irányelvet nem kell alkalmazni az olyan dokumentumokra, amelyekhez a hozzáférést a hozzáférési szabályok a személyes adatok védelmének indokával korlátozzák vagy kizárják. ( 81 ) Ezen túlmenően a 2003/98 irányelv 1. cikkének (4) bekezdése értelmében az irányelv semmilyen módon nem érinti az egyéneknek a uniós és nemzeti jog szerinti védelmi szintjét a személyes adatok feldolgozása vonatkozásában, különösen nem változtatja meg az általános adatvédelmi rendelet szerinti jogokat és kötelezettségeket. ( 82 )

129.

E rendelkezésekből következik, hogy a szóban forgó személyes adatok kezelését az adatvédelemre vonatkozó uniós szabályokra, nevezetesen az általános adatvédelmi rendeletre tekintettel, nem pedig a 2003/98 irányelvre tekintettel kell értékelni. ( 83 )

130.

Amint azt a kérdést előterjesztő bíróság jogosan megjegyzi, amennyiben a gépjárművezetőkkel szemben közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó információ bármely személlyel közölhető, beleértve a további felhasználással foglalkozó gazdasági szereplőket, nem lehet azonosítani az adatok későbbi kezelésének céljait vagy mérlegelni, hogy a személyes adatok kezelése az említett célokkal összeegyeztethetetlen módon történik‑e.

131.

Erre tekintettel a második kérdésre vonatkozóan elvégzett elemzésem itt is teljes mértékben – nem csupán mutatis mutandis, hanem a fortiori is – érvényes: magánjogi társaságok kísértést érezhetnek arra, hogy személyes adatokat kereskedelmi célokra, vagyis olyan célokra használjanak fel, amelyek az adatkezelés céljával, vagyis a közúti közlekedésbiztonság növelésével összeegyeztethetetlenek.

132.

Ezenkívül, harmadik felek arra való lehetősége, hogy a személyes adatok további kezelését végezzék, egyértelműen túlterjed az általános adatvédelmi rendelet 5. cikke (1) bekezdésének b) pontjában megállapított célhoz kötöttségen.

133.

Ennek megfelelően azt javaslom a Bíróságnak, hogy a harmadik kérdésre azt a választ adja, hogy a 2003/98 irányelv rendelkezései nem irányadóak olyan nemzeti jogszabályra, mint a közúti közlekedési törvény 141. cikkének (2) bekezdése, amely – többek között további felhasználás céljából – lehetővé teszi a gépjárművezetőkkel szemben közlekedési jogsértésért kiszabott büntetőpontokra vonatkozó információ kezelését és közlését. E nemzeti jogszabály továbbá ellentétes az általános adatvédelmi rendelet 5. cikke (1) bekezdésének c) pontjával.

134.

Negyedik kérdésével a kérdést előterjesztő bíróság arról kíván meggyőződni, hogy – amennyiben megállapítást nyer, hogy a szóban forgó nemzeti törvény ellentétes az uniós joggal – lehetséges‑e a vitatott szabály alkalmazása és joghatásainak fenntartása addig, amíg a Satversmes tiesa (alkotmánybíróság) által hozott végleges határozat jogerőre nem emelkedik.

135.

A kérdést előterjesztő bíróság tehát kéri a vitatott rendelkezés joghatásainak fenntartását addig, amíg végleges határozatot nem hoz.

136.

A Bíróság állandó ítélkezési gyakorlata szerint azon értelmezés, amelyet az utóbbi valamely uniós jogszabály kapcsán fejt ki az EUMSZ 267. cikkben rá ruházott hatáskör gyakorlása során, megmagyarázza és pontosítja e szabály jelentését és hatályát, amely szerint azt a hatálybalépésének időpontjától értelmezni és alkalmazni kell, illetőleg értelmezni és alkalmazni kellett volna. ( 84 ) Ebből következően az így értelmezett szabályt a bíróságok alkalmazhatják, és azt alkalmazniuk kell az értelmezés iránti kérelemről határozó ítélet előtt keletkezett és létrejött jogviszonyokra, ha egyébként teljesülnek azon feltételek, amelyek lehetővé teszik az említett szabály alkalmazására vonatkozó pernek a hatáskörrel rendelkező bíróságok előtti megindítását. ( 85 ) Maga a Bíróság csak kivételesen, az uniós jogrendhez szorosan hozzátartozó jogbiztonság általános elvének alkalmazása útján korlátozhatja bármely érdekelt azon lehetőségét, hogy a jóhiszeműen létrejött jogviszonyok vitatása céljából a Bíróság által értelmezett rendelkezésre hivatkozzon. ( 86 )

137.

Mindenesetre egy esetleges felfüggesztés feltételeit csak a Bíróság állapíthatná meg, ( 87 ) mégpedig jó okkal: ellenkező esetben egy nemzeti bíróság elhalaszthatná e határozat joghatásait, ami befolyásolná annak erga omnes jellegét, mely utóbbi elsődleges célja az, hogy valamennyi tagállamban biztosítsa az uniós jog egységes alkalmazását és a jogbiztonságot, valamint egyenlő versenyfeltételeket teremtsen a tagállamok, polgárok és gazdasági szereplők számára. Ebben az összefüggésben nem engedhető meg, hogy a nemzeti jog – akár alkotmányi szintű – rendelkezései hátrányos hatással járjanak az uniós jog egységességére és hatékonyságára. ( 88 )

138.

A Bíróság az érdekeltek jóhiszeműségére és a súlyos zavarok kockázatának fennállására vonatkozó két alapvető feltétel teljesülése esetén határozhat e korlátozás mellett. ( 89 )

139.

Hozzá kell tenni, hogy a Bíróság e megoldást csak kivételesen ( 90 ) és csak világosan meghatározott körülmények között alkalmazta: akkor, amikor különösen az érvényesnek és hatályosnak tekintett szabályozás alapján jóhiszeműen létesített jogviszonyok nagy száma miatt súlyos gazdasági következmények felmerülésének veszélye állt fenn, és a magánszemélyeket és a nemzeti hatóságokat az uniós jogi rendelkezések hatályát illető objektív és jelentős bizonytalanság az uniós jognak meg nem felelő magatartásra indította, és e bizonytalansághoz esetleg más tagállamok vagy maga az Unió magatartása is hozzájárult. ( 91 )

140.

A jelen ügyben az előzetes döntéshozatalra utaló határozatban említett információk nem teszik lehetővé annak megállapítását, hogy a vitatott rendelkezés alapján jóhiszeműen létesített, nagyszámú jogviszony lenne érintett, és következésképpen különösen nehéz a Bíróság által hozott, e rendelkezés uniós joggal való összeegyeztethetetlenségét megállapító előzetes döntéshozatali határozatnak való ex tunc megfelelést biztosítani.

141.

Ennélfogva a jelen ügyben nem indokolt a Bíróság ítéletének időbeli hatályát korlátozni.

142.

Ezért a negyedik kérdésre azt a választ javaslom adni, hogy nem lehetséges a szóban forgó rendelkezés alkalmazása és joghatásainak fenntartása addig, amíg a Satversmes tiesa (alkotmánybíróság) által hozott végleges határozat jogerőre nem emelkedik.

143.

A fenti megfontolásokra tekintettel azt javaslom a Bíróságnak, hogy a Satversmes tiesa (alkotmánybíróság, Lettország) által előterjesztett kérdésekre a következő választ adja: