1.

A személyes adatok védelme terén az általános szabályokat képező (EU) 2016/679 rendelet ( 2 ) és az (ugyanebben a tárgykörben a büntetőeljárásokra vonatkozóan lex specialisnak minősülő) (EU) 2016/680 irányelv ( 3 ) alapelve, hogy ezen adatok gyűjtését és kezelését a jogszabályokban meghatározott konkrét célokra korlátozza.

2.

A jelen ügyben a Bíróságnak egy bolgár bíróságnak a 2016/679 rendelet és a 2016/680 irányelv értelmezésével kapcsolatos kérdéseire kell választ adnia, hogy tisztázza, jogellenesen kezelték‑e a valamely tagállam ügyészségének birtokában lévő személyes adatokat, amikor:

3.

A 2. cikk („Tárgyi hatály”) értelmében:

„(1)   E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(2)   E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:

[…]

[…].”

4.

Az 4. cikk („Fogalommeghatározások”) kimondja:

„E rendelet alkalmazásában:

[…]

[…]

[…].”

5.

Az 5. cikk („A személyes adatok kezelésére vonatkozó elvek”) a következőket írja elő:

„(1)   A személyes adatok:

[…].”

6.

A 6. cikk („Az adatkezelés jogszerűsége”) így szól:

„(1)   A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

[…]

[…]

Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.

[…]

(3)   Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:

Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket […]. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.

(4)   Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető‑e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

7.

Az 1. cikk („Tárgy és célok”) értelmében:

„(1)   Ez az irányelv szabályokat állapít meg a természetes személyek védelmére a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – így többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végzett kezelése tekintetében.

(2)   A tagállamok ezen irányelvvel összhangban:

[…].”

8.

A 2. cikk („Hatály”) a következőképpen rendelkezik:

„(1)   Ez az irányelv a személyes adatoknak az illetékes hatóságok által az 1. cikk (1) bekezdésében meghatározott célokból végzett kezelésére alkalmazandó.

[…]

(3)   Ezen irányelv nem alkalmazandó:

[…].”

9.

A 3. cikk 1., 2. és 8. pontja átvette a 2016/679 rendelet 4. cikke 1., 2. és 7. pontjának fogalommeghatározásait.

10.

Az 4. cikk („A személyes adatok kezelésére vonatkozó elvek”) a következőket írja elő:

„[…]

(2)   Az azonos vagy más adatkezelő által az 1. cikk (1) bekezdésében meghatározott, de a személyes adatok gyűjtésének céljától eltérő célból végzett adatkezelés akkor megengedett, ha:

[…]”

11.

A 6. cikk („Az érintettek különböző kategóriái közötti különbségtétel”) a következőket írja elő:

„A tagállamok előírják az adatkezelő számára, hogy adott esetben és amennyire lehetséges, tegyen világos különbséget az érintettek különböző kategóriáinak személyes adatai között az alábbiak szerint:

12.

A 8. cikk („Az adatkezelés jogszerűsége”) a következőképpen szól:

„(1)   A tagállamok biztosítják, hogy az adatkezelés csak akkor és kizárólag annyiban legyen jogszerű, ha és amennyiben olyan feladat ellátásához szükséges, amelyet valamely illetékes hatóság az 1. cikk (1) bekezdésében meghatározott célokból végez, és uniós vagy tagállami jog alapján történik.

(2)   Az ezen irányelv hatálya alá tartozó adatkezelést szabályozó tagállami jogban rendelkezni kell legalább az adatkezelés célkitűzéseiről, a kezelendő személyes adatokról és az adatkezelés céljairól.”

13.

A 9. cikk („Különös adatkezelési feltételek”) szerint:

„(1)   Az illetékes hatóságok által az 1. cikk (1) bekezdésében meghatározott célokból gyűjtött személyes adatok az 1. cikk (1) bekezdésében meghatározottaktól eltérő célból nem kezelhetők, kivéve, ha az az ilyen adatkezelésre uniós vagy tagállami jog felhatalmazást ad. Ha személyes adatokat ilyen más célokból kezelnek, [a 2016/679] rendeletet kell alkalmazni, kivéve, ha az adatkezelést az uniós jog hatályán kívül eső tevékenység keretében végzik.

(2)   Ha a tagállami jog az 1. cikk (1) bekezdésében meghatározott célokból végzett feladatoktól eltérő feladatok elvégzését írja elő az illetékes hatóságok számára, az ilyen célokból történő adatkezelésre, ideértve a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott adatkezelést is, [a 2016/679] rendeletet kell alkalmazni, kivéve, ha az adatkezelést az uniós jog hatályán kívül eső tevékenység keretében végzik.

[…].”

14.

A 127. cikk megállapítja az ügyészség kizárólagos hatáskörét a nyomozások irányítása és a közvádra üldözendő bűncselekmények esetében a bűntetőjogi felelősség megállapítása és a bíróság előtti vádemelés tekintetében.

15.

Az 1. cikk a következőképpen rendelkezik:

„(1)   E törvény szabályozza a természetes személyeknek a személyes adatok kezelése tekintetében történő jogainak védelmével kapcsolatos társadalmi jogviszonyokat, amennyiben azokat a [2016/679 rendelet] nem szabályozza.

(2)   E törvény megállapítja továbbá a természetes személyeknek a személyes adatok illetékes hatóságok által bűncselekmények megelőzése és felderítése, nyomozása, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében történő védelmére vonatkozó szabályokat, beleértve a közrendet és a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.

[…].”

16.

A 17. cikk kimondja:

„(1)   A legfelsőbb igazságszolgáltatási tanács felügyelete biztosítja a [2016/679 rendeletnek], e törvénynek és a személyes adatok védelmére vonatkozó jogszabályoknak a személyes adatok kezelése tekintetében való ellenőrzését és tiszteletben tartását:

1. a bíróságok által az igazságszolgáltatás hatalmi feladatainak ellátása során, és

2. az ügyészségnek és nyomozóhatóságoknak a bűncselekmények megelőzése, felderítése, nyomozása, illetve a vádeljárás lefolytatása vagy a büntetőjogi szankciók végrehajtása céljából történő igazságügyi hatósági feladataik ellátása során.

[…].”

17.

A 42. cikk a következőket rögzíti:

„(1)   E fejezet szabályai alkalmazandók a személyes adatoknak az illetékes hatóságok által bűncselekmények megelőzése és felderítése, nyomozása, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése esetében, beleértve a közrendet és a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.

(2)   Az (1) bekezdésben meghatározott célokra gyűjtött személyes adatok más célból nem kezelhetők, kivéve, ha az uniós jog vagy a Bolgár Köztársaság jogszabályai másként rendelkeznek.

(3)   Amennyiben az (1) bekezdés szerinti illetékes hatóságok a személyes adatokat az (1) bekezdésben említett céltól eltérő más célból, valamint a (2) bekezdésben foglalt esetekben kezelnek, a [2016/679 rendeletet] és e törvény végrehajtási intézkedéseket bevezető vonatkozó rendelkezéseit kell alkalmazni.

(4)   Az »illetékes hatóság« alatt az (1) bekezdés értelmében minden olyan közhatalmi szerv értendő, amely a bűncselekmények megelőzését és felderítését, nyomozását, a vádeljárás lefolytatását vagy büntetőjogi szankciók végrehajtását illetően eljárni jogosult, beleértve a közrendet és a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.

(5)   Ha jogszabály eltérően nem rendelkezik, a személyes adatokat a jelen fejezet értelmében – az (1) bekezdésben meghatározott célból – a (4) bekezdés szerinti illetékes hatóság vagy azon közigazgatási szerv kezeli, amely e hatóság részét képezi, és amely önállóan vagy más hatóságokkal együtt a személyes adatok kezelésének céljait és módját meghatározza.”

18.

A 45. cikk előírja:

„[…]

(2)   A személyes adatoknak az eredetileg gyűjtő adatkezelő vagy más adatkezelő által végzett, a 42. cikk (1) bekezdésében meghatározott személyes adatok gyűjtésének céljától eltérő bármely más célból végzett kezelése abban az esetben engedélyezett, ha:

1. az adatkezelő az uniós joggal vagy a Bolgár Köztársaság jogával összhangban jogosult személyes adatokat az említett célból kezelni, és

2. az adatkezelés – az uniós joggal vagy a Bolgár Köztársaság jogával összhangban – az említett egyéb cél szempontjából szükséges és arányos.

[…]”

19.

A 47. cikk a 2016/680 irányelv 6. cikkét veszi át.

20.

A 49. cikk szerint:

„A személyes adatok kezelése akkor jogszerű, ha az az illetékes hatóság hatáskörének gyakorlásához a 42. cikk (1) bekezdésében említett célból szükséges, és ha azt az uniós jog vagy az adatkezelés céljait és a kezelendő személyes adatok kategóriáit meghatározó jogszabály előírja.”

21.

A Rayonna prokuratura – Petrich (petrichi kerületi ügyészség, Bulgária) ( 6 ) irányításával egy 2013. április 18‑án elkövetett bűncselekményt megvalósító cselekmények ( 7 ) tisztázására nyomozás indult (a petrichi rendőrség 252/2013. sz. ügye).

22.

Ezen eljárások során VS személyes adatait eredetileg sértetti minőségben gyűjtötték.

23.

Az ügyészség 2018. április 4‑i és 5‑i határozatával négy személyt (köztük VS‑t) vádolt meg.

24.

2020. november 10‑én a Rayonen sad Petrich (petrichi kerületi bíróság, Bulgária) elévülés miatt a büntetőeljárás érdemi határozat nélküli megszüntetéséről döntött.

25.

A petrichi kerületi ügyészség 2016‑ban és 2017‑ben a VS‑sel szemben benyújtott panaszok következtében több olyan eljárást indított, ( 8 ) amelyek büntetőjogi bizonyíték hiányában nem eredményezték büntetőeljárás megindítását.

26.

VS 2018‑ban a 252/2013. sz. büntetőeljárás túlzott időtartamával okozott kár megtérítése iránti polgári jogi keresetet indított ( 9 ) a Bolgár Köztársaság ügyészsége ellen az Okrazhen sad – Blagoevgrad (blagoevgradi regionális bíróság, Bulgária) előtt.

27.

A polgári jogi keresettel szembeni védekezés keretében az ügyészség a petrichi kerületi ügyészség 517/2016. és 1872/2016. sz. ügyiratainak csatolását kérte a bíróságtól.

28.

A 2018. október 15‑i végzéssel az Okrazhen sad – Blageovgrad (blageovgradi regionális bíróság) arra kötelezte a petrichi kerületi ügyészséget, hogy nyújtsa be az 517/2016. és 1872/2016. sz. ügyészségi ügyiratok tartalmának másolatát.

29.

2020. március 12‑én VS panaszt tett az Inspektorata kam Visshia sadeben savetnél (a legfelsőbb igazságszolgáltatási tanács felügyeleti hatósága; a továbbiakban: IVSS) személyes adatainak az ügyészség általi jogellenes kettős kezelése miatt, mivel az ügyészség szerinte jogosulatlanul használta fel:

30.

2020. június 22‑én az IVSS elutasította VS ezen kettős kifogását.

31.

VS az IVSS ezen határozatát megtámadta az Administrativen sad Blagoevgrad (blagoevgradi közigazgatási bíróság, Bulgária) előtt, amely bíróság előzetes döntéshozatal céljából az alábbi kérdéseket terjesztette a Bíróság elé:

32.

Az előzetes döntéshozatal iránti kérelmet 2021. március 23‑án vették nyilvántartásba a Bíróságnál.

33.

Az Európai Bizottságon kívül VS, az IVSS, a bolgár, a cseh és a holland kormány vett részt az eljárásban, és terjesztett elő írásbeli észrevételeket.

34.

A felek nem kérték nyilvános tárgyalás megtartását, így a Bíróság úgy tekintette, hogy az mellőzhető.

35.

A 2016/679 rendelet és a 2016/680 irányelv egy következetes rendszert hozott létre, amelyben:

36.

Az e két szabályozásból eredő rendszer által biztosított védelem a jogszerűség, a tisztességes eljárás és az átláthatóság elvén, valamint – ami a jelen ügy vonatkozásában releváns – az adatgyűjtés és az adatkezelés jogszabályban meghatározott célhoz kötöttségének elvén alapul. ( 10 )

37.

Egész pontosan a 2016/679 rendelet 5. cikke (1) bekezdésének b) pontja előírja, hogy a személyes adatok „gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon”. ( 11 )Lex specialisként a 2016/680 irányelv 4. cikke (1) bekezdésének b) pontja ugyanígy fogalmaz.

38.

A személyes adatok tehát általános jelleggel nem gyűjthetők vagy kezelhetők, hanem csak meghatározott célokból ( 12 ) és az uniós jogalkotó által megállapított jogszerűségi feltételek mellett.

39.

Az adatgyűjtés és adatkezelés, valamint a két művelet által szolgálandó célok közötti szoros kapcsolat főszabály szerint nem abszolút, mivel mind a 2016/679 rendelet, mind a 2016/680 irányelv bizonyos rugalmasságot biztosít, amint azt az alábbiakban kifejtem.

40.

Az alapeljárásban a közigazgatási bíróságnak kell határoznia arról, hogy a felügyeleti hatóság (IVSS) ( 13 ) helyesen járt‑e el, amikor elutasította azon panaszt, amelyben VS a bolgár ügyészséggel szemben a személyes adatainak jogellenes kezelését kifogásolta.

41.

Amint már kifejtettem, ezen adatokat két különböző összefüggésben gyűjtötték:

42.

A kérdést előterjesztő bíróság kérdései ezzel összefüggésben a következőkre terjednek ki:

43.

Egyetértek a kérdést előterjesztő bírósággal és a jelen előzetes döntéshozatali eljárásban részt vevő valamennyi féllel abban, hogy az előzetes döntéshozatalra előterjesztett első kérdés tárgyát képező személyes adatok kezelésére a 2016/680 irányelv irányadó.

44.

A 2016/680 irányelv 1. cikkének (1) bekezdése és 2. cikkének (1) bekezdése értelmében a személyes adatok kezelésére ezen irányelv alkalmazandó, ha az adatkezelést az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése vagy vádeljárás lefolytatása céljából végzik. Ebben az ügyben VS adatait pontosan egy bűnügyi nyomozás keretében gyűjtötték és kezelték.

45.

A személyes adatoknak az ügyészséggel szembeni polgári eljárás céljából történő továbbítása (az előzetes döntéshozatalra előterjesztett második kérdés) tekintetében azonban a 2016/679 rendelet alkalmazandó, amennyiben e továbbítás a 2016/680 irányelv 1. cikkének (1) bekezdésében meghatározott céloktól eltérő, de az uniós jog hatálya alá tartozó tevékenységhez tartozó adatkezelésnek minősül.

46.

A 2016/680 irányelv 4. cikkének (2) bekezdése értelmében az azonos vagy más adatkezelő által az 1. cikk (1) bekezdésében meghatározott, ( 15 ) de a személyes adatok gyűjtésének céljától eltérő célból végzett adatkezelés akkor megengedett, ha:

47.

A 2016/680 irányelv engedélyezi tehát a hatálya alatt gyűjtött személyes adatok ad intra újrabesorolását. Az 1. cikk (1) bekezdésében felsorolt célok valamelyikére gyűjtött adatok bizonyos feltételek mellett a felsorolásban szereplő más célból vagy más célokból is felhasználhatók.

48.

Az előzetes döntéshozatalra előterjesztett első kérdés által felvetett probléma az, hogy VS‑nek a nyomozás tárgyát képező bűncselekmény feltételezett sértetti minőségében való feltüntetésekor szerzett személyes adatai kezelhetők‑e a későbbiekben ugyanazon büntetőeljárás során vele mint terhelttel vagy vádlottal szemben.

49.

Más szóval meg kell határozni, hogy VS személyes adatait az eredeti adatgyűjtést indokoló céllal azonos célból vagy pontosabban két különböző, de a 2016/680 irányelv hatálya alá tartozó célból kezelték‑e. E második körülmény fennállása esetén a kezelésre az említett irányelv 4. cikkének (2) bekezdésében meghatározott külön feltételek vonatkoznak.

50.

A kérdést előterjesztő bíróság a jogvita tárgyával kapcsolatban kissé félreérthetően fogalmazta meg első kérdését. Szó szerint azt kívánja megtudni, hogy a 2016/680 irányelv 1. cikkének (1) bekezdését „úgy kell‑e értelmezni […], hogy a célok felsorolásában a »bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása« fogalmak egy általános cél alkotóelemeiként kerülnek felsorolásra”.

51.

A kérdést előterjesztő bíróság előadására tekintettel – amint azt a jelen előzetes döntéshozatali eljárás felei és résztvevői javasolták – talán helyénvaló lenne az első kérdést átfogalmazni. Az absztrakt általános cél/konkrét cél kapcsolaton való elmélkedésen túl az a döntő jelentőségű (és amire valójában VS panasza vonatkozott), hogy a 2016/680 irányelvben szabályozott büntetőeljárás keretében továbbra is fennáll‑e az a cél, amely egy személy adatainak bűncselekmény feltételezett sértetti minőségben való gyűjtéséhez vezetett, amikor ezen adatok az ugyanazon eljárásban való későbbi vádemeléshez vezetnek.

52.

A 2016/680 irányelv 1. cikke (1) bekezdésének szó szerinti értelmezése azt sugallja, hogy ezen belül háromféle célt lehet megkülönböztetni, amelyek különböző időpontokra és tevékenységekre vonatkoznak:

53.

Rendszertani szempontból vagy az összefüggésekre tekintettel a 2016/680 irányelv 4. cikkének (2) bekezdése amellett szól, hogy e célok mindegyike elkülöníthető. Ellenkező esetben – amint azt a holland kormány is megjegyezte – e rendelkezés értelmét veszítené, mivel az éppen „az 1. cikk (1) bekezdésében meghatározott […] gyűjtés[…] céljától eltérő célból […]” történő adatkezelésre vonatkozik.

54.

Ezen előfeltevésből kiindulva megpróbálom elmagyarázni, hogy e konkrét esetben a vitatott adatokat a 2016/680 irányelv 1. cikkének (1) bekezdésében említett célok valamelyike (a „nyomozás”) céljából miért szerezték meg és kezelték, ami meghatározza ennek alkalmazását és az adatkezelés ezzel összefüggő jogszerűségét.

55.

Másodlagosan, amennyiben az adatok megszerzése és kezelése a 2016/680 irányelv 4. cikkének (2) bekezdésében felsorolt célok közül két cél elérésére is irányult volna, jogszerűsége akkor sem lenne vitatható.

56.

Egyes büntetőeljárásokban az érintett személyek eljárási jogállása a kezdetekben nem mindig határozható meg. Ezen eljárások során sok esetben megkísérlik azonosítani és így „kategorizálni” azon alanyokat, akik első látásra a cselekmények elkövetőiként, sértettjeiként vagy tanúiként szerepelnek.

57.

Ezen előkészítő szakaszban logikus, hogy a kategorizálásban érvényesüljön bizonyos gördülékenység. A nyomozásnak – az általa hozott eredményekkel összhangban – el kell vezetnie annak pontos azonosításához, hogy ezen személyek az eljárás lefolytatásakor milyen jogcímen fognak fellépni.

58.

Ez különösen igaz a jelen ügyhöz hasonló esetekben. A kérdést előterjesztő bíróság szerint több személy között történt kölcsönösen elkövetett erőszak. Egyiküket, aki kezdetben sértettként szerepelt, végül az erőszak elkövetőjeként vádolták meg.

59.

Ebben az összefüggésben az elvégzett tevékenység egésze megfelel a 2016/680 irányelv 1. cikkének (1) bekezdésében szereplő „nyomozás” fogalmának. E tevékenység célja tehát egyedi volt, és megfelel azon „célok” valamelyikének, amelyekre a személyes adatok kezelése szolgálhat.

60.

A kérdést előterjesztő bíróság azonban kétséget támaszt azzal kapcsolatban, hogy a 2016/680 irányelv 1. cikke (1) bekezdésének ezen értelmezése összhangban van‑e az irányelv (31) preambulumbekezdésével. ( 16 )

61.

Egyetértek a felek többségének azon véleményével, hogy e preambulumbekezdés – a 2016/680 irányelvnek az e preambulumbekezdést átvevő 6. cikkéhez hasonlóan – nem bír jelentőséggel annak megállapítása tekintetében, hogy az említett irányelv 4. cikkének (2) bekezdésében említett célok megváltoztak‑e.

62.

A 2016/680 irányelv 6. cikke értelmében az érintettek különböző kategóriáinak személyes adatai közötti világos különbségtétel csak „adott esetben és amennyire lehetséges” tehető. A fent kifejtett okokból a jelenlegihez hasonló cselekmények miatti kezdeti eljárásokban nem könnyű egyértelműen meghatározni az „érintettek különböző kategóriáit”. Ezenkívül a tényállás ugyanazon résztvevője egyesítheti az erőszak sértetti és elkövetői minőségét.

63.

Még ha a büntetőeljárásban megszerzett adatok kezelője a nyomozás kezdetén és a nyomozás során egyértelműen különbséget is tenne a sértettek, a gyanúsítottak és a tanúk között, az nem változtatná meg ezen adatok gyűjtésének és kezelésének célját (a nyomozás).

64.

Más szóval, a 2016/680 irányelv 4. cikkének (2) bekezdése értelmében egyik vagy másik körülménynek (sértett, tanú, érintett) a bűnügyi nyomozásban részt vevő személyekhez történő egymás utáni kapcsolása nem feltétlenül jelenti a célok megváltoztatását a 2016/680 irányelv 4. cikkének (2) bekezdése értelmében.

65.

Másodlagosan, a 2016/680 irányelv 4. cikkének (2) bekezdésében előírt körülmény fennállása esetén a személyes adatok vitatott kezelése megfelelt volna az irányelvben meghatározott jogszerűségi feltételeknek. Erre a bolgár és a cseh kormány hívta fel a figyelmet, és én is osztom ezen álláspontot.

66.

Noha ennek vizsgálata a kérdést előterjesztő bíróság feladata, kétségtelen, hogy a nemzeti joggal összhangban a bolgár ügyészség lenne a VS személyes adatainak „az 1. cikk (1) bekezdésében meghatározott, de a személyes adatok gyűjtésének céljától eltérő célból végzett” kezeléséért felelős hatóság. Teljesül tehát a 2016/680 irányelv 4. cikke (2) bekezdésének a) pontjában előírt első követelmény.

67.

Ugyanezen 4. cikk (2) bekezdésének b) pontjában foglalt második követelmény kapcsán (amely szerint „az adatkezelés […] az említett egyéb cél szempontjából szükséges és arányos”) megjegyzem, hogy:

68.

Ebben az ügyben a 2016/680 irányelv 4. cikke (2) bekezdésének követelményei nem számottevőek, és megerősítik a személyes adatok vitatott gyűjtésében rejlő cél egyedi jellegét: olyan logikai folytonosság áll fenn a kezdeti és a későbbi adatkezelés között, amely az érintett személy elleni vádemeléséhez vezetett.

69.

Nem lenne szükség tehát az új adatkezelő hatáskörének megerősítésére (amely ugyanaz maradna), és nem okozna nehézséget a második (ugyanazon eljárás keretében végzett) adatkezelés szükségességének bizonyítása sem, amennyiben az arányosság kritériuma mindegyik adatkezelés tekintetében közös, amint az a 2016/680 irányelv 4. cikkének (1) bekezdésében felsorolt elvekből kitűnik.

70.

A 2016/680 irányelv 9. cikkének (1) bekezdése lehetővé teszi a hatálya alatt gyűjtött személyes adatok ad extra újrabesorolását.

71.

Főszabályként abból kell kiindulni, hogy az említett adatok „az 1. cikk (1) bekezdésében meghatározottaktól eltérő célból nem kezelhetők”; a 2016/680 irányelv 9. cikkének (1) bekezdése olyan kivételt állapít meg, amely szerint az uniós vagy a tagállami jog engedélyezi az 1. cikk (1) bekezdésében foglaltaktól eltérő célból történő adatkezelést. Ilyen esetben a 2016/679 rendeletet kell alkalmazni (feltéve, hogy a tevékenység az uniós jog hatálya alá tartozik).

72.

Az előzetes döntéshozatalra előterjesztett második kérdésével a kérdést előterjesztő bíróság azt kívánja megtudni, hogy

73.

Az IVSS azt állítja, hogy mivel VS panaszát annak idején elkésettként elutasították, az előzetes döntéshozatalra előterjesztett második kérdés elfogadhatatlan.

74.

Nem értek egyet ezzel a kifogással.

75.

A Bíróság csak akkor tagadhatja meg a nemzeti bíróságok által előzetes döntéshozatalra előterjesztett kérdés megválaszolását, ha az uniós jog kért értelmezése nyilvánvalóan semmilyen összefüggésben nem áll az alapügy tényállásával vagy tárgyával, ha a probléma hipotetikus jellegű, vagy ha nem állnak a Bíróság rendelkezésére azok a ténybeli és jogi elemek, amelyek szükségesek ahhoz, hogy az elé terjesztett kérdésekre hasznos választ adhasson. ( 17 )

76.

Az IVSS kifogása egy olyan kérdésre vonatkozik, amely a kérdést előterjesztő bíróság kizárólagos hatáskörébe tartozik. Egyedül az ő feladata, hogy saját felelősségére meghatározza azt a jogszabályi és ténybeli hátteret, amelyben a Bíróság elé terjesztett kérdést megfogalmazzák. ( 18 )

77.

Mind az IVSS által felvetett, elkésettségre vonatkozó vizsgálat, mind pedig annak a jogvita szempontjából való relevanciájának értékelése olyan tényezők, amelyek értékelése csak a kérdést előterjesztő bíróságra tartozik. Ebben az ügyben a bíróság hangsúlyozta, hogy – az IVSS által hivatkozott elkésettség ellenére – a kérdés az alapügy megoldása szempontjából releváns. ( 19 )

78.

Ezt az értékelést a Bíróság nem vizsgálhatja felül, amelynek főszabály szerint a nemzeti eljárási és anyagi jognak az előzetes döntéshozatalra vonatkozó keret meghatározásakor a bíróságok által képviselt értelmezését és alkalmazását kell figyelembe vennie.

79.

Az alapügyben eljáró bíróság által az előzetes döntéshozatalra előterjesztett második kérdés előterjesztésének indokolásaként kifejtett okokra tekintettel a kérdést előterjesztő bíróság igazából azt kívánja, hogy a Bíróság határozza meg, hogy a vitatott adatok továbbítása a 2016/679 rendelet 4. cikkének 1. és 2. pontja értelmében vett „adatkezelésnek” minősül‑e, ( 20 ) és hogy ez az adatkezelés az említett rendelet 6. cikke alapján jogszerű volt‑e.

80.

A 2016/679 rendelet 4. cikkének 1. és 2. pontja, valamint a 2016/680 irányelv 3. cikkének 1. és 2. pontja azonos módon határozza meg a „személyes adat” és az „adatkezelés” fogalmát.

81.

E meghatározások értelmében arra következtetek, hogy az ügyészség a polgári bíróság előtti védekezése keretében a VS „személyes adatait” tartalmazó „azonosított […] természetes személyre […] vonatkozó […] információ[t]” szándékozott felhasználni.

82.

Ezen személyes adatok polgári eljárás számára történő továbbítása során több „adatkezelésnek” minősülő „művelet” az érintett hozzájárulása nélkül történt. Legalább magának az ügyészségnek meg kellett volna vizsgálnia ezeket az adatokat, hogy értékelje azok esetleges hasznosságát a polgári perben képviselt álláspontja védelmében. Feltételezhető továbbá az is, hogy az adatokat ugyanezen céllal rendszerezték, tagolták, átalakították vagy megváltoztatták, és természetesen – még ha minimálisan is – közölték és terjesztették, amikor a polgári eljárásban való felhasználásukat kérték. ( 21 )

83.

Az ügyészség az adatok rögzítésével, irattárába helyezésével, tárolásával, az azokba történő betekintéssel, valamint a polgári bíróságtól a büntetőeljárásban szereplő információk bizonyítékként való elfogadására irányuló kérelemével végső soron VS személyes adatait kezelte.

84.

Az IVSS és a Bizottság azt állítja, hogy az ügyészség csak a 2016/680 irányelv hatálya alá tartozó büntetőjogi célokból lehet illetékes hatóságként „adatkezelő”.

85.

Ez véleményem szerint nem jelenti azt – amint azt az IVSS állítja –, hogy az előzetes döntéshozatalra előterjesztett második kérdés okafogyottá vált. E helyett azt jelenti, hogy az adatkezelés jogszerűségét a 2016/680 irányelv 9. cikkének (1) bekezdése értelmében a 2016/679 rendelet fényében kell megvizsgálni.

86.

A polgári eljárás eldöntésére hatáskörrel rendelkező bíróság felel az adatoknak az eljárásban történő kezeléséért, amennyiben azokat az eljárás során felhasználják. A 2016/679 rendelet 55. cikkének (3) bekezdése értelmében a felügyeleti hatóság hatásköre nem terjed ki az igazságszolgáltatási feladatok ellátása során hozott határozataikra. ( 22 )

87.

Márpedig a kérdését az előterjesztő bíróság a 2016/679 rendeletnek abban az időpontban történő alkalmazhatóságára korlátozza, amikor az ügyészség az általa a 2016/680 irányelv értelmében vett „adatkezelőként” gyűjtött információkat a polgári eljárásban történő védekezésre igyekszik felhasználni.

88.

A fentiekben kifejtettek alapján úgy vélem, hogy a 2016/679 rendelet alkalmazható, mivel az ügyészség polgári eljárásban való védekezése nem tartozik a 2016/680 irányelv 1. cikkének (1) bekezdésében említett célok közé.

89.

A személyes adatok jogszerű kezelésének feltételeit a 2016/679 rendelet 6. cikkének (1) bekezdése sorolja fel: „[a] személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül”, amely feltételeket ezt követően ismertet. Felsorolásuk kimerítő jellegű. ( 23 )

90.

Ezen feltételek közül véleményem szerint nem teljesül sem az érintett hozzájárulásán (a) pont), sem a szerződés teljesítésén (b) pont), sem a jogi kötelezettség teljesítésén (c) pont) ( 24 ), sem pedig az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelmén (d) pont) alapuló feltétel.

91.

A kérdést előterjesztő bíróság szerint a 2016/679 rendelet 6. cikke (1) bekezdésének f) pontjában meghatározott feltétel teljesül. Mindazonáltal – amint azt a Bizottság hangsúlyozta – e bekezdés utolsó albekezdése e feltételt ebben az ügyben kizárja, e feltétel tehát „nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre”. ( 25 )

92.

A Bíróság kérdésére válaszul a cseh és a holland kormány által támogatott bolgár kormány hangsúlyozta a 2016/679 rendelet 6. cikke (1) bekezdésének f) pontjában foglalt feltétel alkalmazhatóságát. Azzal érvel, hogy figyelemmel kell lenni „az ügyészség által végzett tevékenység jellegére”, amely bár közjogi jogalany, a polgári eljárásban „egyenlő félként” vehet részt. ( 26 )

93.

Mindazonáltal azon „jogos érdekek”, amelyeket az ügyészség közhatalmi szervként védene egy olyan eljárásban, amelyben a felelőssége megállapítását eljárási cselekménye miatt kérik, a 2016/679 rendelet 6. cikke (1) bekezdésének f) pontjában meghatározott esetből – az ugyanezen bekezdés utolsó albekezdésének kifejezett rendelkezése szerint – ki vannak zárva.

94.

A jogszabályok által rájuk bízott feladatok (ebben az esetben a vádhatósági eljárás lefolytatása és az állam képviselete a felelősség megállapítása iránti keresetekkel szemben) végrehajtása során eljáró hatóságok tekintetében a 2016/679 rendelet 6. cikke (1) bekezdésének értelmében a vonatkozó érdek az említett rendelkezés e) pontja szerint szolgált közérdek.

95.

Az f) pontban megállapított feltétel az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítésére vonatkozik, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé.

96.

E kitétel tehát nem annyira a közhatalmi szerv – e) pontban megfogalmazható – védekezési lehetőségeire vonatkozik, mintsem az érintett érdekeinek, jogainak és szabadságainak az adatkezelővel vagy egy harmadik féllel szembeni esetleges elsőbbségére. Inkább olyan (magánszemély) felek közötti vitára vonatkozik, akiknek érdekei nem közjogi jellegűek.

97.

Mivel az ügyészség fogalmilag állami intézményként jár el, meg kell vizsgálni, hogy a vitatott adatkezelés a 2016/679 rendelet 6. cikke (1) bekezdése e) pontjának hatálya alá tartozik‑e.

98.

Ez a helyzet abban az esetben, ha az adatkezelés „közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges”.

99.

E két cél közül – anélkül, hogy szükség lenne a második cél vizsgálatára – ( 27 ) az elsővel fogok foglalkozni, annak meghatározásához, hogy az ügyészség azon polgári eljárásban való részvétele, amelyben cselekménye miatt kártérítési igénnyel lépnek fel vele szemben, közérdekű feladat végrehajtásának minősül‑e.

100.

A nemzeti jog szerint ( 28 ) az ügyészség feladata az állam képviselete a késedelme által előidézett, szerződésen kívül okozott kárért való felelősség megállapítása iránti eljárásokban. Az ügyészség ily módon az állam általános (pénzügyi) érdekeinek védelmében, és ezáltal közérdekű feladat végrehajtásában is részt vesz. ( 29 )

101.

A 2016/680 irányelv 9. cikkének (1) bekezdése az ügyiratokkal kapcsolatban gyűjtött adatok ad extra besorolását az uniós vagy tagállami jog által engedélyezett adatkezeléshez köti. A jelen ügyben az említett felhatalmazás meglétének ellenőrzése – az ügyészségre az államvagyon védelme érdekében háruló közérdekű feladat végrehajtására tekintettel – a kérdést előterjesztő bíróság feladata.

102.

A 2016/679 rendelet 6. cikkének (3) bekezdése értelmében az (1) bekezdés e) pontja szerinti adatkezelés jogalapja „tartalmazhat [a 2016/679] rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket”. ( 30 ) Amennyiben ezen jogalapot az adatkezelőre vonatkozó tagállam joga állapítja meg, annak meghatározása a nemzeti bíróság feladata. ( 31 )

103.

Még ha a kérdést előterjesztő bíróság nem is határozza meg a releváns jogalapot, a 2016/679 rendelet 6. cikkének (4) bekezdésével összhangban meg kell határozni a vitatott adatkezelés összeegyeztethetőségét azzal a céllal, amelynek érdekében a vitatott adatokat gyűjtötték. Ezért figyelembe kell venni többek között az eredeti célok és a kialakult cél között fennálló összefüggést, a személyes adatok gyűjtésének körülményeit és a személyes adatok jellegét, az új adatkezelés lehetséges következményeit az érintettre nézve, valamint a megfelelő garanciák meglétét.

104.

A fent kifejtettek értelmében azt javaslom, hogy a Bíróság az Administrativen sad – Blagoevgrad (blagoevgradi közigazgatási bíróság, Bulgária) számára az alábbi választ adja: