Ideiglenes változat
DEAN SPIELMANN
FŐTANÁCSNOK INDÍTVÁNYA
Az ismertetés napja: 2025. szeptember 25.(1)
C‑474/24. sz. ügy
AR,
YT,
DI,
RN;
az Österreichische Datenschutzbehörde,
a Nationale Anti‑Doping Agentur Austria GmbH (NADA Austria),
az Österreichische Anti‑Doping Rechtskommission (ÖADR)
részvételével
(a Bundesverwaltungsgericht [szövetségi közigazgatási bíróság, Ausztria] által benyújtott előzetes döntéshozatal iránti kérelem)
„ Előzetes döntéshozatal – A személyes adatok védelme – (EU) 2016/679 rendelet – 2., 5., 6., 9. és 10. cikk – Hatály – Az »egészségügyi adatok« fogalma – A »büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok« fogalma – A sporttal kapcsolatos dopping elleni küzdelem – A doppingellenes szabályokat megsértő személy nevének, a sporteseményektől való kizárása időtartamának, valamint a kizárás okainak online közzététele – Az érdekek egymással szembeni mérlegelése – Arányosság – 77 – 79. cikk – Jogorvoslati lehetőségek – Hatékony bírói jogvédelem ”
Tartalomjegyzék
Bevezetés
Jogi háttér
Az uniós jog
Az osztrák jog
Az alapügy, az előzetes döntéshozatalra előterjesztett kérdések és a Bíróság előtti eljárás
Elemzés
Az első kérdésről
Az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontjában foglalt kivétel szigorú értelmezése
A „doppingellenes” tevékenység nem képez kivételt az általános adatvédelmi rendelet alól …
– … még akkor sem, ha az a tagállamok hatáskörébe tartozik
– … és a gazdasági jelleg „hiánya” ellenére
Az első kérdésre vonatkozó következtetés
A második kérdésről
Az „egészségügyi adatok” fogalmának tág értelmezéséről
A jelen esetre történő alkalmazás
A második kérdéssel kapcsolatos következtetés
Az ötödik kérdésről
A felelősség megállapítására vonatkozó határozatok és jogsértések „büntetőjogi” jellege az általános adatvédelmi rendelet 10. cikke értelmében.
Annak elemzése, hogy a doppingellenes, felelősség megállapítására vonatkozó határozatok és jogsértések „bűntetőjogi” jellegűek e az általános adatvédelmi rendelet 10. cikke értelmében
– A jogsértés jogi minősítése a nemzeti jog szerint
– A jogsértés jellege
– A szankció súlyossága
Az ötödik kérdésre vonatkozó következtetés
A hatodik kérdésről
A harmadik és a negyedik kérdésről
A szóban forgó közzététel arányossága
– Előzetes megjegyzések és elvi megjegyzések
– A közzététel célkitűzéseinek elérésére való alkalmasságról
– A közzétételnek a kitűzött célokra tekintettel fennálló szükségességéről
– A „stricto sensu” arányosságról, azaz a szóban forgó érdekek mérlegeléséről
A mérlegelés időpontjáról
A harmadik és negyedik kérdésre vonatkozó következtetések
A hetedik kérdésről
Elfogadható e az adatkezelést megelőzően a felügyeleti hatósághoz benyújtott panasz?
A felügyeleti hatósághoz benyújtott panasz „utólagosan” elfogadhatóvá válik e?
A hetedik kérdésre vonatkozó következtetés
Végkövetkeztetés
Bevezetés
1. A sportszabályozás több jogforrás határán helyezkedik el. Ezt jól példázza a doppingellenes szabályozás, amely a magánjog és a közjog közös eredménye. Konkrétan a Nemzetközi Doppingellenes Szabályzat (WADC), amelyet a Nemzetközi Doppingellenes Ügynökség (WADA) alapokmánya alapján fogadtak el, egy magánjogi jellegű eszköz, amelyet az aláíró államok az ENSZ sporttal kapcsolatos dopping elleni nemzetközi egyezményén keresztül vállaltak betartani.(2) Ez a szabályozás, amelynek célja a sportszervezetek és a közhatalmi szervek doppingellenes politikájának, szabályainak és előírásainak harmonizálása világszerte, így egy külön transznacionális ágazati jogrendszert alkot.(3)
2. A Bíróságnak már korábban is kellett döntenie a sportszabályozások uniós joggal való összeegyeztethetőségéről, különösen a szolgáltatásnyújtás szabadsága vagy a verseny szempontjából.(4)
3. A jelen ügy példátlan lehetőséget(5) nyújt a Bíróságnak arra, hogy a doppingellenes szabályok egyes aspektusait a személyes adatok védelméhez kapcsolódó követelmények fényében vizsgálja meg. Össze kell egyeztetni egyrészt az etikus sport követelményeit, amelyek ebben az esetben a doppingellenes szabályok megsértése esetén a sportolókkal szemben kiszabott szankciók névvel történő online közzétételében nyilvánulnának meg, másrészt a sportolók személyes adatainak védelmét, amely az (EU) 2016/679 rendeletből (a továbbiakban: általános adatvédelmi rendelet) ered.(6)
4. Jelenleg, amikor a WADC felülvizsgálata folyamatban van,(7) a meghozandó ítélet hatálya túlterjedhet az európai határokon.
Jogi háttér
Az uniós jog
5. Az EUMSZ 16. cikk (1) bekezdése kimondja, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez. A (2) bekezdés úgy rendelkezik, hogy „[a] természetes személyeknek az uniós intézmények, szervek és hivatalok által, illetve az uniós jog alkalmazási körébe tartozó tevékenységeik során a személyes adataiknak a tagállamok által végzett feldolgozása tekintetében történő védelmére, valamint az ilyen adatok szabad áramlására vonatkozó szabályokat rendes jogalkotási eljárás keretében az Európai Parlament és a Tanács állapítja meg. E szabályok tiszteletben tartását független hatóságok ellenőrzik”.
6. Az EUMSZ 165. cikk (2) bekezdése előírja, hogy az Unió fellépésének célja többek között „a sport európai dimenzióinak fejlesztése a sportversenyek tisztaságának és nyitottságának, valamint a sport területén felelős szervezetek közötti együttműködésnek az előmozdítása, illetve a sportolók, köztük különösen a legfiatalabbak fizikai és szellemi épségének védelme révén”. E célból a (4) bekezdés előírja, hogy „a Tanács a Bizottság javaslata alapján ajánlásokat fogad el”.
7. Az általános adatvédelmi rendelet (35) preambulumbekezdése előírja, hogy „[a]z egészségügyi személyes adatok közé tartoznak az érintett egészségi állapotára vonatkozó olyan adatok, amelyek információt hordoznak az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotáról. Ide tartoznak az alábbiak: a természetes személyre vonatkozó olyan személyes adatok, amelyeket az egyénnek [az] egészségügyi szolgáltatások céljából történő nyilvántartásba vétel[e] […] során gyűjtöttek, a természetes személy egészségügyi célokból történő egyéni azonosítása érdekében hozzá rendelt szám, jel vagy adat, valamely testrész vagy a testet alkotó anyag – beleértve a genetikai adatokat és a biológiai mintákat is – teszteléséből vagy vizsgálatából származó információk, és bármilyen, például az érintett betegségével, fogyatékosságával, betegségkockázatával, kórtörténetével, klinikai kezelésével vagy fiziológiai vagy orvosbiológiai állapotával kapcsolatos információ, függetlenül annak forrásától, amely lehet például orvos vagy egyéb egészségügyi dolgozó, kórház, orvostechnikai eszköz vagy in vitro diagnosztikai teszt”.
8. Az általános adatvédelmi rendelet „Tárgyi hatály” című 2. cikkének (1) bekezdése kimondja, hogy „[e] rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni”. Az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontjából következik, hogy a rendelet nem alkalmazandó a személyes adatoknak „az uniós jog hatályán kívül eső tevékenység során” történő kezelésére.
9. Az általános adatvédelmi rendelet „Fogalommeghatározások” című 4. cikkének 15. pontja úgy rendelkezik, hogy e rendelet alkalmazásában az „egészségügyi adat[…] valamely természetes személy fizikai vagy mentális egészségére vonatkozó olyan személyes adat, ideértve az egészségügyi szolgáltatások nyújtását is, amely az adott személy egészségi állapotára vonatkozó információkat tár fel”.
10. A rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke az alábbiak szerint rendelkezik:
„(1) A személyes adatok:
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (»jogszerűség, tisztességes eljárás és átláthatóság«);
[…]
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk (»adattakarékosság«);
[…]”
11. Az említett rendelet „Az adatkezelés jogszerűsége” című 6. cikke kimondja:
„(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
[…]
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
[…]
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
[…]
(3) Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:
a) az uniós jog, vagy
b) azon tagállami jog, amelynek hatálya alá az adatkezelő tartozik.
Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.
[…]”
12. Az általános adatvédelmi rendelet „A személyes adatok különleges kategóriáinak kezelése” című 9. cikkének (1) bekezdése tiltja többek között az egészségügyi személyes adatok kezelését. Az említett rendelet 9. cikke (2) bekezdésének g) pontjából következik, hogy az (1) bekezdés nem alkalmazandó abban az esetben, ha „az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő”.
13. Az általános adatvédelmi rendeletnek „A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelése” című 10. cikke úgy rendelkezik, hogy „[a] büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre […] vonatkozó személyes adatoknak a […] kezelésére kizárólag abban az esetben kerülhet sor, ha az közhatalmi szerv adatkezelésében történik, vagy ha az adatkezelést az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós vagy tagállami jog lehetővé teszi. A büntetőjogi felelősség megállapítására vonatkozó határozatok teljes körű nyilvántartása csak közhatalmi szerv által végzett adatkezelés keretében történhet.”
14. Az általános adatvédelmi rendelet „A felügyeleti hatóságnál történő panasztételhez való jog” című 77. cikkének (1) bekezdése az alábbiak szerint rendelkezik:
„Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.”
15. Az általános adatvédelmi rendelet „A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog” című 78. cikkének (1) bekezdése az alábbiak szerint rendelkezik:
„Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.”
Az osztrák jog
16. A 2020. december 23‑i 2021. évi Anti‑Doping‑Bundesgesetz (2021. évi doppingellenes szövetségi törvény) (BGBl. I, 152/2020) (a továbbiakban: ADBG) 5. §‑ának (5) bekezdéséből következik, hogy a Nationale Anti‑Doping Agentur Austria GmbH (független doppingellenes szervezet, Ausztria) (a továbbiakban: NADA) olyan közhasznú korlátolt felelősségű társaság, amely független doppingellenőrzési szervezetként működik, és felelős a személyes adatok kezeléséért.
17. Az ADBG 5. §‑a (6) bekezdésének 4. pontja értelmében a NADA köteles a Bundes‑Sportorganisationt (szövetségi sportszervezet, Ausztria), a sportszervezeteket, a sportolókat, egyéb személyeket és versenyszervezőket tájékoztatni és bizonyos információkat díjmentesen a nyilvánosság rendelkezésére bocsátani, nevezetesen „a […] tudomására jutott biztonsági intézkedéseket (például felfüggesztések), valamint sportolók és egyéb személyek eltiltását, továbbá az eltiltás megszüntetését az érintett személy nevének, az eltiltás időtartamának és okainak megjelölésével, anélkül, hogy az érintett személy személyes adatainak különleges kategóriáira, különösen egészségügyi adataira következtetni lehetne. Ez a tájékoztatás mellőzhető a különös védelmet igénylő személyek és amatőr sportolók esetében […]”.
18. Az ADBG 6. §‑ának (2) bekezdése különösen előírja, hogy a NADÁ‑nak az általános adatvédelmi rendelet 32–34. cikkének megfelelően biztosítania kell a személyes adatoknak és a személyes adatok különleges kategóriáinak biztonságát. Ez a rendelkezés kimondja, hogy „az adatkezelés szükségessége a [WADC] doppingellenes szabályainak és e szövetségi törvény rendelkezéseinek hatékony végrehajtásából ered, amennyiben az érintett személyek szerződésben kötelezettséget vállaltak a WADC tiszteletben tartására”. Továbbá „[a] személyes adatok különleges kategóriái, különösen az egészségügyi adatok csak akkor kezelhetők, ha ez a jelen szövetségi törvény vagy a WADC doppingellenes szabályai alapján feltétlenül szükséges”.
19. Az Österreichische Anti‑Doping Rechtskommission (osztrák doppingellenes jogi bizottság) (a továbbiakban: ÖADR) az állami szervektől, magánszemélyektől és a NADA‑tól független, közfeladatot ellátó bizottság, amelynek az ADBG 7. §‑ának (1) bekezdése szerint „az érintett illetékes szövetségi szintű sportszövetség tekintetében az illetékes nemzetközi sportszövetség hatályos doppingellenes szabályainak megfelelően fegyelmi eljárást folytat le (doppingellenes eljárás)”.
20. Az ADBG 21. §‑ának (3) bekezdése szerint az ÖADR köteles „legkésőbb a határozat jogerőre emelkedésétől számított 20 napon belül az érintett személy nevének, a felfüggesztés időtartamának és okainak megjelölésével – anélkül, hogy az érintett személy egészségügyi adataira következtetni lehetne – tájékoztatni a Bundes‑Sportorganisationt [szövetségi sportszervezet], a sportszervezeteket, a sportolókat, egyéb személyeket és versenyszervezőket, valamint a nyilvánosságot a doppingellenes eljárásokban kiszabott biztonsági intézkedésekről (például felfüggesztésekről) és hozott határozatokról. Ez a tájékoztatás mellőzhető a különös védelmet igénylő személyek, amatőr sportolók,valamint olyan személyek esetében, akik információk vagy más támpontok közlése révén lényegesen hozzájárultak az esetleges doppingvétségek feltárásához. Amatőr sportolók esetében a nyilvánosságra hozatalra közegészségügyi okokból kerül sor, amennyiben az 1. § (2) bekezdésének 3. vagy 9–11. pontja szerintidoppingvétség került megállapításra.”
21. Az ADBG 23. §‑ának 14. pontjából lényegében következik, hogy ugyanezek a kötelezettségek az Unabhängige Schiedskommission (független döntőbizottság, Ausztria) (a továbbiakban: USK) számára is fennállnak.
Az alapügy, az előzetes döntéshozatalra előterjesztett kérdések és a Bíróság előtti eljárás
22. A doppingellenes eljárások keretében AR, YT, DI és RN sportolók (a továbbiakban: felperesek) (az esettől függően meghatározott időre szóló vagy élethosszig tartó) felfüggesztő határozatok hatálya alatt állnak, amely határozatokat vagy a doppingellenes eljárások lefolytatására hatáskörrel rendelkező ÖADR, vagy az ÖADR határozatainak felülvizsgálatára jogosult USK hozott.
23. Az osztrák doppingellenes jogszabályok értelmében az ÖADR vagy az USK által elrendelt felfüggesztéseket a NADA, egy közhasznú korlátolt felelősségű társaság lista formájában közzéteszi a honlapján. A felfüggesztések időtartama alatt a lista tartalmazza az érintett sportoló családi‑ és utónevét, az űzött sportágat, a doppingellenes szabályok elkövetett megsértését, a szankciót, valamint a szankció kezdetét és végét. Az ÖADR ugyanezeket az információkat, valamint az esetlegesen érintett tiltott szereket sajtóközleményben is közzéteszi a saját honlapján.
24. A felperesek 2021. október 14‑én és 15‑én felszólították az ÖADR‑t és a NADA‑t, hogy szüntessék meg a nevüknek és a sportágaknak az elérhetővé tételét. Az ÖADR és a NADA nem tett eleget e felszólításnak.
25. A felperesek 2021. október 22‑én az általános adatvédelmi rendelet 77. cikkének (1) bekezdése alapján panaszt nyújtottak be az Österreichische Datenschutzbehörde (osztrák adatvédelmi hatóság, Ausztria) (a továbbiakban: osztrák adatvédelmi hatóság) előtt, amelyben az adatok törléséhez és korlátozásához való jog megsértésének megállapítását, valamint az ÖADR és a NADA arra való kötelezését kérték, hogy töröljék a nevüket és a sportágat tartalmazó, a fent megjelölt weboldalakon található közzétételt. Azzal is érveltek, hogy – az általános adatvédelmi rendelet 9. és 10. cikke értelmében – a személyes adatok különleges kategóriájáról, valamint a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok kezeléséről van szó. Az osztrák jogban előírt differenciálatlan közzétételi rendszer összeegyeztethetetlen az általános adatvédelmi rendelet 6. cikkének (3) bekezdésével, és sem nem szükséges, sem nem arányos.
26. Az osztrák adatvédelmi hatóság 2021. november 26‑án ezt a panaszt mint megalapozatlant elutasította. Ami különösen az YT‑t illeti, panaszát azzal az indokkal utasították el, hogy nem fűződik jogi érdeke az eljáráshoz, mivel adatait még nem tették közzé.
27. A felperesek ezt követően az általános adatvédelmi rendelet 78. cikkének (1) bekezdése alapján keresetet nyújtottak be a Bundesverwaltungsgerichthez (szövetségi közigazgatási bíróság, Ausztria), amely a kérdést előterjesztő bíróság. Ebben az összefüggésben a NADA, az alapügy első alperese előadta, hogy a személyes adatoknak a honlapján történő közzététele az őt terhelő jogi kötelezettség teljesítéséhez, valamint az általános adatvédelmi rendelet 6. cikke (1) bekezdésének c) és e) pontja szerinti közérdekű feladat végrehajtásához volt szükséges.
28. A kérdést előterjesztő bíróság az USK által a NADA és társai ügyben benyújtott előzetes döntéshozatal iránti kérelem miatt felfüggesztette az alapügyben folyó eljárást.(8) Miután ez a kérelem 2024. május 7‑i ítéletben mint elfogadhatatlan el lett utasítva,(9) a kérdést előterjesztő bíróság előtt folyó nemzeti eljárás folytatódott.
29. Mindezek alapján a Bundesverwaltungsgericht (szövetségi közigazgatási bíróság, Ausztria) úgy határozott, hogy felfüggeszti az eljárást, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
„1) Az EUMSZ 16. cikk (2) bekezdésének első mondata értelmében az uniós jog hatálya alá tartozik‑e a személyek adatainak olyan kezelése, amelynek révén a nevüket, az általuk űzött sportnak megfelelő sportágat, a doppingellenes szabályok elkövetett megsértését, a szankciót, valamint a szankció kezdetét és végét egy táblázatban szereplő bejegyzés formájában közzéteszik a [NADA] weboldalának nyilvánosan hozzáférhető részén a https://www.nada.at/de/recht/suspendierungen‑sperren címen, valamint az [ÖADR] nyilvánosan hozzáférhető sajtóközleményeiben a https://www.oeadr.at címen, aminek folytán az [általános adatvédelmi rendelet] alkalmazandó az ilyen személyesadat‑kezelésre?
Az első kérdésre adott igenlő válasz esetén:
2) Az általános adatvédelmi rendelet 9. cikke értelmében vett »egészségügyi adatról« van‑e szó azon információ esetében, amely szerint egy meghatározott személy egy meghatározott doppingvétséget követett el, és e doppingvétség miatt eltiltották a (nemzeti és nemzetközi) versenyeken való részvételtől?
3) Az általános adatvédelmi rendelettel – tekintettel különösen a 6. cikke (3) bekezdésének második albekezdésére – ellentétes‑e az olyan nemzeti szabályozás, amely előírja az Österreichische Anti‑Doping Rechtskommission (osztrák doppingellenes bizottság) vagy az Unabhängige Schiedskommission (független döntőbizottság) határozatával érintett személy nevének, az eltiltás időtartamának és okainak közzétételét, anélkül, hogy az érintett személy egészségügyi adataira következtetni lehetne? E tekintetben szerepet játszik‑e az, hogy ezen információk nyilvánosságra hozatala a nemzeti szabályozás szerint csak akkor mellőzhető, ha az érintett esetében amatőr sportolóról, kiskorú személyről vagy olyan személyről van szó, aki információk vagy más támpontok közlése révén lényegesen hozzájárult esetleges doppingvétségek feltárásához?
4) Megköveteli‑e az általános adatvédelmi rendelet – tekintettel különösen az 5. cikke (1) bekezdésének a) és c) pontjában szereplő alapelvekre – a közzététel előtt minden esetben az egyrészt az érintettnek a közzététel által érintett személyiségi érdekei és másrészt a nyilvánosságnak a valamely sportoló által elkövetett doppingvétségről való tájékoztatáshoz fűződő érdeke közötti mérlegelést?
5) Az általános adatvédelmi rendelet 10. cikke értelmében vett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok kezeléséről van‑e szó azon információ esetében, amely szerint egy meghatározott személy egy meghatározott doppingvétséget követett el, és e doppingvétség miatt eltiltották a (nemzeti és nemzetközi) versenyeken való részvételtől?
6) Az ötödik kérdésre adott igenlő válasz esetén:
Bírósági felülvizsgálat alá kell‑e tartozniuk egy olyan hatóság tevékenységeinek, illetve határozatainak, amely az általános adatvédelmi rendelet 10. cikkének megfelelően a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatok kezelésének felügyeletét látja el?
7) Elfogadható‑e, illetve utólag elfogadhatóvá válik‑e az általános adatvédelmi rendelet 77. cikke szerinti, az e rendelet 17. cikkének állítólagos megsértésére vonatkozó panasz, amennyiben a panasz felügyeleti hatósághoz történő benyújtásának és a felügyeleti hatóság határozatának időpontjában még nem állt fenn az érintett személyes adatainak kezelése, az adatkezelés azonban a jogorvoslat tárgyában eljáró bíróság előtti eljárás során bekövetkezett, ha már a panasz benyújtásakor konkrét jelek utalnak arra, hogy haladéktalanul bekövetkezik a személyes adatok adatkezelő általi kezelése, illetve arra a közeljövőben sor fog kerülni?”
30. Az alapeljárás felperesei, a NADA, az osztrák adatvédelmi hatóság, a Bizottság, valamint az osztrák, a lett, a holland, a lengyel és a finn kormány írásbeli észrevételeket nyújtottak be. Az alapeljárás felperesei, a NADA, a Bizottság, valamint az osztrák, a lett és a finn kormány szóbeli észrevételeiket is előadták a 2025. május 13‑án tartott nyilvános tárgyaláson.
Elemzés
31. Az általános adatvédelmi törvény alkalmazhatóságára vonatkozó első kérdés vizsgálata után elemzem a második, ötödik és hatodik kérdést, amelyek bizonyos különleges adatokra vonatkoznak, mielőtt megvizsgálnám az arányosság elvére vonatkozó kérdést (harmadik és negyedik kérdés). Végezetül megvizsgálom a hetedik kérdést, amely inkább eljárási jellegű.
Az első kérdésről
32. Első kérdésével a kérdést előterjesztő bíróság lényegében arra kíváncsi, hogy a doppingellenes jogszabályok végrehajtása az EUMSZ 16. cikk (2) bekezdésének első mondata értelmében vett „uniós jog alkalmazási körébe tartozó” „tevékenységnek” minősül‑e.
33. E válasz nagyon fontos, mert ha nemleges, akkor az általános adatvédelmi rendelet nem lenne alkalmazható az alapeljárásra. Az EUMSZ 16. cikk alapján elfogadott általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontja ugyanis kizárja hatálya alól a személyes adatoknak „az uniós jog hatályán kívül eső” tevékenység során végzett kezelését.
34. Előzetesen, és bár a kérdést előterjesztő bíróság nem említi, szeretném felhívni a figyelmet arra, hogy az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontjában említett kivétel úgy rendelkezik, hogy e rendelet nem vonatkozik a személyes adatoknak „az illetékes hatóságok [által] bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából […]” végzett kezelésére. E kivétel oka az, hogy a személyes adatok ilyen célú, „illetékes hatóságok” általi kezelését egy konkrétabb uniós jogi aktus, nevezetesen az (EU) 2016/680 irányelv(10) szabályozza, amelyet az általános adatvédelmi rendelettel egy napon fogadtak el. Ebben a szakaszban nem zárható ki, hogy az említett kivétel anyagi jogi kritériuma a jelen ügyben teljesülhet. Az a kérdés ugyanis, hogy a jelen ügyben szóban forgó adatok kezelése az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontjában említett célokból történik‑e, az előzetes döntéshozatalra előterjesztett (az általános adatvédelmi rendelet 10. cikkével kapcsolatos) ötödik kérdés tárgyára utal, amely a szóban forgó adatkezelés tárgyát képező, felelősség megállapítására vonatkozó határozatok és jogsértések büntetőjogi jellegére vonatkozik. Ugyanakkor az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontja szerinti kivétel szervezeti kritériumával nem foglalkoztak: vajon a NADA és az ÖADR a 2016/680 irányelv 3. cikke (7) bekezdése értelmében „illetékes hatóságnak” minősülnek‑e? Nemleges válasz esetén az általános adatvédelmi rendelet alkalmazandó, ami a további elemzésem alapjául szolgál. Másrészt, igenlő válasz esetén, úgy, hogy az anyagi jogi feltétel is teljesül, akkor az általános adatvédelmi rendelet helyett a 2016/680 irányelv alkalmazhatóságának kérdése merül fel, amelynek vizsgálata a bíróság feladata.
35. Ezen észrevételt követően megállapítom, hogy a jelen ügyben nem vitatott, hogy a szóban forgó személyes adatoknak az osztrák doppingellenes hatóságok által végzett, az érintett sportolók nevének, az űzött sportnak megfelelő sportágnak, a doppingellenes szabályok elkövetett megsértésének, a kiszabott szankciónak, valamint a szankció kezdetének és végének az interneten történő közzétételéből álló kezelése megfelel azoknak az adatkezeléseknek, amelyekre az általános adatkezelési rendelet 2. cikkének (1) bekezdése, azaz a személyes adatok részben vagy egészben automatizált módon történő kezelése vonatkozik.(11)
36. A vitatottabb kérdés az, hogy ez a kezelés az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontjában előírt kivétel hatálya alá tartozik‑e.
37. Elemzésem részeként először ismertetem az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontjában foglalt kivétel szigorú értelmezésének elvét, majd a NADA által felhozott érvek fényében levonom a doppingellenes tevékenységekre vonatkozó következtetéseket.
Az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontjában foglalt kivétel szigorú értelmezése
38. Az állandó ítélkezési gyakorlat szerint az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontjában előírt kivételt, amennyiben az az általános adatvédelmi rendelet által előírt személyesadat‑védelmi rendszert alkalmazhatatlanná teszi, és ezáltal eltér annak védelmi céljától, szigorúan kell értelmezni.(12)
39. Az általános adatvédelmi rendelet (6)–(12) preambulumbekezdésében foglaltak szerint a gyors technológiai fejlődés, a globalizáció és a személyes adatok gyűjtésének és megosztásának mértéke olyan szilárd és következetes uniós adatvédelmi keretet tesz szükségessé, amely biztosítja a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogainak és szabadságainak magas és valamennyi tagállamban azonos szintű védelmét, valamint a szabályok szigorú végrehajtását, hogy megteremtse a bizalmat, amely lehetővé teszi a digitális gazdaság belső piaci fejlődését.
40. Ebből a szempontból az általános adatvédelmi rendelet 2. cikkében meghatározott tárgyi hatálya ezért szükségszerűen tág, és az abban foglalt kivételek szigorúan értelmezendőek. A Bíróság tehát megállapította, hogy az általános adatvédelmi rendelet 2. cikke (2) bekezdésének az e rendelet (16) preambulumbekezdésével összefüggésben értelmezett a) pontjának egyedüli célja az, hogy kizárja az említett rendelet hatálya alól a személyes adatok olyan kezelését, amelyet a nemzetbiztonság megóvására irányuló vagy ugyanezen kategóriába tartozónak tekinthető tevékenység keretében végeznek.
41. A nemzetbiztonság védelmére irányuló tevékenységek különösen azokat a tevékenységeket foglalják magukba, amelyek célja az alapvető állami funkcióknak és a társadalom alapvető érdekeinek a védelme.(13)
42. Tehát nem a személyeket mint olyanokat vonják ki az általános adatvédelmi rendelet alkalmazása alól, hanem csak a szóban forgó tevékenységeiket.(14) Önmagában ugyanis az, hogy egy tevékenység az állam vagy valamely közhatalmi szerv sajátos tevékenysége, nem elegendő ahhoz, hogy ezt a kivételt automatikusan alkalmazni lehessen erre a tevékenységre.(15) Nem elegendő az sem, hogy az érintett adatkezelés végrehajtója nemzetbiztonsági tevékenységet folytat, mivel az érintett adatkezelés keretében kizárólag a szóban forgó tevékenység releváns.(16) Az sem elegendő, hogy egy tagállamból egy harmadik országba történő kereskedelmi célú adatátvitel keretében a szóban forgó adatokat az érintett harmadik ország hatóságai e továbbítás során vagy azt követően közbiztonsági, honvédelmi és nemzetbiztonsági célból kezelhetik.(17)
43. Márpedig a jelen esetben, amint arra az osztrák kormány rámutatott, az ADBG 1. §‑ának (1) bekezdése úgy rendelkezik, hogy „a dopping, mivel befolyásolja a sportteljesítményt, ellentétes a sportversenyek tisztességességének elvével és a sport valódi belső értékével (sportszerűség elve), és emellett egészségügyi kockázatot is jelent”.
44. Nem állítható tehát, hogy a személyes adatoknak a NADA és az ÖADR általi közzététele olyan tevékenységgel – jelen esetben a doppingellenes küzdelemmel – kapcsolatos adatkezelésnek minősül, amely a nemzetbiztonságot érinti, vagy amely az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontja alapján e kategóriába sorolható.
45. Meg kell állapítani, hogy az általános adatvédelmi rendelet e rendelkezésén alapuló kivétel nem alkalmazható a jelen ügyben szóban forgó adatkezelésre.
46. A NADA érveivel, amelyek egyrészt azon alapulnak, hogy a doppingellenes tevékenység a tagállamok hatáskörébe tartozik, másrészt pedig azon, hogy e tevékenység nem gazdasági jellegű, nem cáfolható ez a megállapítás, amint azt a továbbiakban igyekszem bemutatni.
A „doppingellenes” tevékenység nem képez kivételt az általános adatvédelmi rendelet alól …
– … még akkor sem, ha az a tagállamok hatáskörébe tartozik
47. A NADA először is azt állítja, hogy a doppingellenes politika olyan terület, amely az uniós jogban előírt hatáskörmegosztás értelmében továbbra is a tagállamok hatáskörébe tartozik, az EUMSZ 165. cikk által a sport területén biztosított támogató hatáskör ellenére.
48. Az a tény azonban, hogy a személyes adatok kezelése a tagállamok hatáskörébe tartozó tevékenység során történik, önmagában nem releváns a tekintetben, hogy az említett adatkezelést a 2. cikk (2) bekezdésének a) pontja alapján kizárják az általános adatvédelmi rendelet hatálya alól, mivel az adatkezelés nem tartozik sem a nemzetbiztonság megóvására irányuló, sem az ugyanezen kategóriába tartozónak tekinthető tevékenység körébe.(18)
49. Az általános adatvédelmi rendelet hatálya alól kizárni a tevékenység során végzett adatkezelést kizárólag azon az alapon, hogy az a tevékenység a tagállamok hatáskörébe tartozik, véleményem szerint ellentétes lenne mind a rendelet szövegével, mind pedig kontextusával és célkitűzéseivel.
50. Amikor ugyanis az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontja az „uniós jog hatályán kívül eső tevékenység” fogalmára utal, akkor nem a hatáskör logikájára, hanem magának az általános adatvédelmi rendeletnek a jogalkotó által – az EUMSZ 16. cikk (2) bekezdése szerinti felhatalmazás alapján – meghatározott hatályának anyagi jogi logikájára utal. Ez a rendelkezés a személyes adatok védelmére és szabad áramlására vonatkozó jogalkotási hatáskört „hoz létre és ruház” az Unióra, és e célból különös alkalmazási kört határoz meg.(19) Ezen túlmenően, a személyes adatok védelmének különleges kontextusában, különös tekintettel a kezelésükhöz kapcsolódó kérdések önálló jellegére, amely kérdések külön és konkrét jogalkotási beavatkozást tettek szükségessé, az „uniós jog alkalmazási körének” fogalma meghaladja az Európai Unió Alapjogi Chartája (a továbbiakban: a Charta) 51. cikkének (1) bekezdése értelmében vett „uniós jog végrehajtásának” eseteit.(20) Végül „az uniós jog sok, a tagállamok hatáskörébe tartozó területre gyakorol hatást”.(21) Ez különösen igaz az általános adatvédelmi rendeletre, amelynek – célkitűzései miatt – változatos alkalmazási köre szükségszerűen széles körű, amint azt a jelen indítvány 39. pontja is megerősíti.
51. Így még ha a „doppingellenes” tevékenységet nem is szabályozza uniós jogi aktus, és az a tagállamok hatáskörébe tartozik, ebből nem lehet arra következtetni, hogy a doppingellenes tevékenységgel összefüggésben végzett adatkezelés nem tartozik az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontja értelmében vett „uniós jog hatálya alá”, ahogyan azt a Bíróság az általános adatvédelmi rendelet konkrét összefüggésében értelmezte.
52. Egyébként a sport a Lisszaboni Szerződés óta az Unió támogató hatáskörébe tartozik.(22) Az EUMSZ 165. cikk (2) bekezdése úgy rendelkezik, hogy „[a]z Unió fellépésének célja […] a sport európai dimenzióinak fejlesztése a sportversenyek tisztaságának és nyitottságának, valamint a sport területén felelős szervezetek közötti együttműködésnek az előmozdítása, illetve a sportolók, köztük különösen a legfiatalabbak fizikai és szellemi épségének védelme révén”. Ezek a kifejezések többek között a doppingellenes politikákra utalnak. Igaz, ez a támogató hatáskör nem ruházza fel az Uniót a sport területén történő jogalkotásra vonatkozó hatáskörrel. Ugyanakkor, még ha az Unió tevékenysége nem is normatív jellegű, létezik, és lehetővé teszi az Unió számára, hogy az EUMSZ 6. cikknek megfelelően a tagállami intézkedések támogatása, összehangolása vagy kiegészítése céljából jogi aktusokat fogadjon el.(23) Ennek megfelelően a doppingellenes szabályok „sportszerű” jellege nem teszi lehetővé, hogy azok végrehajtását az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontja értelmében az uniós jog hatálya alá nem tartozó tevékenységnek tekintsék.
– … és a gazdasági jelleg „hiánya” ellenére
53. Másodszor, a NADA előadja, hogy a sportolás csak annyiban tartozik az uniós jog hatálya alá, amennyiben az gazdasági tevékenységnek minősül. A szóban forgó doppingellenes szabályok a maguk részéről tisztán sportszakmai megfontolásokon alapulnak, így a jelen ügyben szóban forgó adatkezelés nem minősül gazdasági tevékenységnek, és ezért nem tartozik az uniós jog hatálya alá.
54. Ez az érv, amely a doppingellenes szabályok állítólagos „leválaszthatóságán” alapul, engem sem győz meg.
55. Az a megállapítás, hogy „a sportolás csak annyiban tartozik a közösségi jog hatálya alá, amennyiben az [EK‑] Szerződés 2. cikke értelmében vett gazdasági tevékenységnek minősül”, visszavezet az 1974. december 12‑i Walrave és Koch ítélethez.(24) Azóta azonban az Unió az EUMSZ 16. cikk alapján gyakorolja hatáskörét az adatvédelem területén. A tagállamok ennek megfelelően a személyes adatok védelmére vonatkozó uniós jogot a nem gazdasági jellegű területeken is alkalmazni kívánták, amint azt az általános adatvédelmi rendelet szövege, kontextusa és célkitűzései is bizonyítják.
56. Először is, az általános adatvédelmi rendelet 2. cikke (2) bekezdése a) pontjának szövege meghatározza e rendelet tárgyi hatályát azáltal, hogy az uniós jog hatálya alá tartozó vagy azon kívül eső „tevékenység”, nem pedig „gazdasági tevékenység” fogalmára utal.
57. Másodszor, az általános adatvédelmi rendelet kontextusa, és különösen a személyes adatok harmadik országok vagy nemzetközi szervezetek részére történő továbbítására vonatkozó rendelkezései (az általános adatvédelmi rendelet V. fejezete) megerősítik ezt a szó szerinti megközelítést. Ha ugyanis az ilyen továbbítás feltételei nem állnak fenn, az általános adatvédelmi rendelet 49. cikkében meghatározott különös helyzetekben alkalmazható eltérések mégis engedélyezhetik az ilyen továbbítást. Az általános adatvédelmi rendelet (112) preambulumbekezdése kifejezetten kimondja, hogy az e különös helyzetekre vonatkozó eltéréseket „különösen a fontos közérdekből szükséges adattovábbításokra kell alkalmazni, például […] nemzetközi adatcsere érdekében, […] a doppingszerek sportban való használatának visszaszorítása és/vagy megszüntetése céljából”. Amint arra a finn kormány rámutatott, ez a preambulumbekezdés arra utal, hogy az uniós jogalkotó nem gondolta úgy, hogy a személyes adatok doppingellenőrzéssel kapcsolatos kezelése, jóllehet nem kapcsolódik gazdasági tevékenységhez, kívül esik e rendelet hatályán.
58. Végül, az uniós joggal való, gazdasági tevékenységen keresztül megvalósuló kapcsolaton alapuló kritérium az általános adatvédelmi rendelet célkitűzései szempontjából sem tűnik számomra relevánsnak. Egy ilyen kritérium ugyanis azt eredményezné, hogy az általános adatvédelmi rendelet hatályát eseti alapon kellene meghatározni, attól függően, hogy a szóban forgó adatok kezelése kapcsolódik‑e az uniós jog konkrét rendelkezéseihez vagy a belső piacot szabályozó szabadságokhoz. Egy ilyen megközelítés, amely a konkrét helyzetektől függően változik, az említett rendelet alkalmazási körének bizonytalanná és esetlegessé válását eredményezné,(25) ami ellentétes lenne a rendelet alapvető célkitűzéseivel, nevezetesen azzal, hogy az egész Unióban biztosítsa az adatvédelmi szabályok következetes és egységes alkalmazását, és megszüntesse a személyes adatok Unión belüli áramlásának akadályait.
59. Mellesleg hozzátenném, hogy legalábbis a hivatásos sportolók esetében nem zárhatjuk ki a doppingellenes szabályok és a szakmai tevékenységük közötti kapcsolatot, és különösen a mozgásszabadsággal és a szolgáltatásnyújtás szabadságával való gazdasági kapcsolatot.(26) A kiszabott szankciók ugyanis valószínűleg jelentős gazdasági következményekkel járnak a sportolók felfüggesztése, esetenként élethosszig tartó felfüggesztése miatt. Ha az általános adatvédelmi rendelet hatályának megállapításához egy ilyen gazdasági kapcsolatra kellene hivatkozni, akkor az eredmény meglehetősen elégtelen lenne, mivel az általános adatvédelmi rendelet például a hivatásos sportolókra vonatkozik, az amatőr sportolókra nem.(27) Az ilyen eltérő bánásmód, attól függően, hogy a tevékenységet gazdasági tevékenységnek tekintik‑e vagy sem, nehezen összeegyeztethető az általános adatvédelmi rendelettel és a személyes adatok védelmére vonatkozó célkitűzéseivel.
Az első kérdésre vonatkozó következtetés
60. Mindezekre tekintettel azt javaslom, hogy a Bíróság az első kérdésre azt a választ adja, hogy az EUMSZ 16. cikk (2) bekezdésének első mondatát és az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontját úgy kell értelmezni, hogy a nemzeti doppingellenes szabályok értelmében az érintett sportolók nevéből, az általuk űzött sportágból, a doppingellenes szabályok általuk történt megsértéséből, a kiszabott szankcióból, valamint e szankció kezdő és befejező időpontjából álló személyes adatok kezelése nem tekinthető úgy, hogy azt az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontja értelmében az „uniós jog hatályán kívül eső tevékenység” keretében végzik.
A második kérdésről
61. Második kérdésével a kérdést előterjesztő bíróság azt kérdezi, hogy a szóban forgó személyes adatok közzététele az általános adatvédelmi rendelet 9. cikke értelmében vett „egészségügyi adatokra” vonatkozik‑e.
Az „egészségügyi adatok” fogalmának tág értelmezéséről
62. A kérdés jelentősége abban rejlik, hogy az általános adatvédelmi rendelet 9. cikke különösen erős védelmet nyújtó jogi szabályozást ír elő a személyes adatok úgynevezett „érzékeny” kategóriáira, amelyek közé az „egészségügyi adatok” is tartoznak. Ezek az adatok, amelyek az emberek legintimebb szférájába tartoznak, magas szintű védelmet igényelnek, köszönhetően a magánélet védelmének, a szakmai titoktartás védelmének és a személyes adatok védelméről szóló jogszabályoknak.(28) Kezelésüket ezért az általános adatvédelmi rendelet 9. cikkének (1) bekezdése tiltja, kivéve, ha a (2) bekezdésben meghatározott kivételek valamelyike alkalmazandó. Ez tükröződik az általános adatvédelmi rendelet (51) preambulumbekezdésében, amely az érzékeny adatokra vonatkozik, és amely szerint ez az egyedi védelem azért indokolt, „mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak”. Az általános adatvédelmi rendelet (54) preambulumbekezdése szerint a cél annak megakadályozása, hogy – amennyiben az egészségügyi adatok kezelésére közérdekből kerül sor – az adatokat „más célokból harmadik személyek, így munkáltatók, vagy biztosítók és bankok” kezeljék.(29) Az adatvédelem iránti igény az egészségügyi rendszerek számítógépesítésével, valamint az adathordozók és az adatáramlás dematerializációjával megnőtt.(30)
63. Hozzátesszük, hogy az általános adatvédelmi rendelet 9. cikkének (1) bekezdésében előírt, az egészségügyi adatok kezelésére vonatkozó tilalom független attól, hogy az adatkezelés által feltárt információ helyes‑e, és hogy az adatkezelő az e rendelkezésben említett különleges kategóriák valamelyikébe tartozó információk megszerzése érdekében jár‑e el.(31) Ebből azt a következtetést kell levonni, hogy az adatkezelő célja és különösen az a tény, hogy az adatkezelés jogi kötelezettség vagy közérdek alapján szükséges – bár ez releváns elem az általános adatvédelmi rendelet 9. cikke (2) bekezdésében előírt tíz kivétel valamelyikének esetleges alkalmazása szempontjából – nem olyan tényező, amelyet az „egészségügyi adatok” minősítésének szakaszában figyelembe kell venni.(32)
64. Az általános adatvédelmi rendelet 4. cikkének a rendelet (35) preambulumbekezdésével összefüggésben értelmezett 15. pontja szerint az ilyen adatok közé tartozik minden olyan, egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, amely információt hordoz(33) a természetes személy múltbeli, jelenlegi vagy jövőbeli egészségi állapotáról.
65. A Bíróság már megállapította, hogy az általános adatvédelmi rendelet céljára tekintettel a rendelet 9. cikke (1) bekezdésében szereplő „egészségügyi adatok” fogalmát tágan kell értelmezni.(34) Az általános adatvédelmi rendelet 4. cikke 15. pontjának és 9. cikkének rendszertani és teleologikus értelmezése szerint ahhoz, hogy egy adat egészségügyi adatnak minősüljön, elegendő, ha a szóban forgó adatok akár közvetett módon is alkalmasak arra, hogy az összevetésükre vagy következtetés levonására irányuló szellemi művelet révén az érintett egészségi állapotára vonatkozó információkat fedhetnek fel.(35)
66. Ebben az összefüggésben úgy tűnik számomra, hogy az egészségügyi adatok két kategóriáját lehet sematikusan megkülönböztetni.
67. Egyrészt az orvosi környezetben generált adatok, amelyek véleményem szerint „természetüknél fogva”(36) „objektív”(37) egészségügyi adatoknak tekinthetők, és amelyek – az általános adatvédelmi rendelet (35) preambulumbekezdésében foglaltak szerint – például fizikai vagy mentális betegségre, fogyatékosságra, betegségkockázatra, kórtörténetre, klinikai kezelésre vonatkozó információkat tartalmaznak. Ezek általában az érintett személy egészségügyi aktájában szerepelnek.(38) Hasonlóképpen, az olyan adatok, amelyeket, bár nem orvosi jellegűek, de az orvosi aktába való felvétel céljából gyűjtenek, mint például az ezen aktába való felvételre szánt adminisztratív adatokat, ezen az alapon az általános adatvédelmi rendelet (35) preambulumbekezdése értelmében „egészségügyi adatoknak” minősülnek. Ezek olyan adatok, amelyek az egészséggel kapcsolatosnak tekintendők, és az érintett egészségi állapotáról adnak tájékoztatást.
68. Ebben az összefüggésben az általános adatvédelmi rendelet (35) preambulumbekezdésében említett „betegségkockázat” fogalomnak minden bizonnyal van némi jelentősége. Amint az a 29. cikk alapján létrehozott munkacsoport munkájából kitűnik, ez magában foglalja az érintett személy lehetséges jövőbeli egészségi állapotára vonatkozó adatokat is. Eszerint a „tudományosan bizonyított vagy általánosan vélt” jövőbeli betegségkockázatot veszik figyelembe, és példaként a túlzott alkohol‑ vagy dohányfogyasztást és a kábítószer‑fogyasztást említik.(39)
69. Másrészt, orvosi kontextuson kívül is vonatkozhat egy adat az egészségre, különösen akkor, ha az adott adat – akár közvetve is – információt fed fel egy természetes személy múltbeli, jelenlegi vagy jövőbeli fizikai vagy mentális egészségi állapotáról.(40) Ez az „egészségügyi adat” fogalmában „szürke zóna”,(41) amely felveti a kérdést, hogy milyen mértékig lehet egy adatot az egészséghez való közvetett kapcsolata alapján egészségügyi adatnak minősíteni. A döntő tényező itt az, hogy a szóban forgó adatok alapján le lehet‑e vonni következtetéseket az érintett személy egészségi állapotára vonatkozóan, legyen szó akár kórállapotról, akár élettani állapotról, függetlenül e következtetések megbízhatóságától. E tekintetben a kontextus elemeit lehet figyelembe venni,(42) valamint a szóban forgó információ és a személy egészségi állapotának egy aspektusára való következtetés lehetősége közötti kapcsolatot.(43)
70. Például a 29. cikk alapján létrehozott munkacsoport egészségügyi adatnak tekintette azokat az információkat, amelyek egy személy egészséghez kapcsolódó célú csoportokhoz, például a „Weight Watchers”‑hez vagy az „Anonim Alkoholisták”‑hoz való tartozására vonatkoznak.(44) Ezenkívül egy „önmérésből” származó nyers adat (például egy okosóra által rögzített testsúly vagy vérnyomás), amely önmagában nem minősül egészségügyi adatnak, más információkkal kombinálva lehetővé teheti az érintett személy egészségi állapotára vonatkozó következtetések levonását. A 29. cikk alapján létrehozott munkacsoport e tekintetben pontosítja, hogy az értékelést eseti alapon kell elvégezni: egy olyan alkalmazás, amely néhány napon keresztül követi és tárolja a megtett lépések számát, és egy hét után törli ezeket az adatokat, nem feltétlenül kezel „egészségügyi adatokat”. De egy olyan alkalmazás, amely egy személy több éves átfogó, számszerűsített nyilvántartását egyesíti (például az alvási és edzési szokások, az étrend, a testsúly, a testtömegindex, a vérnyomás és más élettani statisztikák részletes nyilvántartásának, valamint a hangulati naplónak a nyomon követése), egészségügyi adatok kezelésének minősül. Ebben az esetben nem csak a következtetések, hanem a nyers adatok is egészségügyi adatoknak minősülnek.(45)
A jelen esetre történő alkalmazás
71. Az alapügyben szereplő jogvitában a szóban forgó szabályozás előírja, hogy az érintett sportolók nevén és felfüggesztésük időtartamán túlmenően e felfüggesztés okait is közölni kell a megállapított jogsértés(ek) kategóriájára való hivatkozással. Amennyiben a jogsértés tiltott szerrel vagy módszerrel kapcsolatos, ezt az ÖADR honlapján közzétett sajtóközleményben is jelzik.(46)
72. Mindenekelőtt emlékeztetni kell arra, hogy a nyilvánosságra hozott doppingellenes jogsértések több kategóriába sorolhatók.(47)
73. Az osztrák adatvédelmi hatósághoz hasonlóan én is úgy vélem, hogy csak a 2.1. és 2.2. kategóriában meghatározott jogsértéseket kell az „egészségügyi adatok” fogalmának fényében vizsgálni. A többi jogsértés olyan jogsértő magatartásra vonatkozik, amely véleményem szerint önmagában nem alkalmas arra, hogy akár közvetve is információt tárjon fel az érintett személy egészségi állapotáról. Például az az információ, hogy egy sportoló megszegte a helymeghatározásra vonatkozó kötelezettségét (2.4. kategóriába tartozó jogsértés) vagy tiltott szerekkel kereskedett (2.7. kategóriába tartozó jogsértés), nem árul el semmilyen információt az egészségi állapotáról.
74. Másodszor, meg kell jegyezni, hogy a 2.1. és 2.2. kategóriába tartozó jogsértések felderítése az érintett sportoló doppingellenes vizsgálatát és a minták elemzését foglalja magában a tiltott szerek és módszerek kimutatása érdekében. Hozzátenném, hogy ezeket az elemzéseket akkreditált szakemberek végzik,(48) tehát kvázi orvosi, sőt orvosi környezetben. Az ilyen jogsértések megállapítása tehát visszavezet minket az általános adatvédelmi rendelt (35) preambulumbekezdése értelmében vett „valamely testrész vagy a testet alkotó anyag teszteléséből vagy vizsgálatából származó információ” fogalmához. Az ilyen információk tehát természetüknél fogva egészségügyi adatoknak tekinthetők.
75. E tekintetben igaz, hogy a tesztet a sportteljesítmény javítása érdekében szedett doppingszerek kimutatása céljából végzik, és hogy a szóban forgó információk nyilvánosságra hozatalából álló kezelés az érintett sportolóval szemben megtorló és visszatartó célt szolgál. Nem szabad azonban elfelejteni, hogy az elérni kívánt célnak nincs jelentősége a szóban forgó adatok minősítése szempontjából.(49)
76. Hasonlóképpen, az a tény, hogy a doppingszerek nem gyógyszerek, nem tűnik számomra meggyőzőnek. Egyrészt az „egészségügyi adatok” fogalma nem csak a terápiás célú orvosi adatokat foglalja magában. Ezenkívül egyes gyógyszerek helytelenül alkalmazva károsak az egészségre. Másrészt a dopping elleni küzdelem célja ugyan a sportolók közötti méltányosság és egyenlőség előmozdítása, de egészségügyi szempontból is fontos kérdés.(50) Márpedig számos szert vagy módszert tiltottak be, különösen azok egészségre gyakorolt káros hatása miatt, még akkor is, ha ez a hatás a terméktől, a bevitt mennyiségtől vagy az érintett személy állapotától függően változó.(51)
77. Következésképpen a szóban forgó információ minősítése érdekében, függetlenül attól, hogy a sportoló által elérni kívánt cél a teljesítményének javítása, véleményem szerint nem lehet figyelmen kívül hagyni a tiltott szer felszívódásának a sportoló egészségére gyakorolt hatásait, függetlenül attól, hogy ezek a hatások jelen vagy jövőbeliek.
78. Végezetül úgy tűnik számomra, hogy az a tény, hogy az ÖADR a szervezetben kimutatott tiltott szer nevét az interneten közzéteszi, alkalmas arra, hogy tájékoztassa a nyilvánosságot azokról a kockázatokról, amelyekkel a szer felszívódása az érintett sportoló egészségére nézve járhat.
79. Igaz, a szervezetben jelen lévő tiltott szer nevének puszta említése önmagában nem tekinthető elegendőnek ahhoz, hogy az érintett sportoló egészségi állapotáról, akár a jövőre vonatkozóan is, információt szolgáltasson. E tekintetben maga az információ tartalma túlságosan szűkszavúnak, az egészségi állapottal való kapcsolat pedig túlságosan közvetettnek, sőt túlságosan hipotetikusnak tekinthető ahhoz, hogy az általános adatvédelmi rendelet értelmében vett „egészségügyi adatnak” minősüljön. Nem zárható ki azonban, hogy az említett információ más elemekkel kombinálva, akár közvetett módon is alkalmas lehet arra, hogy az összevetésükre vagy következtetés levonására irányuló szellemi művelet révén – akár a jövőre nézve is – az érintett egészségi állapotára vonatkozó információkat fedjen fel.
80. Ezért azon a véleményen vagyok, hogy a kérdéses szer nevének (vagy kategóriájának) említése olyan jelzéseket ad, amelyek – bár nem túl részletesek – közvetett módon alkalmasak arra, hogy tájékoztatást nyújtsanak az érintett egészségi állapotáról. Az általános adatvédelmi rendelet sajátos kontextusában az ilyen említés bizonyos körülmények között, amelyek vizsgálata a kérdést előterjesztő bíróság feladata, az általános adatvédelmi rendeletnek a rendelet (35) preambulumbekezdésével összefüggésben értelmezett 4. cikke 15. pontjának és 9. cikke (1) bekezdésének értelmében vett „egészségügyi adatnak” minősül.
81. Ugyanakkor nem gondolom, hogy ez lenne a helyzet, ha a szóban forgó tiltott szert (vagy annak kategóriáját) nem említenék. Egy ilyen esetben ugyanis a tiltott szernek a szervezetben való jelenléte miatti jogsértés megállapítása és az érintett személy egészségi állapotára vonatkozó információ között még „az összevetésükre vagy következtetés levonására irányuló szellemi művelet” révén sem lehetne kapcsolatot teremteni. Véleményem szerint ez a kapcsolat akkor túl közvetett lenne ahhoz, hogy a nyilvánosságra hozott információ az általános adatvédelmi rendelet szerinti „egészségügyi adatok” kategóriájába tartozzon.
A második kérdéssel kapcsolatos következtetés
82. Ezért azt javaslom, hogy a Bíróság állapítsa meg, hogy az általános adatvédelmi rendelet 9. cikkének (1) bekezdését úgy kell értelmezni, hogy az érintett sportoló nevének, felfüggesztésének időtartamának és e felfüggesztés indokainak közlése nem minősül az említett rendelkezés értelmében vett egészségügyi adat kezelésének, kivéve, ha ezen indokok között szerepel a szóban forgó sportoló szervezetében kimutatott tiltott szer(ek) neve, amennyiben ez a megjelölés alkalmas arra, hogy – akár közvetve – az érintett sportoló akár jövőbeli egészségi állapotára vonatkozó információkat tárjon fel, aminek ellenőrzése a kérdést előterjesztő bíróság feladata.
Az ötödik kérdésről
83. A kérdést előterjesztő bíróság lényegében azt kérdezi, hogy a szóban forgó közzététel az általános adatvédelmi rendelet 10. cikke értelmében vett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok kezelésének minősül‑e. E tekintetben emlékeztet arra, hogy az alapeljárásban kiszabott szankciók között szerepel a címektől és pénznyereményektől való megfosztás, valamint többéves felfüggesztés vagy élethosszig tartó eltiltás minden (nemzeti és nemzetközi) versenytől. Azt is megállapítja, hogy a sportszervezetek az ADBG 24. §‑ának (4) bekezdése szerint nem „vehetnek igénybe” a doppingellenes jogszabályok alapján felfüggesztett személyeket, és így nem foglalkoztathatnak ilyen személyeket díjazás ellenében.
84. Mielőtt elemezném a szóban forgó doppingellenes, felelősség megállapítására vonatkozó határozatok és jogsértések jellegét, szeretném emlékeztetni a büntetőjogi minősítés fontosságára az általános adatvédelmi rendelet 10. cikkével összefüggésben.
A felelősség megállapítására vonatkozó határozatok és jogsértések „büntetőjogi” jellege az általános adatvédelmi rendelet 10. cikke értelmében.
85. Nem szabad elfelejteni, hogy az uniós jogalkotó nem tiltja meg a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok kezelését, de azt fokozott ellenőrzésnek veti alá, mivel az jelentős hatással lehet az érintettek életére, különösen a jó hírnév sérelme vagy más területeken történő megkülönböztetés tekintetében. Az ilyen adatkezelés tehát csak „közhatalmi szerv által” történhet, vagy akkor, ha az adatkezelést engedélyező jogszabály „az érintett jogai és szabadságai tekintetében megfelelő garanciákat” nyújt.(52) Az általános adatvédelmi rendelet 10. cikke ezt a fokozott védelmet kizárólag a büntetőjog területére korlátozza, azzal, hogy a „büntetőjog” kifejezés egyaránt utal a „felelősség megállapítására vonatkozó határozatokra” és a „jogsértésekre”.(53)
86. Így az általános adatvédelmi rendelet 10. cikke hatálya alá tartozhatnak a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó nyilvántartások magánszervezetek általi vezetése,(54) például a pénzmosás elleni küzdelem vagy a bűnügyi szakértői laboratóriumok vonatkozásában.(55) Emellett példaként említhető a személyes adatok olyan járműkölcsönzők általi kezelése, amelyek azonosítják és megnevezik a közlekedési szabályokat megszegő vezetőket.
87. A jelen esetben tehát az a kérdés, hogy a NADA és az ÖADR által online közzétett „sportolókra vonatkozó bűnügyi nyilvántartás” az általános adatvédelmi rendelet 10. cikkének hatálya alá tartozó, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó „nyilvántartásnak” minősül‑e, amely ezért fokozott védelmet élvez.
Annak elemzése, hogy a doppingellenes, felelősség megállapítására vonatkozó határozatok és jogsértések „bűntetőjogi” jellegűek‑e az általános adatvédelmi rendelet 10. cikke értelmében
88. A Bíróság ítélkezési gyakorlata szerint a „bűncselekmény” fogalmát, amely döntő fontosságú az általános adatvédelmi rendelet 10. cikkének személyes adatok kezelésére való alkalmazhatóságának meghatározásához, az Unió egész területén önállóan és egységesen kell értelmezni, figyelembe véve az e rendelkezés által követett célt, valamint azon összefüggést, amelybe e rendelkezés illeszkedik, anélkül hogy e tekintetben meghatározó lenne e jogsértések érintett tagállam általi minősítése, mivel e minősítés tagállamonként eltérő lehet.
89. A Bíróság által elfogadott három „Engel‑kritérium”,(56) nevezetesen a jogsértésnek a nemzeti jog szerinti jogi minősítése, magának a jogsértésnek a jellege és az érintett személyre kiszabható büntetés súlyossága a releváns tehát a jogsértés büntetőjogi jellegének megítélése szempontjából.
90. Bár a kérdést előterjesztő bíróság feladata e kritériumok tükrében annak megítélése, hogy az alapügyben szóban forgó felelősség megállapítására vonatkozó határozatok és jogsértések az általános adatvédelmi rendelet 10. cikke értelmében büntetőjogi jelleget öltenek‑e, a Bíróság az előzetes döntéshozatal iránti kérelem tárgyában hozott ítéletében mindazonáltal pontosítást adhat, amelynek célja, hogy e bíróságnak iránymutatást nyújtson az értékelésében.(57)
91. Ezért a szóban forgó felelősség megállapítására vonatkozó határozatokat és jogsértéseket e három kritérium fényében fogom megvizsgálni.
– A jogsértés jogi minősítése a nemzeti jog szerint
92. Az előzetes döntéshozatal iránti kérelemből kitűnik, hogy az ÖADR az érintett sportszövetség tekintetében az osztrák jog szerint fegyelmi eljárást folytat le. Hasonlóképpen az osztrák kormány a tárgyaláson hangsúlyozta, hogy a doppingellenes szabályok sui generis jellegűek, mivel a doppingvétségek az érintett sportszövetségek szabályainak megsértését jelentik, amelyek betartására a sportolók kötelezettséget vállalnak,(58) nem pedig a törvény megsértését.
93. A doppingvétségek nemzeti jog szerinti minősítése tehát nem felel meg az általános adatvédelmi rendelet 10. cikke szerinti „büntetőjogi” minősítésnek.
94. Ennek ellenére az első Engel‑kritérium hatályát relativizálni kell, mivel még azon jogsértések esetében is, amelyek a nemzeti jog szerint nem minősülnek „büntető jellegűnek”, e jelleg megállapítására mindazonáltal a szóban forgó jogsértés jellegéből és a jogsértés miatt kiszabható szankció súlyából fakadóan is sor kerülhet.(59) Ez különösen igaz a doppingellenes szabályozásra, mivel a létrehozott transznacionális rendszerben különböző nemzetközi és nemzeti szereplők vesznek részt,(60) és a tagállamok különböző módon integrálták a WADC‑t saját jogrendszereikbe. A doppingellenes szabályok alkalmazása tehát szükségszerűen államonként eltérő, az államszervezetek különböző modelljeitől függően, még akkor is, ha úgy tűnik, hogy a legtöbb tagállamban a nemzeti doppingellenes szervezetek nem rendelkeznek büntetőjogi hatáskörrel e tekintetben.(61)
95. Meg kell tehát vizsgálni a másik két Engel‑kritériumot is.
– A jogsértés jellege
96. Ez a második kritérium annak vizsgálatát írja elő, hogy a szóban forgó jogsértésnek megfelelő szankció célja kifejezetten a megtorlásra irányul‑e, anélkül, hogy pusztán az, hogy megelőzésre irányuló célt is követ, megfosztaná azt a „büntetőjogi szankcióként” való minősítéstől. A büntetőjogi szankciók jellegüknél fogva ugyanis egyaránt szolgálják a jogellenes magatartás megtorlását és megelőzését. Ellenben egy olyan intézkedés, amely csupán az adott jogsértéssel okozott kár megtérítésére korlátozódik, nem ölt büntető jelleget.(62)
97. Az előzetes döntéshozatal iránti kérelemből kitűnik, hogy a doppingvétségekre vonatkozó szankcióknak két kategóriája van.
98. Egyrészt a címektől és pénznyereményektől való megfosztás, amely azt jelenti, hogy a nyereményt elveszik és azoknak a sportolóknak adják, akiknek járt volna, ha a szankcionált sportoló nem vett volna részt a versenyen. Az ilyen szankció a „játékszabályok” (a „lex sportiva”) megsértésére adott válasznak tűnik, és úgy tekinthető, hogy alapvetően a versenyek tisztességességének helyreállítását célozza,(63) bár ez semmiképpen sem von le a szankciónak az érintett sportolóra vonatkozó büntető jellegéből.
99. Másrészt, a sportversenyeken való részvételnek a felfüggesztéséről van szó, amely lehet néhány hónapos vagy többéves, vagy akár – mint az alapeljárás egyik felperesének esetében – az összes versenytől való élethosszig tartó eltiltás. Ez a felfüggesztés minden bizonnyal tekinthető úgy, mint a vétkes sportoló „eltiltására” irányuló törekvés, hogy eltávolítsák vagy kizárják őt a sportolók közösségéből, és ezáltal megőrizzék e közösség integritását. Ugyanakkor a felfüggesztés célja az is, hogy szankcionálja azt a sportolót, aki megsértette a doppingellenes szabályokat, amelyek betartására kötelezettséget vállalt, valamint hogy más sportolókat elrettentsen ettől a magatartástól.
100. Úgy tűnik tehát, hogy e doppingellenes szankciók, vagy legalábbis a versenyektől való eltiltás elsődleges célja nem a harmadik személyeknek a jogsértés következtében okozott kár helyreállítása, hanem az érintett sportoló magatartásának büntetése, ami büntetőjogi felelősség megállapítására vonatkozó határozatnak felel meg.(64) Ebben a tekintetben a doppingellenes szabályoknak, még ha nem tekinthetők büntetőjogi szabályoknak, megtorló céljuk van.(65)
101. Az e második Engel‑kritérium szerinti „büntetőjogi” minősítés azonban kétféle bizonytalanságra is okot adhat.
102. A kezdeti bizonytalanság abból adódik, hogy a strasbourgi bíróság a fegyelmi eljárásokat általában az EJEE 6. cikkének polgári jogi vetülete alapján bírálta el,(66) kivéve például, ha szabadságelvonásról volt szó, és a szankció kellően súlyos volt.(67)
103. A strasbourgi bíróság különösen úgy véli, hogy az EJEE 6. cikke polgári jogi vetülete alkalmazandó „a szakma gyakorlásához való jog megvonásával kapcsolatos jogvitákra”(68), ideértve a sport területét is.(69)
104. A foglalkozás gyakorlásától való eltiltás büntetőjogi jellege tehát korántsem magától értetődő.
105. Úgy tűnik azonban, hogy nem lehet ebből ipso facto és abszolút módon levezetni, hogy a sportversenyeken való részvétel felfüggesztésével járó fegyelmi szankció soha nem lehet büntetőjogi kérdés.
106. Egy ilyen megközelítés valójában pusztán formálisnak tűnik.
107. Azt sem szabad elfelejteni, hogy az EJEE 6. cikkének két vetülete, a polgári és a büntetőjogi, nem feltétlenül zárja ki egymást.(70)
108. Végül szem előtt kell tartani, hogy a strasbourgi bíróság a szóban forgó jogsértés büntetőjogi vagy polgári jogi jellegének vizsgálatát az előtte felhozott kifogásokra tekintettel, valamint annak értékelése céljából végzi el, hogy az EJEE 6. cikkében előírt tisztességes eljárás garanciái polgári jogi ((1) bekezdés) vagy büntetőjogi ((1)–(3) bekezdés) vetületben alkalmazandók‑e.
109. Ugyanakkor az általános adatvédelmi rendelet 10. cikkével összefüggésben annak megítélése céljából kell megvizsgálni, hogy a felelősség megállapítására vonatkozó határozat vagy jogsértés büntetőjogi jellegű‑e, hogy a szóban forgó adatkezelés (a jelen esetben a közzététel) olyan információra irányul‑e, amely fokozott védelmet érdemel, és amelynek kezelését közhatalmi szerv végzi. Ezenfelül semmi sem akadályozza a szóban forgó jogok és szabadságok nagyobb védelmét biztosító tágabb értelmezés elfogadását.(71) Az általános adatvédelmi rendelet 10. cikkével összefüggésben tehát a kérdést előterjesztő bíróság feladata annak értékelése, hogy teljesülnek‑e az Engel‑kritériumok, és különösen a jogsértés jellegére vonatkozó második kritérium.
110. A második bizonytalanság abból a tényből fakad, hogy a doppingellenes jogsértések és felelősség megállapítására vonatkozó határozatok csak a személyek egy meghatározott csoportjára, nevezetesen a sportolókra irányulnak, ellentétben a fegyelmi szankciókkal, amelyek célja általában az, hogy biztosítsák, hogy tagjai betartják az adott csoportra vonatkozó magatartási szabályokat.(72) Az ilyen rendelkezések célja a szakma becsületének és jó hírnevének védelme, valamint a szakmába vetett közbizalom fenntartása.(73)
111. Igaz, egy ilyen megállapítás lehetővé tenné a jogsértés „fegyelmi” minősítését abban az értelemben, hogy az egy bizonyos számú, meghatározott szabályok hatálya alá tartozó személyre vonatkozik. E tekintetben a jelen ügy különbözik a Latvijas Republikas Saeima ügyben hozott ítélet alapjául szolgáló ügytől, amelyben a közúti közlekedési szabálysértésekért járó büntetőpontok kiosztása egy általános hatályú jogszabályon alapult.(74)
112. Ez azonban nem zárja ki az általános adatvédelmi rendelet 10. cikke értelmében vett „bűncselekménynek” való minősítést. Ha ugyanis a fegyelmi szabályok szűkebb hatálya elegendő lenne ahhoz, hogy a jogsértés ne legyen „büntetőjogi” jellegű, akkor ismét a fogalom tisztán formális megközelítéséhez jutnánk. Az ilyen megközelítés összeegyeztethetetlen az ítélkezési gyakorlattal, amely e tekintetben megköveteli, hogy a szankciónak a jogsértés jellegének meghatározása érdekében – a pusztán orvoslási céllal szemben – a megtorló vagy megelőző célját kell keresni.
113. A jelen ügyben a felelősség megállapítására vonatkozó doppingellenes határozatok célja, mint láttuk,(75) nem a kérdéses jogsértések által okozott károk megtérítése (vagy nem csak az, ha figyelembe vesszük a sportközösségnek okozott károkat), hanem éppen ellenkezőleg, olyan megtorló célt szolgálnak, amely alkalmas arra, hogy a határozatok e második kritériumnak az ítélkezési gyakorlat általi értelmezése szerint „büntetőjogi” jellegűnek minősüljenek, függetlenül attól, hogy az alkalmazandó szabály általános jellegű‑e vagy sem. Szeretnék rámutatni arra is, hogy a Sport Választottbíróság (Svájc), ez a sport világában választottbírósági vagy közvetítői szolgáltatást nyújtó nemzetközi intézmény adott esetben maga is elismeri a doppingellenes szankciók „kvázi büntetőjogi” jellegét.(76)
114. Ezenkívül bizonyos doppingvétségek, mint például a tiltott szerekkel való kereskedelem, mind a doppingellenes szabályok, mind a nemzeti büntetőjog alapján szankciókat vonhatnak maguk után. Igaz, a strasbourgi bíróság úgy ítélte meg, hogy az a tény, hogy a fegyelmi büntetéssel sújtható cselekmények egyben bűncselekménynek is minősülnek, nem elegendő ahhoz, hogy a fegyelmi jog alapján felelős személyt bűncselekménnyel is „vádolják”.(77) Úgy tűnik azonban számomra, hogy ez a második Engel‑kritérium keretében figyelembe veendő tényezőnek minősülhet.
115. Következésképpen, a megfogalmazott fenntartások ellenére, ebben a szakaszban úgy vélem, hogy nem zárható ki, hogy bizonyos doppingvétségek – megtorló vagy megelőző jellegükre tekintettel – az általános adatvédelmi rendelet 10. cikke értelmében büntetőjogi jellegűnek tekinthetők.
– A szankció súlyossága
116. Ezt a harmadik Engel‑kritériumot a vonatkozó rendelkezésekben előírt büntetési tétel felső határa alapján kell értékelni.(78)
117. Márpedig a súlyosság foka az elkövetett doppingellenes jogsértéstől függően változik. A felmerülő felfüggesztés hossza például a szóban forgó doppingellenes jogsértésektől függően változik. A visszaesés és az elkövető szándéka is szerepet játszhat ebben a tekintetben.(79)
118. Az előzetes döntéshozatal iránti kérelemből kitűnik, hogy a jelen esetben „több évre történő felfüggesztésről vagy valamennyi (nemzeti és nemzetközi) versenytől élethosszig tartó eltiltásról” lehet szó, ami tehát a sportolói hivatás gyakorlásától való végleges eltiltáshoz vezethet.
119. Ez természetesen nem szabadságvesztés‑büntetés. Ez azonban nem döntő tényező, mivel „az a tény, hogy a tét alacsony, nem foszthatja meg a jogsértést annak eredendően büntetőjogi jellegétől”.(80) Továbbá, a felfüggesztés időtartamától függően az érintett személy hivatásos sportkarrierje valószínűleg véget ér, különös tekintettel az érintettek életkorára és arra a tényre, hogy különösen bizonyos sportágakban a karrierek viszonylag rövidek.
120. E felfüggesztés mellett, amely akár „élethosszig tartó” lehet, a felfüggesztés teljes időtartama alatt a felfüggesztett személlyel való együttműködés tilalma miatt a sport területén való elhelyezkedés sem lehetséges a gyakorlatban.
121. Az érintett személyt érintő gazdasági és pénzügyi következmények mellett társadalmi rosszallás és megbélyegzés is felmerül mind a köz‑, mind a magánszférában.
122. Ebből véleményem szerint következik, hogy ez a szankció olyan súlyú, hogy az általános adatvédelmi rendelet 10. cikke értelmében büntetőjogi felelősség megállapítására vonatkozó határozattal egyenértékű hatást válthat ki, amelyet azonban a kérdést előterjesztő bíróságnak kell minden egyes esetben értékelnie.
123. Következésképpen úgy vélem, hogy a doppingellenes jogsértéseket és felelősség megállapítására vonatkozó határozatokat elvben a fegyelmi szférába tartozónak kell tekinteni, kivéve azokat az eseteket, amikor a határozat olyan súlyos, hogy az a büntetőjog területére tartozik. Ez az értékelés, amely nem kérdőjelezhető meg pusztán a belső jog szerinti minősítés alapján, ráadásul összhangban van a határozat megtorló és megelőző céljával, amely az elkövetett jogsértést büntetőjogi jelleggel ruházza fel. Ebben az összefüggésben tehát a versenyeken való részvétel élethosszig tartó felfüggesztése véleményem szerint olyan büntetőjogi szankcióval egyenértékű hatású szankciónak minősülhet, amely kiválthatja az általános adatvédelmi rendelet 10. cikkének alkalmazhatóságát.
124. Végezetül hozzátenném, hogy nem győzött meg a NADA érvelése, amely arra figyelmeztet, hogy az általános adatvédelmi rendelet 10. cikkének a fegyelmi határozatokkal és jogsértésekkel kapcsolatos adatok kezelésére való alkalmazása valamennyi szakmai szervezetre nézve következményekkel járna. Itt nem arról van szó ugyanis, hogy általános és elvont módon valamennyi fegyelmi határozatot és jogsértést „kriminalizálunk”. A fenti elemzésből kiderült, hogy az értékelést az egyes esetek körülményeinek figyelembevételével és az általános adatvédelmi rendelet 10. cikkének értelmezése céljából kell elvégezni, amely a hatálya alá tartozó, felelősség megállapítására vonatkozó határozatok és jogsértések „nyilvántartásának” megléte esetén fokozott védelmet ír elő. Ezen túlmenően az ilyen „bűntetőjoginak” minősülő jogsértésekkel és határozatokkal kapcsolatos adatok kezelésének jogalapja a „megfelelő garanciákat” nyújtó uniós vagy tagállami jogszabályok is lehetnek.
Az ötödik kérdésre vonatkozó következtetés
125. Úgy vélem, hogy az ötödik kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 10. cikkét úgy kell értelmezni, hogy az akkor alkalmazható a nemzeti doppingellenes szabályozás szerinti felelősség megállapítására vonatkozó határozatokkal és jogsértésekkel kapcsolatos személyes adatok kezelésére, amennyiben – függetlenül attól, hogy e jogsértéseket a nemzeti jog hogyan minősíti – az azokkal kapcsolatos, felelősség megállapítására vonatkozó határozatok megtorló célt szolgálnak, és olyan súlyosságúak, hogy büntetőjogi szankcióval egyenértékű hatást fejtenek ki, aminek vizsgálata a kérdést előterjesztő bíróság feladata.
A hatodik kérdésről
126. Az ötödik kérdésre adott igenlő válasz esetén a kérdést előterjesztő bíróság azt kérdezi, hogy bírósági felülvizsgálat tárgyát képezik‑e azon hatóság tevékenységei vagy határozatai, amely az általános adatvédelmi rendelet 10. cikke értelmében a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, valamint a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatok kezelésének felügyeletét látja el.
127. Először is pontosítsuk, hogy a szóban forgó hatóság az általános adatvédelmi rendelet 10. cikkében meghatározott „közhatalmi szerv”, amelyet nem szabad összetéveszteni az általános adatvédelmi rendelet 51. cikkében meghatározott „felügyeleti hatósággal”.(81) Emlékeztetni kell arra is, hogy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatoknak a kezelésére kizárólag abban az esetben kerülhet sor, ha az közhatalmi szerv adatkezelésében történik, vagy ha az adatkezelést az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós vagy tagállami jog lehetővé teszi.(82) A kérdés megválaszolása ezért összefüggésben áll az előzetes döntéshozatalra előterjesztett harmadik és negyedik kérdésre adott válaszokkal, amelyeket a későbbiekben vizsgálunk meg.(83)
128. Másodszor, meg kell jegyezni, hogy az általános adatvédelmi rendelet nem tartalmazza a rendelet 10. cikke szerinti „közhatalmi szerv” vagy „a közhatalmi szerv felügyelete” fogalmának meghatározását. E tekintetben a tagállamok feladata annak meghatározása, hogy a személyes adatoknak az általános adatvédelmi rendelet 10. cikke szerinti kezelése esetén melyik szervezet gyakorolja „közhatalmi szerv” felügyeletét. Amint a Bizottság rámutat, nem zárható ki, hogy több hivatalt is közhatalmi szervnek lehet tekinteni, és nincs feltétlenül szó „adatkezelőről”.
129. Harmadszor, igaz, hogy az általános adatvédelmi rendelet 10. cikkének a szövege önmagában nem írja elő e „közhatalmi szerv” tevékenységeinek vagy határozatainak bírósági felülvizsgálatát. E rendelkezés rendszertani értelmezése azonban e felülvizsgálat mellett szól, ha az érintettek jogaik érvényesítésére törekszenek. Valójában több érdekelt félhez hasonlóan én is azon a véleményen vagyok, hogy a személyes adatok kezelésére vonatkozó jogi aktusok felülvizsgálata – ideértve azt is, amikor ez a felülvizsgálat az általános adatvédelmi rendelet 10. cikke értelmében vett közhatalmi szerv határozatát követi – meg kell, hogy feleljen az általános adatvédelmi rendelet 79. cikke (1) bekezdésének, még akkor is, ha a kérdést előterjesztő bíróság a kérdésében nem hivatkozik erre. E rendelkezés értelmében a közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, ezen rendelet 77. cikke szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait. Ezenfelül, amint arra a finn kormány rámutat, az uniós jog tiszteletben tartását biztosító hatékony bírósági felülvizsgálat megléte önmagában is a jogállam velejárója.
130. Negyedszer, az ilyen értelmezést megerősíti az általános adatvédelmi rendelet 10. cikkének célja, nevezetesen, hogy fokozott védelmet biztosítson az olyan adatkezeléssel szemben, amely a szóban forgó adatok különösen érzékeny jellege folytán különösen súlyos beavatkozást jelenthet a magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető jogokba.(84) Az általános adatvédelmi rendelet 10. cikkének olyan értelmezése, amely eleve és általánosságban kizárná az e rendelkezés értelmében vett közhatalmi szervek tevékenységét vagy határozatait a bírósági felülvizsgálat alól, ellentétes lenne e célokkal.
131. Ilyen körülmények között, és a szóban forgó közhatalmi szerv tevékenységére vagy határozataira vonatkozó további pontosítások hiányában úgy vélem, hogy az előzetes döntéshozatalra előterjesztett hatodik kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 79. cikke (1) bekezdésével összhangban értelmezett 10. cikkét úgy kell értelmezni, hogy azon hatóság tevékenységeit vagy határozatait illetően, amely e rendelkezés alapján a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatok kezelésének felügyeletét látja el, biztosítani kell a bírósági felülvizsgálat lehetőségét.
A harmadik és a negyedik kérdésről
132. E két kérdéssel, amelyeket együttesen lehet vizsgálni, a kérdést előterjesztő bíróság lényegében először is azt kérdezi, hogy az általános adatvédelmi rendelet 5. cikke (1) bekezdésének a) és c) pontját és 6. cikke (3) bekezdésének második albekezdését lehet‑e úgy értelmezni, hogy azokkal ellentétes a nemzeti jog által a nemzeti doppingellenes szervezetekre előírt azon kötelezettség, hogy közzétegyék az érintett személyes adatokat, nevezetesen különösen a doppingellenes szabály megsértése miatt szankcionált sportolók nevét, a kiszabott felfüggesztés időtartamát és annak indokait.
133. Másrészt azt kérdezi, hogy az általános adatvédelmi rendelet előírja‑e az érintett érdekek eseti mérlegelését az adatkezelő részéről a közzététel előtt, vagy elegendő‑e a jogalkotó által előírt arányossági vizsgálat.
A szóban forgó közzététel arányossága
134. Az ADBG‑ben a nemzeti jogalkotó előírta, hogy bizonyos adatokat (a sportoló neve, a felfüggesztés időtartama és okai) díjmentesen közzé kell tenni(85) a szövetségi sportszervezet, a sportszervezetek, a sportolók, egyéb személyek (támogató személyek), a versenyszervezők és a nyilvánosság számára, anélkül, hogy az egészségügyi adatokra következtetni lehetne. Úgy rendelkezett továbbá, hogy a nyilvánosság számára a nyilvánosságra hozandó információk csak akkor mellőzhetők, ha az érintett személy amatőr sportoló, különös védelmet igényel (kiskorú) vagy olyan személy, aki információk vagy más támpontok közlése révén lényegesen hozzájárult esetleges doppingvétségek feltárásához. Ha nem tévedek, ebben az esetben sem az esetlegesen érintett tiltott szer megjelölését, sem az interneten történő közzétételt nem írja elő kifejezetten az ADBG.
135. A gyakorlatban a NADA és az ÖADR e jogszabályt a hivatásos sportolók tekintetében internetes közzététel útján hajtotta végre, az ÖADR közzététele esetében a szóban forgó tiltott szerre való hivatkozással.
– Előzetes megjegyzések és elvi megjegyzések
136. Emlékeztetni kell arra, hogy az általános adatvédelmi rendelet célja – amint azt az 1. cikk, valamint az (1) és (10) preambulumbekezdések meghatározzák – többek között az, hogy magas szintű védelmet biztosítson a természetes személyek alapvető jogai és szabadságai, és különösen a személyes adatok kezelése vonatkozásában a magánélet tiszteletben tartásához való joguk tekintetében, amelyet a Charta 8. cikkének (1) bekezdése és az EUMSZ 16. cikk (1) bekezdése rögzít, és amely szorosan kapcsolódik a Charta 7. cikkében foglalt, a magánélet tiszteletben tartásához való joghoz.
137. E tekintetben a magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő, a Charta 7. és 8. cikkében biztosított alapvető jogok nem jelentenek korlátlan jogosultságokat. E jogok korlátozhatók, feltéve, hogy – a Charta 52. cikkének (1) bekezdésével összhangban – e korlátozásokat törvény írja elő, és a korlátozások tiszteletben tartják e jogok és szabadságok lényeges tartalmát, valamint az arányosság elvét.(86)
138. A jelen esetben az érintett sportolók személyes adatainak közzétételére a nemzeti jog által az adatkezelőkre rótt jogi kötelezettség alapján kerül sor.(87)
139. Ennek megfelelően ez az adatkezelés az általános adatvédelmi rendelet 6. cikke (1) bekezdésének c) pontja hatálya alá tartozónak tekinthető, amely előírja, hogy az adatkezelés jogszerű, amennyiben az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. Tekintettel arra, hogy a dopping elleni küzdelem közérdekű feladat végrehajtásának tekinthető,(88) a szóban forgó adatkezelés az általános adatvédelmi rendelet 6. cikke (1) bekezdésének e) pontja hatálya alá is tartozhat. Nem szükséges azonban eldönteni, hogy a jelen esetben a jogszerűség e két feltétele közül melyik alkalmazandó, vagy mindkettő alkalmazandó‑e.(89)
140. Az általános adatvédelmi rendelet 6. cikkének (3) bekezdése az adatkezelés jogszerűségének e két, az általános adatvédelmi rendelet 6. cikke (1) bekezdésének c) és e) pontjában említett hipotézise tekintetében meghatározza, hogy az ilyen adatkezelésnek az uniós jogon vagy azon tagállam jogán kell alapulnia, amelynek hatálya alá az adatkezelő tartozik, és hogy e jogalapnak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.
141. Hasonlóképpen, a személyes adatok bármilyen kezelésének meg kell felelnie többek között az általános adatvédelmi rendelet 5. cikkének (1) bekezdésében meghatározott elveknek, és különösen az említett rendelkezés a), illetve c) pontjában meghatározott jogszerűség és „adattakarékosság” elvének. Az adattakarékosság elve szerint a személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük, és a szükségesre kell korlátozódniuk, amely az arányosság elvét fejezi ki.(90)
142. A kérdést előterjesztő bíróság által feltett kérdések tehát annak megállapítására irányulnak, hogy a nemzeti szabályozás, mint a szóban forgó adatkezelés jogalapja megfelel‑e az említett rendelkezésekből eredő követelményeknek, nevezetesen annak, hogy valamely közérdekű célt szolgál, és arányos az elérni kívánt jogszerű céllal.
143. A jelen ügyben a doppingszerek sportban való használata elleni küzdelem keretében, amely kétségtelenül közérdekű cél, a doppingellenes szabályok megsértése miatt szankciókat fogadnak el. Ehhez hozzáadódik a szóban forgó személyes adatok nyilvánosságra hozatala, amely két egyaránt jogos célt szolgál, amelyeket az érdekelt felek és az osztrák kormány is megemlített a tárgyaláson. Egyrészt a cél az, hogy a sportolókat visszatartsák a doppingellenes szabályok megsértésétől, és ezáltal megelőzzék a doppingolást a sportban. Másrészt a cél a doppingellenes szabályok kijátszásának megakadályozása azáltal, hogy a szóban forgó sportolót valószínűleg szponzoráló vagy foglalkoztató valamennyi személyt tájékoztatják a felfüggesztésről.(91)
144. A kérdést előterjesztő bíróságnak tehát azt kell megállapítania, hogy a szóban forgó adatkezelést előíró nemzeti szabályozás, ahogyan azt a NADA és az ÖADR végrehajtotta, alkalmas‑e arra, hogy hozzájáruljon az általa követett közérdekű célok eléréséhez, valamint szükséges és arányos‑e e célokkal, és a Bíróság hatáskörébe tartozik, hogy a szükséges értelmezési elemekkel szolgáljon.
– A közzététel célkitűzéseinek elérésére való alkalmasságról
145. Úgy tűnik számomra, hogy a szóban forgó adatok közzététele minden nehézség nélkül alkalmasnak tekinthető a két cél elérésére.
146. Először is az a tény, hogy a megbüntetett sportoló nevét, valamint a felfüggesztésének okát és időtartamát közzéteszik, tájékoztatja a közvéleményt arról, hogy a doppingolás nem marad büntetlenül, és hogy nemcsak szankciókkal, hanem a felfüggesztés névvel történő közzétételével is jár. Ez alkalmas arra, hogy a nyilvánosságot – beleértve a sportolókat, legyenek azok akár profik, akár amatőrök – arra ösztönözze, hogy tartózkodjanak a doppingellenes szabályok megsértésétől, és így megfelel az elrettentés és a megelőzés céljának.
147. Másodszor, a felfüggesztés közzététele azt is lehetővé teszi, hogy azokat a személyeket, akik az érintett sportolót a sporttal kapcsolatban bármilyen minőségben alkalmazni kívánják, tájékoztassák arról, hogy a sportolót felfüggesztették, és nem végezhet sporttal kapcsolatos tevékenységet. Hozzátesszük, hogy egy felfüggesztett sportolóval való együttműködés szintén a doppingellenes szabályok megsértését jelenti.(92) Egy ilyen közzététel így hozzájárulhat ahhoz, hogy az ilyen jogsértések ne történjenek meg tájékozatlanság miatt.
148. Másrészt nem látom, hogy a szóban forgó tiltott szerre való hivatkozás – amelyet a nemzeti jog nem ír elő kifejezetten, de az ÖADR mégis közzéteszi – hogyan teszi lehetővé a kitűzött célok elérését. Sem az elrettentés, sem a doppingellenes szabályok kijátszásának megakadályozására irányuló célkitűzés nem követeli meg a jogsértés ilyen részletes leírását.
– A közzétételnek a kitűzött célokra tekintettel fennálló szükségességéről
149. Az általános adatvédelmi rendelet (39) preambulumbekezdésével összhangban a szóban forgó adatkezelés szükségességének ellenőrzése a kitűzött célok fényében annak ellenőrzését jelenti, hogy léteznek‑e olyan alternatív intézkedések, amelyek kevésbé sértik a magánélet tiszteletben tartásához és a személyes adatok védelméhez való, a Charta 7. és 8. cikkében biztosított jogokat, de ugyanolyan hatékonyan szolgálják a kitűzött cél elérését.(93)
150. Először is, ami az elrettentési célt illeti, az érintett sportolók nevének nyilvánosságra hozatala nem tűnik számomra minden esetben feltétlenül szükségesnek.
151. Igaz, az elrettentés még hatékonyabb, ha – különösen egy híres sportoló esetében – a szankciókat a nevének nyilvánosságra hozatala kíséri. A bizonyos hírnévnek örvendő élsportolók e tekintetben különös felelősséggel tartoznak, és nevük nyilvánosságra hozatala ezért a kitűzött cél fényében még inkább releváns lehet.
152. Ugyanakkor a hivatásos sportolók esetében, akik nem tartoznak az ADBG által előírt kivételek hatálya alá, a nemzeti jogszabályok automatikus név szerinti közzétételt írnak elő, amelynek hatályát az online közzététel korlátlanná teszi,(94) függetlenül az egyedi, konkrét körülményektől (a sportoló hírneve, a versenyzés szintje, visszaesés, szándékosság stb.). E tekintetben úgy vélem, hogy e nemzeti rendelkezések általános jellegüknél fogva alkalmasak arra, hogy túllépjenek azon, ami a dopping megelőzéséhez az elrettentés révén szükséges.
153. Másodszor, a felfüggesztett személlyel való kapcsolatfelvételre vonatkozó tilalom megkerülésének megakadályozása céljából szükséges tudni, hogy melyik sportolóról van szó. Ez szükségessé teszi a felfüggesztett személy nevének közlését. E tekintetben az előzetes döntéshozatal iránti kérelemből kitűnik, hogy az ADBG 1. §‑a (2) bekezdésének 8. pontja szerint doppingvétségnek minősülhet, ha egy sportoló olyan vezetőségi taggal tart fenn kapcsolatot, aki eltiltás vagy szankció hatálya alatt áll.
154. Mindemellett úgy tűnik számomra, hogy a közzétételnek az interneten való közzétételhez kapcsolódó korlátlan hatálya meghaladja a szükséges mértéket.(95)
155. A szabályok kijátszásának elkerülésére irányuló célkitűzés ugyanis úgy tűnik, hogy alapvetően a sport világára vonatkozik,(96) és a szankciók végrehajtásáért felelős személyekre, illetve a sportszervezetek vagy sportegyesületek vezetőire irányul. A szóban forgó sportoló személyazonosságának korlátozottabb közzététele ebben a kontextusban úgy tűnik, hogy hatékonyan elérné a célt, és kevésbé sértené a személyes adatok védelmét. A NADA továbbá a tárgyaláson kifejtette, hogy az alacsonyabb szinten sportolók bizonyos kategóriái esetében a felfüggesztésről szóló tájékoztatás a szövetségek útján is megtörténhet.
156. Ami a sportvilágon kívüli gazdasági szereplőket vagy munkáltatókat illeti, egy szűkebb körű közzététel bizonyosan nem tenné lehetővé számukra, hogy megtudják, hogy a szóban forgó sportolót felfüggesztették, és hogy megtiltották számukra, hogy kapcsolatba lépjenek vele. Azonban, amennyiben egy ilyen tájékoztatásban nem részesült személynek kifogásolnák, hogy együttműködik egy felfüggesztett személlyel (sportolóval vagy más személlyel), úgy tűnik számomra, hogy a bizonyítási teherre vonatkozó szabályok ebben az esetben lehetővé tennék annak ellenőrzését, hogy ez az „együttműködés” tudatos és szándékos volt‑e vagy sem.(97) Ezzel szemben úgy vélem, hogy a felfüggesztésnek a felfüggesztett személy nevével együtt történő internetes közzététele végső soron azt eredményezi, hogy mindenki felelős lesz annak ellenőrzéséért, hogy az a személy, akivel szerződést köt vagy kapcsolatba lép, fel lett‑e függesztve vagy sem. Ez az általános gyanú, amelyet a „sportolókra vonatkozó büntetőjogi nyilvántartás” online közzététele vált ki, úgy tűnik számomra, hogy túlmutat a kitűzött célon.
157. Hozzáteszem, hogy a NADA és az ÖADR online közzétételre vonatkozó döntése még inkább sérti a magánélethez való jogot, különösen figyelembe véve annak az egész világra kiterjedő hatályát.(98) Ez a véleménye a 29. cikk alapján létrehozott munkacsoportnak is, amely hangsúlyozza az online közzétett adatok más célokra való felhasználásának vagy további, még inkább beavatkozó jellegű kezelésének kockázatát.(99)
158. Véleményem szerint a név szerinti, de az érintett szervezetekre és sportszövetségekre korlátozott – például az interneten történő álnevesített közzététellel történő – közzététellel a személyes adatok védelmét kevésbé sértő és az adattakarékosság elvével jobban összhangban álló módon lehetne mindkét kitűzött célt elérni.
159. Hozzátenném, hogy nem győzött meg a NADA által felhozott érv, amely a szankcióknak más szakmák, például az ügyvédek vagy az egészségügyi szakmák esetében történő közzétételével való összehasonlításon alapul. Amint a holland kormány e tekintetben rámutatott, a felfüggesztett ügyvédek vagy orvosok nevének közzététele azért tűnik szükségesnek, mert bárki lehet peres fél vagy beteg, míg a doppingolással összefüggésben elegendő, ha az érintett sportoló neve sportkörökben, az érintett sportszövetségek által ismert, kivéve az eseti alapon értékelendő különleges eseteket.
160. Következésképpen komoly kétségeim vannak azzal kapcsolatban, hogy a szóban forgó adatkezelés szükséges‑e az elérni kívánt célok fényében.
– A „stricto sensu” arányosságról, azaz a szóban forgó érdekek mérlegeléséről
161. Az érintett adatkezelés arányosságának értékelése során a különböző érintett jogokat, szabadságokat vagy érdekeket mérlegelni kell. Valamely közérdekű célt ugyanis nem lehet annak figyelembevétele nélkül megvalósítani, hogy azt össze kell egyeztetni az érintett alapvető jogokkal, ami jelen esetben egyrészt a közérdekű cél, másrészt azon személy jogai közötti kiegyensúlyozott mérlegelést jelent, akinek személyes adatait nyilvánosságra hozzák.(100)
162. Hozzátenném, hogy ezen elemzés keretében figyelembe kell venni a Bíróság által az egészségügyi adatoknak az általános adatvédelmi rendelet 9. cikke értelmében vett létezésére vonatkozó második előzetes döntéshozatali kérdésre, valamint a rendelet 10. cikkének hatálya alá tartozó, a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó adatokkal kapcsolatos ötödik előzetes döntéshozatali kérdésre adott válaszokat. Az általános adatvédelmi rendelet 9. cikkében meghatározott, érzékeny adatokra vonatkozó „adattakarékosság” elvének tiszteletben tartása nem ellentétes azzal, hogy személyes adatokat tegyenek közzé, ha ez szükséges és arányos.(101) Ugyanez igaz még akkor is, ha a szóban forgó adatok az általános adatvédelmi rendelet 10. cikkének hatálya alá tartoznak, feltéve hogy az e közlést engedélyező jogszabály az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújt.(102) Ennek ellenére a két rendelkezés hatálya alá tartozó adatok tekintetében az érintett személyek érdekei különös jelentőséggel bírnak az érintett érdekek mérlegelése során.(103)
163. Jelen esetben a szóban forgó adatkezelés, amely magában foglalja az érintett sportoló személyazonosságának online közzétételét, jelentős beavatkozást jelent a magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő alapvető jogokba, és alkalmas arra, hogy társadalmi rosszallást váltson ki és az érintett személy megbélyegzését eredményezze. Itt egyébként az „elektronikus pellengér” hatását kívánták elérni
164. E beavatkozás súlyát ezért a közzététel által követett célok fontosságához képest kell mérlegelni.
165. Megjegyzem, hogy a kérdést előterjesztő bíróság kérdése a NADA és az ÖADR által végrehajtott, az ADBG által előírt közzétételre vonatkozik azon hivatásos sportolókkal kapcsolatban, akik nem tartoznak az előírt kivételek hatálya alá (amelyek az amatőr sportolókra, a védelmet igénylő személyekre és a „visszaélést bejelentő személyekre” vonatkoznak). A közzététel az ő tekintetükben név szerinti közzétételből áll, amely korlátlan hatályú, mivel az interneten keresztül a nyilvánosság számára történik, az élethosszig tartó felfüggesztések esetében (ami az alapeljárás egyik felperesét érinti) esetenként korlátlan időtartamú, szisztematikus és automatikus, és amely az ADBG értelmében nem jár a körülmények egyedi értékelésével.
166. Azzal az óvatossággal, amelyet az arányosság vizsgálatának e dimenziója mindig megkövetel,(104) hajlamos vagyok azt gondolni, hogy e különböző elemek (a közzététel név szerinti, korlátlan, szisztematikus és automatikus jellege) összessége bizonyos körülmények között a szóban forgó személyek személyes adatainak védelméhez való jogba való olyan beavatkozáshoz vezethet, amely nem felel meg a különböző fennálló érdekek közötti kiegyensúlyozott mérlegelés követelményének.
167. Például egy olyan kevéssé ismert sportoló hosszú, akár élethosszig tartó felfüggesztése esetén,(105) akinek hivatásos sportolói élete már egy ideje véget ért, úgy lehet tekinteni, hogy személyes adatainak jogszerű közzététele idővel túlzott mértékűvé válik az elérni kívánt célokhoz képest.
168. A NADA szerint nem kellene különbséget tenni az elkövetett jogsértések súlyossága vagy ismétlődő jellege szerint, mivel ezt a szankcionálási szakaszban veszik figyelembe, és a közzététel tekintetében nincs jelentősége, annak a körülményektől függetlenül meg kell történnie. Engem ez az állítás nem győzött meg. A közzététel ugyanis olyan céloknak felel meg, amelyek, bár a doppingellenes küzdelem részét képezik, sajátosak, és az érintett érdekek olyan mérlegelését foglalják magukban, amely lehetővé teszi az általános adatvédelmi rendelet azon követelményeinek figyelembevételét, amelyeket a doppingellenes szankció meghozatalának szakaszában nem vesznek figyelembe.
169. Ennek megfelelően úgy vélem, hogy a személyes adatok közzétételére vonatkozó olyan kötelezettség, mint amilyen az ADBG‑ből ered, és amelyet az ÖADR és a NADA hajtott végre, csak annyiban megengedett, amennyiben – tekintettel az elrettentésre és a doppingellenes szabályok kijátszásának megakadályozására irányuló célokra – arányos marad, különösen a közzététel hatálya és időtartama tekintetében, tekintettel a szóban forgó konkrét körülményekre, amelyek megállapítása a kérdést előterjesztő bíróság feladata.
A mérlegelés időpontjáról
170. A kérdést előterjesztő bíróság azt kérdezi, hogy az általános adatvédelmi rendelet a közzététel előtt megköveteli‑e az adatkezelő által érintett érdekek eseti mérlegelését, vagy elegendő‑e a jogalkotó által előírt arányosságra vonatkozó vizsgálat.
171. A jelen esetben a jogalkotó az egyes esetek körülményeitől függetlenül, a közzététel elemeire hivatkozva és bizonyos kivételeket fenntartva előre meghatározott helyzeteket irányzott elő. Ezzel máris keretbe foglalta a közzétételt, és bizonyos mértékben egyensúlyt teremtett egyrészt azon sportolók érdekei, akiknek a személyes adatait nyilvánosságra hozzák, másrészt a doppingellenes küzdelem érdekei között.
172. Megjegyzem azonban, hogy a nemzeti jogalkotó által kijelölt adatkezelőként a szóban forgó nemzeti doppingellenes szervezetek (itt a NADA és az ÖADR) az általános adatvédelmi rendelet 5. cikkének (2) bekezdése értelmében továbbra is felelősek az adatkezelés végrehajtásáért, és felelősek (elszámoltathatók) az adatkezelés jogszerűségére és arányosságára, valamint az adattakarékosságra vonatkozó elvek betartásáért. Ezen túlmenően ezen szervezeteknek bizonyítaniuk kell, hogy e rendelkezésnek megfelelően jártak el.
173. Az általános adatvédelmi rendelet 24. cikkének (1) bekezdése és 25. cikkének (1) bekezdése értelmében ezen szervezeteknek mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során megfelelő technikai és szervezési intézkedéseket (például álnevesítés) kell végrehajtaniuk. Ezek az intézkedések, amelyeket szükség esetén felül kell vizsgálni és aktualizálni kell, az adatvédelmi elvek hatékony végrehajtását és a szükséges garanciák kezelését szolgálják az általános adatvédelmi rendelet követelményeinek való megfelelés és az érintettek jogainak védelme céljából.(106)
174. Megjegyzem továbbá, hogy a jelen ügyben, bár a jogalkotó határozta meg az adatkezelés céljait és részben az adatkezelés módját, a NADA és az ÖADR volt az, amely adatkezelőként és a végrehajtásért felelősként az interneten keresztül történő közzétételt választotta, az ÖADR pedig az esetlegesen érintett tiltott szer nevének közzétételét is.
175. Ebben az összefüggésben úgy tűnik, hogy a feltett kérdésre adandó válasz az adatkezelőre alkalmazandó nemzeti jog tartalmától és pontosságától függ. Úgy tűnik számomra, hogy az a tény, hogy a nemzeti jogalkotó előírta a közzététel elvét, nem mentesíti az adatkezelőt az általános adatvédelmi rendelet követelményeinek való megfelelés és az érintettek jogainak védelme iránti felelőssége alól. Ez azt jelentheti, hogy a nemzeti jogszabályok alkalmazása során figyelembe kell vennie az ügy konkrét körülményeit.(107) Ezenkívül megjegyzem, hogy a jelen esetben az ADBG‑ben említett kivételek alá tartozó, felfüggesztett sportolókra vonatkozó adatok közzétételével kapcsolatban az adatkezelőnek feladata ez az eseti mérlegelés.
176. Ennek megfelelően úgy vélem, hogy az általános adatvédelmi rendelet fent említett rendelkezései – bár nem minden esetben írják elő – megkövetelhetik az adatkezelőtől, hogy a szóban forgó érdekek eseti mérlegelését végezze el, különösen az adatkezelés módjának meghatározásakor, tehát a közzétételt megelőzően is. E tekintetben figyelembe lehetne venni az adatkezelés jellegével, hatályával, összefüggéseivel és céljaival kapcsolatos tényezőket, valamint az ilyen személyek jogait és szabadságait érintő kockázatokat, amelyek valószínűsége és súlyossága eltérő lehet.
177. Sem az az érv, hogy az adatkezelő ilyen mérlegelési mozgástere alkalmas arra, hogy a hasonló helyzetben lévő sportolók közötti megkülönböztetéshez vezessen, sem az önkényesség, a visszaélés vagy akár a korrupció veszélye, amelyre különösen a Bizottság és a NADA hivatkozik, nem indokolhatja az ilyen eseti mérlegelés mellőzését, amelynek célja a személyes adatoknak az általános adatvédelmi rendelettel összhangban történő kezelése. Egy ilyen mérlegelés valójában megakadályozhatja azt a hátrányos megkülönböztetést, amely abból eredhet, hogy a különböző helyzetekre azonos bánásmódot alkalmaznak.
178. Ebből véleményem szerint következik, hogy az általános adatvédelmi rendelet 5. és 6. cikkét az adatkezelőre háruló valamennyi kötelezettség és felelősség fényében úgy kell értelmezni, hogy az nem zárja ki az érintett érdekeknek az említett adatkezelést megelőzően az adatkezelő által történő eseti mérlegelését, sőt bizonyos körülmények között megköveteli az ilyen mérlegelést, ha az szükséges a személyes adatoknak az általános adatvédelmi rendelettel összhangban történő kezeléséhez.
A harmadik és negyedik kérdésre vonatkozó következtetések
179. A fentiek fényében azt javaslom, hogy a Bíróság a harmadik kérdésre azt válaszolja, hogy az általános adatvédelmi rendelet 5. cikke (1) bekezdésének a) és c) pontját, valamint 6. cikke (3) bekezdésének második albekezdését úgy kell értelmezni, hogy azokkal ellentétes a nemzeti doppingellenes szervezetek azon kötelezettsége, hogy közzétegyék a doppingellenes szabály megsértése miatt szankcionált sportolók nevét, a kiszabott felfüggesztés időtartamát és indokait (különösen a tiltott szer nevét), amennyiben az ügy konkrét körülményeire tekintettel az arányosság követelménye nem vagy már nem teljesül, különösen a közzététel hatálya és időtartama tekintetében, aminek vizsgálata a kérdést előterjesztő bíróság feladata.
180. A negyedik kérdést illetően azt javaslom, hogy a Bíróság állapítsa meg, hogy az általános adatvédelmi rendelet 5. és 6. cikkét az adatkezelőre háruló valamennyi kötelezettség és felelősség fényében úgy kell értelmezni, hogy az adatkezelőnek az adatkezelést megelőzően el kell végeznie az érintett érdekek eseti mérlegelését, ha ez szükséges a személyes adatoknak az általános adatvédelmi rendelettel összhangban történő kezeléséhez.
A hetedik kérdésről
181. A hetedik kérdés megértéséhez érdemes felidézni, hogy milyen összefüggésben tették fel. YT felperes még azelőtt, hogy személyes adatait a NADA és az ÖADR honlapjain közzétették volna, panaszt nyújtott be az osztrák adatvédelmi hatósághoz az általános adatvédelmi rendelet 17. cikke alapján, amely a törléshez való jogot biztosítja. Ez utóbbi hatóság elutasította az YT panaszát, mivel a szóban forgó adatokat még nem tették közzé. A panaszának az osztrák adatvédelmi hatóság általi elutasítása ellen indított jogorvoslati eljárás során az adatokat utóbb nyilvánosságra hozták.
182. A kérdést előterjesztő bíróság előzetes döntéshozatalra előterjesztett hetedik kérdésében először is azt kérdezi, hogy elfogadható‑e az általános adatvédelmi rendelet 77. cikke szerinti, a törléshez való jog (általános adatvédelmi rendelet 17. cikke) állítólagos megsértésére vonatkozó panasz akkor is, ha az érintett személyes adatainak kezelésére a panaszának a felügyeleti hatósághoz történő benyújtásakor és e hatóság határozatának meghozatalakor még nem került sor.
183. Másodszor, a bíróság azt kérdezi, hogy elfogadható‑e egy ilyen panasz utólagosan, ha már a panasz benyújtásakor konkrét jelek utalnak arra, hogy haladéktalanul bekövetkezik a személyes adatok adatkezelő általi kezelése, illetve arra a közeljövőben sor fog kerülni.
Elfogadható‑e az adatkezelést megelőzően a felügyeleti hatósághoz benyújtott panasz?
184. Az általános adatvédelmi rendelet 77. cikkének (1) bekezdése előírja, hogy minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál, „ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet”.
185. A Bíróság állandó ítélkezési gyakorlatának megfelelően e rendelkezés értelmezéséhez nemcsak annak szövegét, hanem szövegkörnyezetét és annak a szabályozásnak a célkitűzéseit is figyelembe veszem, amelynek részét képezi.(108)
186. Először is, az általános adatvédelmi rendelet 77. cikkének szövege nem ír elő határidőt a személyes adatok kezelésével kapcsolatos panasz benyújtására. Azokban az esetekben, amikor az adatkezelésre már sor került, és azután támadják meg, minél korábban történik a panasz benyújtása, annál gyorsabban tudja a hatóság elvégezni a vizsgálatot, és annál hamarabb tudja az érintettet megvédeni.(109) Másrészt az általános adatvédelmi rendelet 77. cikkének (1) bekezdése nem terjed ki arra a helyzetre, amikor az adatkezelés még nem történt meg. Ezzel kapcsolatban megjegyzem, hogy ez a rendelkezés a „megsérti” szót jelen időben használja, ami úgy tűnik, hogy arra utal, hogy az adatkezelésnek már meg kellett történnie, de a jövőbeni kezelés lehetősége önmagában nem kizárt.(110)
187. Másodszor, a kontextus elemeként utalni kell a felügyeleti hatóságok feladat‑ és hatáskörére. E tekintetben az általános adatvédelmi rendelet 57. cikke (1) bekezdésének f) pontja értelmében minden felügyeleti hatóság köteles kezelni bármely érintett által benyújtott panaszokat, a panasz tárgyát a szükséges mértékben kivizsgálni, továbbá észszerű határidőn belül tájékoztatni a panaszost a vizsgálattal kapcsolatos fejleményekről és eredményekről. A felügyeleti hatóságnak az ilyen panaszt „a kellő gondossággal” kell kezelnie.(111)
188. Ezen túlmenően az általános adatvédelmi rendelet 58. cikkének (1) bekezdése jelentős vizsgálati hatáskörrel ruházza fel az egyes felügyeleti hatóságokat a benyújtott panaszok kezelése céljából. Amennyiben az ilyen hatóság a vizsgálatának befejezésekor e rendelet rendelkezéseinek megsértését állapítja meg, köteles megfelelő intézkedéseket hozni a feltárt hiányosság orvoslására. Ebből a célból az általános adatvédelmi rendelet 58. cikke (2) bekezdése felsorolja a felügyeleti hatóság által hozható különböző korrekciós intézkedéseket, és e tekintetben a hatóság mérlegelési mozgástérrel rendelkezik a megfelelő és szükséges eszközök megválasztását illetően.(112) Az általános adatvédelmi rendelet 58. cikke (2) bekezdésének a) pontjában meghatározott felügyeleti hatósági hatáskörök között szerepel, hogy a hatóság az adatkezelőt „figyelmeztethet”, hogy egyes „tervezett” tevékenységei „valószínűsíthetően” sértik az általános adatvédelmi rendeletet, ami az érintett személy jogainak „biztosítását” célzó megközelítésnek tekinthető.(113)
189. Mindezen követelmények és a felügyeleti hatóságok hatásköre a panaszeljárást hivatott megerősíteni, hogy az olyan mechanizmussá váljon, amely alkalmas az érintett személyek jogainak és érdekeinek hatékony védelmére, azaz „valódi közigazgatási jogorvoslati eszköz” legyen.(114)
190. Meg kell jegyezni továbbá, hogy – amint arra a Bizottság rámutat – az adatkezelőnek teljesítenie kell bizonyos kötelezettségeket, többek között tájékoztatnia kell az érintett személyt, mielőtt az adatkezelést megkezdené.(115)
191. Ezért úgy tűnik számomra, hogy a felügyeleti hatóságok részéről a panaszok kezelése során a biztonsági vagy megelőző megközelítés az általános adatvédelmi rendelet vonatkozásában nem zárható ki eleve.
192. Harmadszor, ezt az értelmezést megerősítik a rendelet által követett célok is. Valójában különösen a (10) preambulumbekezdésből kitűnik, hogy az a természetes személyek magas szintű védelmét kívánja biztosítani a személyes adatok Unión belüli kezelése tekintetében. Ugyanezen rendelet (11) preambulumbekezdése azt is kimondja, hogy az ilyen adatok hatékony védelme megköveteli az érintettek jogainak megerősítését.
193. Márpedig a felügyeleti hatóságok az általános adatvédelmi rendelet 57. cikk (1) bekezdés f) pontja szerinti panaszkezelési kötelezettségének korlátozása azáltal, hogy a rendelet 77. cikk (1) bekezdését úgy értelmezzük, hogy az kizár minden lehetőséget arra, hogy „egy jövőben bekövetkező adatkezeléssel kapcsolatban” panaszt nyújtsanak be egy felügyeleti hatósághoz, ellentétes lehet a rendelet célkitűzéseivel, különösen azzal a célkitűzéssel, hogy a személyes adatok Unión belüli kezelése tekintetében magas szintű védelmet biztosítson a természetes személyek számára.
194. Mindezen megfontolások fényében tehát úgy vélem, hogy nem zárható ki, hogy az általános adatvédelmi rendelet 77. cikke alapján benyújtott panasz elfogadható annak ellenére, hogy az érintett személyes adatainak kezelésére a panasznak a felügyeleti hatósághoz történő benyújtásakor még nem került sor.
195. Egyetértek azonban a Bizottsággal és az osztrák kormánnyal abban, hogy az általános adatvédelmi rendelet állítólagos megsértésének fenn kell állnia, és hogy az érintett adatkezelés, amely jelen esetben a személyes adatok közzététele, nem lehet pusztán hipotetikus.(116)
196. A jelen ügyben a Bírósághoz az általános adatvédelmi rendelet 17. cikkén alapuló, a szóban forgó adatok törlésére irányuló panasszal kapcsolatos kérelem érkezett, mivel az érintett alapeljárás felperese (YT) e tekintetben kijelentette, hogy adatainak közzétételére „szinte bizonyosan haladéktalanul” sor fog kerülni.
197. Az ezen adatok törlésére irányuló panasz (mint például az adatok helyesbítése iránti kérelem) azonban feltételezi, hogy a kérdéses adatkezelés, jelen esetben az adatok közzététele megtörtént. Úgy tűnik ugyanis, hogy az adatkezelőnek lehetetlen ilyen panasz alapján eljárnia és törölnie az adatokat, ha azokat még nem hozták nyilvánosságra, kivéve, ha a panaszt úgy értelmezik, hogy az valójában az adatai közzétételének megakadályozására irányul(117) (és nem ezen adatok törlésére), aminek vizsgálata a kérdést előterjesztő bíróság feladata.
198. Hozzátenném, hogy ez az értelmezés nem ellentétes a személyes adatok magas szintű védelmének biztosítására irányuló célkitűzésekkel, feltéve, hogy az általános adatvédelmi rendelet egyéb rendelkezései lehetővé teszik a jövőbeli adatkezelésre vonatkozó kérelmek megválaszolását. Amint ugyanis arra az osztrák kormány rámutat, az általános adatvédelmi rendelet 79. cikkének (1) bekezdése, amely a hatékony bírósági jogorvoslathoz való jogról szól, az általános adatvédelmi rendelet által biztosított jogok közvetlen és jogellenes sérelmének veszélye esetén eljárási cselekmények meglétét írja elő a nemzeti jogban. Ez magában foglalja az osztrák jog szerinti azon lehetőséget, hogy az adatkezelés megkezdése előtt megelőző intézkedéseket hozzanak, vagy akár, ha az adatkezelés már megkezdődött, azt a lehetőséget, hogy kérjék az osztrák hatóságtól az adatkezelésnek az általános adatvédelmi rendelet 18. cikke alapján történt korlátozásának felülvizsgálatát.
199. Ezért úgy vélem, hogy nem zárható ki, hogy az általános adatvédelmi rendelet 77. cikke alapján benyújtott panasz elfogadható lehet, annak ellenére, hogy az érintett személyes adatainak kezelése a panasznak a felügyeleti hatósághoz történő benyújtásakor még nem történt meg, de az adatkezelés nem pusztán hipotetikus. Az alapügyben felmerült jogvita körülményei között azonban az általános adatvédelmi rendelet 17. cikkében előírt törléshez való jogon alapuló panasz elfogadhatatlan, mivel olyan adatkezelésre (jelen esetben az érintett személyes adatainak közzétételére) vonatkozik, amely – még ha bármikor be is következhet – sem akkor nem történt meg, amikor az érintett a panaszt a felügyeleti hatósághoz benyújtotta, sem pedig akkor, amikor e felügyeleti hatóság a határozatát meghozta.
A felügyeleti hatósághoz benyújtott panasz „utólagosan” elfogadhatóvá válik‑e?
200. Megjegyzem, hogy ez a kérdés az általános adatvédelmi rendelet 77. cikkének értelmezésére vonatkozik, amely a felügyeleti hatóságnál történő panasztételhez való jogra vonatkozik. Úgy tűnik tehát, hogy a kérdést előterjesztő bíróság azt kérdezi, hogy az ilyen, elfogadhatatlannak nyilvánított panasz utólagosan elfogadhatóvá válhat‑e a felügyeleti hatóság előtt, ha a kérdéses adatkezelésre (itt az adatok nyilvánosságra hozatalára) akkor kerül sor, amikor az említett felügyeleti hatóság határozata elleni jogorvoslati kérelem a fellebbviteli bíróság előtt folyamatban van. Úgy tűnik számomra, hogy e tekintetben a hazai jogrendszer feladata annak a kérdésnek a rendezése, hogy a fellebbviteli bíróság ilyen helyzetben visszautalhatja‑e, sőt vissza kell‑e utalnia az ügyet a felügyeleti hatósághoz új tényállási elemek fényében történő újbóli elbírálás céljából, hogy az érintett személynek újra panasszal kell‑e élnie, vagy pedig a fellebbviteli bíróság maga dönthet az előtte lévő helyzetről az új tényállási elemek fényében, amelyek ebben az esetben az adatok közzétételéből állnak. E tekintetben gondoskodni kell az általános adatvédelmi rendelet által biztosított jogvédelem hatékonyságáról, valamint a rendelet rendelkezéseinek következetes és egységes alkalmazásáról.
201. Amennyiben az osztrák kormányhoz hasonlóan a kérdést előterjesztő bíróság kérdését úgy kell értelmezni, hogy az egy ilyen panasznak a fellebbviteli bíróság előtti elfogadhatóságára vonatkozik, ebben az esetben egy ténybeli változáshoz, nevezetesen a személyes adatok közzétételéből álló adatkezeléshez kapcsolódó hatások következményeinek vizsgálatáról van szó, amely a felügyeleti hatóság határozatát követően következett be, illetve addig, amíg az említett határozat ellen az általános adatvédelmi rendelet 78. cikke alapján gyakorolt bírósági jogorvoslati eljárás folyamatban volt, feltéve hogy a panasz benyújtásának időpontjában konkrét jelek mutattak arra, hogy haladéktalanul bekövetkezik a személyes adatok adatkezelő általi kezelése, illetve arra a közeljövőben sor fog kerülni.
202. Emlékeztetni kell arra, hogy az uniós jogalkotó az általános adatvédelmi rendelet keretében különböző jogorvoslati lehetőségeket kínált az e rendelet megsértésére hivatkozó személyek számára, azzal, hogy e jogorvoslatok mindegyikének gyakorlását a többi rendelkezés „sérelme nélkül” kell biztosítani.(118)
203. Az általános adatvédelmi rendelet 78. cikkének (1) bekezdése ennek megfelelően úgy rendelkezik, hogy az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben. Ebből az következik, hogy azoknak a bíróságoknak, amelyekhez a felügyeleti hatóság határozata elleni keresetet nyújtottak be, teljes körű joghatósággal kell rendelkezniük, amely magában foglalja az általuk tárgyalt jogvita szempontjából releváns összes ténybeli és jogi kérdés vizsgálata tekintetében fennálló joghatóságot is.(119) Ahhoz, hogy a panaszra vonatkozóan felügyeleti hatóság által hozott határozat bírósági felülvizsgálata „hatékony” legyen, amint azt ez a rendelkezés is megköveteli, teljes körűnek kell lennie.(120) Végül a rendelet 79. cikkének (1) bekezdése minden érintett számára biztosítja a hatékony bírósági jogorvoslathoz való jogot, a rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül.
204. Természetesen már megállapítást nyert, hogy az általános adatvédelmi rendelet elfogadásával az uniós jogalkotó nem kívánta kimerítően harmonizálni a rendelet 77–79. cikkében előírt, az általános adatvédelmi rendelet rendelkezéseinek megsértése esetén nyitva álló jogorvoslati lehetőségeket.(121) Különösen, ha ugyanabban a tagállamban ugyanazon személyesadat‑kezelés tárgyában nyújtanak be panaszt a felügyeleti hatósághoz, illetve terjesztenek elő bírósági keresetet, az általános adatvédelmi rendelet nem tartalmaz külön rendelkezéseket.
205. Bár az uniós jogalkotó e tekintetben nem kívánt kimerítő harmonizációt elérni, mindazonáltal nem kívánta kizárni a kérdést előterjesztő bíróság által feltett kérdésben említett lehetőséget, nevezetesen azt, hogy az alapügyhöz hasonló körülmények között benyújtott panasz utólagos elfogadhatóságát lehetővé tegye.
206. Ilyen tárgyú uniós szabályozás hiányában az egyes tagállamok feladata a tagállamok eljárási autonómiájának elve alapján meghatározni a közigazgatási eljárás és a bírósági eljárás azon szabályait, amelyek célja, hogy biztosítsák a jogalanyok uniós jogból eredő jogainak magas szintű védelmét. Ebben az összefüggésben a nemzeti bíróság feladata, hogy biztosítsa a GDPR által garantált jogok védelmének hatékonyságát, a rendelet rendelkezéseinek következetes és egységes alkalmazását, valamint a Charta 47. cikkében szereplő, a bíróság előtti hatékony jogorvoslathoz való jogot.(122)
207. Következésképpen a kérdést előterjesztő bíróságnak a nemzeti eljárásjogi rendelkezések alapján kell meghatároznia, hogy a nemzeti szabályozás által előírt jogorvoslatokat az egyes esetekben hogyan kell gyakorolni. E tekintetben biztosítani kell, hogy jogorvoslatok gyakorlásának konkrét módjai ne érintsék aránytalanul a bíróság előtti hatékony jogorvoslathoz való jogot. Biztosítania kell továbbá, hogy a rendelet által biztosított jogok védelme hatékony legyen, és hogy a fent említett módok megfeleljen a tényleges érvényesülés és az egyenértékűség elvének.(123)
208. Mivel a kérdést előterjesztő bíróság nem adott pontos tájékoztatást a nemzeti jog által biztosított lehetőségekről, véleményem szerint úgy kell tekinteni, hogy az általános adatvédelmi rendelet 77. cikkének – a rendelet 78. cikkének (1) bekezdésével összefüggésben értelmezett – (1) bekezdését úgy kell értelmezni, hogy azzal nem áll ellentétben, hogy a felügyeleti hatóság által korábban elfogadhatatlannak minősített panaszt elfogadják, amennyiben az adatkezelésre akkor kerül sor, amikor az ugyanazon tényekkel kapcsolatban bírósági jogorvoslati eljárás van folyamatban. A nemzeti jogrendszer feladata, hogy az egyenértékűség és a tényleges érvényesülés elvének figyelembevételével meghatározza az ilyen elfogadhatóság feltételeit mind a felügyeleti hatóság, mind a bíróságok előtt, annak érdekében, hogy az általános adatvédelmi rendelet által garantált jogok védelmének hatékonysága, a rendelet rendelkezéseinek következetes és egységes alkalmazása, valamint a bíróság előtti hatékony jogorvoslathoz való jog biztosítva legyen.
A hetedik kérdésre vonatkozó következtetés
209. A fenti megfontolások fényében javaslom, hogy a Bíróság a hetedik kérdésre azt válaszolja, hogy az általános adatvédelmi rendelet 77. cikkét úgy kell értelmezni, hogy a rendelet 17. cikkén alapuló panasz (a törléshez való jog állítólagos megsértése) elfogadhatatlan, amennyiben az az érintett személyes adatainak közzétételére vonatkozó olyan adatkezeléssel kapcsolatos, amely – még ha haladéktalanul be is következhet – sem akkor nem történt meg, amikor az érintett a panaszt a felügyeleti hatósághoz benyújtotta, sem pedig akkor, amikor a felügyeleti hatóság a határozatát meghozta, ez azonban nem érinti az olyan panasz esetleges elfogadhatóságát, amely személyes adatok nem pusztán hipotetikus kezelésére vonatkozik, és amely alkalmas arra, hogy felügyeleti hatóság megelőző vagy biztonsági intézkedést hozzon vele kapcsolatban.
210. Továbbá, az általános adatvédelmi rendelet – a 78. cikk (1) bekezdésével összefüggésben értelmezett – 77. cikkével nem áll ellentétben, hogy a felügyeleti hatóság által korábban elfogadhatatlannak minősített panaszt elfogadják, amennyiben az adatkezelésre akkor kerül sor, amikor az ugyanazon tényekkel kapcsolatban bírósági jogorvoslati eljárás van folyamatban. A nemzeti jogrendszer feladata, hogy az egyenértékűség és a tényleges érvényesülés elvének figyelembevételével meghatározza az ilyen elfogadhatóság feltételeit mind a felügyeleti hatóság, mind a bíróságok előtt, annak érdekében, hogy az általános adatvédelmi rendelet által garantált jogok védelmének hatékonysága, a rendelet rendelkezéseinek következetes és egységes alkalmazása, valamint a bíróság előtti hatékony jogorvoslathoz való jog biztosítva legyen.
Végkövetkeztetés
211. A fentiekre tekintettel javaslom, hogy a Bíróság az alábbiak szerint válaszoljon a Bundesverwaltungsgericht (szövetségi közigazgatási bíróság, Ausztria) által előzetes döntéshozatalra előterjesztett kérdésekre:
1) Az EUMSZ 16. cikk (2) bekezdésének első mondatát és a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és a tanácsi rendelet 2. cikke (2) bekezdésének a) pontját
a következőképpen kell értelmezni:
a nemzeti doppingellenes szabályok értelmében az érintett sportolók nevéből, az általuk űzött sportágból, a doppingellenes szabályok általuk történt megsértéséből, a kiszabott szankcióból, valamint e szankció kezdő és befejező időpontjából álló személyes adatok kezelése nem tekinthető úgy, hogy azt a 2016/679 rendelet 2. cikke (2) bekezdésének a) pontja értelmében az „uniós jog hatályán kívül eső tevékenység” keretében végzik.
2) A 2016/679 rendelet 9. cikkének (1) bekezdését
a következőképpen kell értelmezni:
az érintett sportoló nevének, felfüggesztésének időtartamának és e felfüggesztés indokainak közlése nem minősül az említett rendelkezés értelmében vett egészségügyi adat kezelésének, kivéve, ha ezen indokok között szerepel a szóban forgó sportoló szervezetében kimutatott tiltott szer(ek) neve, amennyiben ez a megjelölés alkalmas arra, hogy – akár közvetve – az érintett sportoló akár jövőbeli egészségi állapotára vonatkozó információkat tárjon fel, aminek ellenőrzése a kérdést előterjesztő bíróság feladata.
3) A 2016/679 rendelet 5. cikke (1) bekezdésének a) és c) pontját, valamint 6. cikke (3) bekezdésének második albekezdését
a következőképpen kell értelmezni:
azokkal ellentétes a nemzeti doppingellenes szervezetek azon kötelezettsége, hogy közzétegyék a doppingellenes szabály megsértése miatt szankcionált sportolók nevét, a kiszabott felfüggesztés időtartamát és indokait (különösen a tiltott szer nevét), amennyiben az ügy konkrét körülményeire tekintettel az arányosság követelménye nem vagy már nem teljesül, különösen a közzététel hatálya és időtartama tekintetében, aminek vizsgálata a kérdést előterjesztő bíróság feladata.
4) A 2016/679 rendelet 5. és 6. cikkét az adatkezelőre háruló valamennyi kötelezettség és felelősség fényében
a következőképpen kell értelmezni:
az adatkezelőnek az adatkezelést megelőzően el kell végeznie az érintett érdekek eseti mérlegelését, ha ez szükséges a személyes adatoknak az általános adatvédelmi rendelettel összhangban történő kezeléséhez.
5) A 2016/679 rendelet 10. cikkét
a következőképpen kell értelmezni:
az akkor alkalmazható a nemzeti doppingellenes szabályozás szerinti felelősség megállapítására vonatkozó határozatokkal és jogsértésekkel kapcsolatos személyes adatok kezelésére, amennyiben – függetlenül attól, hogy e jogsértéseket a nemzeti jog hogyan minősíti – az azokkal kapcsolatos, felelősség megállapítására vonatkozó határozatok megtorló célt szolgálnak, és olyan súlyosságúak, hogy büntetőjogi szankcióval egyenértékű hatást fejtenek ki, aminek vizsgálata a kérdést előterjesztő bíróság feladata.
6) A 2016/679 rendelet 79. cikke (1) bekezdésével összhangban értelmezett 10. cikkét
a következőképpen kell értelmezni:
azon hatóság tevékenységeit vagy határozatait illetően, amely e rendelkezés alapján a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatok kezelésének felügyeletét látja el, biztosítani kell a bírósági felülvizsgálat lehetőségét.
7) A 2016/679 rendelet 77. cikkét
a következőképpen kell értelmezni:
– A rendelet 17. cikkén alapuló panasz (a törléshez való jog állítólagos megsértése) elfogadhatatlan, amennyiben az az érintett személyes adatainak közzétételére vonatkozó olyan adatkezeléssel kapcsolatos, amely – még ha haladéktalanul be is következhet – sem akkor nem történt meg, amikor az érintett a panaszt a felügyeleti hatósághoz benyújtotta, sem pedig akkor, amikor e felügyeleti hatóság a határozatát meghozta, ez azonban nem érinti az olyan panasz esetleges elfogadhatóságát, amely személyes adatok nem pusztán hipotetikus kezelésére vonatkozik, és amely alkalmas arra, hogy felügyeleti hatóság megelőző vagy biztonsági intézkedést hozzon vele kapcsolatban;
– a 2016/679 rendelet 78. cikk (1) bekezdésével összefüggésben értelmezve nem áll vele ellentétben, hogy a felügyeleti hatóság által korábban elfogadhatatlannak minősített panaszt elfogadják, amennyiben az adatkezelésre akkor kerül sor, amikor az ugyanazon tényekkel kapcsolatban bírósági jogorvoslati eljárás van folyamatban. A nemzeti jogrendszer feladata, hogy az egyenértékűség és a tényleges érvényesülés elvének figyelembevételével meghatározza az ilyen elfogadhatóság feltételeit mind a felügyeleti hatóság, mind a bíróságok előtt, annak érdekében, hogy az általános adatvédelmi rendelet által garantált jogok védelmének hatékonysága, a rendelet rendelkezéseinek következetes és egységes alkalmazása, valamint a bíróság előtti hatékony jogorvoslathoz való jog biztosítva legyen.
1 Eredeti nyelv: francia.
2 2005. október 19‑én került aláírásra Párizsban, és 2007. február 1‑jén lépett hatályba.
3 A különböző normatív rétegek kölcsönhatásáról lásd: Rigaux, F., „Les situations juridiques individuelles dans un système de relativité générale: cours général de droit international privé”, Recueil des cours de l’Académie de droit international de La Haye, 213. kötet, 1989, különösen 67–68. o. Lásd, különös tekintettel a doppingellenes szabályozással kapcsolatban: Diakité, A., La mise en oeuvre du Code mondial antidopage par les Etats, Bruylant, Brüsszel, 2023, 127. és azt követő pontok.
4 Lásd például: 1974. december 12‑i Walrave és Koch ítélet (36/74, EU:C:1974:140); 2023. december 21‑i European Superleague Company ítélet (C‑333/21, a továbbiakban: European Superleague Company ítélet, EU:C:2023:1011).
5 Az első NADA ügyet ugyanis a 2024. május 7‑i NADA és társai ítélet (C‑115/22, EU:C:2024:384) elfogadhatatlannak nyilvánította. Lásd ugyanakkor Ćapeta főtanácsnok indítványát ugyanebben az ügyben (C‑115/22, EU:C:2023:676).
6 A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i európai parlamenti és a tanácsi rendelet (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.).
7 Az új szabályzat 2027‑re tervezett elfogadásáról (lásd a WADA weboldalát az alábbi linken: https://www.wada‑ama.org/fr/nos‑activites/le‑code‑mondial‑antidopage/revision‑du‑code), lásd az Európai Adatvédelmi Testület által 2025. február 11‑én elfogadott 1/2025 ajánlást, amely a testület weboldalán érhető el a következő linken: https://www.edpb.europa.eu/system/files/2025–08/edpb_recommendations_202501_wada_2027_world_anti‑doping_code_fr.pdf.
8 C‑115/22. sz. ügy (HL 2022. C 207, 15–16. o.).
9 NADA és társai ítélet (C‑115/22, EU:C:2024:384)
10 A személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27‑i európai parlamenti és tanácsi irányelv (HL 2016. L 119., 89. o.; helyesbítések: HL 2018. L 127., 7. o.; HL 2021. L 74., 39. o.)
11 Lásd: 2003. november 6‑i Lindqvist ítélet (C‑101/01, a továbbiakban: Lindqvist ítélet, EU:C:2003:596, 25. és 26. pont).
12 Lásd ebben az értelemben: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet (C‑439/19, a továbbiakban: Latvijas Republikas Saeima ítélet, EU:C:2021:504, 62. pont, valamint az ott hivatkozott ítélkezési gyakorlat); 2022. október 20‑i Koalitsia „Demokratichna Bulgaria – Obedinenie” ítélet (C‑306/21, EU:C:2022:813, 35. pont); 2024. január 16‑i Österreichische Datenschutzbehörde ítélet (C‑33/22, a továbbiakban: Österreichische Datenschutzbehörde ítélet, EU:C:2024:46, 37. pont).
13 Lásd: Latvijas Republikas Saeima ítélet (66. és 67. pont). Lásd értelemszerűen az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelvvel (elektronikus hírközlési adatvédelmi irányelv) (HL 2002. L 201., 37. o.; magyar nyelvű különkiadás 13. fejezet, 29. kötet, 514. o.) kapcsolatban a 2020. október 6‑i La Quadrature du Net és társai ítéletet (C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 135. pont) és a 2022. április 5‑i Commissioner of An Garda Síochána és társai ítéletet (C‑140/20, EU:C:2022:258, 61. pont), amelyek olyan tevékenységeket említenek, „amelyek komolyan destabilizálhatják az ország alapvető alkotmányos, politikai, gazdasági vagy társadalmi szerkezetét, és közvetlenül fenyegethetik a társadalmat, a lakosságot vagy magát az államot, mint például a terrorcselekmények”.
14 Lásd az Österreichische Datenschutzbehörde ítéletet (41. pont), és Szpunar főtanácsnok erre az ügyre vonatkozó indítványát (C‑33/22, EU:C:2023:397, 84. pont).
15 Lásd a 2020. július 9‑i Land Hessen (C‑272/19, EU:C:2020:535) ítéletet, amely a Hessischer Landtag (hesseni tartományi parlament, Németország) petíciós bizottságának politikai és közigazgatási jellegű tevékenységét érintette, amely nyilvános jellegű és e tartományra jellemző volt, és amely bizottság közvetve hozzájárult a parlamenti tevékenységhez.
16 Lásd: Österreichische Datenschutzbehörde ítélet (51. pont).
17 Lásd: 2020. július 16‑i Facebook Ireland és Schrems ítélet (C‑311/18, EU:C:2020:559, 88. pont).
18 Lásd: 2025. április 30‑i Inspektorat kam Visshia sadeben savet ítélet (C‑313/23, C‑316/23 és C‑332/23, EU:C:2025:303, 104. pont).
19 Ahogyan azt Szpunar főtanácsnok az Österreichische Datenschutzbehörde (C‑33/22, EU:C:2023:397, 68. pont) ügyre vonatkozó indítványában megfogalmazta.
20 Lásd: Szpunar főtanácsnok Latvijas Republikas Saeima (Büntetőpontok) (C‑439/19, EU:C:2020:1054, 50–59. pont) ügyre vonatkozó indítványa és az Österreichische Datenschutzbehörde (C‑33/22, EU:C:2023:397, 78. pont) ügyre vonatkozó indítványa.
21 Lásd: Lenaerts, K., „L’encadrement par le droit de l’Union européenne des compétences des États membres”, In: Chemins d’Europe: mélanges en l’honneur de Jean‑Paul Jacqué, Dalloz, Párizs, 2010, 424. o., 7. pont. Lásd még: Cariat, N. és Dermine, P., „La détermination de l’applicabilité du droit de l’Union européenne à une situation particulière”, In: Le droit de l’Union européenne et le juge belge / Het recht van de Europese Unie en de Belgische rechter, Bruylant, Brüsszel, 2015, 85–114. o.; Azoulai, L., „La formule des compétences retenues des États membres devant la Cour de justice de l’Union européenne”, In: Objectifs et compétences dans l’Union européenne, Bruylant, Brüsszel, 2012, 341–368. o., különösen 343. o.
22 Lásd e tekintetben: European Superleague Company ítélet (99. pont); 2023. december 21‑i Royal Antwerp Football Club ítélet (C‑680/21, EU:C:2023:1010, 67. pont). Lásd még: Emiliou főtanácsnok RRC Sports ügyre (C‑209/23, EU:C:2025:362, 22–28. pont) vonatkozó indítványa.
23 Lásd: European Superleague Company ítélet (99. pont). Lásd például s Tanács és a tagállamok kormányainak a Tanács keretében ülésező képviselői által elfogadott állásfoglalás a sportra vonatkozó uniós munkatervről (2024. július 1. – 2027. december 31.) (HL 2024. C 3527, 1. o.).
24 1974. december 12‑i Walrave és Koch ítélet (36/74, EU:C:1974:140, 4. pont). Lásd még: 1995. december 15‑i Bosman ítélet (C‑415/93, EU:C:1995:463, 73. pont). A frissített megfogalmazásért lásd: 2024. október 4‑i FIFA ítélet (C‑650/22, EU:C:2024:824, 75. pont, valamint ott hivatkozott ítélkezési gyakorlat).
25 Lásd értelemszerűen: 2003. május 20‑i Österreichischer Rundfunk és társai ítélet (C‑465/00, C‑138/01 és C‑139/01, EU:C:2003:294, 42. pont); Lindqvist ítélet (40. és azt követő pontok).
26 Lásd: 2006. július 18‑i Meca‑Medina és Majcen kontra Bizottság ítélet (C‑519/04 P, a továbbiakban: Meca‑Medina és Majcen kontra Bizottság ítélet, EU:C:2006:492, 47. pont). Az amatőr sportolók esetében az uniós jog az állampolgárságon keresztül is alkalmazható (lásd: 2019. június 13‑i TopFit és Biffi ítélet [C‑22/18, EU:C:2019:497]).
27 Ráadásul ez a fogalom nem bír feltétlenül azonos jelentéssel minden tagállamban, ami azt eredményezi, hogy eltérő értelmezés esetén az általános adatvédelmi rendelet hatálya a nemzeti jogtól függ.
28 Lásd ugyanakkor a magánélet tiszteletben tartásához való jog és a személyes adatok védelme közötti természetbeli, alkalmazási körbeli és szabályozási különbségekkel kapcsolatban: Tambou, O. „Chapitre 1. Droit autonome du droit au respect de la vie privée », In: Manuel de droit européen de la protection des données à caractère personnel, 2020 (1. kiadás), 21. o. és azt követő oldalak. Az emberi jogok és alapvető szabadságok védelméről szóló, 1950. november 4‑én Rómában aláírt európai egyezmény (a továbbiakban: EJEE) 8. cikkét illetően lásd többek között: 1994. október 5‑i X kontra Bizottság ítélet (C‑404/92 P, EU:C:1994:361, 23. pont); EJEB, 1997. február 25., Z kontra Finnország ítélet (CE:ECHR:1997:0225JUD002200993, 95. §).
29 Itt például a hátrányos megkülönböztetés kockázatára kell gondolni. A rossz egészségi állapot valószínűleg hátrányos megkülönböztetést eredményez a munkavállalás, a biztosítás vagy a hitelhez való hozzáférés tekintetében.
30 Bár a jelen ügyben nincsenek közvetlenül érintve, az alkalmazásokhoz és okoseszközökhöz kapcsolódó egészségügyi adatok hozzájárulhatnak az „egészségügyi adatok” fogalmának meghatározásához. Például a fizikai jóllétre vonatkozó adatok vagy (a szívritmusra, alvási szokásokra, étrendre, a pontgyűjtő kártyákon szereplő vásárlási szokásokra stb. vonatkozó) „önmérés” kérdéseket vetnek fel azzal kapcsolatban, hogy ezek „egészségügyi adatoknak” minősülnek‑e vagy sem. Például a napi lépések száma önmagában nem egészségügyi adat, de azzá válhat, ha ezt a nyers adatot más adatokkal kombinálják, és abból következtetni lehet egy személy egészségi állapotára vagy egészségügyi kockázatára (lásd ezzel kapcsolatban: a 29. cikk alapján létrehozott munkacsoport Bizottsághoz (DG Connect mHealth) intézett, 2015. február 5‑i levelének „Health data in apps and devices” című melléklete, 2. o., elérhető a következő linken: https://ec.europa.eu/justice/article‑29/documentation/other‑document/files/2015/20150205_letter_art29wp_ec_health_data_after_plenary_annex_en.pdf).
Az Internet of Things (IoT) témájában számos más forrás mellett lásd: Casarosa, F. és Gennari, F., „Data Sharing in the Internet of Medical Things – Between the Data Act and the EHDS”, European Journal of Risk Regulation, Cambridge University Press, Cambridge, 2025, 1–23. o.; lásd még Yaşar, B., „I can feel your heartbeat: E‑health evidence in criminal investigations”, Shaping Utopia through law: How the law does (not) provide an answer to societal challenges, Intersentia, Brüsszel, 2023 (1. kiadás), 43–68. o. (különösen 57. o., 4.2.1. pont).
31 Lásd: 2024. október 4‑i Schrems (Nagy nyilvánosság előtti adatközlés) ítélet (C‑446/21, EU:C:2024:834, 73. pont, valamint ott hivatkozott ítélkezési gyakorlat); 2024. október 4‑i Lindenapotheke ítélet (C‑21/23, a továbbiakban: Lindenapotheke ítélet, EU:C:2024:846, 87. pont).
32 Lásd ebben az értelemben: Lindenapotheke (92. pont). Ebben az esetben különösen fontosak lennének az általános adatvédelmi rendelet 9. cikke (2) bekezdésének g) és i) pontjában meghatározott kivételek, amelyek szerint az érzékeny adatok kezelése akkor lehetséges, ha az adatkezelés „jelentős közérdek miatt szükséges” vagy „a népegészségügy területét érintő […] közérdekből szükséges”, tekintettel az arányosságra.
33 Az egyéneknek a személyes adatok gépi feldolgozása során való védelméről szóló, 2018. május 18‑i Európa Tanácsi „korszerűsített egyezmény” (az úgynevezett „108+ egyezmény”) 6. cikke szintén használja ezt a kifejezést, és az adatok különleges kategóriái között rendelkezik „olyan adatokról, melyek […] az egészségi állapotra […] vonatkozóan feltárt információk miatt személyes jellegűek”.
34 Lásd: Lindqvist ítélet (50. pont); Lindenapotheke ítélet (81. pont).
35 Lásd: 2022. augusztus 1‑jei Vyriausioji tarnybinės etikos komisija ítélet (C‑184/20, a továbbiakban: Vyriausioji tarnybinės etikos komisija ítélet, EU:C:2022:601, 123–127. pont); Lindenapotheke ítélet (83. pont). A fogalommeghatározás ilyen tág megközelítése annak a szándéknak tudható be, hogy „ellensúlyozni kívánják az új nagy adathalmazokra épülő (big data) technológiák potenciális hatásait, amelyek nagy mennyiségű ismeretet szerezhetnek egy személy egészségi állapotáról olyan adatok kezelésével, amelyek csak feltárnak valamit az illető az egészségi állapotával kapcsolatban” (szabad fordítás) (lásd: Verhenneman, G., „Chapter III. – Understanding the Subject of Protection”, In: The patient, Data Protection and Changing Healthcare Models, Intersentia, Brüsszel, 2021 [1. kiadás], 97. o. és azt követő oldalak, különösen 109. o.).
36 Lásd: Maisnier‑Broché, L., „Fasc. 945: Données de santé à caractère personnel. Régime général”, JurisClasseur Communication, 2019.
37 Lásd: Herveg, J. és Van Gyshesemm, J.‑M., „Titre 16 – L’impact du Règlement général sur la protection des données dans le secteur de la santé”, In: Le règlement général sur la protection des données (RGPD/GDPR), Larcier, Brüsszel, 2018 (1. kiadás), 722. o.
38 Lásd analógia útján az elektronikus orvosi aktákban szereplő egészségügyi személyes adatok kezeléséről szóló munkadokumentumot (29. cikk alapján létrehozott munkacsoport, 2007. február 15., WP 131, II.2. pont), amely a következő linken érhető el: https://ec.europa.eu/justice/article‑29/documentation/opinion‑recommendation/files/2007/wp131_fr.pdf.
39 Lásd a 29. cikk alapján létrehozott munkacsoport Bizottsághoz (DG Connect mHealth) intézett, 2015. február 5‑i levele „Health data in apps and devices” című mellékletének 2. oldalát, amely a következő linken érhető el: https://ec.europa.eu/justice/article‑29/documentation/other‑document/files/2015/20150205_letter_art29wp_ec_health_data_after_plenary_annex_en.pdf.
40 Lásd különösen az európai adatvédelmi biztos által 2020. április 21‑én elfogadott, az egészségügyi adatoknak a Covid19‑járvánnyal összefüggésben végzett tudományos kutatás céljából történő kezeléséről szóló 03/2020. sz. iránymutatás 3.1. pontját, amely az alábbi linken érhető el: https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_fr.pdf.
41 Schäfke‑Zell, W., „Revisiting the definition of health data in the age of digitalized health care”, International Data Privacy Law, Oxford University Press, Oxford, 12. kötet, 1. sz., 2022, 33–43. o.
42 Lásd: Szpunar főtanácsnok Lindenapotheke ügyre vonatkozó indítványa (C‑21/23, EU:C:2024:354, 47. pont).
43 Lásd a 29. cikk alapján létrehozott munkacsoport Bizottsághoz (DG Connect mHealth) intézett, 2015. február 5‑i levele „Health data in apps and devices” című mellékletének 2. oldalát, amely a következő linken érhető el: https://ec.europa.eu/justice/article‑29/documentation/other‑document/files/2015/20150205_letter_art29wp_ec_health_data_after_plenary_annex_en.pdf. Lásd még e kérdéssel kapcsolatban: Verhenneman, G., „Chapter III. – Understanding the Subject of Protection”, In: The patient, data protection and changing healthcare models, Intersentia, Brüsszel, 2021 (1. kiadás), 97. és azt követő oldalak. Megjegyzendő, hogy még egy bizonytalan kapcsolat is figyelembe vehető (lásd: Mascret, C., „Arrêt »Lindenapotheke«: vers une protection renforcée des données de santé et une ouverture des voies de recours en matière de protection des données (CJUE, 4 octobre 2024, C‑21/23)”, Journal de droit européen, 2025/1, 17–20. o.
44 Lásd a 29. cikk alapján létrehozott munkacsoport Bizottsághoz (DG Connect mHealth) intézett, 2015. február 5‑i levele „Health data in apps and devices” című mellékletének 2. oldalát, amely a következő linken érhető el: https://ec.europa.eu/justice/article‑29/documentation/other‑document/files/2015/20150205_letter_art29wp_ec_health_data_after_plenary_annex_en.pdf. Lásd még a fogyasztási szokások és a függőség megkülönböztetéséről: Borges, G., „Der Mann mit der Brille und die DSGVO – Der Begriff des Gesundheitsdatums”, Rechtswissenschaft, 14. kötet, 2. sz., 2023, különösen 172–173. o.
45 Lásd a 29. cikk alapján létrehozott munkacsoport Bizottsághoz (DG Connect mHealth) intézett, 2015. február 5‑i levele „Health data in apps and devices” című mellékletének 2. oldalát és 5. lábjegyzetét, amely a következő linken érhető el: https://ec.europa.eu/justice/article‑29/documentation/other‑document/files/2015/20150205_letter_art29wp_ec_health_data_after_plenary_annex_en.pdf Hasonlóképpen, a szupermarketekben történő vásárlási szokások önmagukban nem minősülnek egészségügyi adatnak, de azzá válhatnak, ha összevetik és elemzik őket olyan problémák, mint például az elhízás vagy a cukorbetegség nyomon követése céljából.
46 Az a rendelkezés, hogy a közzétételre anélkül kerül sor, „hogy az érintett személy egészségügyi adataira következtetni lehetne”, nem elegendő ahhoz, hogy kizárja az itt előterjesztett kérdés relevanciáját. Valójában úgy tűnik számomra, hogy ez a megjegyzés olyan esetekre vonatkozik, amikor terápiás célú használatra adnak engedélyt (amely bizonyos feltételek mellett lehetővé teszi, hogy egy betegségben szenvedő sportoló tiltott szert vagy tiltott módszert használjon, anélkül, hogy ez az információ nyilvánosságra kerülne, és anélkül, hogy jogsértést követne el), vagy az engedélyt a vizsgálati eredmények részleteire vonatkozóan adják, amelyekről nincs szó a jelen ügyben.
47 E jogszabálysértési kategóriák 2.1–2.11. számmal jelölt felsorolása megtalálható többek között a NADA honlapján és a WADC‑ben. Összefoglalva, a 2.1. kategóriába tartozó jogsértések a tiltott szer vagy annak metabolitjainak vagy markereinek a sportoló által adott mintában való jelenlétére vonatkoznak; 2.2. kategória a tiltott anyag vagy tiltott módszer sportoló általi használatára vagy annak kísérletére; 2.3. kategória a sportolónak a mintavétel alól való kibújására, annak megtagadására vagy elmulasztására; 2.4. kategória a sportoló helymeghatározásra vonatkozó kötelezettsége elmulasztására; 2.5. kategória a doppingellenőrzés bármely részének a sportoló vagy más személy által történő manipulálására vagy annak kísérletére; 2.6. kategória a tiltott szernek vagy tiltott módszernek a sportoló vagy a sportolót támogató valamely személy által való birtoklására; 2.7. kategória a tiltott szernek vagy tiltott módszernek a sportoló vagy más személy által való kereskedelmére vagy annak kísérletére; 2.8. kategória a tiltott szernek vagy tiltott módszernek a sportoló vagy más személy által egy sportolónak versenyen vagy versenyen kívül történő beadására vagy annak kísérletére; 2.9. kategória a sportoló vagy más személy által elkövetett bűnsegélyre vagy annak kísérletére; 2.10. kategória a sportoló vagy más személy által elkövetett tiltott együttműködésre; és 2.11. kategória a sportoló vagy más személy által elkövetett azon cselekményekre, amelyek célja a hatóságok felé történő bejelentés megakadályozása vagy az ilyen bejelentés elleni megtorlásokra vonatkozik.
48 A WADC 6. cikkének (1) bekezdése az akkreditált vagy engedélyezett laboratóriumok használatát írja elő.
49 Lásd a jelen indítvány 63. pontját.
50 Az EUMSZ 165. cikk és számos nemzetközi jogszabály mellett lásd: EJEB, 2018. január 18., Fédération Nationale des Associations et Syndicats de Sportifs (FNASS) és társai kontra Franciaország ítélet (CE:ECHR:2018:0118JUD004815111, 165. §); Meca‑Medina és Majcen kontra Bizottság ítélet (43. pont).
51 Lásd e tekintetben a WADC 4.3. cikkét a szerek és módszerek tiltott listára való felvételének kritériumairól, amely többek között olyan orvosi vagy tudományos bizonyítékokra utal, amelyek igazolják, hogy „a szer vagy módszer használata bizonyított vagy potenciális kockázatot jelent a sportoló egészségére”. Lásd még példaként a „Vidal”‑ban felsorolt, a sportban tiltott szerek egészségre gyakorolt hatásait; a „Vidal” egy olyan, az egészségügyi termékekre vonatkozó információs eszköz, amelynek adatbázisát a francia Haute Autorité de Santé (HAS) hagyta jóvá („Les substances interdites dans la pratique sportive”, VIDAL, a következő linken érhető el: https://www.vidal.fr/sante/sport/sport‑medicaments/sport‑dopage‑substances‑interdites/tous‑sports.html).
52 Lásd: Latvijas Republikas Saeima ítélet (100. pont); 2024. március 7‑i Endemol Shine Finland ítélet (C‑740/22, EU:C:2024:216, 49. pont). Lásd analógia útján, a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) 8. cikkének (5) bekezdése alapján: 2019. szeptember 24‑i GC és társai (Különleges adatokra való hivatkozások törlése) ítélet (C‑136/17, EU:C:2012:773).
53 Lásd: Latvijas Republikas Saeima ítélet (77–79. pont), amely Szpunar főtanácsnok Latvijas Republikas Saeima (Büntetőpontok) ügyre vonatkozó indítványát követi e kérdésben (C‑439/19, EU:C:2020:1054, 74–78. pont).
54 Emlékeztetni kell arra, hogy a személyes adatoknak a 2016/680 irányelv értelmében vett „illetékes hatóságok” által e célból történő kezelése mint lex specialis az említett irányelv hatálya alá tartozik (lásd a jelen indítvány 34. pontját), és nem az általános adatvédelmi rendelet hatálya alá, mint lex generalis. Ha azonban az adatkezelést magánszervezetek végzik (vagy illetékes hatóságok, de a 2016/680 irányelvben meghatározottaktól eltérő célból), akkor valószínűleg az általános adatvédelmi rendelet, és különösen annak 10. cikke alkalmazandó.
55 Lásd az általános adatvédelmi rendelet (19) preambulumbekezdését.
56 A kritériumokat azon ítéletről nevezték el, amelyben az Emberi Jogok Európai Bírósága első ízben fogalmazta meg őket: EJEB, 1976. június 8., Engel kontra Hollandia ítélet (EC:ECHR:1976:0608JUD000510071, 82. §). Ezeket a kritériumokat a Bíróság különösen a 2012. június 5‑i Bonda ítéletben (C‑489/10, EU:C:2012:319, 37. és azt követő pontok) fogadta el. Lásd még: Latvijas Republikas Saeima ítélet (85. és 87. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
57 Lásd: 2018. március 20‑i Menci ítélet (C‑524/15, EU:C:2018:197, 27. pont); 2023. szeptember 14‑i Volkswagen Group Italia és Volkswagen Aktiengesellschaft ítélet (C‑27/22, EU:C:2023:663, 46. pont).
58 A sportszervezetekhez való csatlakozással, valamint a sporteseményeken és versenyeken való részvétellel a hivatásos sportolók vállalják (szerződésben vagy beleegyezésükkel), hogy nem használnak doppingszereket.
59 Lásd: Latvijas Republikas Saeima ítélet (88. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
60 A nemzetközi és nemzeti sportszövetségeken kívül meg kell említeni a nemzeti szinten kijelölt illetékes szervezeteket, köztük a „nemzeti doppingellenes szervezeteket” (a továbbiakban: nemzeti doppingellenes szervezetek), amelyek az egyes országok által a nemzeti szintű doppingellenes programokért elsődlegesen felelős hatóságként kijelölt, a WADC honlapján felsorolt szervezetek (lásd a nemzeti doppingellenes szervezetek programját, amely az alábbi linken érhető el: https://www.wada‑ama.org/fr/programme‑des‑onad).
61 Lásd: Oktatásügyi, Ifjúságpolitikai, Sportügyi és Kulturális Főigazgatóság (Európai Bizottság), van der Sloot, B., Paun, M., Leenes, R., és mások, Anti‑doping & Data Protection: An evaluation of the anti‑doping laws and practices in the EU Member States in light of the General Data Protection Regulation, Office des publications de l’Union européenne, 2017, különösen 58. o., elérhető az alábbi linken https://data.europa.eu/doi/10.2766/042641.:
62 Lásd: 2018. március 20‑i Garlsson Real Estate és társai ítélet (C‑537/16, EU:C:2018:193, 33. pont); Latvijas Republikas Saeima ítélet (89. pont); 2023. március 23‑i Dual Prod ítélet (C‑412/21, EU:C:2023:234, 30. pont); 2023. május 4‑i MV – 98 ítélet (C‑97/21, EU:C:2023:371, 42. pont); 2023. szeptember 14‑i Vinal ítélet (C‑820/21, EU:C:2023:667, 50. pont).
63 Lásd: Diakité, A., „Chapitre 2. La mise en œuvre des sanctions applicables aux athlètes à l’épreuve du respect des droits fondamentaux”, In: La mise en œuvre du Code mondial antidopage par les États, Bruylant, Brüsszel, 2023 (1. kiadás), 1145. pont; Rouiller, C., „”Avis de droit sur la compatibilité de l’article 10.2 du Code mondial antidopage avec les principes fondamentaux du droit national suisse”, 2005. október 25., 20. és azt követő oldalak (elérhető alábbi linken: https://www.wada‑ama.org/sites/default/files/resources/files/Compatibilit%C3%A9_droit_suisse_Document_entier.pdf).
64 Lásd e tekintetben az Emberi Jogok Európai Bíróságának ítélkezési gyakorlatát, amely figyelembe veszi a kiszabott szankció (megtorló vagy orvosló) célját (EJEB, 2006. november 23., Jussila kontra Finnország ítélet [EC:ECHR:2006:1123JUD007305301, 38. §]).
65 Lásd e tekintetben: Diakité, A., „Chapter 2. La mise en oeuvre des sanctions applicables aux athlètes à l'épreuve du respect des droits fondamentaux”, In: La mise en oeuvre du Code mondial antidopage par les Etats, Bruylant, Brüsszel, 2023 (1. kiadás), 501. o. és azt követő oldalak, különösen a 1143. pont.
66 Az e területre vonatkozó ítélkezési gyakorlat összefoglalásáról lásd: EJEB, 2018. november 6., Ramos Nunes de Carvalho e Sá kontra Portugália ítélet (EC:ECHR:2018:1106JUD005539113, 123. §); 2020. március 5., Peleki kontra Görögország ítélet (EC:ECHR:2020:0305JUD006929112, 35. §). Lásd szintén e tekintetben az Emberi Jogok Európai Bírósága korábbi elnökének 2019. október 13‑i véleményét a Nemzetközi Doppingellenes Kódexről (2021. évi kódextervezet) (Costa, J.‑P., különösen 5. o. és azt követő oldalak), amely az alábbi linken érhető el: https://www.wada‑ama.org/sites/default/files/resources/files/avis_2019_code_mondial_13_octobre.pdf.
67 Az Engel‑ügyben szóban forgó katonai fegyelemsértések, amelyek több hónapos időtartamra történő fegyelmi egységbe való beosztással jártak, az EJEE 6. cikke büntetőjogi vetületének hatálya alá tartozónak minősültek (EJEB, 1976. június 8., Engel és társai kontra Hollandia ítélet [EC:ECHR:1976:0608JUD000510071, 85. §])
68 Az EJEE 6. cikkének polgári jogi vetületének a testületi szervek előtt folyó olyan fegyelmi eljárásokban való alkalmazásával kapcsolatban, amelyekben közvetlenül érintett a szakma gyakorlásának joga, lásd: EJEB, 2021. július 22., Reczkowicz kontra Lengyelország ítélet (CE:ECHR:2021:0722JUD004344719, 183–185. §, valamint az ott hivatkozott ítélkezési gyakorlat) a bírókra és ügyvédekre vonatkozóan; EJEB, 1981. június 23., Le Compte, Van Leuven és De Meyere kontra Belgium ítélet (CE:ECHR:1981:0623JUD000687875, 41–51. §) az orvosokra vonatkozóan; EJEB, 1997. június 27., Philis kontra Görögország (2. sz.) ítélet (CE:ECHR:1997:0627JUD001977392, 45. §) a mérnökökre vonatkozóan; EJEB, 2020. március 5., Peleki kontra Görögország ítélet (CE:ECHR:2020:0305JUD006929112, 39. §) a közjegyzőkre vonatkozóan.
69 Lásd: EJEB, 2018. október 2., Mutu és Pechstein kontra Svájc ítélet (CE:ECHR:2018:1002JUD004057510); EJEB, 2019. szeptember 3., Bakker kontra Svájc ítélet (CE:ECHR:2019:0903DEC000719807); EJEB, 2020. január 28., Ali Rıza és társai kontra Törökország ítélet (CE:ECHR:2020:0128JUD003022610, 153–161. §); EJEB, 2021. május 18., Sedat Doğan kontra Törökország ítélet (CE:ECHR:2021:0518JUD004890914, 20. §); EJEB, 2021. május 18., Naki és AMED Sportif Faaliyetler Kulübü Derneği kontra Törökország ítélet (CE:ECHR:2021:0518JUD004892416, 20. §). Lásd még a közelmúltból: EJEB, 2025. július 10., Semenya kontra Svájc ítélet, (EC:ECHR:2025:0710JUD001093421, különösen. 161. §).
70 Lásd: EJEB, 1983. február 10., Albert és Le Compte kontra Belgium ítélet (CE:ECHR:1983:0210JUD000729975, 30. §, valamint hivatkozott ítélkezési gyakorlat); EJEB, 2018. november 6., Ramos Nunes de Carvalho e Sá kontra Portugália ítélet (EC:ECHR:2018:1106JUD005539113, 121. §); EJEB, 2023. június 1., Grosam kontra Cseh Köztársaság ítélet (CE:ECHR:2023:0601JUD001975013, 112. §).
71 Lásd: EJEB, 2020. december 22., Gestur Jónsson és Ragnar Halldór Hall kontra Izland ítélet (EC:ECHR:2020:1222JUD006827314, 93. pont).
72 Ezzel szemben az a tény, hogy egy konkrét jogsértést szankcionáló szabály valamennyi polgárnak szól, a szankció büntetőjogi jellege mellett szól (lásd EJEB, 1984. február 21., Öztürk kontra Németország ítélet [CE:ECHR:1984:0221JUD000854479, 53. §]).
73 Lásd: EJEB, 2018. november 6., Ramos Nunes de Carvalho e Sá kontra Portugália ítélet (EC:ECHR:2018:1106JUD005539113, 125. §).
74 Ez az ügy a 2018. március 20‑i Garlsson Real Estate és társai ítélet (C‑537/16, EU:C:2018:193) tárgyát képező tényállástól is különbözik, amelyben a piaci manipulációnak minősülő jogellenes magatartás miatt kiszabott közigazgatási pénzbírság általános hatályú jogszabályon alapult.
75 Lásd a jelen indítvány 100. pontját.
76 Sport Választottbíróság, 1999. augusztus 9., 98/222. sz. ügy, B. kontra Nemzetközi Triatlon Szövetség (ITU) (43. pont), elérhető az alábbi linken: https://jurisprudence.tas‑cas.org/Shared%20Documents/222.pdf. Lásd még ebben az értelemben: Soek, J., The strict liability principle and the human rights of the athlets in dopping cases, T. M. C. Asser Press, Hága, 2006, különösen 272. o., amely szerint még ha a sportszövetségek és sportszervezetek által alkalmazott doppingellenes fegyelmi jog önmagában nem is büntetőjog, bizonyos esetekben büntető jellegű rendszernek minősíthető, amelynek keretében a büntetőjog elvei alkalmazandók.
77 Lásd: EJEB, 2020. március 5., Peleki kontra Görögország ítélet (EC:ECHR:2020:0305JUD006929112, 36. §, valamint az ott hivatkozott ítélkezési gyakorlat).
78 Lásd: 2023. május 4‑i MV – 98 ítélet (C‑97/21, EU:C:2023:371, 46. pont); EJEB, 2003. október 9., Ezeh és Connors kontra Egyesült Királyság ítélet (CE:ECHR:2003:1009JUD003966598, 120. §).
79 A szankciórendszerre vonatkozóan lásd az WADC 10. cikkét. Lásd még: Soek, J., The strict liability principle and the human rights of the athlets in dopping cases, T. M. C. Asser Press, Hága, 2006, különösen a 195. o. és azt követő oldalak.
80 Lásd a jogi szakemberek tárgyaláson tanúsított kötelességszegésével kapcsolatban: EJEB, 2020. december 22., Gestur Jónsson és Ragnar Halldór Hall kontra Izland ítélet (EC:ECHR:2020:1222JUD006827314, 78. §).
81 A jelen esetben az e rendelkezés értelmében vett felügyeleti hatóság az osztrák adatvédelmi hatóság.
82 Egy olyan üggyel kapcsolatban, amelyben az a kérdés merül fel, hogy a bűnügyi nyilvántartásokhoz való hozzáférés feltételeire vonatkozó nemzeti jog elegendő garanciát nyújt‑e, lásd a Bizottság kontra Magyarország (Az Európai Unió értékei) ügyet (C‑769/22, 2023/C 54/19) (HL 2023. C 54., 16. o.), amely a jelen indítvány készítésekor folyamatban volt, valamint Ćapeta főtanácsnok említett ügyre vonatkozó, 2025. június 5‑i indítványa (EU:C:2025:408, különösen 356–359. pont).
83 Lásd a jelen indítvány 132–180. pontját.
84 Lásd: Latvijas Republikas Saeima ítélet (74. és 75. pont).
85 Lásd az ADBG 5. cikke (6) bekezdésének 4. pontját.
86 Lásd: Vyriausioji tarnybinės etikos komisija ítélet (70. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
87 A NADA és az ÖADR az ADBG 5. §‑a (6) bekezdésének 4. pontja, illetve 21. §‑ának (3) bekezdése értelmében köteles a szóban forgó információkat közzétenni.
88 Ez a kérdés itt nem kerül megvitatásra, és a közérdekű feladat fennállása a doppingellenes szabályozás által követett közérdekre tekintettel kétségtelennek tűnik számomra (lásd: Meca‑Medina és Majcen kontra Bizottság ítélet [43. pont]).
89 Ugyanaz az adatkezelési művelet több jogos adatkezelési célnak is megfelelhet (lásd: 2025. április 3‑i Ministerstvo zdravotnictví [Jogi személy képviselőjére vonatkozó adatok] ítélet [C‑710/23, EU:C:2025:231, 42. pont]) és elegendő egyetlen ilyen jogos cél (lásd: Vyriausioji tarnybinės etikos komisija ítélet [71. pont]; 2024. szeptember 12‑i HTB Neunte Immobilien Portfolio és Ökorenta Neue Energien Ökostabil IV ítélet [C‑17/22 és C‑18/22, EU:C:2024:738, 38. pont]).
90 Lásd: Latvijas Republikas Saeima ítélet (98. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
91 Ez a két célkitűzés megegyezik azokkal, amelyeket a WADA a 29. cikk alapján létrehozott munkacsoporttal folytatott megbeszélései során említett, és amelyeket a 2009. február 6‑án elfogadott 4/2009. sz. második vélemény is megismételt, amely a Nemzetközi Doppingellenes Ügynökség (WADA) személyes adatok védelmére vonatkozó nemzetközi szabványáról, a WADA szabályzat kapcsolódó rendelkezéseiről, valamint a magánélet védelmével kapcsolatos egyéb kérdésekről szól, a WADA és a (nemzeti) doppingellenes szervezetek által a sportdoppingvétségekkel szemben folytatott küzdelemmel összefüggésben (a szankciókról szóló 3.6. pont) (a továbbiakban: 4/2009. sz. vélemény).
92 Az ADBG 1. §‑a (2) bekezdésének 8. pontja szerint doppingvétségnek minősülhet, ha egy sportoló olyan támogató személlyel tart fenn kapcsolatot, aki eltiltás vagy szankció hatálya alatt áll.
93 Lásd ebben az értelemben: Latvijas Republikas Saeima ítélet (109. és 110. pont).
94 Lásd e tekintetben: 2022. november 22‑i Luxembourg Business Registers ítélet (C‑37/20 és C‑601/20, EU:C:2022:912, 42. pont).
95 Ezzel kapcsolatban lásd még a 29. cikk alapján létrehozott munkacsoport fenntartásait, amelyeket a 4/2009. sz. vélemény 3.6.1. pontja tartalmaz. Érdekes megjegyezni azt is, hogy bár a WADC 14.2.4. cikke a 2009‑es változatában úgy rendelkezett, hogy a közzétételnek legalább a doppingellenes szervezet honlapján legalább egy éven keresztül történő megjelenítés útján kell megvalósulnia, a WADC későbbi változataiban az interneten történő közzétételre vonatkozó követelmény eltűnt. Hozzáteszem, hogy Németországban a doppingellenes szervezet belső nyomtatott médiában tesz közzé információkat (lásd a NADA Germany weboldalát, amely a következő linken érhető el: https://www.nada.de/service/news/newsdetail/veroeffentlichung‑von‑sanktionsentscheidungen).
96 A WADC 2.10. cikke és a 15. lábjegyzetben található kísérő magyarázat szerint úgy tűnik, hogy a fő cél annak biztosítása, hogy a sportolók (és más személyek) ne dolgozzanak együtt „olyan edzőkkel, orvosokkal vagy más sportolót támogató személyekkel, akiket doppingellenes szabályok megsértése miatt felfüggesztettek, vagy akiket doppinggal kapcsolatban bűntetőjogi értelemben elítéltek vagy fegyelmi büntetést kaptak. Ez a rendelkezés tiltja továbbá a felfüggesztés ideje alatt bármely más sportolóval való együttműködést, aki edzőként vagy a sportolót támogató személyként működik közre.
97 Megjegyzem továbbá, hogy a WADC szerint a felfüggesztett személlyel való együttműködésre vonatkozó tilalom megsértésének megállapításához a doppingellenes szervezetnek kell bizonyítania, hogy a sportolónak vagy más személynek tudomása volt a sportolót támogató személy kizárásáról (a WADC 2.10.2. cikke).
98 Lásd a Vyriausioji tarnybinės etikos komisija ítéletet (102. pont), amely figyelembe veszi azt a tényt, hogy az online nyilvánosságra hozatal azt eredményezi, hogy a szóban forgó személyes adatokat az interneten szabadon hozzáférhetővé teszik a nagy nyilvánosság, és ennek következtében potenciálisan korlátlan számú személy számára. A strasbourgi bíróság figyelembe veszi a személyes adatok közzétételére használt adathordozó típusát is, és az interneten történő terjesztést e tekintetben különösen kockázatosnak ítélte (EJEB, 2023. március 9., L. B. kontra Magyarország ítélet [CE:ECHR:2023:0309JUD003634516, 121. §]).
99 Lásd a 4/2009. sz. véleményt (3.6.1. és 3.6.2. pont a szankciókról).
100 Lásd e tekintetben: Vyriausioji tarnybinės etikos komisija ítélet (98. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
101 Lásd az általános adatvédelmi rendelet 9. cikke (2) bekezdésének g) pontját.
102 Lásd: 2019. szeptember 24‑i GC és társai (Különleges adatokra való hivatkozások törlése) ítélet (C‑136/17, EU:C:2019:773, 73. pont); Latvijas Republikas Saeima ítélet (104. pont).
103 Az arányosság vizsgálata során különösen figyelembe kell venni azt a tényt, hogy az adat érzékenynek minősül (lásd: 2019. december 11‑i Asociaţia de Proprietari bloc M5A‑ScaraA ítélet [C‑708/18, EU:C:2019:1064, 57. pont]; Vyriausioji tarnybinės etikos komisija ítélet [99. pont]).
104 Lásd Cruz Villalón főtanácsnok Digital Rights Ireland és társai egyesített ügyekre vonatkozó indítványát (C‑293/12 és C‑594/12, EU:C:2013:845, 149. pont), amely egy másik jogi kontextusban az adatmegőrzési időtartam arányosságát érinti.
105 Lásd ezzel kapcsolatban: Dellaux, J., „La réglementation de la lutte contre le dopage à l'aune de la jurisprudence de la Cour européenne des droits de l’homme, ou quand la pratique sportive justifie des restrictions importantes au droit au respect au la vie privée”, Revue trimestrielle des droits de l’homme, Anthémis, 116. sz., 2018, különösen a 899–900. o.
106 Lásd: Delforges, A., „Titre 8 – Les obligations générales du responsable du traitement et la place du sous‑traitant”, In: Le règlement général sur la protection des données (RGPD/GDPR), Larcier, Brüsszel, 2018 (1. kiadás), 371–406. o.
107 E tekintetben lásd a 4/2009. sz. véleményt (3.6. pont a szankciókról), amely például azt javasolja, hogy különösen a doppingvétség súlyosságát, a megállapított jogsértések számát, a sportoló versenyzési szintjét és az esetről szóló esetleges médiavisszhangot vegyék figyelembe.
108 Lásd: 2023. január 12‑i Nemzeti Adatvédelmi és Információszabadság Hatóság ítélet (C‑132/21, a továbbiakban: Nemzeti Adatvédelmi és Információszabadság Hatóság ítélet, EU:C:2023:2, 32. pont); 2025. január 9‑i Österreichische Datenschutzbehörde (Túlzó kérelmek) ítélet (C‑416/23, EU:C:2025:3, 24. pont).
109 Lásd ebben az értelemben: Spiecker gen. Döhmann, I. és mások, General Data Protection Regulation: Article‑by‑Article Commentary, Nomos – Beck – Hart, 2023, különösen 1010–1017. o.
110 Igaz, amint arra az osztrák és a finn kormány rámutat, a Lindenapotheke ítélet 47. pontja kimondja, hogy „a GDPR VIII. fejezete szabályozza többek között azokat a jogorvoslati lehetőségeket, amelyek lehetővé teszik az érintett személy jogainak védelmét, amennyiben a rá vonatkozó személyes adatokat állítólag az említett rendelet rendelkezéseivel ellentétes módon kezelték” (kiemelés tőlem). Mindazonáltal a „többek között” kifejezés arra késztet, hogy ezt az érvelést relativizáljam, annál is inkább, mert ebben az ügyben egy még meg nem történt kezelés kérdése egyáltalán nem merült fel.
111 Lásd: 2023. december 7‑i SCHUFA Holding (A fennálló tartozás elengedése) ítélet (C‑26/22 és C‑64/22, a továbbiakban: SCHUFA Holding ítélet, EU:C:2023:958, 56. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
112 Lásd: SCHUFA Holding ítélet (68. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
113 Lásd még: 2025. szeptember 4‑i Quirin Privatbank ítélet (EU:C:2025:655, 43–50. pont) a személyes adatok jogellenes kezelésének megismétlődését megakadályozó jogról. Lásd ezenkívül a bécsi regionális felsőbíróság (Ausztria) előzetes döntéshozatal iránti kérelmét a CRIF ügyben (C‑40/25. sz. ügy), amely a jelen indítvány írásakor folyamatban volt, és amely arra a lehetőségre vonatkozik, hogy az adatkezelőt kötelezzék a személyes adatok további jogellenes továbbításától való tartózkodásra.
114 Lásd: SCHUFA Holding ítélet (58. pont); 2024. szeptember 26‑i Land Hessen (Az adatvédelmi hatóság eljárási kötelezettsége) ítélet (C‑768/21, EU:C:2024:785, 35. pont). Lásd még: Pikamäe főtanácsnok SCHUFA Holding (A fennálló tartozás elengedése) egyesített ügyekre vonatkozó indítványa (C‑26/22 és C‑64/22, EU:C:2023:222, 40. pont).
115 Lásd a 2016/680 irányelv hasonló összefüggésében: 2024. október 4‑i Bezirkshauptmannschaft Landeck (Mobiltelefonon tárolt személyes adatokhoz való hozzáférésre tett kísérlet) ítélet (C‑548/21, EU:C:2024:830, 69–77. pont), ahol a Bíróság úgy ítélte meg, hogy az adatkezelés kísérlete már adatkezelésnek minősül.
116 Lásd ebben az értelemben: 2024. július 11‑i Meta Platforms Ireland (Képviseleti kereset) ítélet (C‑757/22, EU:C:2024:598, 44. pont). Az általános adatvédelmi rendelet 12. cikkében előírt tájékoztatási kötelezettséggel vagy az említett rendelet 15. cikkében előírt hozzáférési joggal kapcsolatos panasz például elfogadható lenne az adatkezelés megkezdése előtt (lásd ebben az értelemben: 2024. július 11‑i Meta Platforms Ireland [Képviseleti kereset] ítéletet [C‑757/22, EU:C:2024:598, 45. pont]).
117 Elképzelhető, hogy a panaszos ebben az esetben kérheti a felügyeleti hatóságot, hogy figyelmeztesse az adatkezelőt, vagy utasítsa, hogy ne tegye közzé a személyes adatokat, például arra hivatkozva, hogy az adatkezelés jogellenes. Jogellenesség esetén az érintett az általános adatvédelmi rendelet 17. cikke (1) bekezdésének c) pontja alapján tiltakozhat az ilyen, elsőbbséget élvező jogszerű ok nélkül végzett adatkezelés ellen. Úgy tűnik azonban, hogy a jelen ügyben nem állnak fenn ezek a körülmények.
118 Lásd: Nemzeti Adatvédelmi és Információszabadság Hatóság ítélet (34. pont). A közigazgatási panasz és a bírósági jogorvoslat összehangolásával kapcsolatban lásd még Richard de la Tour főtanácsnok D és társai (jogorvoslati lehetőségek közötti kapcsolat) ügyre vonatkozó indítványát (C‑414/24, EU:C:2025:656, 46. pont).
119 Lásd: Nemzeti Adatvédelmi és Információszabadság Hatóság ítélet (41. pont).
120 Lásd: SCHUFA Holding ítélet (53. pont).
121 Lásd: Nemzeti Adatvédelmi és Információszabadság Hatóság ítélet (37. pont); Lindenapotheke ítélet (60. pont).
122 Lásd: Nemzeti Adatvédelmi és Információszabadság Hatóság ítélet (45. és 57. pont).
123 Lásd: Nemzeti Adatvédelmi és Információszabadság Hatóság ítélet (46., 48. és 51. o.).