A BÍRÓSÁG ÍTÉLETE
2003. november 6.(*)
„95/46/EK irányelv – Hatály – Személyes adatok interneten való közzététele – A közzététel helye – A személyes adatok harmadik országokba irányuló továbbításának fogalma – A véleménynyilvánítás szabadsága – A személyes adatok valamely tagállam jogszabályai általi erősebb védelmének a 95/46 irányelvvel való összeegyeztethetősége”
A C‑101/01. sz. ügyben,
a Bírósághoz a Göta hovrätt (Svédország) által az EK 234. cikk értelmében benyújtott, az e bíróság előtt
Bodil Lindqvist
ellen folytatott büntetőeljárásban, a többek között a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet 15. kötet 355. o.) értelmezésére vonatkozó előzetes döntéshozatal iránti kérelem tárgyában,
A BÍRÓSÁG,
tagjai: P. Jann, az első tanács elnöke, elnökként eljárva, C. W. A. Timmermans, C. Gulmann, J. N. Cunha Rodrigues és A. Rosas tanácselnökök, D. A. O. Edward (előadó), J.‑P. Puissochet, F. Macken és S. von Bahr bírák,
főtanácsnok: A. Tizzano,
hivatalvezető: H. von Holstein hivatalvezető‑helyettes,
figyelembe véve a következők által előterjesztett írásbeli észrevételeket:
– B. Lindqvist képviseletében S. Larsson advokat,
– a svéd kormány képviseletében A. Kruse, meghatalmazotti minőségben,
– a holland kormány képviseletében H. G. Sevenster, meghatalmazotti minőségben,
– az Egyesült Királyság Kormánya képviseletében G. Amodeo, meghatalmazotti minőségben, segítője: J. Stratford barrister,
– az Európai Közösségek Bizottsága képviseletében L. Ström és X. Lewis, meghatalmazotti minőségben,
tekintettel a tárgyalásra készített jelentésre,
B. Lindqvist (képviseli: S. Larsson), a svéd kormány (képviselik: A. Kruse és B. Hernqvist, meghatalmazotti minőségben), a holland kormány (képviseli: J. van Bakel, meghatalmazotti minőségben), az Egyesült Királyság Kormánya (képviseli: J. Stratford), a Bizottság (képviselik: L. Ström és C. Docksey, meghatalmazotti minőségben) és az EFTA Felügyeleti Hatóság (képviseli: D. Sif Tynes, meghatalmazotti minőségben) szóbeli észrevételeinek a 2002. április 30‑i tárgyaláson történt meghallgatását követően,
a főtanácsnok indítványának a 2002. szeptember 19‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 A Bírósághoz 2001. március 1‑jén érkezett, 2001. február 23‑i végzésével a Göta hovrätt az EK 234. cikk alapján előzetes döntéshozatal céljából többek között a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet 15. kötet 355. o.) értelmezésére irányuló hét kérdést terjesztett a Bíróság elé.
2 E kérdések az említett bíróság előtt a B. Lindqvist ellen folytatott büntetőeljárásban merültek fel, akit a személyes adatok védelmére vonatkozó svéd szabályozás megszegésével vádoltak, miután személyes adatokat tett közzé az internetes honlapján több olyan személyt érintően, akik hozzá hasonlóan önkéntes munkát végeztek a svéd protestáns egyház egyik plébániáján.
Jogi háttér
A közösségi szabályozás
3 A 95/46 irányelv célja – ahogy az az 1. cikkének (1) bekezdéséből kitűnik – a természetes személyek alapvető jogainak és szabadságainak, különösen a magánélet tiszteletben tartásához való joguknak a személyes adatok feldolgozása tekintetében való védelme.
4 A 95/46 irányelv 3. cikke, amely az irányelv hatályára vonatkozik, a következőképpen rendelkezik:
„(1) Ezen irányelvet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon való feldolgozására, valamint azoknak a személyes adatoknak a nem automatizált módon való feldolgozására, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
(2) Az irányelv nem alkalmazandó az alábbi személyesadat-feldolgozásokra:
– a közösségi jog hatályán kívül eső tevékenységek, mint például az Európai Unióról szóló szerződés V. és VI. címeiben megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási művelet nemzetbiztonsági ügyre vonatkozik), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási műveletek,
– a természetes személy által kizárólag személyes célra, vagy háztartási tevékenysége keretében végzett adatfeldolgozás.”
5 A 95/46 irányelv „Különleges adatok feldolgozása” címet viselő 8. cikke szerint:
„(1) A tagállamok megtilthatják az olyan személyes adatok feldolgozását, amelyek a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra, az egészségi állapotra vagy a szexuális életre vonatkoznak.
(2) Az (1) bekezdést nem alkalmazható abban az esetben, ha:
a) az érintett kifejezett hozzájárulását adta az említett adatok feldolgozásához, kivéve, ha a tagállam joga úgy rendelkezik, hogy az (1) bekezdésben említett tilalom alól nem engedhető kivétel az érintett hozzájárulásával sem, vagy
b) az adatfeldolgozás az adatkezelő kötelezettségei és meghatározott jogai gyakorlása érdekében szükséges a foglalkoztatási jogszabályok területén, amennyiben a megfelelő biztosítékokról rendelkező nemzeti jogszabályok ezt lehetővé teszik, vagy
c) az adatfeldolgozás az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges abban az esetben, ha az érintett fizikailag vagy jogilag képtelen a hozzájárulását adni, vagy
d) az adatfeldolgozás valamely alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő biztosítékok mellett végzett törvényes tevékenysége keretében történik, politikai, világnézeti, vallási vagy szakszervezeti céllal, azzal a feltétellel, hogy a feldolgozás kizárólag az ilyen szerv tagjaira, vagy olyan személyekre vonatkozik, akik azzal rendszeres kapcsolatban állnak a szerv céljainak megfelelően, és az adatok nem adhatók ki harmadik fél részére az érintettek hozzájárulása nélkül, vagy
e) az adatfeldolgozás olyan adatokra vonatkozik, amelyeket az érintett egyértelműen nyilvánosságra hozott, vagy amelyek jogi követelések megállapításához, gyakorlásához vagy védelméhez szükségesek.
(3) Az (1) bekezdés nem alkalmazható, ha az adatok feldolgozása megelőző egészségügyi, orvosi diagnosztikai célból, gondozás vagy feldolgozás alkalmazása vagy egészségügyi szolgáltatások igazgatása céljából szükséges, és ha az adatokat a nemzeti jog vagy az illetékes nemzeti testületek által meghatározott szakmai titoktartási kötelezettség alá eső egészségügyi szakember vagy azzal egyenértékű titoktartási kötelezettség alá eső más személy dolgozza fel.
(4) Megfelelő garanciák nyújtása mellett a tagállamok, alapvető közérdekből, nemzeti jogszabályaikban vagy a felügyelő hatóság határozatában további mentességeket állapíthatnak meg a (2) bekezdésben foglaltakon kívül.
(5) A bűncselekményekre, büntetőítéletekre vagy biztonsági intézkedésekre vonatkozó adatok feldolgozása kizárólag a hatóság ellenőrzése mellett történhet, vagy ha a nemzeti jog megfelelő külön biztosítékot nyújt, az olyan eltérésekre is figyelemmel, amelyet a tagállamok a megfelelő külön biztosítékot nyújtó nemzeti rendelkezések alapján engedélyezhetnek. Mindazonáltal a büntetőítéletekről teljes körű nyilvántartást csak a hatóság ellenőrzésével lehet vezetni.
A tagállamok rendelkezhetnek arról, hogy a közigazgatási szankciókkal vagy polgári ügyekben hozott határozatokkal kapcsolatos adatokat szintén csak a hatóság ellenőrzésével lehessen feldolgozni.
(6) Az (1) bekezdéstől való, a (4) és (5) bekezdésben említett eltérésekről a Bizottságot értesíteni kell.
(7) A tagállamok határozzák meg a nemzeti azonosító számok és egyéb általános jellegű azonosító jelek feldolgozásának feltételeit.”
6 A 95/46 rendelet „A személyes adatok feldolgozása és a szólásszabadság” címet viselő 9. cikke szerint:
„A tagállamok e fejezet, a IV. és a VI. fejezet rendelkezései alóli felmentésről, illetve eltérésről kizárólag a személyes adatoknak újságírás, vagy irodalmi, illetve művészi kifejezés céljából történő feldolgozása esetén rendelkezhetnek, amennyiben azok a magánélet tiszteletben tartásához való jognak a szólásszabadságra vonatkozó szabályokkal való összeegyeztetéséhez szükségesek.”
7 A 95/46 irányelv „Mentességek és korlátozások” címet viselő 13. cikke lehetővé teszi, hogy a tagállamok az irányelvben megfogalmazott az adatkezelőre vonatkozó egyes – többek között az érintett személyek tájékoztatását érintő – kötelezettségeket korlátozzanak, amennyiben az említett korlátozások például a nemzetbiztonság, honvédelem, a közbiztonság, valamely tagállam vagy az Európai Unió fontos gazdasági vagy pénzügyi érdeke, valamint bűncselekmények vagy a szabályozott szakmák etikai vétségeinek vizsgálatához, illetve felderítéséhez szükségesek.
8 A 95/46 irányelv 25. cikke, amely „A személyes adatok harmadik országokba irányuló továbbítása” címet viselő IV. fejezetben található, a következőképpen szól:
„(1) A tagállamoknak rendelkezniük kell arról, hogy a feldolgozásra kerülő vagy továbbítás után feldolgozásra szánt személyes adatok csak akkor továbbíthatók harmadik országba, ha – az ezen irányelv egyéb rendelkezései értelmében elfogadott nemzeti rendelkezéseknek való megfelelés sérelme nélkül – az adott harmadik ország megfelelő védelmi szintet tud biztosítani.
(2) A harmadik ország által nyújtott védelem szintjének megfelelő mivoltát az adattovábbítási művelet vagy adattovábbítási műveletsorozat feltételeinek figyelembevételével kell értékelni; különös figyelmet kell fordítani az adatok jellegére, a tervezett adatfeldolgozási művelet vagy műveletek céljára és időtartamára, a kiindulási és a célországra, az adott harmadik országban hatályos, általános és ágazati jogrendre, valamint az adott országban érvényesülő szakmai szabályokra és biztonsági intézkedésekre.
(3) A tagállamok és a Bizottság értesítik egymást azokról az esetekről, amelyekben úgy vélik, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet a (2) bekezdés értelmében.
(4) Amennyiben a Bizottság megállapítja a 31. cikk (2) bekezdésében foglalt eljárás során, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet ennek a cikknek a (2) bekezdése értelmében, a tagállamok megteszik a megfelelő intézkedéseket az azonos típusú adatoknak a szóban forgó harmadik országba irányuló továbbításának megakadályozására.
(5) A Bizottság megfelelő időben tárgyalásokat kezdeményez a (4) bekezdés szerinti megállapításból eredő helyzet megoldására.
(6) A Bizottság a 31. cikk (2) bekezdésében említett eljárásnak megfelelően megállapíthatja, hogy a harmadik ország megfelelő védelmi szintet biztosít e cikk (2) bekezdése értelmében, az egyének magánéletének, jogainak és szabadságainak védelmére vonatkozó belföldi jog, vagy a vállalt nemzetközi kötelezettségek, különösen az (5) bekezdésben említett tárgyalások végeredménye alapján.
A tagállamok megtesznek minden szükséges intézkedést a Bizottság határozatának teljesítésére.”
9 A 95/46 irányelv elfogadása során a Svéd Királyság az irányelv 9. cikkének tárgyában írásbeli nyilatkozatot fűzött a Tanács jegyzőkönyvéhez (1995. február 2‑i 4649/95. sz. tanácsi dokumentum), amelyben a következő szerepelt:
„A Svéd Királyság úgy véli, hogy az irodalmi és művészi kifejezés fogalma inkább a kifejezés eszközére, mint a közzététel tartalmára vagy minőségére utal.”
10 Az emberi jogok és alapvető szabadságok védelméről szóló, 1950. november 4‑én Rómában aláírt európai egyezmény (a továbbiakban: EJEE) a magán‑ és családi élet tiszteletben tartásához való jogot a 8. cikkében, a szólásszabadságot pedig 10. cikkében biztosítja.
A nemzeti szabályozás
11 A 95/46 irányelvet a svéd jogba az 1998. évi 204. sz., Personuppgiftslag, SFS (a személyes adatokról szóló svéd törvény, a továbbiakban: PUL) ültette át.
Az alapügy és az előzetes döntéshozatalra előterjesztett kérdések
12 B. Lindqvist azonkívül, hogy takarítói feladatokat ellátó munkavállaló volt, az alsedai (Svédország) plébánián hitoktatói tevékenységet végzett. Informatikai tanfolyamra járt, amelynek keretében többek között internetes honlapot kellett létrehoznia. 1998 végén B. Lindqvist a lakóhelyén a személyi számítógépével internetes oldalakat hozott létre annak érdekében, hogy a konfirmációja előkészítését végző, egyházkerülethez tartozó hívők könnyen hozzájuthassanak azon információkhoz, amelyekre szükségük lehet. Kérésére a svéd egyház internetes honlapjának ügyintézője kapcsolatot hozott létre ezen oldalak és az említett honlap között.
13 Az érintett oldalak B. Lindqvistről és 18 plébániai kollégájáról tartalmaztak információt, beleértve a teljes nevüket vagy esetenként csak az utónevüket. B. Lindqvist ezenkívül enyhén humoros formában ismertette a kollégái által végzett feladatokat, és a kedvelt szabadidős tevékenységüket. Több esetben megemlítette a családi állapotukat, a telefonszámukat és egyéb adatokat. Egyébiránt azt is feltüntette, hogy az egyik kollégájának megsérült a lába, és részleges betegszabadságon volt.
14 B. Lindqvist nem tájékoztatta a kollégáit ezen oldalakról, nem kérte beleegyezésüket, és a Datainspektionnak (az informatikai úton továbbított adatok védelmét biztosító hatóság) sem jelentette be a lépéseit. Amint értesült arról, hogy az érintett oldalakat egyes kollégái nem méltányolták, letörölte azokat.
15 Az ügyészség eljárásokat indított B. Lindqvist ellen a PUL megsértése miatt, és az elmarasztalását indítványozta azon indokkal, hogy B. Lindqvist
– személyes adatokat automatizált módon anélkül dolgozott fel, hogy azt a Datainspektionhoz előzetesen írásban bejelentette volna (a PUL 36. cikke);
– engedély nélkül dolgozott fel különleges személyes adatokat, azaz a lábsérülésre és a részleges betegszabadságra vonatkozókat (a PUL 13. cikke);
– harmadik országokba engedély nélkül továbbított feldolgozott személyes adatokat (a PUL 33. cikke).
16 B. Lindqvist elismerte a tényeket, de tagadta, hogy jogsértést követett el. Miután az Eksjö tingsrätt (Svédország) bírság fizetésére kötelezte, B. Lindqvist a kérdést előterjesztő bírósághoz nyújtott be fellebbezést e határozat ellen.
17 A bírság 4000 SEK volt, figyelembe véve a B. Lindqvist pénzügyi helyzetének függvényében megállapított 100 SEK összeget és a jogsértés súlyát jelölő 40‑es szorzót. B. Lindqvistet kötelezték ezenkívül, hogy 300 SEK‑t utaljon át a jogsértések áldozatait segítő svéd alapba.
18 A Göta hovrätt, miután kétségei merültek fel az alkalmazandó közösségi jog, többek között a 95/46 irányelv értelmezésével kapcsolatban, felfüggesztette az eljárást, és előzetes döntéshozatal céljából a következő kérdéseket terjesztette a Bíróság elé:
„(1) Valamely személynek internetes honlapon – nevével, vagy nevével és telefonszámával – való megemlítése a [95/46] irányelv hatálya alá tartozó művelet‑e? »Személyes adatok részben vagy egészben automatizált módon való feldolgozásának« minősül‑e, ha valaki a saját maga által létrehozott internetes honlapon bizonyos számú személyt, valamint azok munkakörülményeire és szabadidős tevékenységére vonatkozó állításokat és nyilatkozatokat szerepeltet?
(2) Amennyiben az előző kérdésre nemleges válasz adandó, közel tizenöt személyt érintő különleges oldalak létrehozása valamely internetes honlapon keretében, az oldalak közötti, az utónév szerinti keresést lehetővé tevő kapcsolatokkal, a 3. cikk (1) bekezdése értelmében »azoknak a személyes adatoknak a nem automatizált módon való feldolgozás[át jelenti‑e], amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni«?
Ha a fenti kérdések valamelyikére igenlő válasz adandó, a hovrätt a következő kérdéseket is előterjeszti:
(3) Kollégákra vonatkozó ilyen típusú adatoknak magán, de az oldal címét ismerők számára hozzáférhető honlapon való elhelyezése a 3. cikk (2) bekezdésében szereplő kivételek valamelyikének értelmében tekinthető‑e olyannak, mint amely nem tartozik a [95/46] irányelv hatálya alá?
(4) Valamely honlapon annak feltüntetése, hogy a nevével megemlített kolléga lába megsérült, és részleges betegszabadságon van, egészségi állapotra vonatkozó olyan személyes adatnak minősül‑e, amelyet a 8. cikk (1) bekezdése értelmében tilos feldolgozni?
(5) A személyes adatok harmadik országokba irányuló továbbítása a [95/46] irányelv értelmében bizonyos esetekben tilos. Ha valaki Svédországban számítógép segítségével svédországi szerveren tárolt honlapon személyes adatot helyez el – oly módon, hogy a személyes adatok harmadik ország állampolgárai számára is hozzáférhetővé válnak –, az a [95/46] irányelv értelmében személyes adatok harmadik országokba irányuló továbbításának minősül‑e? Ugyanaz‑e a válasz akkor, ha – a rendelkezésre álló információk szerint – egyetlen harmadik országbeli állampolgár sem szerzett tudomást az adatokról, vagy ha a szóban forgó szerver, kizárólag fizikailag, harmadik országban található?
(6) A [95/46] irányelv rendelkezései, a jelen ügyhöz hasonló esetben, tekinthetők‑e úgy, hogy a szólásszabadság általános elveivel vagy az Európai Unióban alkalmazandó és többek között az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 10. cikkének megfelelő egyéb jogokkal és szabadságokkal ellentétes korlátozást foglalnak magukban?
Végül a hovrätt a következő kérdést terjeszti elő:
(7) Valamely tagállam az előző kérdésekben érintett területeken előírhatja‑e a személyes adatok erősebb védelmét vagy a [95/46] irányelvből következőnél szélesebb hatályt, jóllehet a 13. cikkben említett egyik érdek sem merül fel?”
Az első kérdésről
19 A kérdést előterjesztő bíróság az első kérdésével arra keresi a választ, hogy internetes oldalon több személyre történő hivatkozás, és azoknak akár nevükkel, akár más módon – például telefonszámukkal vagy munkakörülményeikre és időtöltésükre vonatkozó információkkal – történő azonosítása a 95/46 irányelv 3. cikkének (1) bekezdése értelmében „személyes adatok részben vagy egészben automatizált módon való feldolgozásá[nak]” minősül‑e?
A Bíróság elé terjesztett észrevételek
20 B. Lindqvist szerint nem ésszerű azt gondolni, hogy valamely személynek nevének vagy személyes adatoknak internetes oldalon lévő szövegben való egyszerű megemlítése automatizált adatfeldolgozásnak minősül. Ellenben ilyen feldolgozásnak minősülhet az ilyen adatoknak valamely internetes oldal „kapcsolódó cédulái” („meta tag”) kulcsszavaiban való megemlítése, amely lehetővé teszi az indexálást és ezen oldal keresőmotorral való megtalálását.
21 A svéd kormány előadja, hogy a 95/46 irányelv 3. cikkének (1) bekezdésében említett „a személyes adatok részben vagy egészben automatizált módon való feldolgozás[a]” minden informatikai, azaz bináris formában történő feldolgozást magában foglal. Következésképpen, amennyiben a személyes adatot számítógéppel dolgozzák fel szövegszerkesztő programmal vagy internetes oldalon való feltüntetéssel, az a 95/46 irányelv hatálya alá tartozó feldolgozás tárgyát képezi.
22 A holland kormány kifejti, hogy a személyes adat internetes oldalon való elhelyezése számítógép és szerver segítségével történik, ami az automatizálás fontos jellegzetessége, így azt kell megállapítani, hogy ezen adatok automatizált feldolgozás tárgyát képezik.
23 A Bizottság előadja, hogy a 95/46 irányelv a személyes adatoknak az irányelv 3. cikkében érintett minden feldolgozására alkalmazandó, függetlenül a használt technikai eszközöktől. A személyes adatoknak interneten való hozzáférhetővé tétele következésképpen részben vagy egészben automatizált feldolgozásnak minősül, feltéve hogy nincsenek olyan technikai korlátozások, amelyek a feldolgozást kizárólag a kézi műveletre szűkítik. Valamely internetes oldal tehát jellegénél fogva a 95/46 irányelv hatálya alá tartozik.
A Bíróság válasza
24 A 95/46 irányelv 3. cikkének (1) bekezdésében használt „személyes adat” fogalma az irányelv 2. cikkének a) pontjában szereplő meghatározásnak megfelelően magában foglalja „az azonosított vagy azonosítható természetes személyre […] vonatkozó bármely információ[t]”. E fogalom minden bizonnyal tartalmazza a személy telefonszámához kapcsolt nevét vagy a munkakörülményeire és időtöltésére vonatkozó információkat.
25 Ami a 95/46 irányelv 3. cikkének (1) bekezdésében használt, ilyen adatok „feldolgozása” fogalmát illeti, az az irányelv 2. cikkének b) pontjában szereplő meghatározásnak megfelelően magában foglalja „a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet[et] vagy műveletek összesség[ét]”. Ez utóbbi rendelkezés több példát is említ e műveletek kapcsán, amelyek között szerepel a közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétele. Következésképpen a személyes adatok internetes oldalon való feltüntetéséből álló művelet ilyen feldolgozásnak tekintendő.
26 Fennmarad annak meghatározása, hogy e feldolgozás „részben vagy egészben automatizált”‑e. E tekintetben meg kell állapítani, hogy információk internetes oldalon való feltüntetése, a jelenleg alkalmazott technikai és informatikai eljárások szerint, magában foglalja ezen oldal szerverre való feltöltésének műveletét, valamint az ahhoz szükséges műveleteket, hogy ezen oldalt az internethez csatlakozott személyek számára hozzáférhetővé tegyék. E műveletek – legalábbis részben – automatizált módon zajlanak.
27 Az első kérdésre tehát azt a választ kell adni, hogy internetes oldalon több személyre történő hivatkozás, és azoknak akár nevükkel, akár más módon – például telefonszámukkal vagy munkakörülményeikre és időtöltésükre vonatkozó információkkal – történő azonosítása a 95/46 irányelv 3. cikkének (1) bekezdése értelmében „személyes adatok részben vagy egészben automatizált módon való feldolgozásá[nak]” minősül.
A második kérdésről
28 Mivel az első kérdésre igenlő választ kellett adni, nem szükséges a második kérdésre válaszolni, amelyet csak arra az esetre tettek fel, amennyiben az első kérdésre nemleges választ ad a Bíróság.
A harmadik kérdésről
29 A harmadik kérdésével a kérdést előterjesztő bíróság lényegében arra keresi a választ, hogy a személyes adatoknak az első kérdésben említettekhez hasonló feldolgozása a 95/46 irányelv 3. cikkének (2) bekezdésében szereplő kivételek valamelyike alá tartozik‑e.
A Bíróság elé terjesztett észrevételek
30 B. Lindqvist előadja, hogy azon magánszemély, aki szólásszabadságával élve nonprofit vagy szabadidős tevékenysége keretében internetes oldalakat hoz létre, nem fejt ki gazdasági tevékenységet, és így nem tartozik a közösségi jog hatálya alá. Amennyiben a Bíróság ezzel ellentétesen határoz, felmerül a 95/46 irányelv érvényességének a kérdése, mivel a közösségi jogalkotó az irányelv elfogadásakor túllépte az EK‑Szerződés 100A. cikkében (jelenleg, módosítást követően EK 95. cikk) ráruházott hatásköröket. A jogszabályok közelítése, amelynek célja a belső piac megteremtése és működése, ugyanis nem szolgálhat olyan közösségi intézkedések jogalapjául, amelyek a magánszemélyek interneten gyakorolt szólásszabadságához való jogát szabályozzák.
31 A svéd kormány azzal érvel, hogy a 95/46 irányelv belső jogba való átültetése során a svéd jogalkotó úgy vélte, hogy a személyes adatok természetes személy általi olyan feldolgozása, amely ezen adatoknak határozatlan számú címzettekhez – például internet útján való – továbbítását jelenti, nem minősülhet a 95/46 irányelv 3. cikke (2) bekezdésének második francia bekezdése értelmében vett, „kizárólag személyes célra, vagy háztartási tevékenysége keretében végzett” tevékenységnek. Ugyanakkor e kormány nem zárja ki azt, hogy e bekezdés első francia bekezdésében meghatározott kivétel azon eseteket érinti, ahol a természetes személy személyes adatokat internetes oldalon kizárólag a szólásszabadsága gyakorlása keretében – szakmai vagy kereskedelmi tevékenységgel való bármiféle kapcsolat nélkül – tesz közzé.
32 A holland kormány szerint az adatoknak a szóban forgó ügyhöz hasonló, automatizált feldolgozása nem tartozik a 95/46 irányelv 3. cikkének (2) bekezdésében érintett egyetlen kivétel alá sem. Közelebbről, az e bekezdés második francia bekezdésében előírt kivételt illetően előadja, hogy az internetes oldal létrehozója az ott feltüntetett adatokat – főszabály szerint határozatlan számú – személynek hozza tudomására.
33 A Bizottság kifejti, hogy az olyan internetes oldal, mint amely az alapeljárásban szerepel, a 95/46 irányelv 3. cikkének (2) bekezdése értelmében nem tekinthető úgy, hogy nem tartozik ezen irányelv hatálya alá, hanem az – az alapeljárásban szereplő internetes oldal céljait figyelembe véve – az említett irányelv 9. cikkének értelmében vett művészeti és irodalmi alkotásnak minősül.
34 A Bizottság úgy véli, hogy a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdése két különböző értelmezést is lehetővé tesz. Az egyik e rendelkezés hatályát a példaként hivatkozott területekre korlátozza, azaz azon tevékenységekre, amelyek alapvetően az úgynevezett második és harmadik pillér alá tartoznak. A másik értelmezés kizárja a 95/46 irányelv hatálya alól mindazon tevékenységek végzését, amelyek nem tartoznak a közösségi jog hatálya alá.
35 A Bizottság kifejti, hogy a közösségi jog nem korlátozódik a négy alapvető szabadsághoz kötődő gazdasági tevékenységekre. A 95/46 irányelv jogalapjára, céljára, az EU 6. cikkre, az Európai Unió, 2000. december 7‑én, Nizzában kihirdetett Alapjogi Chartájára (HL C 364., 1. o.) és az Európa Tanács 1981. január 28‑i, az egyéneknek a személyes adataik gépi feldolgozása során való védelméről szóló egyezményére hivatkozva arra a következtetésre jut, hogy ezen irányelv a személyes adatok szabad mozgását nem csak gazdasági tevékenység gyakorlásaként, hanem mint a belső piac integrációjának és működésének keretében végzett társadalmi tevékenységként is szabályozni kívánja.
36 A Bizottság hozzáteszi, hogy a kereskedelmi vagy szolgáltatásnyújtási elemeket egyáltalán nem tartalmazó internetes oldalaknak a 95/46 irányelv hatálya alól, általános módon való kizárása súlyos körülhatárolási nehézségekkel járhat. A személyes adatokat tartalmazó olyan internetes oldalak jelentős része így kikerülne ezen irányelv hatálya alól, amelyek bizonyos egyéneknek sajátos célok miatt való megbélyegzésére törekednek.
A Bíróság válasza
37 A 95/46 irányelv 3. cikkének (2) bekezdése két kivételt állapít meg az irányelv hatálya alól.
38 Az első kivétel azon személyesadat‑feldolgozásokra vonatkozik, amelyeket a közösségi jog hatályán kívül eső – mint például az Európai Unióról szóló szerződés V. és VI. címében megállapított – tevékenységek folytatása érdekében végeznek, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az állam gazdasági jólétét is, ha e feldolgozások nemzetbiztonsági ügyekkel kapcsolatosak), továbbá a büntetőjog területeire vonatkozó állami tevékenységekkel kapcsolatos feldolgozásokra vonatkozik.
39 Mivel B. Lindqvist alapeljárásbeli tevékenységei alapvetően nem gazdaságiak voltak, hanem önkéntesek, illetve a vallással kapcsolatosak, meg kell vizsgálni, hogy azok a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdése értelmében „a közösségi jog hatályán kívül eső tevékenységek” körében végzett személyesadat‑feldolgozásoknak minősülnek‑e.
40 A Bíróság a Szerződés 100A. cikkén alapuló 95/46 irányelv kapcsán már megállapította, hogy e jogalap alkalmazása nem előfeltételezi a tagállamok közötti szabad mozgással való tényleges kapcsolat fennállását az e jogalapra alapuló intézkedés által rögzített helyzetek mindegyikében (lásd a C‑465/00., C‑138/01. és C‑139/01. sz., Österreichischer Rundfunk és társai egyesített ügyekben 2003. május 20‑án hozott ítélet [EBHT 2003., I‑4989. o.] 41. pontját és az ott hivatkozott ítélkezési gyakorlatot).
41 Az ezzel ellentétes értelmezés ugyanis az említett irányelv alkalmazási körének bizonytalanná és esetlegessé válását eredményezné, ami ellentétes lenne az irányelv fő célkitűzésével, amely arra irányul, hogy a tagállamok törvényi, rendeleti és közigazgatási rendelkezéseit közelítse a belső piac működését gátló – pontosan a nemzeti szabályozások közötti eltérésekből fakadó – akadályok felszámolása érdekében (a fent hivatkozott Österreichischer Rundfunk és társai egyesített ügyekben hozott ítélet 42. pontja).
42 Ilyen körülmények között nem megfelelő úgy értelmezni a „a közösségi jog hatályán kívül eső tevékenységek” megfogalmazást, mint amely szerint esetről esetre kellene vizsgálni, hogy a szóban forgó különleges tevékenység közvetlenül érinti‑e a tagállamok közötti szabad mozgást.
43 A 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdésében példálózó jelleggel említett tevékenységek (többek között az Európai Unióról szóló szerződés V. és VI. címében megállapított tevékenységek, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal és a büntetőjog területeire vonatkozó tevékenységekkel kapcsolatos feldolgozási műveletek) minden esetben az állam vagy az állami hatóságok sajátos tevékenységei, és nem tartoznak a magánszemélyek tevékenységei közé.
44 Meg kell tehát állapítani, hogy a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdésében példálózó jelleggel említett tevékenységek az említett rendelkezésben előírt kivétel hatályát hivatottak meghatározni úgy, hogy e kivétel csak az ott így kifejezetten említett vagy ugyanezen kategóriába tartozónak tekinthető tevékenységekre alkalmazható (ejusdem generis).
45 Márpedig az olyan jótékonysági vagy vallásos tevékenységek, mint amelyeket B. Lindqvist végzett, nem felelnek meg a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdésében említett tevékenységeknek, és így nem tartoznak e kivétel alá.
46 Ami a 95/46 irányelv 3. cikke (2) bekezdésének második francia bekezdésében foglalt kivételt illeti, az irányelv e kivételre vonatkozó (12) preambulumbekezdése – a természetes személy által kizárólag személyes célra vagy háztartási tevékenysége keretében végzett adatfeldolgozásra vonatkozó példaként – megemlíti a levelezést és a címjegyzékek vezetését.
47 E kivételt úgy kell tehát értelmezni, hogy az kizárólag a magánszemélyek magán‑ vagy családi élete keretébe tartozó tevékenységekre vonatkozik, nyilvánvalóan nem erről van azonban szó a személyes adatok interneten való közzétételét jelentő olyan feldolgozás esetében, amely során ezen adatok meghatározatlan számú személy számára válnak hozzáférhetővé.
48 A harmadik kérdésre tehát azt a választ kell adni, hogy a személyes adatoknak az első kérdésre adott válaszban említettekhez hasonló feldolgozása nem tartozik a 95/46 irányelv 3. cikkének (2) bekezdésében szereplő egyik kivétel alá sem.
A negyedik kérdésről
49 A negyedik kérdésével a kérdést előterjesztő bíróság arra keresi a választ, hogy annak feltüntetése, hogy valamely személy lába megsérült, és ezért részleges betegszabadságon van, a 95/46 irányelv 8. cikkének (1) bekezdése értelmében vett, egészségi állapotra vonatkozó személyes adatnak minősül‑e.
50 Tekintettel ezen irányelv tárgyára, a 8. cikk (1) bekezdésében használt „egészségi állapotra vonatkozó adatok” kifejezésnek tág értelmezést kell adni úgy, hogy az magában foglalja valamely személy egészségének minden, fizikai és pszichikai összetevőjére vonatkozó információkat.
51 A negyedik kérdésre tehát azt a választ kell adni, hogy annak feltüntetése, hogy valamely személy lába megsérült, és ezért részleges betegszabadságon van, a 95/46 irányelv 8. cikkének (1) bekezdése értelmében vett, egészségi állapotra vonatkozó személyes adatnak minősül.
Az ötödik kérdésről
52 Az ötödik kérdésével a kérdést előterjesztő bíróság lényegében arra keresi a választ, hogy a 95/46 irányelv 25. cikke értelmében vett „adatok harmadik országba irányuló továbbítása” akkor áll‑e fenn, ha az egyik tagállamban tartózkodó személy olyan internetes oldalra tölt fel személyes adatokat, amelyet az ugyanebben az államban vagy másik tagállamban székhellyel rendelkező természetes vagy jogi személy (a továbbiakban: üzemeltető) által üzemeltetett honlapon tárolnak, és így ezen adatokat minden, internetre csatlakozó személy számára hozzáférhetővé teszi, beleértve harmadik országokban tartózkodókat is. A kérdést előterjesztő bíróság ezenkívül arra is keresi a választ, hogy e kérdésre adandó válasz ugyanaz‑e, amennyiben úgy tűnik, hogy ténylegesen egyetlen harmadik országbeli állampolgár sem szerzett tudomást ezen adatokról, vagy ha az oldalt tároló szerver, kizárólag fizikailag, harmadik országban található.
A Bíróság elé terjesztett észrevételek
53 A Bizottság és a svéd kormány úgy véli, hogy személyes adatoknak internetes oldalra számítógép segítségével való feltöltése – oly módon, hogy azok harmadik országok állampolgárai számára is hozzáférhetővé válnak –, a 95/46 irányelv értelmében vett, adatok harmadik országokba irányuló továbbításának minősül. Ugyanez a válasz akkor is, ha egyetlen harmadik országbeli állampolgár sem szerez ténylegesen tudomást az említett adatokról, vagy ha az adatokat tároló szerver, kizárólag fizikailag, harmadik országban található.
54 A holland kormány emlékeztet arra, hogy a 95/46 irányelv nem határozza meg a „továbbítás” fogalmát. E kormány úgy véli egyrészt, hogy e fogalom akként értelmezendő, hogy kiterjed a személyes adatoknak az egyik tagállam területéről valamely harmadik országba irányuló továbbítását szándékosan megvalósító cselekményre, másrészt pedig hogy nem lehet különbséget tenni azon különböző módok között, amelyek útján az adatok harmadik személyek számára hozzáférhetővé válnak. A holland kormány ebből arra következtet, hogy személyes adatoknak internetes oldalra számítógép segítségével való feltöltése a 95/46 irányelv 25. cikke értelmében nem tekinthető személyes adatok harmadik országba irányuló továbbításának.
55 Az Egyesült Királyság Kormánya azzal érvel, hogy a 95/46 irányelv 25. cikke az adatok harmadik országokba irányuló továbbítását, nem pedig a harmadik országokból való hozzáférhetőségét érinti. A „továbbítás” fogalma valamely adatnak adott helyen tartózkodó személy általi, másik helyen lévő harmadik személy felé irányuló továbbítását foglalja magában. Csak ilyen továbbítás esetén írja elő a 95/46 irányelv 25. cikke a tagállamoknak annak ellenőrzését, hogy a harmadik ország megfelelő védelmi szintet tud‑e biztosítani a személyes adatoknak.
A Bíróság válasza
56 A 95/46 irányelv, sem a 25. cikkében, sem más rendelkezésében – többek között a 2. cikkében – nem definiálja a „harmadik országba irányuló továbbítás” fogalmát.
57 Annak meghatározásához, hogy a személyes adatok internetes oldalra való feltöltése – kizárólag azon oknál fogva, hogy az az adatokat harmadik országban tartózkodó személyek számára is hozzáférhető teszi –, ezen adatoknak a 95/46 irányelv 25. cikke értelmében vett harmadik országba irányuló „továbbítását” jelenti‑e, figyelembe kell venni egyrészt az így végrehajtott műveletek technikai jellemzőjét, másrészt pedig az említett irányelv 25. cikkét tartalmazó IV. fejezetének célját és rendszerét.
58 Az interneten található információkat különböző helyen tartózkodó, meghatározatlan számú személy szinte minden pillanatban megtekintheti. Ezen információk azon jellemzője, hogy mindenütt jelen vannak, többek között abból ered, hogy az internet körében használt technikai eszközök viszonylag egyszerűek és egyre olcsóbbak.
59 Az internet azon felhasználási módjai szerint, amelyek az 1990‑es években a B. Lindqvisthez hasonló magánszemélyek számára elérhetővé váltak, az interneten közzéteendő oldal létrehozója az ezen oldalt képező adatokat továbbítja az üzemeltetőhöz. Az üzemeltető kezeli az ezen adatok tárolásának és a honlapot befogadó szerver internethez való kapcsolásának biztosításához szükséges informatikai berendezéseket. Ez lehetővé teszi ezen adatok későbbi továbbítását minden olyan személy számára, aki csatlakozik az internethez, és lekérdezi azokat. Az ezen informatikai berendezéseket képező számítógépek az üzemeltető székhelye szerinti országtól különböző egy vagy több országban is lehetnek – sőt. nagyon gyakran vannak is –, anélkül hogy az üzemeltető ügyfélköre ennek tudatában lenne, vagy ésszerűen tudomást szerezhetne erről.
60 Az iratokból kitűnik, az internethasználónak ahhoz, hogy hozzáférjen az azon internetes oldalakon lévő információkhoz, ahova B. Lindqvist feltöltötte a kollégáira vonatkozó adatokat, nemcsak csatlakoznia kellett az internethez, hanem saját magának meg is kellett tennie az ezen oldalak megtekintéséhez szükséges lépéseket. Másképp fogalmazva, B. Lindqvist internetes oldalai nem tartalmaztak olyan technikai megoldást, amely lehetővé tette volna ezen információk automatikus elküldését azoknak, akik szándékosan nem kívántak azokhoz hozzáférni.
61 Következésképpen az alapeljárásban felmerültekhez hasonló körülmények között azon személyes adatok, amelyek harmadik országban tartózkodó személy számítógépére érkeznek olyan személytől, aki azokat valamely internetes oldalra töltötte fel, nem közvetlenül jutottak el egyik személytől a másikhoz, hanem az üzemeltetőnek az oldalt tároló informatikai berendezésein keresztül.
62 Ilyen körülmények között kell megvizsgálni, hogy a 95/46 irányelv IV. fejezetének alkalmazásában a közösségi jogalkotónak szándékában állt‑e az ezen irányelv 25. cikkének értelmében vett, „adatok harmadik országba irányuló továbbítása” fogalomba belefoglalni az olyan műveleteket, mint amelyeket B. Lindqvist hajtott végre. Hangsúlyozni kell, hogy a kérdést előterjesztő bíróság ötödik kérdése csak e műveleteket érinti, és nem vonatkozik az üzemeltető által végrehajtott műveletekre.
63 A 95/46 irányelv 25. cikkét magában foglaló IV. fejezete sajátos szabályokat tartalmazó különleges rendszer, amelynek célja, hogy a személyes adatok harmadik országokba irányuló továbbítását a tagállamok ellenőrizhessék. Az említett irányelv II. fejezetével létrehozott, a személyes adatok feldolgozásának jogszerűségére vonatkozó általános rendszert kiegészítő rendszerről van szó.
64 A IV. fejezet célját a 95/46 irányelv (56)‑(60) preambulumbekezdése határozza meg, amely többek között kimondja, hogy bár a Közösségben az egyének ezen irányelv által garantált védelme nem áll útjában a személyes adatok továbbításának olyan harmadik országokba, amelyek megfelelő szintű védelmet biztosítanak, az adatvédelem szintjének e megfelelő mivoltát a továbbítási művelet vagy műveletsorozattal kapcsolatos körülmények figyelembevételével kell értékelni. Amennyiben valamely harmadik ország nem biztosít megfelelő szintű védelmet, a személyes adatoknak e harmadik országba irányuló továbbítása tilos.
65 A 95/46 irányelv 25. cikke a maga részéről számos kötelezettséget ró a tagállamokra és a Bizottságra, amelyek célja, hogy ellenőrizze a személyes adatok harmadik országokba irányuló továbbítását, figyelembe véve ezen adatoknak minden egyes országban biztosított védelmi szintet.
66 Különösen a 95/46 irányelv 25. cikkének (4) bekezdése írja elő, hogy amennyiben a Bizottság megállapítja, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet, a tagállamok megteszik a megfelelő intézkedéseket a személyes adatoknak a szóban forgó harmadik országba irányuló továbbításának megakadályozására.
67 A 95/46 irányelv IV. fejezete az internethasználatra vonatkozóan nem tartalmaz semmilyen rendelkezést. Nem jelöli meg pontosan többek között azon szempontokat, amelyek lehetővé teszik annak megállapítását, hogy az üzemeltető útján végzett műveleteket illetően a szolgáltató székhelyét vagy ügyintézési helyét, illetve a szolgáltató informatikai berendezését képező számítógépek helyét vagy helyeit kell‑e figyelembe venni.
68 Tekintettel egyrészt az internetnek a 95/46 irányelv kidolgozásakor elért fejlettségére, másrészt pedig arra, hogy az irányelv IV. fejezete nem tartalmaz internethasználatra alkalmazandó szempontokat, nem vélelmezhető, hogy a közösségi jogalkotó a jövőre vonatkozóan az „adatok harmadik országba irányuló továbbítása” fogalomba bele szándékozott foglalni az adatoknak valamely internetes oldalra a B. Lindqvisthez hasonló helyzetben lévő személy általi feltöltését, még akkor sem, ha ezen adatok így hozzáférhetővé váltak a hozzáférésükhöz technikai eszközökkel rendelkező harmadik országbeli személyek részére.
69 Ha a 95/46 irányelv 25. cikkét úgy lehetne értelmezni, hogy minden alkalommal fennáll az „adatok harmadik országba irányuló továbbítása”, akkor ha internetes oldalra töltenek fel személyes adatokat, e továbbítás szükségszerűen minden olyan harmadik országba irányuló továbbítást jelentene, ahol rendelkezésre állnak az internethez való csatlakozáshoz szükséges technikai eszközök. Az említett irányelv IV. fejezetében előírt különleges szabályozás így szükségszerűen – az interneten végrehajtott műveleteket illetően – az általánosan alkalmazandó szabályozássá válna. Amennyiben ugyanis a Bizottság a 95/46 irányelv 25. cikkének (4) bekezdésének alkalmazásában megállapítaná, hogy egyetlen harmadik ország sem biztosít megfelelő szintű védelmet, a tagállamok kötelesek lennének megakadályozni a személyes adatok internetre való bármilyen feltöltését.
70 Ilyen körülmények között arra a következtetésre kell jutni, hogy a 95/46 irányelv 25. cikke úgy értelmezendő, hogy az olyan műveletek, mint amilyeneket B. Lindqvist hajtott végre, önmagukban nem minősülnek az „adatok harmadik országba irányuló továbbításának”. Így nem szükséges annak vizsgálata, hogy harmadik országbeli személyek beléptek‑e az érintett internetes oldalra, vagy hogy e szolgáltató szervere fizikailag harmadik országban van‑e.
71 Az ötödik kérdésre tehát azt a választ kell adni, hogy a 95/46 irányelv 25. cikke értelmében vett „adatok harmadik országba irányuló továbbítása” nem áll fenn akkor, ha az egyik tagállamban tartózkodó személy olyan internetes oldalra tölt fel személyes adatokat, amely az ugyanebben az államban vagy másik tagállamban székhellyel rendelkező üzemeltetőnél tárolt honlapon érhető el, és így ezen adatokat minden, internetre csatlakozó személy számára hozzáférhetővé teszi, beleértve harmadik országokban tartózkodókat is.
A hatodik kérdésről
72 A kérdést előterjesztő bíróság a hatodik kérdésével arra keresi a választ, hogy a 95/46 irányelv rendelkezései, az alapeljáráshoz hasonló esetben, tekinthetők‑e úgy, hogy a szólásszabadság általános elvével vagy az Európai Unióban alkalmazandó és többek között az EJEE 10. cikkében előírt jognak megfelelő egyéb jogokkal és szabadságokkal ellentétes korlátozást foglalnak magukban.
A Bíróság elé terjesztett észrevételek
73 B. Lindqvist – hivatkozva többek között a C‑274/99. P. sz., Conolly kontra Bizottság ügyben 2001. március 6‑án hozott ítéletre (EBHT 2001., I‑1611. o.) – azzal érvelt, hogy a 95/46 irányelv és a PUL annyiban, amennyiben előírják az előzetes hozzájárulás feltételeit és az ellenőrző hatósághoz való bejelentést, valamint kimondják a különleges személyes adatok feldolgozásának tilalmára vonatkozó elvet, ellentétesek a szólásszabadság közösségi jogban elismert általános elvével. Különösen hangsúlyozza, hogy a „személyes adatok részben vagy egészben automatizált módon való feldolgozásának” meghatározása nem felel meg az előreláthatóság és pontosság feltételének.
74 Ezenkívül B. Lindqvist szerint azon puszta tény, hogy valamely természetes személyt név szerint említenek, közzéteszik a telefonszámát és a munkakörülményeit, valamint az egészségi állapotára és szabadidős tevékenységére vonatkozó információkat, amelyek nyilvánosak, közismertek vagy lényegtelenek, nem jelentik a magánélet tiszteletben tartásához való jog alapvető megsértését. B. Lindqvist úgy véli, hogy a 95/46 irányelvben megfogalmazott megszorítások mindenesetre aránytalanok a jó hírnév és a mások magánélete védelmének céljához képest.
75 A svéd kormány úgy véli, hogy a 95/46 irányelv lehetővé teszi a szóban forgó érdekek közötti egyensúly megteremtését, és ezáltal a szólásszabadság és a magánélet védelmét. Hozzáteszi, hogy csak a nemzeti bíróság ítélheti meg – figyelembe véve minden egyes ügy körülményeit – a szólásszabadsághoz való jog gyakorlása azon korlátozásának arányosságát, amely a mások jogainak védelmét célzó szabályok alkalmazásából ered.
76 A holland kormány emlékeztet arra, hogy mind a szólásszabadság, mind a magánélet tiszteletben tartásához való jog részét képezi azon jog általános elveinek, amelynek tiszteletben tartását a Bíróság biztosítja, és hogy az EJEE nem állít fel rangsort a különböző alapvető jogok között. A holland kormány ezért úgy véli, hogy a nemzeti bíróságnak az előtte lévő ügy körülményeit figyelembe véve a különböző, szóban forgó alapvető jogok összeegyeztetésére kell törekednie.
77 Az Egyesült Királyság Kormánya megjegyzi, hogy az ötödik kérdésre adandó – a jelen ítélet 55. pontjában ismertetett – válaszjavaslata összeegyeztethető az alapvető jogokkal, és lehetővé teszi a szólásszabadság aránytalan megsértésének elkerülését. Hozzáteszi, hogy nehezen igazolható az olyan értelmezés, amely azzal a következménnyel jár, hogy a személyes adatok sajátos formában, azaz valamely internetes oldalon való közzététele sokkal szigorúbb korlátozások tárgya, mint a más módon, például papíron való közzétételre alkalmazandóak.
78 A Bizottság azt is hangsúlyozza, hogy a 95/46 irányelv nem foglal magában a szólásszabadság általános elvével vagy az Európai Unióban alkalmazandó és többek között az EJEE 10. cikkében előírt jognak megfelelő egyéb jogokkal és szabadságokkal ellentétes korlátozást.
A Bíróság válasza
79 A 95/46 irányelv (7) preambulumbekezdéséből kitűnik, hogy a személyes adatok feldolgozására vonatkozó nemzeti szabályozások közötti különbségek súlyosan érinthetik a belső piac kialakítását és működését. Ugyanezen irányelv (3) preambulumbekezdése szerint e nemzeti szabályozások harmonizálásának nemcsak ezen adatok tagállamok közötti szabad mozgása, hanem az egyének alapvető jogai védelmének biztosítása is a célja. E célok nyilvánvalóan összeütközhetnek.
80 Egyrészt a belső piac kialakításából és működéséből következő gazdasági és társadalmi integráció szükségszerűen magával fogja vonni a személyes adatok áramlásának érezhető növekedését a tagállamok gazdasági és társadalmi életének minden szereplője között, akár tagállami vállalkozásokról, akár közigazgatásokról legyen szó. E szereplőknek bizonyos mértékben szükségük van arra, hogy az ügyleteiknek a belső piacot képező határok nélküli térség keretében való lebonyolításához vagy feladataik teljesítéséhez személyes adatokkal rendelkezzenek.
81 Másrészt a személyes adatok feldolgozásával érintett személyek jogosan tartanak igényt arra, hogy ezen adatokat hatékonyan védelmezzék.
82 E különböző jogok és érdekek közötti egyensúly megteremtését lehetővé tevő mechanizmusokat egyrészt maga a 95/46 irányelv határozza meg annyiban, amennyiben olyan szabályokat ír elő, amelyek meghatározzák, hogy mely helyzetekben és milyen mértékben jogszerű a személyes adatok feldolgozása, és milyen védintézkedéseket kell hozni. Másrészt e mechanizmusok az ezen irányelv átültetését biztosító nemzeti rendelkezések tagállamok általi elfogadásából és esetlegesen azoknak a nemzeti hatóságok általi alkalmazásából következnek.
83 Ami magát a 95/46 irányelvet illeti, annak rendelkezései szükségszerűen viszonylag általánosak, tekintettel arra, hogy az irányelvet nagyszámú, igen sokféle helyzetre kell alkalmazni. Ellentétben azzal, amit B. Lindqvist állít, ezen irányelv jogosan tartalmaz olyan rendelkezéseket, amelyeket bizonyos rugalmasság jellemez, számos esetben lehetővé téve a tagállamok számára a részletek meghatározását vagy a több lehetőség közül történő választást.
84 Kétségtelen, hogy a tagállamok több tekintetben mozgástérrel rendelkeznek a 95/46 irányelv átültetése vonatkozásában. Ugyanakkor semmi sem teszi lehetővé annak megállapítását, hogy az irányelv által előírt szabályozás nélkülözi az előreláthatóságot, vagy hogy a rendelkezései önmagukban ellentétesek a közösségi jog általános elveivel és különösen a közösségi jogrend által védett alapvető jogokkal.
85 Az érintett jogok és érdekek igazságos egyensúlyát inkább a 95/46 irányelvet átültető szabályozás nemzeti szinten, egyedi esetekben való végrehajtásakor kell megteremteni.
86 E körülmények között az alapvető jogok különös jelentőséggel bírnak, ahogy azt az alapeljárás is mutatja, ahol lényegében mérlegelni kell egyfelől a B. Lindqvistet hitoktatói munkája keretében megillető szabad véleménynyilvánításhoz való jogot és a hitélettel kapcsolatos tevékenységek szabad gyakorlásához való jogot, másfelől azon személyek magánéletének védelmét, akikről B. Lindqvist adatokat közölt internetes honlapján.
87 Következésképpen a tagállami hatóságoknak és bíróságoknak amellett, hogy saját nemzeti jogukat a 95/46 irányelvvel összhangban kell értelmezniük, arra is ügyelniük kell, hogy az irányelv ne olyan értelmezését vegyék alapul, amely ellentétes a közösségi jogrend révén védelemben részesített alapvető jogokkal vagy a közösségi jog más, olyan általános elveivel, mint az arányosság elve.
88 Bár igaz, hogy a magánélet védelme hatékony szankciók alkalmazását követeli meg a személyes adatokat a 95/46 irányelvvel nem összeegyeztethető módon feldolgozó személyekkel szemben, az ilyen szankcióknak mindig tiszteletben kell tartaniuk az arányosság elvét. Ez annál inkább így van, mivel a 95/46 irányelv hatálya nagyon szélesnek tűnik, és a személyes adatokat feldolgozó személyeket számos és jelentős kötelezettség terheli.
89 A kérdést előterjesztő bíróságnak kell – az arányosság elvének alkalmazásával – az előtte lévő ügy minden körülményét figyelembe venni, különösen a 95/46 irányelvet végrehajtó szabályok megszegésének időtartamát, valamint a nyilvánosságra hozott adatok védelmének az érdekeltek számára való fontosságát.
90 A hatodik kérdésre tehát azt a választ kell adni, hogy a 95/46 irányelv rendelkezései önmagukban nem foglalnak magukban a szólásszabadság általános elvével vagy az Európai Unióban alkalmazandó és többek között az EJEE 10. cikkének megfelelő egyéb jogokkal és szabadságokkal ellentétes korlátozást. A 95/46 irányelvet átültető nemzeti szabályozás alkalmazására köteles nemzeti hatóságok és bíróságok feladata a szóban forgó – a közösségi jogrend révén védelemben részesített alapvető jogokat is magukban foglaló – jogok és érdekek közötti igazságos egyensúly biztosítása.
A hetedik kérdésről
91 A hetedik kérdésével a kérdést előterjesztő bíróság lényegében arra keresi a választ, hogy a tagállamok előírhatják‑e a személyes adatoknak a 95/46 irányelvből következőnél erősebb védelmét vagy a 95/46 irányelvből következőnél szélesebb hatályt.
A Bíróság elé terjesztett észrevételek
92 A svéd kormány kifejti, hogy a 95/46 irányelv nem a személyes adatok védelme minimális feltételeinek meghatározására korlátozódik. A tagállamok ezen irányelv átültetésének keretében az irányelvben meghatározott védelmi szintet kötelesek megvalósítani, és nem jogosultak erősebb vagy gyengébb védelmet előírni. Ugyanakkor figyelembe kell venni a tagállamok mérlegelési mozgásterét, amellyel az említett átültetés során annak érdekében rendelkeznek, hogy a belső jogukban részletesen meghatározzák a személyes adatok feldolgozása jogszerűségének általános feltételeit.
93 A holland kormány előadja, hogy a 95/46 irányelvvel nem ellentétes az, ha tagállamok bizonyos területeken erősebb védelmet írnak elő. Az említett irányelv 10. cikkéből, 11. cikkének (1) bekezdéséből, 14. cikke első bekezdésének a) pontjából, 17. cikkének (3) bekezdéséből, 18. cikkének (5) bekezdéséből és a 19. cikkének (1) bekezdéséből következik, hogy a tagállamok szélesebb védelmet is előírhatnak. Ezenkívül a tagállamok a 95/46 irányelv elveit az olyan tevékenységekre is szabadon alkalmazhatják, amelyek nem tartoznak az irányelv hatálya alá.
94 A Bizottság kifejti, hogy a 95/46 irányelv a Szerződés 100A. cikkén alapul, és hogy amennyiben valamely tagállam az ilyen harmonizációs irányelvtől eltérő jogszabályt kíván hatályban tartani vagy elfogadni, akkor azt az EK 95. cikk (4) vagy (5) bekezdésének megfelelően be kell jelentenie a Bizottságnak. A Bizottság következésképpen kifejti, hogy a tagállamok nem írhatják elő a személyes adatoknak a 95/46 irányelvből következőnél kiterjedtebb védelmét vagy a 95/46 irányelvből következőnél szélesebb hatályt.
A Bíróság válasza
95 A 95/46 irányelv célja, amint az többek között annak (8) preambulumbekezdéséből következik, hogy minden tagállamban azonossá tegye az egyének jogai és szabadságai védelmének szintjét az ilyen adatok feldolgozása terén. A (10) preambulumbekezdése ehhez hozzáteszi, hogy az erre vonatkozó jogszabályok közelítése nem vezethet az általuk nyújtott védelem szintjének csökkenéséhez, sőt, magas védelmi szintet kell hogy biztosítson a Közösségen belül.
96 Az említett nemzeti jogszabályok harmonizációja tehát nem korlátozódik minimális mértékű harmonizációra, hanem annak lényegében teljes harmonizációt kell eredményeznie. E szemlélet alapján a 95/46 irányelv célja a személyes adatok szabad áramlásának biztosítása, garantálva az ezen adatokkal érintett személy jogai és érdekei védelmének magas szintjét.
97 Kétségtelen, hogy a 95/46 irányelv bizonyos területeken hagy mérlegelési mozgásteret a tagállamok számára, és hogy felhatalmazza azokat a különleges helyzetekre vonatkozó egyedi szabályozás fenntartására és bevezetésére, ahogy arról számos rendelkezése tanúskodik. Ugyanakkor e lehetőséggel a 95/46 irányelvben előírt módon és az irányelv azon céljának megfelelően lehet élni, hogy fennmaradjon a személyes adatok szabad mozgása és a magánélet védelme közötti egyensúly.
98 Ugyanakkor semmi sem akadályozzza meg a tagállamot abban, hogy a 95/46 irányelv rendelkezéseit átültető nemzeti jogszabály hatályát kiterjessze olyan területekre, amelyek nem tartoznak ezen irányelv hatálya alá, amennyiben a közösségi jog egyetlen más rendelkezése sem képezi ennek akadályát.
99 E megfontolások tükrében a hetedik kérdésre azt a választ kell adni, hogy a személyes adatok védelmét biztosító tagállami intézkedéseknek meg kell felelniük mind a 95/46 irányelv rendelkezéseinek, mind az irányelv azon céljának, hogy fennmaradjon a személyes adatok szabad mozgása és a magánélet védelme közötti egyensúly. Ugyanakkor semmi sem akadályozza meg a tagállamot abban, hogy a 95/46 irányelv rendelkezéseit átültető nemzeti jogszabály hatályát kiterjessze olyan területekre, amelyek nem tartoznak ezen irányelv hatálya alá, amennyiben a közösségi jog egyetlen más rendelkezése sem képezi ennek akadályát.
A költségekről
100 A Bíróság elé észrevételeket terjesztő svéd és holland kormánynál, az Egyesült Királyság Kormányánál, a Bizottságnál, illetve az EFTA Felügyeleti Hatóságánál felmerült költségek nem téríthetők meg. Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről.
A fenti indokok alapján
A BÍRÓSÁG,
a Göta hovrätt 2001. február 23‑i végzésével hozzá intézett kérdéseire válaszolva a következőképpen határozott:
1) Internetes oldalon több személyre történő hivatkozás, és azoknak akár nevükkel, akár más módon – például telefonszámukkal vagy munkakörülményeikre és időtöltésükre vonatkozó információkkal – történő azonosítása a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv 3. cikkének (1) bekezdése értelmében „személyes adatok részben vagy egészben automatizált módon való feldolgozásá[nak]” minősül.
2) A személyes adatok ilyen feldolgozása nem tartozik a 95/46 irányelv 3. cikkének (2) bekezdésében szereplő egyik kivétel alá sem.
3) Annak feltüntetése, hogy valamely személy lába megsérült, és részleges betegszabadságon van, a 95/46 irányelv 8. cikkének (1) bekezdése értelmében vett, egészségi állapotra vonatkozó személyes adatnak minősül.
4) A 95/46 irányelv 25. cikke értelmében vett „adatok harmadik országba irányuló továbbítása” nem áll fenn akkor, ha az egyik tagállamban tartózkodó személy olyan internetes oldalra tölt fel személyes adatokat, amely az ugyanebben az államban vagy másik tagállamban székhellyel rendelkező üzemeltetőnél tárolt honlapon érhető el, és így ezen adatokat minden, internetre csatlakozó személy számára hozzáférhetővé teszi, beleértve harmadik országokban tartózkodókat is.
5) A 95/46 irányelv rendelkezései önmagukban nem foglalnak magukban a szólásszabadság általános elvével vagy az Európai Unióban alkalmazandó és többek között az emberi jogok és alapvető szabadságok védelméről szóló, 1950. november 4‑én Rómában aláírt európai egyezmény 10. cikkének megfelelő egyéb jogokkal és szabadságokkal ellentétes korlátozást. A 95/46 irányelvet átültető nemzeti szabályozás alkalmazására köteles nemzeti hatóságok és bíróságok feladata a szóban forgó – a közösségi jogrend révén védelemben részesített alapvető jogokat is magukban foglaló – jogok és érdekek közötti igazságos egyensúly biztosítása.
6) A személyes adatok védelmét biztosító tagállami intézkedéseknek meg kell felelniük mind a 95/46 irányelv rendelkezéseinek, mind az irányelv azon céljának, hogy fennmaradjon a személyes adatok szabad mozgása és a magánélet védelme közötti egyensúly. Ugyanakkor semmi sem akadályozza meg a tagállamot abban, hogy a 95/46 irányelv rendelkezéseit átültető nemzeti jogszabály hatályát kiterjessze olyan területekre, amelyek nem tartoznak ezen irányelv hatálya alá, amennyiben a közösségi jog egyetlen más rendelkezése sem képezi ennek akadályát.
|
Jann |
Timmermans |
Gulmann |
|
Cunha Rodrigues |
Rosas |
Edward |
|
Puissochet |
Macken |
von Bahr |
Kihirdetve Luxembourgban, a 2003. november 6‑i nyilvános ülésen.
|
R. Grass |
V. Skouris |
|
hivatalvezető |
elnök |
* Az eljárás nyelve: svéd.