A BÍRÓSÁG ÍTÉLETE (második tanács)

2017. december 20. ( *1 )

„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 95/46/EK irányelv – A 2. cikk a) pontja – A »személyes adatok« fogalma – A vizsgázó által szakmai vizsgán adott írásbeli válaszok – A vizsgáztató e válaszokra vonatkozó megjegyzései – A 12. cikk a) és b) pontja – Az érintett személy hozzáféréshez és helyesbítéshez való jogának terjedelme”

A C‑434/16. sz. ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Supreme Court (legfelsőbb bíróság, Írország) a Bírósághoz 2016. augusztus 4‑én érkezett, 2016. július 29‑i határozatával terjesztett elő a

Peter Nowak

és

a Data Protection Commissioner között folyamatban lévő eljárásban,

A BÍRÓSÁG (második tanács),

tagjai: M. Ilešič tanácselnök (előadó), A. Rosas, C. Toader, A. Prechal és E. Jarašiūnas bírák,

főtanácsnok: J. Kokott,

hivatalvezető: M. Aleksejev tanácsos,

tekintettel az írásbeli szakaszra és a 2017. június 22‑i tárgyalásra,

figyelembe véve a következők által előterjesztett észrevételeket:

P. Nowak képviseletében G. Rudden solicitor és N. Travers SC,

a Data Protection Commissioner képviseletében D. Young solicitor és P. A. McDermott SC,

Írország képviseletében E. Creedon, L. Williams és M. A. Joyce, meghatalmazotti minőségben, segítőjük: A. Caroll barrister,

a cseh kormány képviseletében M. Smolek és J. Vláčil, meghatalmazotti minőségben,

a görög kormány képviseletében G. Papadaki és S. Charitaki, meghatalmazotti minőségben,

a magyar kormány képviseletében Fehér M. Z. és Pálfy A., meghatalmazotti minőségben,

az osztrák kormány képviseletében G. Eberhard, meghatalmazotti minőségben,

a lengyel kormány képviseletében B. Majczyna, meghatalmazotti minőségben,

a portugál kormány képviseletében L. Inez Fernandes, M. Figueiredo és I. Oliveira, meghatalmazotti minőségben,

az Európai Bizottság képviseletében D. Nardi és H. Kranenborg, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2017. július 20‑i tárgyaláson történt meghallgatását követően,

meghozta a következő

Ítéletet

1

Az előzetes döntéshozatal iránti kérelem a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) értelmezésére vonatkozik.

2

Ezt a kérelmet a Peter Nowak és a Data Protection Commissioner (adatvédelmi biztos, Írország) között fennálló jogvita keretében terjesztették elő, amelynek tárgya, hogy az utóbbi megtagadta P. Nowaktól a hozzáférést vizsgázóként írt vizsgadolgozatának javított példányához azzal az indokkal, hogy az abban foglalt információk nem minősülnek személyes adatoknak.

Jogi háttér

Az uniós jog

A 95/46 irányelv

3

A 95/46 irányelv – amelynek, 1. cikke szerint, célja a természetes személyek alapvető jogainak és szabadságainak, különösen a magánélet tiszteletben tartásához való joguk védelme a személyes adatok kezelése tekintetében, illetve az ilyen adatok szabad áramlásával szemben támasztott akadályok megszüntetése –, (25), (26) és (41) preambulumbekezdésében kimondja:

„(25)

mivel a védelem elveinek tükröződniük kell egyrészt az adatfeldolgozással foglalkozó személyekre […] [helyesen: egyrészt az adatkezeléssel foglalkozó személyekre] […] megállapított kötelezettségekben, különösen az adatminőség, a technikai biztonság, a felügyelő hatóság értesítése, és az adatfeldolgozáshoz szükséges feltételek tekintetében, másrészt az azon egyénekre szálló jogokban, akiknek az adatai feldolgozásra [helyesen: kezelésre] kerülnek, amelyek szerint tájékoztatják őket az adatfeldolgozásról [helyesen: adatkezelésről], betekinthetnek az adatokba, helyesbítést kérhetnek, és bizonyos körülmények között tiltakozhatnak a feldolgozás [helyesen: kezelés] ellen;

(26)

mivel a védelem elveit minden azonosított vagy azonosítható személyre vonatkozó információ esetében alkalmazni kell; mivel annak meghatározására, hogy egy személy azonosítható‑e, minden olyan módszert figyelembe kell venni, amit az adatkezelő, vagy más személy valószínűleg felhasználna az említett személy azonosítására; mivel a védelem elvei nem alkalmazhatók az olyan módon anonimmá tett adatokra, ahol az érintett a továbbiakban nem azonosítható; […]

[…]

(41)

mivel minden személynek lehetővé kell tenni a rá vonatkozó, adatfeldolgozás [helyesen: adatkezelés] alatt álló adatokhoz való hozzáférés jogának gyakorlását, különösen az adatok helyességének és az adatfeldolgozás [helyesen: adatkezelés] jogszerűségének ellenőrzése céljából; […]”

4

A „személyes adatok” fogalmát ezen irányelv 2. cikkének a) pontja akként határozza meg, mint „az azonosított vagy azonosítható természetes személyre (»érintettre«) vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, szellemi [helyesen: mentális], gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén”.

5

Az említett irányelv 6. cikke, amely ezen irányelv II. fejezetének „Az adatok minőségére vonatkozó elvek” című I. szakaszában található, így szól:

„(1)   A tagállamok rendelkeznek arról, hogy a személyes adatok:

a)

feldolgozását [helyesen: kezelését] tisztességesen és törvényesen kell végezni;

b)

gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további feldolgozása nem végezhető e célokkal összeférhetetlen módon. A személyes adatok további feldolgozása [helyesen: kezelése] történelmi, statisztikai vagy tudományos célokra nem tekintendő összeférhetetlennek, amennyiben a tagállamok biztosítják a megfelelő garanciákat;

c)

gyűjtésük és/vagy további feldolgozásuk [helyesen: kezelésük] célja szempontjából megfelelőek, relevánsak és nem túlzott mértékűek;

d)

pontosak, és ha szükséges, időszerűek kell hogy legyenek; minden észszerű intézkedést meg kell tenni annak érdekében, hogy a hibás vagy hiányos adatok, tekintettel gyűjtésük vagy további feldolgozásuk [helyesen: kezelésük] céljaira, törlésre vagy helyesbítésre kerüljenek;

e)

tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok gyűjtése vagy további feldolgozása [helyesen: kezelése] céljainak eléréséhez szükséges ideig teszi lehetővé. A tagállamok állapítják meg a személyes adatok történelmi, statisztikai vagy tudományos célból, hosszabb ideig történő tárolásának megfelelő garanciáit.

(2)   Az adatkezelő feladata gondoskodni arról, hogy az (1) bekezdés rendelkezései teljesüljenek.”

6

A 95/46 rendeletnek „A személyes adatok feldolgozásának jogszerűségére vonatkozó általános szabályok” [helyesen: Az adatkezelés jogszerűségének elvei] című II. szakaszában található 7. cikke ekként rendelkezik:

„A tagállamok rendelkeznek arról, hogy a személyes adatok csak abban az esetben dolgozhatók fel [helyesen: kezelhetők], ha:

a)

az érintett ahhoz egyértelmű hozzájárulását adta; vagy

[…]

c)

az adatfeldolgozás az adatkezelőre vonatkozó jogi kötelezettségnek teljesítéséhez szükséges; vagy

[...]

e)

az adatfeldolgozás közérdekből elvégzendő feladat végrehajtásához vagy az adatkezelőre, illetve az adatokról tudomást szerző harmadik félre ruházott hivatali hatáskör gyakorlásához szükséges [helyesen: az adatfeldolgozás közérdekből elvégzendő feladat végrehajtásához vagy annak a közhatalomnak a gyakorlásához szükséges, amelyet az adatkezelőre, illetve arra a harmadik félre ruháztak, akivel az adatokat közölték]; vagy

f)

az adatfeldolgozás [helyesen: adatkezelés] az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges [helyesen: vagy azon harmadik fél vagy felek jogos érdekének érvényesítéséhez szükséges, akivel vagy akikkel az adatokat közölték], kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek az 1. cikk (1) bekezdése értelmében védelmet élvező érdekei az alapvető jogok és szabadságok tekintetében.”

7

Ezen irányelv „Adathozzáféréshez való jog” című 12. cikke előírja:

„A tagállamoknak biztosítaniuk kell minden érintett számára a jogot, hogy az adatkezelőtől:

a)

korlátozás nélkül, észszerű időközönként, túlzott késedelem vagy költség nélkül:

megerősítést kapjon arról, hogy rá vonatkozóan adatok feldolgozása [helyesen: kezelése] folyamatban van‑e, továbbá, hogy információt kapjon legalább az adatfeldolgozás [helyesen: adatkezelés] céljáról, az érintett adatkategóriákról, a címzettekről vagy a címzettek kategóriáiról, akik felé az adatokat továbbítják,

érthető formában értesítést kapjon az adatfeldolgozás [helyesen: kezelés] alatt álló adatokról és azok forrásával kapcsolatos minden rendelkezésre álló információról,

[…]

b)

az esettől függően kérje az olyan adatok helyesbítését, törlését vagy zárolását, amelyek feldolgozása [helyesen: kezelése] nem felel meg ezen irányelv rendelkezéseinek, különösen az ilyen adatok hiányos vagy hibás volta miatt;

c)

kérje az adatokról tudomást szerző harmadik felek értesítését a b) ponttal összhangban végzett minden helyesbítésről, törlésről vagy zárolásról, hacsak ez lehetetlennek nem bizonyul, vagy aránytalanul nagy erőfeszítést nem igényel.”

8

Az irányelv „Mentességek [helyesen: kivételek] és korlátozások” című 13. cikke a következőképpen rendelkezik:

„(1)   A tagállamok jogszabályokat fogadhatnak el a 6. cikk (1) bekezdésében, a 10. cikkben. a 11. cikk (1) bekezdésében, valamint a 12. és a 21. cikkben foglalt jogok és kötelezettségek körének korlátozására, amennyiben a korlátozás az alábbiak biztosításához szükséges:

[…]

g)

az érintett, vagy mások jogainak és szabadságainak védelme.

[…]”

9

A 95/46 irányelvnek „Az érintett tiltakozási joga” című 14. cikke a következőképpen rendelkezik:

„A tagállamoknak biztosítaniuk kell az érintettnek, hogy:

a)

legalább a 7. cikk e) és f) pontjában foglalt esetekben, sajátos helyzetével kapcsolatos lényeges jogos érdekből bármikor tiltakozhasson a rá vonatkozó adatok feldolgozása [helyesen: kezelése] ellen, kivéve, ha erről a nemzeti jog másként rendelkezik. Jogos tiltakozás esetén az adatkezelő által kezdeményezett adatfeldolgozás [helyesen: adatkezelés] a továbbiakban nem terjedhet ki a szóban forgó adatokra;

[…]”

10

Az említett irányelvnek „A felügyelő hatóság” című 28. cikke kimondja:

„(1)   Minden tagállamnak rendelkeznie kell arról, hogy az ezen irányelv értelmében a tagállam által elfogadott nemzeti rendelkezéseknek a területén történő alkalmazását valamely hatóság vagy hatóságok felügyeljék.

[…]

(3)   Minden hatóság különösen a következőkkel rendelkezik:

vizsgálati jogkör, mint például az adatfeldolgozási [helyesen: adatkezelési] műveletek tárgyát képező adatokhoz való hozzáférésre vonatkozó jogosultság, továbbá a felügyeleti feladatok ellátásához szükséges valamennyi információ összegyűjtésére vonatkozó jogosultság;

tényleges beavatkozási jogosultságok, mint például […] az adatok zárolásának, törlésének vagy megsemmisítésének elrendelése, az adatfeldolgozás [helyesen: adatkezelés] átmeneti vagy végleges tilalmának megállapítása […]

[…]

A felügyelő hatóság kifogásolható [helyesen: sérelmet okozó] határozatai bíróság előtt megtámadhatók.

(4)   A felügyelő hatóságok foglalkoznak a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének jogainak vagy szabadságainak védelmével kapcsolatos, bármely személy vagy az őt képviselő szervezet által benyújtott kérelmekkel. A kérelem elbírálásáról az érintett személyt értesíteni kell.

[…]”

Az (EU) 2016/679 rendelet

11

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119, 1. o.; helyesbítés: HL 2016. L 314., 72. o.), 99. cikkének (2) bekezdése értelmében, 2018. május 25‑től alkalmazandó. E rendelet 94. cikkének (1) bekezdése úgy rendelkezik, a 95/46 rendelet ugyanezen időpontban hatályát veszti.

12

Az említett rendeletnek „Az érintett hozzáférési joga” című 15. cikke így rendelkezik:

„(1)   Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‑e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

[…]

(3)   Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. […]

(4)   A (3) bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.”

13

A 2016/679 rendelet „Korlátozások” című 23. cikke a következőképpen rendelkezik:

„(1)   Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a […] 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

[…]

e)

az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;

[…]

i)

az érintett, vagy mások jogainak és szabadságainak védelme;

[…]”

Az ír jog

14

A Data Protection (Amendment) Act 2003 (az adatvédelmi törvény módosításáról szóló 2003. évi törvény) által módosított Data Protection Act 1988 (1988. évi adatvédelmi törvény; a továbbiakban: adatvédelmi törvény) a 95/46 irányelvet ülteti át az ír jogrendbe. E törvény 1. cikkének (1) bekezdése az alábbi módon határozza meg a „személyes adatok” fogalmát:

„Olyan természetes személyre vonatkozó adat, aki az adat alapján, vagy az adat és más, az adatkezelő birtokában lévő vagy számára beszerezhető információval együtt azonosított vagy azonosítható.”

15

A hozzáférési jogot az adatvédelmi törvény 4. cikke szabályozza, amelynek (6) bekezdése kifejezetten a vizsgák eredményeihez való hozzáférés iránti kérelem tárgyában az alábbiakat mondja ki:

„a)

A jelen szakasz alkalmazásában azt a kérelmet, amelyet az egyén e szakasz (1) bekezdése alapján nyújt be valamely olyan vizsgának az eredményével kapcsolatban, amelyen részt vett,

i.

a vizsga eredményeinek első alkalommal történő nyilvánosságra hozatalának napján, vagy

ii.

a kérelem napján

kell benyújtottnak tekinteni – attól függően, melyik történt később; […]

b)

A jelen bekezdés alkalmazásában »vizsga« minden olyan eljárás, amelynek célja valamely személy tudásának, intelligenciájának, készségének vagy képességének meghatározása valamely teszt, feladat vagy más tevékenység során.”

16

Az adatvédelmi törvény 6. cikke kimondja az azon személyes adatok helyesbítésére és törlésére vonatkozó jogot, amelyek kezelése nem e törvénynek megfelelően történik.

17

A Data Protection Act fent hivatkozott 10. cikke (1) bekezdése b) pontjának i. alpontja kötelezi az adatvédelmi biztost a panasz kivizsgálására, „kivéve, amennyiben az véleménye szerint komolytalan vagy zaklató”.

Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

18

P. Nowak gyakornok könyvelő-adószakértő volt, aki sikerrel letette az első szintű számviteli tárgyak vizsgáit, valamint három, az Institute of Chartered Accountant of Ireland (írországi könyvvizsgáló-adótanácsadói szakmai szervezet, a továbbiakban: könyvvizsgáló-adótanácsadói szakmai szervezet) által szervezett második szintű vizsgát is letett. Mindazonáltal nem sikerült a vizsgája stratégiai pénzügyi számvitel és számviteli kezelés tantárgyból, amely során a vizsgázóknak lehetőségük van dokumentumok használatára (nyitott tankönyves vizsga).

19

2009 őszén, miután e vizsgája negyedszerre sem sikerült, P. Nowak először panasszal élt e vizsga eredményével szemben. Miután e panaszát 2010 márciusában elutasították, 2010 májusában az adatvédelmi törvény 4. cikke alapján kérelmet nyújtott be a könyvvizsgáló‑adótanácsadói szakmai szervezet birtokában lévő, őt érintő személyes adatok egészéhez való hozzáférés iránt.

20

2010. június 1‑jei levelében a könyvvizsgáló‑adótanácsadói szakmai szervezet 17 dokumentumot megküldött P. Nowaknak, vizsgadolgozatának megküldését azonban megtagadta azon az alapon, hogy a vizsgadolgozat nem tartalmaz az adatvédelmi törvény értelmében vett „személyes adatokat”.

21

P. Nowak ekkor az adatvédelmi biztoshoz fordult a vizsgadolgozata közlésének elutasítását alátámasztó indokok megalapozottságát vitatva. 2010 júniusában az adatvédelmi biztos e‑mailben arról tájékoztatta egyebek mellett P. Nowakot, hogy „a vizsgadolgozatok általában nem esnek [az adatvédelmi szabályok] hatálya alá, […] mivel az ilyen dokumentumok általában nem minősülnek személyes adatnak”.

22

Az adatvédelmi biztos e válaszát P. Nowak és e biztos közötti levélváltás követte, amely 2010. július 1‑jén azzal zárult, hogy P. Nowak hivatalos panaszt tett.

23

2010. július 21‑i levelében az adatvédelmi biztos tájékoztatta P. Nowakot arról, hogy az ügyiratok tanulmányozását követően nem talált jelentős jogsértést az adatvédelmi törvény vonatkozásában, és hogy e törvény 10. cikke (1) bekezdése b) pontjának i. alpontja alapján, amely a komolytalan vagy zaklató panaszok esetéről rendelkezik, úgy határozott, hogy nem vizsgálja P. Nowak panaszát. Továbbá a levél arra is rámutatott, hogy azok a dokumentumok, amelyekkel kapcsolatban P. Nowak gyakorolni kívánta „helyesbítéshez való jogát, nem minősülnek olyan személyes adatnak, amelyre az adatvédelmi törvény 6. cikkét alkalmazni kellene”.

24

P. Nowak e határozat ellen jogorvoslattal élt a Circuit Court (körzeti bíróság, Írország) előtt. E bíróság a keresetet elfogadhatatlannak nyilvánította azzal az indokkal, hogy a panasz adatvédelmi biztos által történő vizsgálatának hiányában nincs keresettel megtámadható határozat. Másodlagosan e bíróság úgy ítélte meg, hogy a kereset nem megalapozott, mivel a vizsgadolgozat nem minősül személyes adatnak.

25

P. Nowak az említett bíróság ítéletét megtámadta a High Court (felsőbíróság, Írország) előtt, amely ugyanakkor helybenhagyta ezen ítéletet. A High Court (felsőbíróság) ítéletét pedig a Court of Appeal (fellebbviteli bíróság, Írország) hagyta helyben. A Supreme Court (legfelsőbb bíróság, Írország), amely engedélyezte a Court of Appeal (fellebbviteli bíróság) ítéletével szembeni fellebbezést, a P. Nowak által az adatvédelmi biztos határozatával szemben benyújtott keresetet elfogadhatónak nyilvánította.

26

A Supreme Court (legfelsőbb bíróság) ugyanakkor, mivel kételyeket táplált a tekintetben, hogy egy vizsgadolgozat minősülhet‑e személyes adatnak a 95/46 irányelv értelmében, úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)

A 95/46/EK irányelv értelmében vett személyes adatnak minősülhet‑e valamely jelöltnek egy szakmai vizsga során feljegyzett információja/adott válasza?

2)

Amennyiben az első kérdésre az a válasz adandó, hogy minden ilyen információ – vagy legalábbis azok egy része – az irányelv értelmében vett személyes adatnak minősül, mely szempontok irányadók annak meghatározásához, hogy egy adott ügyben az ilyen vizsgadolgozat személyes adatnak minősül‑e, és hogyan kell ezeket a szempontokat mérlegelni?”

Az előzetes döntéshozatalra előterjesztett kérdésekről

27

Kérdéseivel, amelyeket célszerű együtt vizsgálni, a kérdést előterjesztő bíróság lényegében arra keres választ, hogy a 95/46 irányelv 2. cikkének a) pontját akként kell‑e értelmezni, hogy az alapügy körülményeihez hasonló körülmények között valamely vizsgázó által egy szakmai vizsga során adott írásbeli válaszok és a vizsgáztató esetleges vonatkozó megjegyzései személyes adatoknak minősülnek e rendelkezés értelmében.

28

E tekintetben emlékeztetni kell arra, hogy a 95/46 irányelv 2. cikkének a) pontja a személyes adatokat „az azonosított vagy azonosítható természetes személyre vonatkozó bármely információként” határozza meg. Ugyanezen rendelkezés értelmében „az azonosítható személy olyan személy, aki közvetlenül vagy közvetve azonosítható, különösen egy azonosító szám vagy a személy fizikai, fiziológiai, pszichikai, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több egyedi tényező és a személy egymáshoz rendelése révén”.

29

Vitathatatlan, hogy egy szakmai vizsgán részt vevő vizsgázó olyan természetes személy, aki azonosítható akár közvetlenül, neve alapján, akár közvetve, azonosítási számán keresztül, amely fel van tüntetve a vizsgadolgozatán vagy e dolgozat fedőlapján.

30

Ellentétben az adatvédelmi biztos által sugalltakkal, ilyen összefüggésben nincs jelentősége annak, hogy a vizsgáztató azonosítani tudja‑e, vagy sem, a vizsgázót vizsgadolgozatának javítása vagy osztályozása során.

31

Ahhoz ugyanis, hogy valamely adatot a 95/46 irányelv 2. cikkének a) pontja értelmében vett „személyes adatnak” minősítsenek, nem követelmény, hogy az érintett személy azonosítását lehetővé tévő minden adat egy személy kezében legyen (2016. október 19‑iBreyer ítélet, C‑582/14, EU:C:2016:779, 43. pont). Egyébiránt vitathatatlan, hogy ha a vizsgáztató nem is ismeri a vizsgázó kilétét az általa egy vizsga keretében adott válaszok értékelésekor, a vizsgát szervező szervezet, a jelen esetben a könyvvizsgálói‑adótanácsadói szakmai szervezet ezzel szemben rendelkezik az ahhoz szükséges információkkal, hogy nehézség vagy kétely nélkül azonosíthassa e vizsgázót azonosítási száma alapján, amely fel van tüntetve vizsgadolgozatán vagy e dolgozat fedőlapján, és ekként e személynek tulajdonítsa az általa adott válaszokat.

32

Meg kell vizsgálni ugyanakkor, hogy a vizsgázó által egy szakmai vizsga keretében adott írásbeli válaszok és a vizsgáztató esetleges vonatkozó megjegyzései a 95/46 irányelv 2. cikkének a) pontja értelmében e vizsgázóra vonatkozó információknak minősülnek‑e.

33

Amint azt a Bíróság már kimondta, a 95/46 irányelv hatálya igen széles, és az irányelvben szereplő személyes adatok különfélék (2009. május 7‑iRijkeboer ítélet, C‑553/07, EU:C:2009:293, 59. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

34

A „bármely információ” kifejezésnek a „személyes adat” fogalma 95/46 irányelv 2. cikke a) pontjában található meghatározásának keretében történő alkalmazása ugyanis az uniós jogalkotó azon célját tükrözi, hogy tág jelentést adjon e fogalomnak, amely nem korlátozódik az érzékeny vagy magánjellegű információkra, hanem potenciálisan magában foglal minden típusú információt, függetlenül attól, hogy azok objektív vagy például vélemény vagy értékelés formájában szubjektív jellegűek, feltéve hogy az adott személyre „vonatkoznak”.

35

Az utóbbi feltétel akkor teljesül, ha az információ tartalmánál, céljánál vagy hatásánál fogva egy meghatározott személyhez kapcsolódik.

36

Márpedig, amint azt lényegében előadja P. Nowak, a cseh, görög, magyar, osztrák és portugál kormány és az Európai Bizottság, valamely vizsgázó által egy szakmai vizsgán adott írásbeli válaszok ilyen, személyéhez kapcsolódó információknak minősülnek.

37

Mindenekelőtt ugyanis e válaszok tartalma tükrözi a vizsgázó egy adott területen fennálló ismereteinek és tudásának szintjét, valamint adott esetben gondolkodási folyamatát, véleményalkotását és kritikai érzékét is. Kézzel írott vizsga esetében a válaszok ezenfelül a kézírásra vonatkozó információkat is tartalmaznak.

38

Továbbá az említett válaszok összegyűjtésének célja a vizsgázó szakmai tudásának és az adott foglalkozás gyakorlására vonatkozó képességének az értékelése.

39

Végül ezen információk felhasználása, amely különösen abban nyilvánul meg, hogy vizsgázó az érintett vizsgát sikerrel vagy sikertelenül teljesíti, hatással lehet e személy jogaira és érdekeire, amennyiben meghatározhatja vagy befolyásolhatja például a kívánt szakmához vagy álláshoz való hozzáférésre vonatkozó esélyeit.

40

Annak megállapítása, hogy valamely vizsgázó által egy szakmai vizsgán adott írásbeli válaszok az e vizsgázóra vonatkozó információknak minősülnek tartalmuknál, céljuknál és hatásuknál fogva, vonatkozik arra az esetre is, ha, mint a jelen ügyben, nyitott tankönyves vizsgáról van szó.

41

Ugyanis, amint azt a főtanácsnok megjegyezte indítványának 24. pontjában, egy vizsga – mintegy a reprezentatív felmérés ellentéteként – nem egy adott személytől független információk megszerzését célozza, sokkal inkább egy adott személy, azaz a vizsgázó teljesítményét kell megállapítania és dokumentálnia.

42

A vizsgáztatónak a vizsgázó válaszaihoz írott esetleges megjegyzéseivel kapcsolatban meg kell állapítani, hogy ezek, a vizsgázó vizsga során adott válaszaihoz hasonlóan, e vizsgázóra vonatkozó információknak minősülnek.

43

Így e megjegyzések tartalma a vizsgáztatónak a vizsgázó vizsga során nyújtott egyéni teljesítményére, közelebbről az érintett területen fennálló ismereteire és tudására vonatkozó véleményét vagy értékelését tükrözik. Az említett megjegyzéseknek egyébiránt pontosan az a céljuk, hogy dokumentálják a vizsgáztatónak a vizsgázó teljesítményéről adott értékelését, és – a jelen ítélet 39. pontjában bemutatottak szerint – hatással lehetnek a vizsgáztatóra.

44

Azt a megállapítást, miszerint a vizsgáztatónak a vizsgázó vizsga során adott válaszaira vonatkozó megjegyzései olyan információknak minősülnek, amelyek tartalmuknál, céljuknál és hatásuknál fogva e vizsgázóhoz kapcsolódnak, nem kérdőjelezi meg az a tény, hogy a megjegyzések egyúttal a vizsgáztatóra vonatkozó információnak is tekinthetők.

45

Ugyanazon információ vonatkozhat ugyanis több természetes személyre is, és azok tekintetében, feltéve hogy azonosított vagy azonosítható személyekről van szó, a 95/46 irányelv 2. cikkének a) pontja értelmében vett személyes adatnak minősül.

46

Egyébként a valamely vizsgázó által egy szakmai vizsga során adott írásbeli válaszok és a vizsgáztató e válaszokra vonatkozó esetleges megjegyzései személyes adatoknak való minősítését nem befolyásolhatja – ellentétben azzal, amit az adatvédelmi biztos és az ír kormány állít – az a körülmény, hogy e minősítés a 95/46 irányelv 12. cikkének a) és b) pontja alapján főszabály szerint hozzáféréshez és helyesbítéshez való jogot keletkeztet e vizsgázó számára.

47

E tekintetben mindenekelőtt emlékeztetni kell arra, hogy – amint azt a Bizottság a tárgyaláson előadta – a 95/46 irányelv által előírt számos elv és garancia ehhez a minősítéshez kapcsolódik, és ettől függ.

48

A 95/46 irányelv (25) preambulumbekezdéséből az következik ugyanis, hogy a védelem ezen irányelvben foglalt elveinek tükröződniük kell egyrészt az adatkezelést végző személyekre megállapított kötelezettségekben, különösen az adatminőség, a technikai biztonság, a felügyelő hatóság értesítése, és az adatkezeléshez szükséges feltételek tekintetében, másrészt az azon egyénekre szálló jogokban, akiknek az adatait az adatkezelés érinti, amelyek szerint tájékoztatják őket az adatkezelésről, betekinthetnek az adatokba, helyesbítést kérhetnek, és bizonyos körülmények között tiltakozhatnak a kezelés ellen.

49

Ily módon egy szakmai vizsga során adott írásbeli válaszok és a vizsgáztató e válaszokra vonatkozó esetleges megjegyzései „személyes adatoknak” való minősítésének tagadása azzal a következménnyel járna, hogy ezen információkat teljesen kivonnák a személyes adatok védelme tárgyában fennálló elvek és garanciák tiszteletben tartása alól, különösen az ilyen adatok minőségére vonatkozó elvek alól, amelyeket a 95/46 irányelv 6. és 7. cikke mond ki, valamint az érintett személy hozzáféréshez, helyesbítéshez és tiltakozáshoz való, ezen irányelv 12. és 14. cikkében előírt joga alól, továbbá a felügyelő hatóság által az említett irányelv 28. cikke értelmében gyakorolt felügyelete alól.

50

Márpedig, amint azt a főtanácsnok megállapította indítványának 26. pontjában, vitathatatlan, hogy a vizsgázónak a magánélet tiszteletben tartásához való jogán alapuló jogos érdeke fűződik ahhoz, hogy tiltakozhasson egy vizsga során adott írásbeli válaszainak és a vizsgáztató e válaszokra vonatkozó esetleges megjegyzéseinek a hozzá kapcsolódó vizsgadolgozat vizsgaeljáráson kívüli kezelése ellen, és különösen az ellen, hogy a dolgozatát hozzájárulása nélkül harmadik fél részére továbbítsák, vagy akár nyilvánosságra hozzák. A vizsga szervezője mint az adatok kezelésért felelős szervezet ugyancsak köteles biztosítani, hogy e válaszokat és megjegyzéseket olyan módon tárolják, amellyel elkerülik, hogy harmadik személyek azokhoz jogosulatlanul hozzáférhessenek.

51

Meg kell állapítani továbbá, hogy a hozzáféréshez és helyesbítéshez való, a 95/46 irányelv 12. cikkének a) és b) pontjában előírt jog igazolható a vizsgázó egy szakmai vizsga során adott írásbeli válaszainak és a vizsgáztató e válaszokra vonatkozó esetleges megjegyzéseinek vonatkozásában is.

52

Nyilvánvaló, hogy a 95/46 irányelv 12. cikkének b) pontjában előírt helyesbítéshez való jog nem teheti lehetővé a vizsgázó számára „téves” válaszainak utólagos „helyesbítését”.

53

A 95/46 irányelv 6. cikke (1) bekezdésének d) pontjából az következik ugyanis, hogy a személyes adatok pontos és teljes jellegét azon célra tekintettel kell értékelni, amely célból ezen adatokat gyűjtötték. E cél e vizsgázó vizsga során adott válaszai esetében az, hogy értékelni lehessen e vizsgázónak a vizsga időpontjában fennálló ismereteinek és tudásának szintjét. Márpedig ezt a szintet éppen a válaszaiban előforduló hibák tükrözik. Következésképpen az ilyen hibák egyáltalán nem minősülnek a 95/46 irányelv értelmében vett olyan hibáknak, amelyek ugyanezen irányelv 12. cikkének b) pontja alapján helyesbítéshez való jogot keletkeztetnének.

54

Ezzel szemben adódhatnak olyan helyzetek, amikor egy vizsgázó vizsga során adott írásbeli válaszai és a vizsgáztató e válaszokra vonatkozó esetleges megjegyzései hibásnak bizonyulnak a 95/46 irányelv 6. cikke (1) bekezdésének d) pontja értelmében, például azért, mert tévedésből összecserélték a vizsgadolgozatokat, ezáltal egy másik vizsgázó válaszait tulajdonították az érintett vizsgázónak, vagy mert az e vizsgázó válaszait tartalmazó lapok egy része elveszett, miáltal az említett válaszok nem teljesek, vagy mert a vizsgáztató esetleges megjegyzései nem dokumentálják megfelelő módon az érintett vizsgázó válaszainak általa adott értékelését.

55

Egyébként, amint arra a főtanácsnok rámutatott indítványának 37. pontjában, nem zárható ki az, hogy a vizsgázó a 95/46/EK irányelv 12. cikkének b) pontja alapján jogosult legyen az adatkezelésért felelős személytől egy későbbi időpontban kérni a dolgozatban foglalt személyes adatainak törlését, azaz megsemmisítését. Ugyanis ezen irányelv 6. cikke (1) bekezdésének e) pontja szerint a személyes adatok „tárolásának” olyan formában kell történnie, amely az érintettek azonosítását csak az adatok gyűjtése vagy további feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé. Márpedig, tekintettel egy vizsgázó szakmai vizsga során adott írásbeli válaszainak és a vizsgáztató e válaszokra vonatkozó esetleges megjegyzéseinek céljára, ezek olyan formában történő tárolása, amely lehetővé teszi a vizsgázó azonosítását, a priori, nem tűnik szükségesnek, miután a vizsgaeljárás véglegesen lezárult, és nem képezheti többé jogorvoslat tárgyát, miáltal e válaszok és megjegyzések elveszítik minden bizonyítóerejüket.

56

Mivel egy vizsgázó szakmai vizsga során adott írásbeli válaszai és a vizsgáztató e válaszokra vonatkozó esetleges megjegyzései tehát vizsgálhatók többek között helyességük vagy tárolásuk szükségessége szempontjából, a 95/46 irányelv 6. cikke (1) bekezdésének d) és e) pontja alapján, és helyesbítés vagy törlés tárgyát képezhetik ezen irányelv 12. cikkének b) pontja értelmében, meg kell állapítani, hogy az, hogy egy vizsgázó számára hozzáférési jogot biztosítanak e válaszokhoz és megjegyzésekhez ezen irányelv 12. cikkének a) pontja értelmében, ezen irányelvnek e vizsgázó magánélethez való joga védelmének a rá vonatkozó személyes adatok kezelése tekintetében történő biztosítására irányuló célját szolgálja (lásd, a contrario: 2014. július 17‑iYS és társai ítélet, C‑141/12 és C‑372/12, EU:C:2014:2081, 45. és 46. pont), függetlenül attól, hogy az említett vizsgázó rendelkezik‑e hozzáférési joggal a vizsgaeljárásra alkalmazandó nemzeti szabályozás értelmében, vagy sem.

57

Ezzel összefüggésben emlékeztetni kell arra, hogy a magánélet tiszteletben tartásához való alapvető jog magában foglalja többek között, hogy az érintett személy megbizonyosodhat arról, hogy a rá vonatkozó személyes adatok helyesek, és azokat jogszerűen kezelik. Amint ez a 95/46 irányelv (41) preambulumbekezdéséből kitűnik, a szükséges ellenőrzések elvégzése céljából minden személy számára biztosítani kell az irányelv 12. cikkének a) pontja értelmében a rá vonatkozó, adatkezelés alatt álló adatokhoz való hozzáférés jogának gyakorlását. E hozzáféréshez való jog szükséges többek között annak lehetővé tételéhez, hogy az érintett kérelmére az adatkezelő helyesbítse, törölje vagy zárolja adott esetben ezen adatokat, és ekképpen az érintett gyakorolhassa az említett irányelv 12. cikkének b) pontjában szereplő jogait (2014. július 17‑iYS és társai ítélet, C‑141/12 és C‑372/12, EU:C:2014:2081, 44. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

58

Végül meg kell állapítani egyrészt, hogy a 95/46 irányelv 12. cikkének a) és b) pontja szerinti, hozzáféréshez és helyesbítéshez való jog nem terjed ki a vizsgakérdésekre, amelyek nem minősülnek a vizsgázó személyes adatainak.

59

Másrészt mind a 95/46 irányelv, mind pedig a helyébe lépő 2016/679 rendelet előírja e jogok bizonyos korlátozásait.

60

Így a 95/46 irányelv 13. cikke (1) bekezdésének g) pontja értelmében a tagállamok jogszabályokat fogadhatnak el többek között a 6. cikk (1) bekezdésében és a 12. cikkben foglalt jogok és kötelezettségek körének korlátozására, amennyiben a korlátozás az érintett vagy mások jogainak és szabadságainak védelme biztosításához szükséges.

61

A 2016/679 rendelet 23. cikke (1) bekezdésének e) pontja a korlátozási okok jelenleg a 95/46 irányelv 13. cikkének (1) bekezdésében foglalt listáját kiterjeszti az Unió vagy valamely tagállam „egyéb fontos, általános közérdekű célkitűzéseire”. Ezenfelül a 2016/679 rendeletnek az érintett személy hozzáférési jogára vonatkozó 15. cikke (4) bekezdésében akként rendelkezik, hogy a személyes adatok másolatának igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.

62

A fenti megfontolások fényében az előterjesztett kérdésekre azt a választ kell adni, hogy a 95/46 irányelv 2. cikkének a) pontját akként kell értelmezni, hogy az alapügy körülményeihez hasonló körülmények között valamely vizsgázó által egy szakmai vizsga során adott írásbeli válaszok és a vizsgáztató e válaszokra vonatkozó esetleges megjegyzései e rendelkezés értelmében személyes adatoknak minősülnek.

A költségekről

63

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

 

A fenti indokok alapján a Bíróság (második tanács) a következőképpen határozott:

 

A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv 2. cikkének a) pontját akként kell értelmezni, hogy az alapügy körülményeihez hasonló körülmények között valamely vizsgázó által egy szakmai vizsga során adott írásbeli válaszok és a vizsgáztató e válaszokra vonatkozó esetleges megjegyzései e rendelkezés értelmében személyes adatoknak minősülnek.

 

Aláírások


( *1 ) Az eljárás nyelve: angol.