62020CJ0175[1]
A Bíróság ítélete (ötödik tanács), 2022. február 24. SIA "SS" kontra Valsts ieņēmumu dienests. Administratīvā apgabaltiesa által benyújtott előzetes döntéshozatal iránti kérelem. Előzetes döntéshozatal - A természetes személyek védelme a személyes adatok kezelése vonatkozásában - (EU) 2016/679 rendelet - 2. cikk - Hatály - 4. cikk - Az »adatkezelés« fogalma - 5. cikk - Az adatkezelésre vonatkozó elvek - Célhoz kötöttség - Adattakarékosság - 6. cikk - Az adatkezelés jogszerűsége - Az adatkezelő közérdekű feladatainak ellátásához szükséges adatkezelés - Az adatkezelő jogi kötelezettségének teljesítéséhez szükséges adatkezelés - 23. cikk - Korlátozások - Adóügyi célból történő adatkezelés - Gépjármű-értékesítésre vonatkozóan online közzétett hirdetésekhez kapcsolódó információk közlése iránti kérelem - Arányosság. C-175/20. sz. ügy.
A BÍRÓSÁG ÍTÉLETE (ötödik tanács)
2022. február 24. ( *1 )
"Előzetes döntéshozatal - A természetes személyek védelme a személyes adatok kezelése vonatkozásában - (EU) 2016/679 rendelet - 2. cikk - Hatály - 4. cikk - Az »adatkezelés« fogalma - 5. cikk - Az adatkezelésre vonatkozó elvek - Célhoz kötöttség - Adattakarékosság - 6. cikk - Az adatkezelés jogszerűsége - Az adatkezelő közérdekű feladatainak ellátásához szükséges adatkezelés - Az adatkezelő jogi kötelezettségének teljesítéséhez szükséges adatkezelés - 23. cikk - Korlátozások - Adóügyi célból történő adatkezelés - Gépjármű-értékesítésre vonatkozóan online közzétett hirdetésekhez kapcsolódó információk közlése iránti kérelem - Arányosság"
A C-175/20. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet az Administratīvā apgabaltiesa (regionális közigazgatási bíróság, Lettország) a Bírósághoz 2020. április 14-én érkezett, 2020. március 11-i határozatával terjesztett elő
az "SS" SIA
és
a Valsts ieņēmumu dienests
között folyamatban lévő eljárásban,
A BÍRÓSÁG (ötödik tanács),
tagjai: E. Regan tanácselnök, K. Lenaerts, a Bíróság elnöke, az ötödik tanács bírájaként eljárva, C. Lycourgos, a negyedik tanács elnöke, I. Jarukaitis és M. Ilešič (előadó) bírák,
főtanácsnok: M. Bobek,
hivatalvezető: A. Calot Escobar,
tekintettel az írásbeli szakaszra,
figyelembe véve a következők által előterjesztett észrevételeket:
- az "SS" SIA képviseletében M. Ruķers,
- a lett kormány képviseletében kezdetben: K. Pommere, V. Soņeca és L. Juškeviča, később: K. Pommere, meghatalmazotti minőségben,
- a belga kormány képviseletében J.-C. Halleux és P. Cottin, meghatalmazotti minőségben segítőjük: C. Molitor avocat,
- a görög kormány képviseletében E.-M. Mamouna és M. Tassopoulou, meghatalmazotti minőségben,
- a spanyol kormány képviseletében kezdetben: J. Rodríguez de la Rúa Puig és S. Jiménez García, később: J. Rodríguez de la Rúa Puig, meghatalmazotti minőségben,
- az Európai Bizottság képviseletében kezdetben: H. Kranenborg, D. Nardi és I. Rubene, később: H. Kranenborg és I. Rubene, meghatalmazotti minőségben,
a főtanácsnok indítványának a 2021. szeptember 2-i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; a továbbiakban: GDPR) és különösen e rendelet 5. cikke (1) bekezdésének értelmezésére vonatkozik.
2 E kérelmet az "SS" SIA és a Valsts ieņēmumu dienests (adóhatóság, Lettország; a továbbiakban: lett adóhatóság) között az SS honlapján közzétett gépjármű-értékesítési hirdetésekkel kapcsolatos információk közlése iránti kérelem tárgyában folyamatban lévő jogvita keretében terjesztették elő.
Jogi háttér
Az uniós jog
A 2016/679 rendelet
3 Az EUMSZ 16. cikken alapuló 2016/679 rendeletet 99. cikkének (2) bekezdése értelmében 2018. május 25-től kell alkalmazni.
4 E rendelet (1), (4), (10), (19), (26), (31), (39), (41) és (50) preambulumbekezdése a következőket mondja ki: [...] [...] [...] [...] [...] [...] [...] [...]
"(1) A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az Európai Unió Alapjogi Chartája (Charta) 8. cikkének (1) bekezdése és az [EUMSZ] 16. cikk[...] (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.
(4) A személyes adatok kezelését az emberiség szolgálatába kell állítani. A személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban, a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyensúlyban más alapvető jogokkal. Ez a rendelet minden alapvető jogot tiszteletben tart, és szem előtt tartja a Chartában elismert és a Szerződésekben rögzített szabadságokat és elveket, különösen ami a magán- és a családi élet, az otthon és a kapcsolattartás tiszteletben tartásához és a személyes adatok védelméhez, a gondolat-, a lelkiismeret- és a vallásszabadsághoz, a véleménynyilvánítás szabadságához és a tájékozódás szabadságához, a vállalkozás szabadságához, a hatékony jogorvoslathoz és a tisztességes eljáráshoz, és a kulturális, vallási és nyelvi sokféleséghez való jogot illeti.
(10) A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. [...]
(19) A személyes adatoknak az illetékes hatóságok által bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából, ezeken belül ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése céljából végzett kezelése vonatkozásában a természetes személyek védelme, valamint az ilyen adatok szabad áramlása külön uniós jogi aktus tárgyát képezi. E rendelet ezért az e célok érdekében végzett adatkezelési tevékenységekre nem alkalmazandó. Ugyanakkor a közhatalmi szervek e rendelet alapján végzett személyes adatkezelését, ha az adatokat a fenti célok érdekében használják fel, a kifejezetten erre vonatkozó külön uniós jogi aktusnak, [a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/680 európai parlamenti és tanácsi irányelvnek (HL 2016. L 119., 89. o.; helyesbítések: HL 2018. L 127., 7. o.; HL 2021. L 74., 39. o.)] kell szabályoznia. [...]
(26) Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. [...] Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni - ideértve például a megjelölést -, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja. [...]
(31) Azok a közhatalmi szervek, amelyekkel hivatalos feladataikkal kapcsolatos jogi kötelezettségeik keretében személyes adatokat közölnek, így például az adó- és vámhatóságok, a pénzügyi nyomozóegységek, a független közigazgatási hatóságok, valamint az értékpapírpiacok szabályozásáért és felügyeletéért felelős pénzügyi hatóságok nem tekinthetők címzettnek, amikor olyan személyes adatokat kapnak, amelyek az uniós vagy a tagállami jog alapján egy konkrét közérdekű vizsgálat lefolytatásához szükségesek. A közhatalmi szervek nyilvánosságra hozatal iránti kérelmeit eseti alapon, írásban, indokolással ellátva kell benyújtani, és azok nem vonatkozhatnak teljes nyilvántartási rendszerekre, illetve nem eredményezhetik nyilvántartási rendszerek összekapcsolását. A személyes adatok említett közhatalmi szervek általi kezelése során be kell tartani az adatkezelés céljának megfelelően alkalmazandó adatvédelmi szabályokat.
(39) [...] Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról. A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat. A személyes adatkezelés konkrét céljainak mindenekelőtt explicit módon megfogalmazottaknak és jogszerűeknek, továbbá már a személyes adatok gyűjtésének időpontjában meghatározottaknak kell lenniük. A személyes adatoknak a kezelésük céljára alkalmasaknak és relevánsaknak kell lenniük, az adatok körét pedig a célhoz szükséges minimumra kell korlátozni. Ehhez pedig biztosítani kell különösen azt, hogy a személyes adatok tárolása a lehető legrövidebb időtartamra korlátozódjon. Személyes adatok csak abban az esetben kezelhetők, ha az adatkezelés célját egyéb eszközzel észszerű módon nem lehetséges elérni. [...]
(41) Amikor ez a rendelet jogalapra vagy jogalkotási intézkedésre hivatkozik, ez nem szükségszerűen jelent - az érintett tagállam alkotmányos rendjéből fakadó követelmények sérelme nélkül - valamely parlament által elfogadott jogszabályt. Mindazonáltal az ilyen jogalapnak vagy jogalkotási intézkedésnek világosnak és pontosnak kell lennie, alkalmazásának pedig előreláthatónak kell lennie a hatálya alá tartozó személyek számára, összhangban [a Bíróság] és az Emberi Jogok Európai Bíróságának az ítélkezési gyakorlatával.
(50) A személyes adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető az adatkezelés eredeti céljaival, amelyekre a személyes adatokat eredetileg gyűjtötték. Ebben az esetben nincs szükség attól a jogalaptól eltérő, külön jogalapra, mint amely lehetővé tette a személyes adatok gyűjtését. Ha az adatkezelés közérdekből elvégzendő feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása érdekében szükséges, uniós vagy tagállami jog meghatározhatja és pontosan leírhatja azokat a feladatokat és célokat, amelyek tekintetében a további adatkezelés jogszerűnek és összeegyeztethetőnek tekintendő. A közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott további adatkezelést összeegyeztethető, jogszerű adatkezelési műveleteknek kell tekinteni. Az uniós vagy tagállami jogban foglalt, a személyes adatok kezelésére vonatkozó jogalap a további adatkezeléshez is jogalapul szolgálhat. Annak megállapításához, hogy a további adatkezelés célja összeegyeztethető-e a személyes adatok gyűjtésének eredeti céljával, az adatkezelő - az eredeti adatkezelés jogszerűségére vonatkozó valamennyi előírás teljesítését követően - figyelembe veszi többek között minden, az említett eredeti célok és a tervezett további adatkezelési célok között fennálló összefüggést, az adatgyűjtés körülményeit, ideértve különösen az érintettnek a további adatfelhasználásra vonatkozó, az adatkezelővel fennálló kapcsolatán alapuló észszerű elvárásait is, továbbá a személyes adatok jellegét, a tervezett további adatkezelés következményeit az érintettekre nézve, valamint a megfelelő garanciák meglétét mind az eredeti, mind a tervezett további személyesadat-kezelési műveletek során."
5 A 2016/679 rendelet "Tárgyi hatály" című 2. cikke ekképp rendelkezik: "(1) E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. (2) E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt: [...]"
a) az uniós jog hatályán kívül eső tevékenységek során végzik;
b) a tagállamok az EUSZ V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzik;
c) természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik;
d) az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.
6 E rendelet "Fogalommeghatározások" című 4. cikkének szövege a következő: "E rendelet alkalmazásában: [...] [...] [...]"
1. »személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
2. »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közléstovábbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
6. »nyilvántartási rendszer«: a személyes adatok bármely módon - centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint - tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
7. »adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; [...]
9. »címzett«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak;
7 Az említett rendeletnek "A személyes adatok kezelésére vonatkozó elvek" című 5. cikke szerint: "(1) A személyes adatok: (2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«)."
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (»jogszerűség, tisztességes eljárás és átláthatóság«);
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; [...] (»célhoz kötöttség«);
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk (»adattakarékosság«);
d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék (»pontosság«);
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; [...] (»korlátozott tárolhatóság«);
f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (»integritás és bizalmas jelleg«).
8 Az említett rendeletnek "Az adatkezelés jogszerűsége" címet viselő 6. cikke a következőképpen rendelkezik: "(1) "A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül: Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre. (2) Az e rendeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében, a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzeteket is. (3) Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania: Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. [...] Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal. (4) Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
a) az uniós jog, vagy
b) azon tagállami jog, amelynek hatálya alá az adatkezelő tartozik.
a) a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;
b) a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatokra;
c) a személyes adatok jellegét, különösen pedig azt, hogy a 9. cikk szerinti személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 10. cikk szerinti kezeléséről van-e szó;
d) azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;
e) megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is."
9 A 2016/679 rendelet 13. cikkének (3) bekezdése szerint:
"Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról."
10 E rendelet 14. cikke ekképp rendelkezik: "(1) Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat: [...] [...] (5) Az (1)-(4) bekezdést nem kell alkalmazni, ha és amilyen mértékben: [...] [...]"
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
c) az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; [...]
11 Az említett rendelet 23. cikke (1) bekezdésének e) pontja szerint: "Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12-22. cikkben és a 34. cikkben foglalt, valamint a 12-22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban: [...] [...]"
e) az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;
12 A 2016/679 rendelet 25. cikkének (2) bekezdése az alábbiak szerint rendelkezik:
"Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára."
A 2016/680 irányelv
13 A 2016/680 irányelv (10) és (11) preambulumbekezdése szerint:
"(10) A Lisszaboni Szerződést elfogadó kormányközi konferencia zárónyilatkozatához csatolt, a büntetőügyekben folytatott igazságügyi, valamint a rendőrségi együttműködés területén a személyes adatok védelméről szóló 21. sz. nyilatkozatban a konferencia elismerte, hogy az [EUMSZ 16. cikk] alapján a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén - e területek sajátos természetéből adódóan - a személyes adatok védelmére és a személyes adatok szabad áramlására vonatkozóan különös szabályok válhatnak szükségessé.
(11) Ezért helyénvaló, hogy e területek szabályozása irányelvben történjen, amelyben meg kell határozni azokat a különleges szabályokat, amelyek a személyes adatok bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása - többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése - céljából az illetékes hatóságok általi kezelése tekintetében a természetes személyek védelmére vonatkoznak, tiszteletben tartva e tevékenységek jellegét. Az ilyen illetékes hatóságok körébe nemcsak olyan közhatalmi szervek tartozhatnak, mint az igazságügyi hatóságok, a rendőrség vagy egyéb bűnüldöző hatóságok, hanem bármely egyéb olyan szerv vagy jogalany is, amely a tagállami jog alapján ezen irányelv alkalmazása céljából közfeladatokat lát el és közhatalmi jogosítványokat gyakorol. Ha azonban ez a szerv vagy jogalany ezen irányelv céljaitól eltérő célból kezel személyes adatokat, akkor [a 2016/679] rendeletet kell alkalmazni. A [2016/679] rendeletet kell éppen ezért az alkalmazni azokban az esetekben, amikor valamely szerv vagy jogalany egyéb célból gyűjt és kezel tovább személyes adatokat annak érdekében, hogy egy rá vonatkozó jogi kötelezettséget teljesítsen. [...]"
14 Ezen irányelv 3. cikke a következőképpen rendelkezik: "Ezen irányelv alkalmazásában: [...] 7. »illetékes hatóság«: [...]"
a) olyan közhatalmi szerv, amely a bűncselekmények megelőzését, nyomozását, felderítését vagy üldözését, illetve büntetőjogi szankciók végrehajtását illetően eljárni jogosult beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését; vagy
b) bármely egyéb, olyan szerv vagy más jogalany, amely a tagállami jog alapján közfeladatokat lát el és közhatalmi jogosítványokat gyakorol a bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása céljából, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;
A lett jog
15 A likums "Par nodokļiem un nodevām" (az adózás rendjéről szóló törvény, Latvijas Vēstnesis, 1995, 26. sz.) alapügyre alkalmazandó változata (a továbbiakban: adózás rendjéről szóló törvény) 15. cikkének (6) bekezdése értelmében az onlinehirdetés-szolgáltató a lett adóhatóság megkeresésére köteles átadni a hirdetéseket közzétevő és a szolgáltatásait igénybe vevő adóalanyok vonatkozásában rendelkezésére álló adatokat.
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
16 Az SS Lettországban letelepedett, online hirdetési szolgáltatásokat nyújtó szolgáltató.
17 2018. augusztus 28-én a lett adóhatóság információkérést intézett az SS-hez az adózás rendjéről szóló törvény 15. cikkének (6) bekezdése alapján, amelyben felszólította e társaságot, hogy állítsa helyre ezen adóhatóságnak az említett társaság által működtetett internetes oldalon közzétett hirdetésekben szereplő gépjárművek alvázszámával és a hirdetők telefonszámával kapcsolatos információkhoz való hozzáférését, és legkésőbb 2018. szeptember 3-ig adjon tájékoztatást a 2018. július 14. és augusztus 31. között e portál "Gépjármű" rovatában közzétett hirdetésekről.
18 E kérelem pontosította, hogy ezeket az információkat, amelyek magukban foglalják a hirdetésre mutató linket, a hirdetés szövegét, a gépjármű márkáját, modelljét, alvázszámát és árát, valamint az eladó telefonszámát, elektronikus úton, az adatok szűrését vagy kiválasztását lehetővé tevő formátumban kell megadni.
19 Ezenkívül arra az esetre, ha a szóban forgó internetes portálon közzétett hirdetésekben szereplő információkhoz való hozzáférést nem lehet helyreállítani, az SS-t felhívták arra, hogy közölje ennek indokát, valamint hogy legkésőbb minden hónap harmadik napján nyújtsa be az előző hónapban közzétett hirdetésekre vonatkozó releváns információkat.
20 Mivel úgy ítélte meg, hogy a lett adóhatóság információkérése nem felel meg a 2016/679 rendeletben kimondott arányosság és adattakarékosság elvének, az SS panaszt nyújtott be e kérelemmel szemben a lett adóhatóság főigazgatójához.
21 2018. október 30-i határozatával ez utóbbi elutasította a fenti panaszt, kifejtve többek között, hogy az alapügyben szóban forgó személyesadat-kezelés keretében a lett adóhatóság a törvény által ráruházott jogköröket gyakorolja.
22 Az SS keresetet indított az administratīvā rajona tiesa (kerületi közigazgatási bíróság, Lettország) előtt e határozat megsemmisítése iránt. A panaszában kifejtett érveken kívül arra hivatkozott, hogy az említett határozat nem jelölte meg a személyes adatok kezelésének a lett adóhatóság által kitűzött konkrét célját, sem pedig az adatkezeléshez szükséges adatok mennyiségét, és ezzel megsértette a 2016/679 rendelet 5. cikkének (1) bekezdését.
23 2019. május 21-i ítéletével az administratīvā rajona tiesa (kerületi közigazgatási bíróság) elutasította ezt a keresetet, és lényegében kimondta, hogy a lett adóhatóság megalapozottan kér hozzáférést a bármely személyre vonatkozó és korlátlan mennyiségű információhoz, amennyiben ezen információk nem tekinthetők összeegyeztethetetlennek az adóbeszedés céljával. E bíróság egyébiránt úgy ítélte meg, hogy a 2016/679 rendelet rendelkezései e hatóság tekintetében nem alkalmazandók.
24 Az SS fellebbezést nyújtott be ezen ítélettel szemben a kérdést előterjesztő bírósághoz, egyrészt arra hivatkozva, hogy a 2016/679 rendelet hatálya kiterjed a lett adóhatóságra, másrészt pedig arra, hogy e hatóság megsértette az arányosság elvét azzal, hogy azon konkrét adóalanyok megjelölése nélkül, amelyekkel szemben adóellenőrzést indított, megkövetelte, hogy vele minden hónapban korlátlan számú hirdetéssel kapcsolatban jelentős mennyiségű adatot közöljenek.
25 A kérdést előterjesztő bíróság rámutat, hogy az alapeljárás keretében nem vitatott sem az, hogy a szóban forgó információkérés teljesítése szervesen kapcsolódik a személyes adatok kezeléséhez, sem pedig az, hogy a lett adóhatóság jogosult olyan információk megszerzésére, amelyek az online hirdetési szolgáltatásokat nyújtó szolgáltató rendelkezésére állnak, és az adóbeszedés területére tartozó konkrét intézkedések végrehajtásához szükségesek.
26 Az alapeljárás a lett adóhatóság által igényelhető információk mennyiségére és típusára, azok korlátozottságára vagy korlátlanságára, valamint arra a kérdésre vonatkozik, hogy kell-e időbeli korlátot meghatározni az SS tájékoztatási kötelezettségére vonatkozóan.
27 Közelebbről, a kérdést előterjesztő bíróság úgy véli, hogy az ő feladata annak meghatározása, hogy az alapügy körülményei között a személyes adatokat átlátható módon kezelik-e az érintett személyek tekintetében, hogy a szóban forgó információkérésben említett információkat meghatározott, egyértelmű és jogszerű célból kérik-e, és hogy a személyes adatokat csak olyan mértékben kezelik-e, amely a 2016/679 rendelet 5. cikkének (1) bekezdése értelmében ténylegesen szükséges a lett adóhatóság feladatainak ellátásához.
28 Ennek érdekében meg kell határozni az annak értékelését lehetővé tevő kritériumokat, hogy a lett adóhatóságtól származó információkérés tiszteletben tartja-e az alapvető szabadságok és jogok lényegét, és hogy az alapügyben szóban forgó információkérés egy demokratikus társadalomban szükségesnek és arányosnak tekinthető-e a pénzügyi és költségvetési területen fennálló fontos uniós célok és lett közérdekek biztosítása érdekében.
29 E körülmények között az Administratīvā apgabaltiesa (regionális közigazgatási bíróság, Lettország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
"1) Úgy kell-e értelmezni [a 2016/679] rendeletben előírt követelményeket, hogy az adóhatóság által kibocsátott, a jelen jogvita tárgyát képezőhöz hasonló információkérésnek - amellyel az adóhatóság jelentős mennyiségű személyes adatot tartalmazó információ átadását kéri - meg kell felelnie a 2016/679 rendeletben (különösen az 5. cikkének (1) bekezdésében) előírt követelményeknek?
2) Úgy kell-e értelmezni [a 2016/679] rendeletben előírt követelményeket, hogy az adóhatóság eltérhet [a 2016/679] rendelet 5. cikkének (1) bekezdésében foglaltaktól még akkor is, ha a Lett Köztársaságban hatályos szabályozás a hivatkozott hatóságot ilyen jogkörrel nem ruházza fel?
3) Úgy lehet-e tekinteni [a 2016/679] rendeletben előírt követelmények értelmezése során, hogy fennáll egy jogszerű cél, amely igazolja a jelen jogvita tárgyát képezőhöz hasonló információkérés útján előírt azon kötelezettséget, hogy meg nem határozott mennyiségben és időtartam alatt az összes kért adatot át kell adni, anélkül hogy meg lenne határozva az említett információkérés teljesítésének határideje?
4) Úgy lehet-e tekinteni [a 2016/679] rendeletben előírt követelmények értelmezése során, hogy fennáll egy jogszerű cél, amely igazolja a jelen jogvita tárgyát képezőhöz hasonló információkérés útján előírt azon kötelezettséget, hogy az összes kért adatot át kell adni, még akkor is, ha az információkérés nem jelöli meg (vagy hiányosan jelöli meg) az információközlés célját?
5) Úgy lehet-e tekinteni [a 2016/679] rendeletben előírt követelmények értelmezése során, hogy fennáll egy jogszerű cél, amely igazolja a jelen jogvita tárgyát képezőhöz hasonló információkérés útján előírt azon kötelezettséget, hogy az összes kért adatot át kell adni, még akkor is, ha a gyakorlatban a kérelem teljes mértékben valamennyi olyan érintettre vonatkozik, aki valamely portálon »Gépjármű« cím alatt hirdetéseket tett közzé?
6) Milyen szempontok alapján kell vizsgálni, hogy az adatkezelőként eljáró adóhatóság megfelelően biztosítja-e, hogy az adatkezelés (ideértve az információk megszerzését is) megfelel [a 2016/679] rendeletben előírt követelményeknek?
7) Milyen szempontok alapján kell vizsgálni, hogy egy, a jelen jogvita tárgyát képezőhöz hasonló információkérés megfelelően indokolt és eseti jellegű-e?
8) Milyen szempontok alapján kell vizsgálni, hogy a személyes adatok kezelése a feltétlenül szükséges mértékben és [a 2016/679] rendeletben előírt követelményekkel összeegyeztethető módon történik-e?
9) Milyen szempontok alapján kell vizsgálni, hogy az adatkezelőként eljáró adóhatóság biztosítja-e az adatkezelésnek [a 2016/679] rendelet 5. cikkének (1) bekezdésében előírt követelményeknek való megfelelőségét (elszámoltathatóság)?"
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az első kérdésről
30 Első kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a 2016/679 rendelet rendelkezéseit úgy kell-e értelmezni, hogy a jelentős mennyiségű személyes adatot tartalmazó információ tagállami adóhatóság általi, a gazdasági szereplőtől történő gyűjtésének meg kell felelnie az e rendeletben, különösen az utóbbi 5. cikkének (1) bekezdésében előírt követelményeknek.
31 E kérdés megválaszolása érdekében először is meg kell vizsgálni, hogy az ilyen kérelem a 2016/679 rendeletnek az e rendelet 2. cikkének (1) bekezdésében meghatározott tárgyi hatálya alá tartozik-e, másodszor pedig azt, hogy az nem szerepel-e azon személyesadat-kezelések között, amelyeket e rendelet 2. cikkének (2) bekezdése kizár e hatály alól.
32 A 2016/679 rendelet 2. cikkének (1) bekezdése értelmében e rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
33 A 2016/679 rendelet 4. cikkének 1. pontja pontosítja, hogy "személyes adat" bármely információ, amely azonosított vagy azonosítható természetes személyre, azaz olyan természetes személyre vonatkozik, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható. E rendelet (26) preambulumbekezdése e tekintetben pontosítja, hogy valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja.
34 Az alapeljárás keretében nem vitatott, hogy azok az információk, amelyek közlését a lett adóhatóság kéri, a 2016/679 rendelet 4. cikkének 1. pontja értelmében vett személyes adatoknak minősülnek.
35 E rendelet 4. cikkének 2. pontja szerint a személyes adatokat érintő gyűjtés, betekintés, közléstovábbítás, valamint minden egyéb módon történő hozzáférhetővé tétel az e rendelet értelmében vett "adatkezelésnek" minősül. E rendelkezés szövegéből, különösen a "bármely művelet" kifejezésből kitűnik, hogy az uniós jogalkotó az "adatkezelés" fogalmának tág értelmet kívánt tulajdonítani. Ezt az értelmezést megerősíti az e rendelkezésben említett ügyletek nem kimerítő jellege, amelyet az "így" szó fejez ki.
36 A jelen ügyben a lett adóhatóság azt követeli meg az érintett gazdasági szereplőtől, hogy állítsa helyre az ezen adóhatóság szolgálatainak az e gazdasági szereplő internetes portálján közzétett hirdetések tárgyát képező járművek alvázszámához való hozzáférését, és nyújtson tájékoztatást az e portálon közzétett hirdetésekről.
37 Az ilyen kérés, amellyel a tagállami adóhatóság egy gazdasági szereplőtől olyan személyes adatok közlését és rendelkezésre bocsátását kéri, amelyeket ez utóbbi e tagállam nemzeti szabályozása alapján köteles a részére szolgáltatni és a rendelkezésére bocsátani, ezen adatoknak a 2016/679 rendelet 4. cikkének 2. pontja értelmében vett "gyűjtésére" irányuló folyamatot indít meg.
38 Egyébiránt az említett adatoknak a szóban forgó gazdasági szereplő által e hatósággal való közlése és annak rendelkezésére bocsátása az e 4. cikk 2. pontja értelmében vett "adatkezelést" feltételez.
39 Másodszor meg kell vizsgálni, hogy az a művelet, amellyel a tagállami adóhatóság egy gazdasági szereplőtől egyes adóalanyokra vonatkozó személyes adatokat kíván gyűjteni, tekinthető-e úgy, hogy a 2016/679 rendelet 2. cikkének (2) bekezdése alapján ki van zárva e rendelet hatálya alól.
40 E tekintetben először is emlékeztetni kell arra, hogy e rendelkezés kivételeket ír elő e rendeletnek a 2. cikkének (1) bekezdésében meghatározott hatálya alól, és e kivételeket szigorúan kell értelmezni (2020. július 16-iFacebook Ireland és Schrems ítélet, C-311/18, EU:C:2020:559, 84. pont).
41 Közelebbről, a 2016/679 rendelet 2. cikke (2) bekezdésének d) pontja úgy rendelkezik, hogy e rendelet nem alkalmazandó a személyes adatok olyan kezelésére, amelyet az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végeznek.
42 Amint az e rendelet (19) preambulumbekezdéséből következik, e kivételt az a körülmény indokolja, hogy a személyes adatok illetékes hatóságok általi, ilyen célból történő kezelésére külön uniós jogi aktus, nevezetesen a 2016/680 irányelv az irányadó, amelyet ugyanazon a napon fogadtak el, mint a 2016/679 rendeletet, és amely 3. cikkének 7. pontjában meghatározza, hogy mit kell "illetékes hatóság" alatt érteni, amely meghatározást analógia útján e rendelet 2. cikke (2) bekezdésének d) pontja tekintetében is alkalmazni kell (lásd ebben az értelemben: 2021. június 22-iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C-439/19, EU:C:2021:504, 69. pont).
43 A 2016/680 irányelv (10) preambulumbekezdéséből kitűnik, hogy az "illetékes hatóság" fogalmát a személyes adatoknak a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén megvalósuló védelmével összefüggésben kell értelmezni, figyelembe véve azon kiigazításokat, amelyek e területek sajátos természetéből adódóan e tekintetben szükségessé válhatnak. Ezenkívül ezen irányelv (11) preambulumbekezdése pontosítja, hogy a 2016/679 rendeletet olyan személyesadat-kezelésre kell alkalmazni, amelyet az említett irányelv 3. cikkének 7. pontja értelmében vett "illetékes hatóság" végez, de az ezen irányelvben meghatározottaktól eltérő célokból (2021. június 22-iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C-439/19, EU:C:2021:504, 70. pont).
44 Ily módon, amennyiben azt kéri egy gazdasági szereplőtől, hogy az adóbeszedés és az adócsalás elleni küzdelem céljából közöljön vele egyes adóalanyokra vonatkozó személyes adatokat, nem tűnik úgy, hogy a tagállami adóhatóságot a 2016/680 irányelv 3. cikkének 7. pontja értelmében vett "illetékes hatóságnak" lehetne tekinteni, sem pedig úgy, hogy az ilyen információkérések a 2016/679 rendelet 2. cikke (2) bekezdésének d) pontjában előírt kivétel hatálya alá tartozhatnak.
45 Ezenkívül, még ha nem is kizárt, hogy az alapügyben szóban forgó személyes adatok felhasználhatók azon büntetőeljárások keretében, amelyeket adóügyi jogsértés esetén az érintett személyek némelyikével szemben folytathatnak, nem tűnik úgy, hogy ezeket az adatokat ilyen büntetőeljárások folytatásának konkrét céljával vagy a büntetőjog területét érintő állami tevékenységek keretében gyűjtenék (lásd ebben az értelemben: 2017. szeptember 27-iPuškár ítélet (C-73/16, EU:C:2017:725, 40. pont).
46 Következésképpen az, hogy valamely tagállam adóhatósága személyes adatokat gyűjt egy gazdasági szereplő internetes oldalán közzétett, járművek értékesítésére vonatkozó hirdetésekkel kapcsolatban, a 2016/679 rendelet tárgyi hatálya alá tartozik, következésképpen ezen adatgyűjtésnek tiszteletben kell tartania többek között a személyes adatok kezelésére vonatkozó, e rendelet 5. cikkében rögzített elveket.
47 A fenti megfontolások összességére tekintettel az első kérdésre azt a választ kell adni, hogy a 2016/679 rendelet rendelkezéseit úgy kell értelmezni, hogy a jelentős mennyiségű személyes adatot tartalmazó információ tagállami adóhatóság általi, valamely gazdasági szereplőtől történő gyűjtésének meg kell felelnie az e rendeletben, különösen az utóbbi 5. cikkének (1) bekezdésében előírt követelményeknek.
A második kérdésről
48 Második kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a 2016/679 rendelet rendelkezéseit úgy kell-e értelmezni, hogy valamely tagállam adóhatósága eltérhet az e rendelet 5. cikkének (1) bekezdésében foglalt rendelkezésektől, még akkor is, ha e tagállam nemzeti joga ilyen jogkörrel nem ruházta fel?
49 Elöljáróban emlékeztetni kell arra, hogy amint az a 2016/679 rendelet (10) preambulumbekezdéséből kitűnik, a 2016/679 rendelet célja többek között a természetes személyek Unión belüli magas szintű védelmének biztosítása.
50 E célból a 2016/679 rendelet II. és III. fejezete rögzíti a személyes adatok kezelését szabályozó elveket, illetve az érintett azon jogait, amelyeket minden személyesadat-kezelésnek tiszteletben kell tartania. Közelebbről, bármely személyesadat-kezelésének többek között meg kell felelnie az említett rendelet 5. cikkében foglalt, az ilyen adatok kezelésére vonatkozó elveknek (lásd ebben az értelemben: 2020. október 6-iLa Quadrature du Net és társai ítélet (C-511/18, C-512/18 és C-520/18, EU:C:2020:791, 208. pont).
51 A 2016/679 rendelet 23. cikke ugyanakkor felhatalmazza az Uniót és a tagállamokat arra, hogy olyan "jogalkotási intézkedéseket" fogadjanak el, amelyek korlátozzák a többek között az e rendelet 5. cikkében előírt kötelezettségek és jogok hatályát, amennyiben azok megfelelnek az említett rendelet 12-22. cikkében foglalt jogoknak és kötelezettségeknek, ha az ilyen korlátozás tiszteletben tartja az alapvető szabadságok és jogok lényegét, és egy demokratikus társadalomban szükségesnek és arányos intézkedésnek tekinthető az Unió és az érintett tagállam fontos általános közérdekű céljainak, így különösen a költségvetési és adóügyi területhez is tartozó fontos gazdasági és pénzügyi érdekek biztosítása érdekében.
52 E tekintetben a 2016/679 rendelet (41) preambulumbekezdéséből kitűnik, hogy az e rendeletben szereplő, "jogalkotási intézkedésre" való hivatkozás nem jelenti szükségképpen azt, hogy valamely jogalkotási aktus parlament általi elfogadására van szükség.
53 Mindemellett emlékeztetni kell arra, hogy amint azt a 2016/679 rendelet (4) preambulumbekezdése kimondja, e rendelet minden alapvető jogot tiszteletben tart, és szem előtt tartja a Chartában elismert és a Szerződésekben rögzített szabadságokat és elveket, amelyek között többek között a személyes adatok védelme is szerepel.
54 Márpedig a Charta 52. cikke (1) bekezdése első mondatának megfelelően a Chartában elismert jogok és szabadságok - többek között a Charta 7. cikkében biztosított, a magánélet tiszteletben tartásához való jog és a Charta 8. cikkében biztosított, a személyes adatok védelméhez való jog - gyakorlása csak a törvény által korlátozható, amiből különösen az következik, hogy a beavatkozást lehetővé tevő jogalapnak magának kell meghatároznia az érintett jog gyakorlását érintő korlátozás terjedelmét (lásd ebben az értelemben: 2020. október 6-iPrivacy International ítélet, C-623/17, EU:C:2020:790, 65. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
55 E tekintetben a Bíróság ezenkívül megállapította, hogy az ilyen beavatkozást lehetővé tevő intézkedést tartalmazó szabályozásnak a szóban forgó intézkedés hatályával és alkalmazásával kapcsolatban egyértelmű és pontos szabályokat kell tartalmaznia, valamint minimumkövetelményeket kell előírnia annak érdekében, hogy azon személyek, akiknek a személyes adataikat továbbították, elegendő biztosítékkal rendelkezzenek ezen adatoknak a visszaélések veszélyeivel szembeni hatékony védelmére (lásd ebben az értelemben: 2021. március 2-iProkuratuur ítélet [Az elektronikus hírközléssel kapcsolatos adatokhoz való hozzáférés feltételei] ítélet, C-746/18, EU:C:2021:152, 48. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
56 Következésképpen a 2016/679 rendelet 23. cikke alapján elfogadott intézkedéseknek - amint azt az uniós jogalkotó végső soron e rendelet (41) preambulumbekezdésében hangsúlyozta - egyértelműeknek és pontosaknak kell lenniük, és alkalmazásuknak a jogalanyok számára előre láthatónak kell lennie. Konkrétabban, ez utóbbiaknak képesnek kell lenniük azon körülmények és feltételek azonosítására, amelyek mellett az említett rendelet által rájuk ruházott jogok hatálya korlátozható.
57 A fenti megfontolásokból következik, hogy a tagállami adóhatóság nem térhet el a 2016/679 rendelet 5. cikkének rendelkezéseitől olyan egyértelmű és pontos uniós vagy nemzeti jogi jogalap hiányában, amelynek alkalmazása a jogalanyok számára előre látható, és amely előírja azon körülményeket és feltételeket, amelyek mellett az ezen 5. cikkben előírt kötelezettségek és jogok hatálya korlátozható.
58 Következésképpen, a második kérdésre azt a választ kell adni, hogy a 2016/679 rendelet rendelkezéseit úgy kell értelmezni, hogy a tagállami adóhatóság nem térhet el az e rendelet 5. cikkének (1) bekezdésében foglalt rendelkezésektől, amennyiben nem ruháztak rá ilyen jogkört az említett rendelet 23. cikkének (1) bekezdése értelmében vett jogalkotási intézkedés útján.
A harmadik-kilencedik kérdésről
59 Harmadik-kilencedik kérdésével, amelyeket célszerű együttesen vizsgálni, a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a 2016/679 rendelet rendelkezéseit úgy kell-e értelmezni, hogy azokkal ellentétes, ha a tagállami adóhatóság arra kötelez egy online hirdetési szolgáltatásokat nyújtó szolgáltatót, hogy az információkérés céljának pontosítása nélkül, meg nem határozott időtartam alatt információkat közöljön vele az internetes portál egyik rovatában hirdetéseket közzétevő valamennyi adóalanyra vonatkozóan.
60 Előzetesen meg kell jegyezni, hogy két személyadat-kezelésre is sor kerülhetett olyan helyzetben, mint amelyről az alapügyben szó van. Amint az a jelen ítélet 37. és 38. pontjából kitűnik, a személyes adatok adóhatóság általi, az érintett szolgáltatótól való gyűjtéséről, továbbá ezen összefüggésben a fenti adatoknak e szolgáltató által az említett hatóság részére történő közléstovábbításáról van szó.
61 Amint az a jelen ítélet 50. pontjában hivatkozott ítélkezési gyakorlatból kitűnik, ezen adatkezelési műveletek mindegyikének - a 2016/679 rendelet 23. cikkében engedett eltérések sérelme nélkül - tiszteletben kell tartania a személyes adatok kezelésére vonatkozó, e rendelet 5. cikkében foglalt elveket, valamint az érintett e rendelet 12-22. cikkében szereplő jogait.
62 A jelen ügyben az előterjesztő bíróság kétségei különösen azon körülménnyel kapcsolatban merülnek fel, hogy egyrészt a jelen ítélet 60. pontjában említett adatkezelések határozatlan időtartamot érintő, korlátlan mennyiségű információkra vonatkoznak, másrészt pedig ezen adatkezelések célját az információkérés nem jelöli meg.
63 E tekintetben először is hangsúlyozni kell, hogy a 2016/679 rendelet 5. cikke (1) bekezdésének b) pontja előírja, hogy a személyes adatok gyűjtése többek között meghatározott, egyértelmű és jogszerű célból történjen.
64 Mindenekelőtt, az a követelmény, amely szerint az adatkezelés céljának meghatározottnak kell lennie, e rendelet (39) preambulumbekezdéséből következően azt jelenti, hogy azt legkésőbb a személyes adatok gyűjtésekor azonosítani kell.
65 Továbbá az adatkezelés céljának egyértelműnek kell lennie, ami azt jelenti, hogy azt világosan meg kell határozni.
66 Végül e célnak jogszerűek kell lennie. Fontos tehát, hogy e cél biztosítsa a fent említett rendelet 6. cikkének (1) bekezdése értelmében vett jogszerű adatkezelést.
67 A jelen ítélet 60. pontjában említett adatkezelések kezdőpontja a lett adóhatóság által az online hirdetési szolgáltatásokat nyújtó szolgáltató részére címzett, személyes adatok közlésére irányuló információkérés. E tekintetben úgy tűnik, hogy az adózás rendjéről szóló törvény 15. cikkének (6) bekezdése értelmében e szolgáltató köteles helyt adni az ilyen információkérésnek.
68 A jelen ítélet 64. és 65. pontjában kifejtett megfontolásokra tekintettel ezen információkérésben egyértelműen meg kell határozni ezen adatkezelések céljait.
69 Feltéve, hogy az említett információkérésben ily módon meghatározott célok szükségesek valamely közérdekű feladat elvégzéséhez vagy az adóhatóság közhatalmi jogosítványainak gyakorlásához, e körülmény - amint az a 2016/679 rendelet 6. cikke (1) bekezdése első albekezdésének az e rendelet 6. cikke (3) bekezdésének második albekezdésével összefüggésben értelmezett e) pontjából következik - elegendő ahhoz, hogy az említett adatkezelések a jelen ítélet 66. pontjában felidézett jogszerűségi követelménynek is megfeleljenek.
70 E tekintetben emlékeztetni kell arra, hogy az adóbeszedést és az adócsalás elleni küzdelmet a 2016/679 rendelet 6. cikke (1) bekezdése első albekezdésének e) pontja értelmében közérdekből elvégzendő feladatoknak kell tekinteni (lásd analógia útján: 2017. szeptember 27-iPuškár ítélet, C-73/16, EU:C:2017:725, 108. pont).
71 Ebből következik, hogy abban az esetben, ha a szóban forgó személyes adatok közlése nem közvetlenül az annak alapját képező jogszabályi rendelkezésen alapul, hanem az illetékes hatóság információkérésének eredménye, ezen információkérésnek meg kell határoznia, hogy melyek ezen adatgyűjtésnek a közérdekű feladatra vagy a közhatalom gyakorlására tekintettel fennálló konkrét céljai, annak érdekében, hogy az említett információkérés címzettje meggyőződhessen arról, hogy jogszerű-e a szóban forgó személyes adatok továbbítása, és hogy a nemzeti bíróságok felülvizsgálhassák az érintett adatkezelési műveletek jogszerűségét.
72 Másodszor, a 2016/679 rendelet 5. cikke (1) bekezdése c) pontjának megfelelően a személyes adatoknak az adatkezelés céljai szempontjából megfelelőeknek és relevánsaknak kell lenniük, és a szükségesre kell korlátozódniuk.
73 E tekintetben emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint az ilyen adatok védelme alóli kivételeknek és korlátozásoknak a feltétlenül szükséges mérték határain belül kell maradniuk (lásd ebben az értelemben: 2021. június 22-iLatvijas Republikas Saeima (Büntetőpontok) ítélet, C-439/19, EU:C:2021:504, 110. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
74 Ebből következik, hogy az adatkezelő, ideértve azt az esetet is, amikor a rábízott közérdekű feladatok keretében jár el, nem végezheti általános jelleggel és különbségtétel nélkül a személyes adatok gyűjtését, és tartózkodnia kell az adatkezelés céljai szempontjából nem feltétlenül szükséges adatok gyűjtésétől.
75 A jelen ügyben meg kell állapítani, hogy - amint az a jelen ítélet 17-19. pontjából kitűnik - a lett adóhatóság azt kérte az érintett gazdasági szereplőtől, hogy szolgáltasson adatokat az internetes oldalán 2018. július 14. és augusztus 31. között közzétett, gépjárművek értékesítésére vonatkozó hirdetésekről, és amennyiben az ezen információkhoz való hozzáférést nem lehet helyreállítani, legkésőbb minden hónap harmadik napjáig szolgáltasson számára adatokat az internetes oldalán az előző hónapban közzétett, gépjárművek értékesítésére vonatkozó hirdetésekről, anélkül hogy az utóbbi információkérés vonatkozásában időbeli korlátot állapított volna meg.
76 A jelen ítélet 74. pontjában kifejtett megfontolásokra tekintettel a kérdést előterjesztő bíróság feladata annak vizsgálata, hogy ezen adatok gyűjtésének célja elérhető-e anélkül, hogy a lett adóhatóság potenciálisan rendelkezzen a gépjárművek értékesítésére vonatkozó, az említett gazdasági szereplő internetes oldalán közzétett valamennyi hirdetésre vonatkozó adatokkal, és különösen, hogy elképzelhető-e, hogy e hatóság bizonyos hirdetéseket sajátos kritériumok alapján célzottan vizsgáljon meg.
77 Ebben az összefüggésben hangsúlyozni kell, hogy a 2016/679 rendelet 5. cikkének (2) bekezdésében foglalt elszámoltathatóság elve szerint az adatkezelőnek képesnek kell lennie annak bizonyítására, hogy megfelel a személyes adatok kezelésére vonatkozóan e cikk (1) bekezdésében rögzített elveknek.
78 Következésképpen a lett adóhatóság feladata annak bizonyítása, hogy e rendelet 25. cikke (2) bekezdésének megfelelően az összegyűjtendő személyes adatok mennyiségnek a lehetőségekhez képest legkisebbre történő csökkentésére törekedett.
79 Ami azt a körülményt illeti, hogy a lett adóhatóságtól származó információkérés arra az esetre, ha az érintett hirdetési szolgáltató nem állítja helyre a kérelemben meghatározott időszakban közzétett hirdetésekhez való hozzáférést, semmilyen időbeli korlátot nem ír elő, emlékeztetni kell arra, hogy az adattakarékosság elvére figyelemmel az adatkezelőnek a szóban forgó adatkezelés céljának fényében a szóban forgó személyes adatok gyűjtésének időtartamát a feltétlenül szükséges mértékre kell korlátoznia.
80 Következésképpen az az időszak, amelyre a gyűjtés vonatkozik, nem haladhatja meg a kitűzött közérdekű cél eléréséhez feltétlenül szükséges időtartamot.
81 Amint az a jelen ítélet 77. pontjából következik, e tekintetben a bizonyítási teher a lett adóhatóságra hárul.
82 Ugyanakkor az a körülmény, hogy az említett adatokat anélkül gyűjtik össze, hogy a lett adóhatóság magában az információkérésben meghatározta volna az ilyen adatkezelés időbeli korlátját, önmagában nem teszi lehetővé annak megállapítását, hogy az adatkezelés időtartama meghaladja a kitűzött cél eléréséhez feltétlenül szükséges időtartamot.
83 Ebben az összefüggésben mindazonáltal emlékeztetni kell arra, hogy a 2016/679 rendelet 5. cikke (1) bekezdésének c) pontjában kimondott arányossági követelmény teljesítéséhez (lásd ebben az értelemben: 2021. június 22-iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C-439/19, EU:C:2021:504, 98. pont, valamint az ott hivatkozott ítélkezési gyakorlat) az adatkezelés alapját képező szabályozásnak egyértelmű és pontos szabályokat kell tartalmaznia a szóban forgó intézkedés hatályát és alkalmazását illetően, és minimumkövetelményeket kell előírnia annak érdekében, hogy azon személyek, akiknek a személyes adatait az adatkezelés érinti, elegendő biztosítékkal rendelkezzenek ezen adatoknak a visszaélés veszélyeivel szembeni tényleges védelmét illetően. E szabályozásnak a belső jogban jogilag kötelező erejűnek kell lennie, és többek között meg kell jelölnie, hogy milyen körülmények között és milyen feltételek mellett lehet az ilyen adatok kezelését előíró intézkedést megtenni, biztosítva ezáltal, hogy a beavatkozás a szigorúan szükséges mértékre korlátozódjék (2020. október 6-iPrivacy International ítélet, C-623/17, EU:C:2020:790, 68. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
84 Ebből következik, hogy az olyan információkérésre vonatkozó nemzeti szabályozásnak, mint amely az alapügy tárgyát képezi, objektív kritériumokon kell alapulnia azon körülmények és feltételek meghatározása érdekében, amelyek mellett az online szolgáltató köteles a felhasználóira vonatkozó személyes adatokat továbbítani (lásd ebben az értelemben: 2020. október 6-iPrivacy International ítélet, C-623/17, EU:C:2020:790, 78. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
85 A fenti megfontolások összességére tekintettel a harmadik-kilencedik kérdésre azt a választ kell adni, hogy a 2016/679 rendelet rendelkezéseit úgy kell értelmezni, hogy azokkal nem ellentétes, ha a tagállami adóhatóság arra kötelezi az online hirdetési szolgáltatásokat nyújtó szolgáltatót, hogy információkat közöljön vele az internetes portáljának egyik rovatában hirdetéseket közzétevő valamennyi adóalanyra vonatkozóan, feltéve többek között, hogy ezen adatok az említett adatok gyűjtésének konkrét céljára tekintettel szükségesek, és azon időszak, amelyet az említett adatok gyűjtése érint, nem haladja meg a kitűzött közérdekű cél eléréséhez feltétlenül szükséges időtartamot.
A költségekről
86 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (ötödik tanács) a következőképpen határozott:
1) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) rendelkezéseit úgy kell értelmezni, hogy a jelentős mennyiségű személyes adatot tartalmazó információ tagállami adóhatóság általi, valamely gazdasági szereplőtől történő gyűjtésének meg kell felelnie az e rendeletben, különösen az utóbbi 5. cikkének (1) bekezdésében előírt követelményeknek.
2) A 2016/679 rendelet rendelkezéseit úgy kell értelmezni, hogy a tagállami adóhatóság nem térhet el az e rendelet 5. cikkének (1) bekezdésében foglalt rendelkezésektől, amennyiben nem ruháztak rá ilyen jogkört az említett rendelet 23. cikkének (1) bekezdése értelmében vett jogalkotási intézkedés útján.
3) A 2016/679 rendelet rendelkezéseit úgy kell értelmezni, hogy azokkal nem ellentétes, ha a tagállami adóhatóság arra kötelezi az online hirdetési szolgáltatásokat nyújtó szolgáltatót, hogy információkat közöljön vele az internetes portáljának egyik rovatában hirdetéseket közzétevő valamennyi adóalanyra vonatkozóan, feltéve többek között, hogy ezen adatok az említett adatok gyűjtésének konkrét céljára tekintettel szükségesek, és azon időszak, amelyet az említett adatok gyűjtése érint, nem haladja meg a kitűzött közérdekű cél eléréséhez feltétlenül szükséges időtartamot.
Aláírások
( *1 ) Az eljárás nyelve: lett.
Lábjegyzetek:
[1] A dokumentum eredetije megtekinthető CELEX: 62020CJ0175 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:62020CJ0175&locale=hu