62019CJ0439[1]
A Bíróság ítélete (nagytanács), 2021. június 22. Az eljárást indította: B. A Satversmes tiesa (Lettország) által benyújtott előzetes döntéshozatal iránti kérelem. Előzetes döntéshozatal - A természetes személyeknek a személyes adatok kezelése tekintetében történő védelme - (EU) 2016/679 rendelet - 5., 6. és 10. cikk - A közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatokhoz való nyilvános hozzáférésről rendelkező nemzeti jogszabály - Megengedhetőség - A »büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok« fogalma - A közúti közlekedésbiztonság javítása céljából történő hozzáférhetővé tétel - A hivatalos dokumentumokhoz való nyilvános hozzáférés joga - A tájékozódás szabadsága - A magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő alapvető jogokkal való összhang biztosítása - Adatok további felhasználása - EUMSZ 267. cikk - Az előzetes döntéshozatali eljárásban hozott határozat időbeli hatálya - Valamely tagállam alkotmánybíróságának azon lehetősége, hogy fenntartsa az uniós joggal összeegyeztethetetlen nemzeti jogszabály joghatásait - Az uniós jog elsőbbségének elve és a jogbiztonság elve. C-439/19. sz. ügy.
A BÍRÓSÁG ÍTÉLETE (nagytanács)
2021. június 22. ( *1 )
"Előzetes döntéshozatal - A természetes személyeknek a személyes adatok kezelése tekintetében történő védelme - (EU) 2016/679 rendelet - 5., 6. és 10. cikk - A közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatokhoz való nyilvános hozzáférésről rendelkező nemzeti jogszabály - Megengedhetőség - A »büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok« fogalma - A közúti közlekedésbiztonság javítása céljából történő hozzáférhetővé tétel - A hivatalos dokumentumokhoz való nyilvános hozzáférés joga - A tájékozódás szabadsága - A magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő alapvető jogokkal való összhang biztosítása - Adatok további felhasználása - EUMSZ 267. cikk - Az előzetes döntéshozatali eljárásban hozott határozat időbeli hatálya - Valamely tagállam alkotmánybíróságának azon lehetősége, hogy fenntartsa az uniós joggal összeegyeztethetetlen nemzeti jogszabály joghatásait - Az uniós jog elsőbbségének elve és a jogbiztonság elve"
A C-439/19. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Latvijas Republikas Satversmes tiesa (alkotmánybíróság, Lettország) a Bírósághoz 2019. június 11-én érkezett, 2019. június 4-i határozatával terjesztett elő a
B
által indított,
a Latvijas Republikas Saeima
részvételével folyamatban lévő eljárásban,
A BÍRÓSÁG (nagytanács),
tagjai: K. Lenaerts elnök, R. Silva de Lapuerta elnökhelyettes, J.-C. Bonichot, A. Arabadjiev, E. Regan, M. Ilešič (előadó) és N. Piçarra tanácselnökök, Juhász E., M. Safjan, D. Šváby, S. Rodin, F. Biltgen, K. Jürimäe, C. Lycourgos és P. G. Xuereb bírák,
főtanácsnok: M. Szpunar,
hivatalvezető: A. Calot Escobar,
tekintettel az írásbeli szakaszra,
figyelembe véve a következők által előterjesztett észrevételeket:
- a lett kormány képviseletében kezdetben: V. Soņeca és K. Pommere, később: K. Pommere, meghatalmazotti minőségben,
- a holland kormány képviseletében M. K. Bulterman és M. Noort, meghatalmazotti minőségben,
- az osztrák kormány képviseletében J. Schmoll és G. Kunnert, meghatalmazotti minőségben,
- a portugál kormány képviseletében L. Inez Fernandes, P. Barros da Costa, A. C. Guerra és I. Oliveira, meghatalmazotti minőségben,
- a svéd kormány képviseletében C. Meyer-Seitz, H. Shev, H. Eklinder, R. Shahsavan Eriksson, A. Runeskjöld, M. Salborn Hodgson, O. Simonsson és J. Lundberg, meghatalmazotti minőségben,
- az Európai Bizottság képviseletében D. Nardi, H. Kranenborg és I. Rubene, meghatalmazotti minőségben,
a főtanácsnok indítványának a 2020. december 17-i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: általános adatvédelmi rendelet) 5., 6. és 10. cikkének, valamint a 2013. június 26-i 2013/37/EU európai parlamenti és tanácsi irányelvvel (HL 2013. L 175., 1. o.) módosított, a közszféra információinak további felhasználásáról szóló, 2003. november 17-i 2003/98/EK európai parlamenti és tanácsi irányelv (HL 2003. L 345., 90. o.; magyar nyelvű különkiadás 13. fejezet, 32. kötet, 701. o.; a továbbiakban: 2003/98 irányelv) 1. cikke (2) bekezdése cc) pontjának, valamint az uniós jog elsőbbsége elvének és a jogbiztonság elvének az értelmezésére vonatkozik.
2 E kérelmet a B által a közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatokhoz való nyilvános hozzáférésről rendelkező nemzeti jogszabály jogszerűsége tárgyában indult eljárás keretében terjesztették elő.
Jogi háttér
Az uniós jog
3 A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvet (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) 2018. május 25-i hatállyal hatályon kívül helyezte az általános adatvédelmi rendelet. Ezen irányelv "Hatály" című 3. cikkének a szövege a következő volt: "(1) Ezen irányelvet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon való feldolgozására [helyesen: kezelésére], valamint azoknak a személyes adatoknak a nem automatizált módon való feldolgozására [helyesen: kezelésére], amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. (2) Az irányelv nem alkalmazandó az alábbi személyesadat-feldolgozásokra [helyesen: személyesadat-kezelésekre]: [...]"
- a közösségi jog hatályán kívül eső tevékenységek, mint például az [EU-Szerződés Lisszaboni Szerződés előtti változatának] V. és VI. címeiben megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási [helyesen: kezelési] művelet nemzetbiztonsági ügyre vonatkozik), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási [helyesen: kezelési] műveletek,
Az általános adatvédelmi rendelet
4 Az általános adatvédelmi rendelet (1), (4), (10), (16), (19), (39), (50) és (154) preambulumbekezdése a következőket mondja ki: [...] [...] [...] [...] [...] [...] [...]
"(1) A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az Európai Unió Alapjogi Chartája (Charta) 8. cikkének (1) bekezdése és az [EUMSZ] 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.
(4) A személyes adatok kezelését az emberiség szolgálatába kell állítani. A személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban, a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyensúlyban más alapvető jogokkal. Ez a rendelet minden alapvető jogot tiszteletben tart, és szem előtt tartja a Chartában elismert és a Szerződésekben rögzített szabadságokat és elveket, különösen ami a magán- és a családi élet, az otthon és a kapcsolattartás tiszteletben tartásához és a személyes adatok védelméhez, a gondolat-, a lelkiismeret- és a vallásszabadsághoz, a véleménynyilvánítás szabadságához és a tájékozódás szabadságához, a vállalkozás szabadságához, a hatékony jogorvoslathoz és a tisztességes eljáráshoz, és a kulturális, vallási és nyelvi sokféleséghez való jogot illeti.
(10) A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. [...]
(16) E rendelet nem vonatkozik az alapvető jogok és szabadságok olyan tevékenységekkel kapcsolatos védelmére, illetve a személyes adatok olyan tevékenységekkel kapcsolatos szabad áramlására, amelyek az uniós jog hatályán kívül esnek, mint például a nemzetbiztonsággal kapcsolatos tevékenységek. Nem tartozik e rendelet hatálya alá a tagállamok által olyan tevékenységek keretében végzett személyes adatok kezelése sem, amelyeket a tagállamok az Unió közös kül- és biztonságpolitikájával összefüggésben végeznek.
(19) A személyes adatoknak az illetékes hatóságok által bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából, ezeken belül ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése céljából végzett kezelése vonatkozásában a természetes személyek védelme, valamint az ilyen adatok szabad áramlása külön uniós jogi aktus tárgyát képezi. E rendelet ezért az e célok érdekében végzett adatkezelési tevékenységekre nem alkalmazandó. Ugyanakkor a közhatalmi szervek e rendelet alapján végzett személyes adatkezelését, ha az adatokat a fenti célok érdekében használják fel, a kifejezetten erre vonatkozó külön uniós jogi aktusnak, [a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/680 európai parlamenti és tanácsi irányelvnek (HL 2016. L 119., 89. o.; helyesbítések: HL 2018. L 127., 7. o.; HL 2021. L 74., 39. o.)] kell szabályoznia. [...]
(39) [...] A személyes adatkezelés konkrét céljainak mindenekelőtt explicit módon megfogalmazottaknak és jogszerűeknek, továbbá már a személyes adatok gyűjtésének időpontjában meghatározottaknak kell lenniük. [...] Személyes adatok csak abban az esetben kezelhetők, ha az adatkezelés célját egyéb eszközzel észszerű módon nem lehetséges elérni. [...]
(50) A személyes adatoknak a gyűjtésük eredeti céljától eltérő egyéb célból történő kezelése csak akkor megengedett, ha az adatkezelés összeegyeztethető az adatkezelés eredeti céljaival, amelyekre a személyes adatokat eredetileg gyűjtötték. Ebben az esetben nincs szükség attól a jogalaptól eltérő, külön jogalapra, mint amely lehetővé tette a személyes adatok gyűjtését. Ha az adatkezelés közérdekből elvégzendő feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása érdekében szükséges, uniós vagy tagállami jog meghatározhatja és pontosan leírhatja azokat a feladatokat és célokat, amelyek tekintetében a további adatkezelés jogszerűnek és összeegyeztethetőnek tekintendő. [...]
(154) E rendelet lehetővé teszi a hivatalos iratokhoz való nyilvános hozzáférés elvének figyelembevételét e rendelet alkalmazása során. A hivatalos iratokhoz való nyilvános hozzáférés közérdeknek tekinthető. Lehetővé kell tenni, hogy a közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek birtokában lévő dokumentumokban szereplő személyes adatokat az érintett hatóság vagy szerv nyilvánosságra hozza, ha a nyilvánosságra hozatalt az uniós jog vagy annak a tagállamnak a joga, amelynek az adott közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv a hatálya alá tartozik, előírja. Ezeknek a jogoknak össze kell egyeztetniük a hivatalos dokumentumokhoz való nyilvános hozzáférést és a közszféra információinak további felhasználását a személyes adatok védelméhez való joggal, és ennélfogva rendelkezhetnek a személyes adatok védelméhez való, e rendelet szerinti joggal történő szükséges összeegyeztetésről. A közhatalmi szervek és egyéb, közfeladatot ellátó szervek szervekre való hivatkozásba ebben az összefüggésben mindazon hatóságokat vagy egyéb olyan szerveket is bele kell érteni, amelyekre vonatkozik a dokumentumokhoz való nyilvános hozzáférést szabályozó tagállami jog. A 2003/98/EK [irányelv] nem módosítja és nem érinti a természetes személyeknek a személyes adatok kezelése tekintetében történő, az uniós és a tagállami jogba foglalt rendelkezések védelmi szintjét, és különösen nem módosítja az ebben e rendeletben foglalt kötelezettségeket és jogokat. Különösen, az említett irányelvet nem kell alkalmazni olyan dokumentumokra, amelyekhez a hozzáférést a hozzáférési szabályok a személyes adatok védelmének indokával korlátozzák vagy kizárják, valamint az említett szabályok értelmében hozzáférhető dokumentumok azon részeire, amelyek olyan személyes adatokat tartalmaznak, amelyek további felhasználása jogszabályi definíció szerint összeegyeztethetetlen a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére vonatkozó jogszabályokkal."
5 E rendelet "Tárgy" című 1. cikke a következőképpen rendelkezik:
"(1) Ez a rendelet a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg.
(2) Ez a rendelet a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.
(3) A személyes adatok Unión belüli szabad áramlása nem korlátozható vagy tiltható meg a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével összefüggő okokból."
6 Az említett rendelet "Tárgyi hatály" című 2. cikke a (1) és (2) bekezdésében a következőket írja elő: "(1) E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. (2) E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:
a) az uniós jog hatályán kívül eső tevékenységek során végzik;
b) a tagállamok az EUSZ V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzik;
c) természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik;
d) az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését."
7 Ugyanezen rendelet "Fogalommeghatározások" című 4. cikke értelmében: "E rendelet alkalmazásában: [...] [...]"
1. »személyes adat«: azonosított vagy azonosítható természetes személyre [...] vonatkozó bármely információ; [...];
2. »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
7. »adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
8 Az általános adatvédelmi rendeletnek "A személyes adatok kezelésére vonatkozó elvek" című 5. cikke a következőket mondja ki: "(1) A személyes adatok: (2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«)."
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (»jogszerűség, tisztességes eljárás és átláthatóság«);
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; [...] (»célhoz kötöttség«);
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk (»adattakarékosság«);
d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék (»pontosság«);
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; [...] (»korlátozott tárolhatóság«);
f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (»integritás és bizalmas jelleg«).
9 E rendeletnek "Az adatkezelés jogszerűsége" című 6. cikke az (1) bekezdésében a következőket írja elő: "A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül: Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre."
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
10 Az említett rendeletnek "A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelése" című 10. cikke a következőképpen rendelkezik:
"A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatoknak a 6. cikk (1) bekezdése alapján történő kezelésére kizárólag abban az esetben kerülhet sor, ha az közhatalmi szerv felügyelete alatt történik, vagy ha az adatkezelést az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós vagy tagállami jog lehetővé teszi. A büntetőjogi felelősség megállapítására vonatkozó határozatok teljes körű nyilvántartása csak közhatalmi szerv által végzett adatkezelés keretében történhet."
11 Ugyanezen rendelet "Felügyeleti hatóság" című 51. cikke az (1) bekezdésében a következőket mondja ki:
"A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam előírja, hogy e rendelet alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv (felügyeleti hatóság) felel."
12 Az általános adatvédelmi rendeletnek "A személyes adatok kezelése és a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog" című 85. cikke az (1) bekezdésében a következőképpen rendelkezik:
"A tagállamok jogszabályban összeegyeztetik a személyes adatok e rendelet szerinti védelméhez való jogot a véleménynyilvánítás szabadságához és a tájékozódáshoz való joggal, ideértve a személyes adatok újságírási célból, illetve tudományos, művészi vagy irodalmi kifejezés céljából végzett kezelését is."
13 E rendeletnek "A személyes adatok kezelése és a hivatalos dokumentumokhoz való nyilvános hozzáférés" című 86. cikke a következőket írja elő:
"A közérdekű feladat teljesítése céljából közhatalmi szervek, vagy egyéb, közfeladatot ellátó szervek, illetve magánfél szervezetek birtokában lévő hivatalos dokumentumokban szereplő személyes adatokat az adott szerv vagy szervezet az uniós joggal vagy a szervre vagy szervezetre alkalmazandó tagállami joggal összhangban nyilvánosságra hozhatja annak érdekében, hogy a hivatalos dokumentumokhoz való nyilvános hozzáférést összeegyeztesse a személyes adatok e rendelet szerinti védelméhez való joggal."
14 Az említett rendeletnek "A nemzeti azonosító számok kezelése" című 87. cikke értelmében:
"A tagállamok részletesebben meghatározhatják a nemzeti azonosító számok vagy egyéb általános jellegű azonosító jelek kezelésének konkrét feltételeit. Ebben az esetben a nemzeti azonosító számok, illetve az egyéb általános jellegű azonosító jelek felhasználására kizárólag az érintett jogainak és szabadságainak e rendelet szerinti megfelelő garanciái mellett kerülhet sor."
15 Ugyanezen rendelet 94. cikke a következőképpen rendelkezik:
"(1) A [95/46] irányelv 2018. május 25-i hatállyal hatályát veszti.
(2) A hatályon kívül helyezett irányelvre történő hivatkozásokat az e rendeletre történő hivatkozásnak kell tekinteni. [...]"
A 2016/680 irányelv
16 A 2016/680 irányelv (10), (11) és (13) preambulumbekezdése a következőket mondja ki:
"(10) A Lisszaboni Szerződést elfogadó kormányközi konferencia zárónyilatkozatához csatolt, a büntetőügyekben folytatott igazságügyi, valamint a rendőrségi együttműködés területén a személyes adatok védelméről szóló 21. sz. nyilatkozatban a konferencia elismerte, hogy az EUMSZ 16. cikke alapján a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén - e területek sajátos természetéből adódóan - a személyes adatok védelmére és a személyes adatok szabad áramlására vonatkozóan különös szabályok válhatnak szükségessé.
(11) Ezért helyénvaló, hogy e területek szabályozása irányelvben történjen, amelyben meg kell határozni azokat a különleges szabályokat, amelyek a személyes adatok bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása - többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése - céljából az illetékes hatóságok általi kezelése tekintetében a természetes személyek védelmére vonatkoznak, tiszteletben tartva e tevékenységek jellegét. Az ilyen illetékes hatóságok körébe nemcsak olyan közhatalmi szervek tartozhatnak, mint az igazságügyi hatóságok, a rendőrség vagy egyéb bűnüldöző hatóságok, hanem bármely egyéb olyan szerv vagy jogalany is, amely a tagállami jog alapján ezen irányelv alkalmazása céljából közfeladatokat lát el és közhatalmi jogosítványokat gyakorol. Ha azonban ez a szerv vagy jogalany ezen irányelv céljaitól eltérő célból kezel személyes adatokat, akkor az [általános adatvédelmi] rendeletet kell alkalmazni. [Az általános adatvédelmi] rendeletet kell éppen ezért az alkalmazni azokban az esetekben, amikor valamely szerv vagy jogalany egyéb célból gyűjt és kezel tovább személyes adatokat annak érdekében, hogy egy rá vonatkozó jogi kötelezettséget teljesítsen. [...]
(13) A bűncselekmény ezen irányelv értelmében vett fogalma az Európai Unió Bírósága [...] általi értelmezésnek megfelelő, önálló uniós jogi fogalomnak minősül."
17 Ezen irányelv 3. cikke a következőképpen rendelkezik: "Ezen irányelv alkalmazásában: [...] 7. »illetékes hatóság«: [...]".
a) olyan közhatalmi szerv, amely a bűncselekmények megelőzését, nyomozását, felderítését vagy üldözését, illetve büntetőjogi szankciók végrehajtását illetően eljárni jogosult beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését; vagy
b) bármely egyéb, olyan szerv vagy más jogalany, amely a tagállami jog alapján közfeladatokat lát el és közhatalmi jogosítványokat gyakorol a bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása céljából, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;
A 2003/98 irányelv
18 A 2003/98 irányelv (21) preambulumbekezdése értelmében:
"Ezt az irányelvet [a 95/46 irányelv] szerint a személyes adatok védelmére vonatkozó elvekkel összhangban kell alkalmazni."
19 A 2003/98 irányelv "Tárgy és hatály" című 1. cikke a következőket írja elő: "(1) Ez az irányelv minimum szabályokat állapít meg a tagállamok közigazgatási szervei birtokában lévő dokumentumok további felhasználása, valamint további felhasználása megkönnyítésének gyakorlati eszközei vonatkozásában. (2) Ezt az irányelvet nem kell alkalmazni: [...] [...] (3) Ez az irányelv a tagállamok hozzáférési szabályaira épül, és azokat nem érinti. (4) Ez az irányelv semmilyen módon nem érinti az egyéneknek az uniós és nemzeti jog szerinti védelmi szintjét a személyes adatok feldolgozása vonatkozásában, különösen nem változtatja meg a [95/46] irányelv szerinti jogokat és kötelezettségeket. [...]".
cc) olyan dokumentumokra, amelyekhez a hozzáférést a hozzáférési szabályok a személyes adatok védelmének indokával korlátozzák vagy kizárják, valamint az említett szabályok értelmében hozzáférhető dokumentumok azon részeire, amelyek olyan személyes adatokat tartalmaznak, amelyek további felhasználása jogszabályi definíció szerint összeegyeztethetetlen a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről szóló jogszabályokkal;
A lett jog
20 A Latvijas Republikas Satversme (a Lett Köztársaság alkotmánya, a továbbiakban: lett alkotmány) 96. cikke a következőképpen rendelkezik:
"Mindenkinek joga van a magánéletének, az otthonának és a kapcsolattartásának a tiszteletben tartásához."
21 Az 1998. október 29-i Informācijas atklātības likums (az információ nyilvánosságra hozataláról szóló törvény, Latvijas Vēstnesis, 1998, 334/335. sz.) 1. cikkének 5) bekezdése szerint a további felhasználás a hatóságok birtokában lévő és általuk létrehozott, nyilvánosan hozzáférhető információknak a létrehozásuk eredeti céljától eltérő kereskedelmi vagy nem kereskedelmi célra történő felhasználása, amennyiben azt magánszemély végzi, és e felhasználás nem tartozik közhatalmi jogkör gyakorlása alá.
22 E törvény 4. cikkével összhangban nyilvánosan hozzáférhetők azok az információk, amelyek nem tartoznak a korlátozott hozzáférésű információk kategóriájába.
23 Az említett törvény 5. cikke (1) bekezdésének előírása szerint korlátozott a hozzáférés azon információkhoz, amelyek címzettje a személyek korlátozott csoportja a szakmai feladataik vagy kötelezettségeik ellátása körében, és amelyek hozzáférhetővé tétele vagy véletlen elvesztése - a jellegükből és a tartalmukból adódóan - akadályozza vagy akadályozhatja a hatóságok tevékenységét, illetve sérti vagy sértheti a személyek törvény által védett érdekeit. E cikk a (2) bekezdésében kiemeli, hogy az információk korlátozott hozzáférésű információnak minősülnek többek között akkor, ha azt törvény írja elő, a (6) bekezdésében pedig kimondja, hogy a már közzétett információk nem tekinthetők korlátozott hozzáférésű információknak.
24 Ugyanezen törvény 10. cikkének (3) bekezdése szerint a nyilvánosság számára hozzáférhető információk közlésére kérelem alapján kerülhet sor, és a kérelmezőnek nem kell konkrét indokolást nyújtania az ezen információkhoz való hozzáféréshez fűződő érdekéről, továbbá az információkhoz való hozzáférés nem tagadható meg tőle azzal az indokkal, hogy azok őt nem érintik.
25 Az 1997. október 1-jei Ceļu satiksmes likums (közúti közlekedési törvény, Latvijas Vēstnesis, 1997, 274/276. sz.) alapügyre alkalmazandó változatának (a továbbiakban: közúti közlekedési törvény) a "Hozzáférés a gépjárművek és gépjárművezetők nemzeti nyilvántartásában tárolt információkhoz [...]" című 14.1. cikke a (2) bekezdésében a következőket mondja ki:
"[...] valamely személy gépjárművezetéshez való jogára, valamely személlyel szemben közlekedési jogsértések elkövetése miatt kivetett és a törvényes határidőn belül megfizetni elmulasztott bírságokra vonatkozó információt, valamint a gépjárművek és gépjárművezetők nemzeti nyilvántartásába [...] bejegyzett egyéb információkat nyilvánosan hozzáférhető információnak kell tekinteni."
26 A közúti közlekedési törvénynek "A büntetőpontok rendszere" című 43. cikke az (1) bekezdésében a következőképpen rendelkezik:
"A gépjárművezetők magatartásának a biztonságos járművezetés és a közlekedési szabályok betartásának előmozdítása révén való befolyásolása, valamint a személyek életét, egészségét és tulajdonát érintő kockázatok lehető legnagyobb mértékű csökkentése érdekében a gépjárművezetők által elkövetett közigazgatási jogsértéseket be kell jegyezni a bűnügyi nyilvántartásba, a büntetőpontokat pedig a gépjárművek és gépjárművezetők nemzeti nyilvántartásába."
27 A 2004. június 21-i Ministru kabineta noteikumi Nr. 551 "Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi" (a büntetőpontok rendszerének végrehajtási szabályairól szóló 551. sz. minisztertanácsi rendelet, Latvijas Vēstnesis, 2004, 102. sz.) 1. és 4. pontja értelmében a gépjárművezetők által a közúti közlekedésben elkövetett közigazgatási jogsértések miatt kiszabott büntetőpontok bejegyzésére a közigazgatási szankciót kiszabó határozattal szembeni jogorvoslati határidő lejártának napján automatikusan sor kerül.
28 E rendelet 7. pontja szerint a büntetőpontokat az elévülésüket követően törlik a nyilvántartásból.
29 Az említett rendelet 12. pontja értelmében a gépjárművezetőkkel szemben a büntetőpontok számától függően különböző intézkedéseket - így figyelmeztetést, a közúti közlekedés biztonságával kapcsolatos képzéseket vagy vizsgákat, illetve a járművezetéstől meghatározott időre való eltiltást - kell alkalmazni.
30 Amint az az 1996. június 5-i Satversmes tiesas likums (az alkotmánybíróságról szóló törvény, Latvijas Vēstnesis, 1996, 103. sz.) 32. cikkének (1) bekezdéséből kitűnik, a Latvijas Republikas Satversmes tiesa (alkotmánybíróság, Lettország) ítélete a kihirdetésének időpontjától jogerős és végrehajtható. E törvény 32. cikkének (3) bekezdése értelmében a Latvijas Republikas Satversmes tiesa (alkotmánybíróság) által valamely magasabb szintű jogszabállyal össze nem egyeztethetőnek nyilvánított jogi rendelkezést az e bíróság által hozott ítélet közzétételének időpontjától semmisnek kell tekinteni, hacsak e bíróság másként nem határoz.
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
31 B természetes személy, akivel szemben egy vagy több közúti közlekedési jogsértés miatt büntetőpontokat szabtak ki. A közúti közlekedési törvénnyel és a 2004. június 21-i 551. sz. rendelettel összhangban a Ceļu satiksmes drošības direkcija (közúti közlekedésbiztonsági igazgatóság, Lettország, a továbbiakban: CSDD) e büntetőpontokat bejegyezte a gépjárművek és gépjárművezetők nemzeti nyilvántartásába.
32 Mivel az e nyilvántartásban szereplő, az említett büntetőpontokra vonatkozó információk nyilvánosan hozzáférhetőek, és B szerint azokat egyébiránt további felhasználás céljából több gazdasági szereplő részére továbbították, B alkotmányjogi panasszal fordult a Latvijas Republikas Satversmes tiesához (alkotmánybíróság) annak érdekében, hogy az megvizsgálja a közúti közlekedési törvény 14.1. cikke (2) bekezdésének a lett alkotmány 96. cikkében foglalt, a magánélet tiszteletben tartásához való alapvető joggal való összhangját.
33 Az eljárásban a közúti közlekedési törvényt elfogadó intézményként a Latvijas Republikas Saeima (a Lett Köztársaság parlamentje, a továbbiakban: lett parlament) is részt vett. Egyébiránt meghallgatták a közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó adatokat kezelő CSDD-t, ahogyan a Lettországban az általános adatvédelmi rendelet 51. cikke értelmében vett felügyeleti hatóság szerepét betöltő Datu valsts inspekciját (adatvédelmi hatóság), valamint több más hatóságot és személyt is.
34 Az alapeljárás keretében a lett parlament megerősítette, hogy a közúti közlekedési törvény 14.1. cikkének (2) bekezdése értelmében bárki információkat szerezhet egy másik személlyel szemben kiszabott büntetőpontokról akár oly módon, hogy közvetlenül a CSDD-hez fordul, akár az adatok kereskedelmi célú további felhasználását végző szolgáltatók szolgáltatásainak igénybevétele útján.
35 Hangsúlyozta, hogy e rendelkezés jogszerű, mivel azt a közúti közlekedésbiztonság javításának célkitűzése igazolja. Ezen általános érdek megköveteli, hogy a közlekedési jogsértést elkövetőket - és különösen azokat, akik rendszeresen és rosszhiszeműen sértik meg a közlekedési szabályokat - nyíltan azonosítsák, a gépjárművezetőket pedig ezen átláthatóság révén visszatartsák a jogsértések elkövetésétől.
36 Az említett rendelkezést egyébiránt a lett alkotmányban előírt, az információkhoz való hozzáférés joga is igazolja.
37 A lett parlament kifejtette, hogy a gyakorlatban a gépjárművek és gépjárművezetők nemzeti nyilvántartásában szereplő információ közlésének az a feltétele, hogy az információt kérő személy megadja azon gépjárművezető nemzeti azonosító számát, akiről érdeklődni kíván. Az információ megszerzésének ezen előfeltételét az indokolja, hogy valamely személy nevétől eltérően - amely név megegyezhet más személyek nevével - a nemzeti azonosító szám egyedi azonosítónak minősül.
38 A CSDD a maga részéről rámutatott arra, hogy a közúti közlekedési törvény 14.1. cikkének (2) bekezdése nem ír elő korlátozásokat sem a büntetőpontokra vonatkozó adatokhoz való nyilvános hozzáférést, sem ezen adatok további felhasználását illetően. A kereskedelmi célú további felhasználást végző személyekkel kötött szerződéseit illetően a CSDD hangsúlyozta, hogy e szerződések nem rendelkeznek az adatok jogi átruházásáról, valamint hogy a további felhasználást végzőknek biztosítaniuk kell, hogy az ügyfeleiknek továbbított információk nem terjednek túl a CSDD-től megszerezhető információk körén. Ezenfelül e szerződések keretében az információk vevője nyilatkozik arról, hogy az információkat a szerződésben foglalt céloknak megfelelően és a hatályos szabályozás tiszteletben tartásával használja fel.
39 A Datu valsts inspekcija (adatvédelmi hatóság) kétségeit fejezte ki a közúti közlekedési törvény 14.1. cikke (2) bekezdésének a lett alkotmány 96. cikkével való összeegyeztethetőségét illetően, amely rendelkezés a magánélet tiszteletben tartásához való jogról rendelkezik. Álláspontja szerint nem egyértelmű az alapügyben vitatott rendelkezés alapján végzett adatkezelés terjedelme és célja, ezért nem zárható ki, hogy az adatkezelés alkalmatlan vagy aránytalan lehet. Ugyanis, bár a lettországi közúti balesetekre vonatkozó statisztikák a balesetek számának csökkenését mutatják, nincs bizonyíték arra, hogy a büntetőpontok rendszere és az azzal kapcsolatos információkhoz való nyilvános hozzáférés hozzájárult ehhez a kedvező fejleményhez.
40 A Latvijas Republikas Satversmes tiesa (alkotmánybíróság) mindenekelőtt megjegyzi, hogy az eljárás csak annyiban érinti a közlekedési törvény 14.1. cikkének (2) bekezdését, amennyiben ez a rendelkezés a gépjárművek és gépjárművezetők nemzeti nyilvántartásába bejegyzett büntetőpontokat a nyilvánosság számára hozzáférhetővé teszi.
41 E bíróság ezt követően rámutat arra, hogy a büntetőpontok személyes adatnak minősülnek, és a magánélet tiszteletben tartásához való, a lett alkotmány 96. cikkében előírt jog értékelése során figyelembe kell venni az általános adatvédelmi rendeletet, valamint általánosabban az EUMSZ 16. cikket és a Charta 8. cikkét.
42 A közúti közlekedés területére vonatkozó lett szabályozás célkitűzéseivel kapcsolatban az említett bíróság kifejti, hogy a gépjárművezetők által elkövetett jogsértéseket - amelyek Lettországban közigazgatási jellegű jogsértéseknek minősülnek - különösen azzal a céllal jegyzik be a bűnügyi nyilvántartásba, a büntetőpontokat pedig a gépjárművek és gépjárművezetők nemzeti nyilvántartásába, hogy előmozdítsák a közúti közlekedés biztonságát.
43 Ami konkrétan a gépjárművek és gépjárművezetők nemzeti nyilvántartását illeti, e nyilvántartás az elkövetett közúti közlekedési jogsértések számának megismerését és e jogsértések számától függően intézkedések végrehajtását teszi lehetővé. Az e nyilvántartásba bejegyzett büntetőpontok rendszerének célja tehát az, hogy javítsa a közúti közlekedésbiztonságot azáltal, hogy egyrészt lehetővé teszi a különbségtételt a közúti közlekedési szabályokat rendszeresen és rosszhiszeműen figyelmen kívül hagyó gépjárművezetők, és azon gépjárművezetők között, akik alkalmanként követnek el jogsértéseket. Másrészt egy ilyen rendszer arra is alkalmas, hogy megelőző jelleggel befolyásolja az úthasználók magatartását azáltal, hogy a közúti közlekedésre vonatkozó szabályozás tiszteletben tartására ösztönzi őket.
44 Ugyanezen bíróság megjegyzi, hogy nem vitatott, hogy a közúti közlekedési törvény 14.1. cikkének (2) bekezdése bárkinek biztosítja a jogot, hogy a CSDD-től kérje és megkapja a gépjárművek és gépjárművezetők nemzeti nyilvántartásában a gépjárművezetőkkel szemben kiszabott büntetőpontokra vonatkozóan szereplő információkat. E bíróság e tekintetben megerősíti, hogy a gyakorlatban ezeket az információkat akkor közlik az azokat kérő személlyel, ha az megjelöli az érintett gépjárművezető nemzeti azonosító számát.
45 A Latvijas Republikas Satversmes tiesa (alkotmánybíróság) ezt követően pontosítja, hogy a büntetőpontok, mivel nyilvánosan hozzáférhető információnak minősülnek, az információ nyilvánosságra hozataláról szóló törvény hatálya alá tartoznak, és így az információ létrehozásának eredeti céljától eltérő kereskedelmi vagy nem kereskedelmi célokra további felhasználás tárgyát képezhetik.
46 A lett alkotmány 96. cikkének az uniós joggal összhangban történő értelmezése és alkalmazása érdekében e bíróság először is azt kívánja megtudni, hogy a büntetőpontokra vonatkozó információk az általános adatvédelmi rendelet 10. cikke szerinti, a "büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok[nak]" minősülnek-e. Igenlő válasz esetén úgy lehetne tekinteni, hogy a közúti közlekedési törvény 14.1. cikkének (2) bekezdése sérti az említett 10. cikkben foglalt azon követelményt, amely szerint az e rendelkezésben említett adatok kezelésére csak "közhatalmi szerv felügyelete alatt" vagy "az érintett jogai és szabadságai tekintetében megfelelő garanciá[k]" mellett kerülhet sor.
47 Az említett bíróság megjegyzi, hogy a 95/46 irányelv 8. cikkének (5) bekezdését - amely a tagállamokra bízta annak értékelését, hogy a bűncselekményekre és büntetőítéletekre vonatkozó adatokra irányadó különös szabályokat ki kell-e terjeszteni a közigazgatási jogsértésekre és szankciókra is - Lettországban 2007. szeptember 1-jei hatállyal oly módon ültették át, hogy a közigazgatási jogsértésekre vonatkozó személyes adatokat - a bűncselekményekre és büntetőítéletekre vonatkozó adatokhoz hasonlóan - csak a törvény által meghatározott személyek és a törvény által meghatározott körülmények között kezelhetik.
48 Ugyanezen bíróság egyébiránt hangsúlyozza, hogy az általános adatvédelmi rendelet 10. cikkének hatályát e rendelet (4) preambulumbekezdésével összhangban az alapvető jogok társadalomban betöltött szerepének figyelembevételével kell vizsgálni. Márpedig ebben az összefüggésben az annak biztosítására irányuló célkitűzés, hogy valamely személy korábbi elítélése ne gyakoroljon túlzottan negatív hatást a magánéletére és szakmai életére, a büntetőítéletekre és a közigazgatási jogsértésekre egyaránt vonatkozhat. Ebben az összefüggésben figyelembe kell venni az Emberi Jogok Európai Bíróságának bizonyos közigazgatási ügyek büntetőügyekkel azonos kezelésére vonatkozó ítélkezési gyakorlatát.
49 A Latvijas Republikas Satversmes tiesa (alkotmánybíróság) másodszor az általános adatvédelmi rendelet 5. cikkének hatályát kívánja meghatározni. Közelebbről, felteszi a kérdést, hogy a lett jogalkotó eleget tett-e az e cikk (1) bekezdésének f) pontjában foglalt azon kötelezettségnek, amely szerint a személyes adatokat az "integritás és bizalmas jelleg" tiszteletben tartásával kell kezelni. Megjegyzi, hogy a közúti közlekedési törvény 14.1. cikkének (2) bekezdéséhez, amely a büntetőpontokra vonatkozó információkhoz való hozzáférés biztosítása révén lehetővé teszi annak megállapítását, hogy valakit közúti közlekedési jogsértés miatt elítéltek-e, nem kapcsolódnak az ilyen adatok biztonságát biztosító különös intézkedések.
50 E bíróság harmadszor azt kívánja megtudni, hogy a 2003/98 irányelv releváns-e a közúti közlekedési törvény 14.1. cikke (2) bekezdésének a magánélet tiszteletben tartásához való joggal való összeegyeztethetőségének vizsgálata szempontjából. Ezen irányelvből ugyanis az következik, hogy a személyes adatok további felhasználása kizárólag az említett jog tiszteletben tartása mellett engedhető meg.
51 Negyedszer, a Bíróság azon ítélkezési gyakorlatára tekintettel, amely szerint az uniós jog előzetes döntéshozatali eljárásban történő értelmezése erga omnes és ex tunc hatállyal bír, az említett bíróságban felmerül a kérdés, hogy amennyiben a közúti közlekedési törvény 14.1. cikkének (2) bekezdése a lett alkotmánynak - az általános adatvédelmi rendelet és a Charta fényében értelmezett - 96. cikkével összeegyeztethetetlennek minősül, fenntarthatja-e ennek ellenére a 14.1. cikk (2) bekezdésének időbeli hatályát az ítélete kihirdetésének időpontjáig a szóban forgó jogviszonyok nagy számára tekintettel.
52 E tekintetben a Latvijas Republikas Satversmes tiesa (alkotmánybíróság) kifejti, hogy a lett jog értelmében az általa alkotmányellenesnek nyilvánított jogi aktus az ítélete kihirdetésének napjától hatályát veszti, hacsak ettől eltérően nem határoz. Előadja, hogy e tekintetben egyensúlyt kell biztosítania egyrészt a jogbiztonság elve, másrészt pedig a különböző érintett felek alapvető jogai között.
53 E körülmények között a Latvijas Republikas Satversmes tiesa (a Lett Köztársaság alkotmánybírósága) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
"1) Úgy kell-e értelmezni az általános adatvédelmi rendelet 10. cikkében használt, »a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatok kezelésének« fogalmát, hogy az kiterjed a szóban forgó szabályban előírt, a gépjárművezetőkkel szemben közlekedési jogsértésért kiszabott büntetőpontokra vonatkozó információ kezelésére?
2) Az első kérdésre adandó választól függetlenül, értelmezhetők-e úgy az általános adatvédelmi rendeletben foglalt rendelkezések, különösen az 5. cikke (1) bekezdésének f) pontjában szereplő »integritás és bizalmas jelleg« elve, hogy azok megtiltják a tagállamok számára annak előírását, hogy a gépjárművezetőkkel szemben közlekedési jogsértésért kiszabott büntetőpontokra vonatkozó információ nyilvánosan hozzáférhető legyen, és a vonatkozó adatok közléssel megvalósuló kezelésének lehetővé tételét?
3) Úgy kell-e értelmezni az általános adatvédelmi rendelet (50) és (154) preambulumbekezdését, 5. cikke (1) bekezdésének b) pontját és 10. cikkét, valamint a 2003/98 irányelv 1. cikke (2) bekezdésének cc) pontját, hogy azokkal ellentétes az olyan tagállami szabályozás, amely lehetővé teszi a gépjárművezetőkkel szemben közlekedési jogsértésért kiszabott büntetőpontokra vonatkozó információ további felhasználás céljából történő továbbítását?
4) Amennyiben valamelyik fenti kérdésre igenlő válasz adandó, úgy kell-e értelmezni az uniós jog elsőbbségének és a jogbiztonság elvét, hogy lehetővé tehető a szóban forgó szabály alkalmazása és joghatásainak fenntartása addig az időpontig, amíg a Satversmes tiesa (alkotmánybíróság) által hozott végleges határozat jogerőre nem emelkedik?"
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az első kérdésről
54 Első kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 10. cikkét úgy kell-e értelmezni, hogy azt alkalmazni kell a gépjárművezetőkkel szemben közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatoknak az ilyen adatok nyilvánosság számára való hozzáférhetővé tételével megvalósuló kezelésére.
55 Az általános adatvédelmi rendelet 10. cikke értelmében a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatoknak a 6. cikk (1) bekezdése alapján történő kezelésére kizárólag abban az esetben kerülhet sor, ha az közhatalmi szerv felügyelete alatt történik, vagy ha az adatkezelést az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós vagy tagállami jog lehetővé teszi.
56 Ezért előzetesen meg kell vizsgálni, hogy az alapügy tárgyát képező szabályozás alapján harmadik személyekkel közölt, büntetőpontokra vonatkozó információk az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett "személyes adatoknak" minősülnek-e, valamint hogy az említett közlés az ilyen adatokra vonatkozó, az e rendelet 4. cikkének 2. pontja értelmében vett - és így e rendeletnek a 2. cikkben meghatározott tárgyi hatálya alá tartozó - "adatkezelésnek" minősül-e.
57 E tekintetben először is meg kell állapítani, hogy az előzetes döntéshozatalra utaló határozatból kitűnik, hogy a lett szabályozás büntetőpontok kiszabását írja elő azon gépjárművezetőkkel szemben, akik közúti közlekedési jogsértést követtek el, és akikkel szemben bírságot vagy egyéb szankciót alkalmaztak. E pontokat egy közhatalmi szerv, a CSDD az e szankciót kiszabó határozattal szembeni jogorvoslati határidő lejártának napján bejegyzi a gépjárművek és gépjárművezetők nemzeti nyilvántartásába.
58 Az említett határozatból emellett kitűnik, hogy a közúti közlekedési jogsértések és az azok visszaszorítására irányuló szankciók Lettországban a közigazgatási jog hatálya alá tartoznak, és a büntetőpontok kiszabásának nem az a célja, hogy további szankciókat alkalmazzanak, hanem hogy növeljék az érintett gépjárművezetők tudatosságát azáltal, hogy biztonságosabb járművezetési módok alkalmazására ösztönzik őket. Bizonyos számú büntetőpont elérése esetén az érintett személlyel szemben meghatározott ideig járművezetéstől való eltiltás alkalmazható.
59 E határozatból kitűnik továbbá, hogy az alapügy tárgyát képező szabályozás kötelezi a CSDD-t a meghatározott gépjárművezetővel szemben kiszabott büntetőpontokra vonatkozó információk minden olyan személlyel való közlésére, aki ezen információkhoz hozzáférést kér. A CSDD e célból mindössze azt követeli meg, hogy az említett információk kérelmezője megfelelő módon azonosítsa az érintett gépjárművezetőt, megjelölve annak nemzeti azonosító számát.
60 Meg kell tehát állapítani, hogy az azonosított természetes személy büntetőpontjaira vonatkozó információk az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett "személyes adatok", valamint hogy azok CSDD általi, harmadik személyekkel való közlése az általános adatvédelmi rendelet 4. cikkének 2. pontja értelmében vett "adatkezelésnek" minősül.
61 Másodszor meg kell állapítani, hogy ezen információk közlése az általános adatvédelmi rendeletnek az e rendelet 2. cikke (1) bekezdésében rendkívül tágan meghatározott tárgyi hatálya alá tartozik, és nem szerepel azon személyesadat-kezelések között, amelyeket az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) és d) pontja kizár e rendelet hatálya alól.
62 Ami ugyanis egyrészt az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontját illeti, e rendelkezés előírása szerint e rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt "az uniós jog hatályán kívül eső tevékenységek során" végzik. Az általános adatvédelmi rendelet alkalmazhatósága alóli e kivételt az e rendelet 2. cikkének (2) bekezdésében szereplő többi kivételhez hasonlóan szigorúan kell értelmezni (lásd ebben az értelemben: 2020. július 9-iLand Hessen ítélet, C-272/19, EU:C:2020:535, 68. pont; 2020. július 16-iFacebook Ireland és Schrems ítélet, C-311/18, EU:C:2020:559, 84. pont).
63 E tekintetben e rendelet 2. cikke (2) bekezdésének a) pontját ugyanezen rendelet 2. cikke (2) bekezdésének b) pontjával és (16) preambulumbekezdésével összefüggésben kell értelmezni, amely utóbbi pontosítja, hogy az említett rendelet nem alkalmazandó a személyes adatok olyan "tevékenységekkel kapcsolatos [kezelésére], amelyek az uniós jog hatályán kívül esnek, mint például a nemzetbiztonsággal kapcsolatos tevékenységek", vagy "amelyeket [...] az Unió közös kül- és biztonságpolitikájával összefüggésben végeznek".
64 Ebből következik, hogy az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) és b) pontja részben a 95/46 irányelv 3. cikke (2) bekezdése első francia bekezdésének folytatásaként tekinthető. Ebből fakadóan az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) és b) pontja nem értelmezhető úgy, hogy az szélesebb hatállyal rendelkezik, mint a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdéséből eredő kivétel, amely már kizárta ezen irányelv hatálya alól többek között a személyes adatok olyan kezelését, amelyet "a közösségi jog hatályán kívül eső tevékenységek, mint például az [EU-Szerződés Lisszaboni Szerződést megelőző változatának] V. és VI. címeiben megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal [...] kapcsolatos feldolgozási [helyesen: kezelési] műveletek" keretében végeznek.
65 Márpedig, amint azt a Bíróság több ízben megállapította, kizárólag az államnak vagy az állami hatóságoknak az említett 3. cikk (2) bekezdésében kifejezetten említett vagy ugyanezen kategóriába tartozónak tekinthető sajátos tevékenységei keretében végzett személyesadat-kezelés tartozik az említett irányelv hatálya alóli kivétel alá (lásd ebben az értelemben: 2003. november 6-iLindqvist ítélet, C-101/01, EU:C:2003:596, 42-44. pont; 2017. szeptember 27-iPuškár ítélet, C-73/16, EU:C:2017:725, 36. és 37. pont; 2018. július 10-iJehovan todistajat ítélet, C-25/17, EU:C:2018:551, 38. pont).
66 Ebből következik, hogy az általános adatvédelmi rendelet 2. cikke (2) bekezdésének az e rendelet (16) preambulumbekezdésével összefüggésben értelmezett a) pontját úgy kell tekinteni, hogy annak egyedüli célja az, hogy kizárja az említett rendelet hatálya alól a személyes adatok olyan kezelését, amelyet az állami hatóságok a nemzetbiztonság megóvására irányuló vagy ugyanezen kategóriába tartozónak tekinthető tevékenység keretében végeznek, így önmagában az, hogy egy tevékenység az állam vagy valamely közhatalmi szerv sajátos tevékenysége, nem elegendő ahhoz, hogy ezt a kivételt automatikusan alkalmazni lehessen erre a tevékenységre (lásd ebben az értelemben: 2020. július 9-iLand Hessen ítélet, C-272/19, EU:C:2020:535, 70. pont).
67 A nemzetbiztonság védelmére irányuló tevékenységek, amelyekre az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontja vonatkozik, különösen azokat a tevékenységeket foglalják magukba - amint arra lényegében a főtanácsnok az indítványának 57. és 58. pontjában ugyancsak rámutatott -, amelyek célja az alapvető állami funkcióknak és a társadalom alapvető érdekeinek a védelme.
68 Márpedig a közúti közlekedés biztonságával kapcsolatos tevékenységek nem ilyen célkitűzés megvalósítására irányulnak, és következésképpen nem sorolhatók az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontja szerinti azon tevékenységek kategóriájába, amelyek célja a nemzetbiztonság megőrzése.
69 Ami másrészt az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontját illeti, az előírja, hogy e rendelet nem alkalmazandó a személyes adatok olyan kezelésére, amelyet "az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából [végeznek], ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését". Amint az az említett rendelet (19) preambulumbekezdéséből következik, e kivételt az a körülmény indokolja, hogy a személyes adatok illetékes hatóságok általi, ilyen célból történő kezelésére külön uniós jogi aktus, nevezetesen a 2016/680 irányelv az irányadó, amelyet ugyanazon a napon fogadtak el, mint az általános adatvédelmi rendeletet, és amely a 3. cikkének 7. pontjában meghatározza, hogy mit kell "illetékes hatóság" alatt érteni, amely meghatározást analógia útján a 2. cikk (2) bekezdésének d) pontja tekintetében is alkalmazni kell.
70 A 2016/680 irányelv (10) preambulumbekezdéséből kitűnik, hogy az "illetékes hatóság" fogalmát a személyes adatoknak a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén megvalósuló védelmével összefüggésben kell értelmezni, figyelembe véve azon kiigazításokat, amelyek e területek sajátos természetéből adódóan e tekintetben szükségessé válhatnak. Ezen irányelv (11) preambulumbekezdése ezenfelül pontosítja, hogy az általános adatvédelmi rendeletet kell alkalmazni, amennyiben a személyes adatokat az említett irányelv 3. cikkének 7. pontja értelmében vett "illetékes hatóság" az irányelv céljaitól eltérő célból kezeli.
71 A Bíróság rendelkezésére álló információkra figyelemmel nem tűnik ki, hogy az alapügyben szóban forgó - a büntetőpontokra vonatkozó személyes adatoknak a közúti közlekedés biztonsága céljából történő, nyilvánosság számára való hozzáférhetővé tételében álló - tevékenységek gyakorlása során a CSDD a 2016/680 irányelv 3. cikkének 7. pontja értelmében vett "illetékes hatóságnak" lenne tekinthető, és következésképpen hogy e tevékenységek az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontjában szereplő kivétel hatálya alá tartoznának.
72 Ennélfogva az általános adatvédelmi rendelet tárgyi hatálya kiterjed a gépjárművezetőkkel szemben közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatok CSDD általi közlésére.
73 Ami az általános adatvédelmi rendelet 10. cikkének az ilyen közlésre való alkalmazhatóságát illeti, az a kérdés merül fel, hogy az ily módon közölt információk az e rendelkezés értelmében vett, "a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó" személyes adatoknak minősülnek-e, amelyek kezelésére "kizárólag abban az esetben kerülhet sor, ha az közhatalmi szerv felügyelete alatt történik", hacsak ezen adatkezelést "az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós vagy tagállami jog lehetővé [nem] teszi".
74 E tekintetben emlékeztetni kell arra, hogy az említett 10. cikk célja, hogy fokozott védelmet biztosítson az olyan adatkezeléssel szemben, amely a szóban forgó adatok különösen érzékeny jellege folytán különösen súlyos beavatkozást jelenthet a magánélet tiszteletben tartásához és a személyes adatok védelméhez való, a Charta 7. és 8. cikkében biztosított alapvető jogokba (lásd ebben az értelemben: 2019. szeptember 24-iGC és társai [A különleges adatokra mutató linkek törlése] ítélet, C-136/17, EU:C:2019:773, 44. pont).
75 Mivel ugyanis azok az adatok, amelyekre az általános adatvédelmi rendelet 10. cikke utal, a társadalom helytelenítésével járó magatartásokra vonatkoznak, az ilyen adatokhoz való hozzáférés biztosítása megbélyegezheti az érintett személyt, és ezáltal a magánéletébe vagy szakmai életébe való súlyos beavatkozást képezhet.
76 A jelen esetben igaz, hogy a lett hatóságoknak a közúti közlekedési jogsértések visszaszorítására irányuló határozatait - amint azt a lett kormány a Bíróság kérdéseire adott válaszaiban hangsúlyozta - a bűnügyi nyilvántartásba jegyzik be - amelyhez a nyilvánosság csak korlátozott esetekben fér hozzá -, és nem a gépjárművek és gépjárművezetők nyilvántartásába, amelyhez a közúti közlekedési törvény 14.1. cikkének (2) bekezdése szabad hozzáférést biztosít. Ugyanakkor, amint azt a kérdést előterjesztő bíróság hangsúlyozta, a büntetőpontokra vonatkozó és az utóbbi nyilvántartásba bejegyzett személyes adatok CSDD általi közlése révén a nyilvánosság tudomást szerezhet arról, hogy egy meghatározott személy közúti közlekedési jogsértést követett-e el, és amennyiben igen, az e jogsértések súlyosságára és gyakoriságára vonatkozó következtetést is levonhat. A büntetőpontok közlésére vonatkozó ilyen rendszer tehát hozzáférést biztosít a közúti közlekedési jogsértésekre vonatkozó személyes adatokhoz.
77 Annak meghatározása érdekében, hogy az ilyen hozzáférés az általános adatvédelmi rendelet 10. cikke értelmében vett "bűncselekményekre" vonatkozó személyes adatok kezelésének minősül-e, először is meg kell jegyezni, hogy e fogalom kizárólag a büntetőjog körébe tartozó jogsértésekre utal, amint az többek között az általános adatvédelmi rendelet keletkezésének körülményeiből következik. Míg ugyanis az Európai Parlament azt javasolta, hogy e rendelkezésben kifejezetten szerepeltessék a "közigazgatási szankciók" kifejezést (HL 2017. C 378., 430. o.), e javaslatot nem fogadták el. Ez a körülmény annál is inkább figyelemreméltó, hogy az általános adatvédelmi rendelet 10. cikkét megelőző rendelkezés, vagyis a 95/46 irányelv 8. cikkének (5) bekezdése - amely az első albekezdésében "bűncselekményekre" és "büntetőítéletekre" hivatkozott -, a második albekezdésében biztosította a tagállamok számára az arról való rendelkezés lehetőségét, hogy "a közigazgatási szankciókkal vagy polgári ügyekben hozott határozatokkal kapcsolatos adatokat szintén csak a hatóság ellenőrzésével lehessen feldolgozni [helyesen: kezelni]". E 8. cikk (5) bekezdése egészének olvasatából tehát világosan következik, hogy a "bűncselekmények" fogalma kizárólag a büntetőjog körébe tartozó jogsértésekre vonatkozott.
78 E körülmények között meg kell állapítani, hogy az uniós jogalkotó azzal, hogy szándékosan mellőzte a "közigazgatási" jelzőnek az általános adatvédelmi rendelet 10. cikkébe való felvételét, az e rendelkezésben előírt fokozott védelmet kizárólag a büntetőjog területén kívánta fenntartani.
79 Ezt az értelmezést erősíti meg, hogy - amint arra a főtanácsnok az indítványának 74-77. pontjában rámutatott - az általános adatvédelmi rendelet 10. cikkének több nyelvi változata - így a német (Straftaten), a spanyol (infracciones penales), az olasz (reati), a litván (nusikalstamas veikas), a máltai (reati) és a holland (strafbare feiten) nyelvi változat - kifejezetten "bűncselekményekre" utal.
80 Másodszor, az, hogy a közúti közlekedési jogsértések Lettországban közigazgatási jellegű jogsértésnek minősülnek, nem meghatározó annak értékelése szempontjából, hogy e jogsértések az általános adatvédelmi rendelet 10. cikkének hatálya alá tartoznak-e.
81 E tekintetben emlékeztetni kell arra, hogy a jelentésének és hatályának meghatározása érdekében a tagállamok jogára kifejezett utalást nem tartalmazó uniós jogi rendelkezést önállóan és egységesen kell értelmezni az egész Unióban (2000. szeptember 19-iLinster ítélet, C-287/98, EU:C:2000:468, 43. pont; 2019. október 1-jei Planet49 ítélet, C-673/17, EU:C:2019:801, 47. pont).
82 A jelen esetben mindenekelőtt rá kell mutatni arra, hogy az általános adatvédelmi rendelet semmilyen utalást nem tartalmaz a nemzeti jogokra az e rendelet 10. cikkében szereplő kifejezések, különösen a "bűncselekmények" és a "büntetőjogi felelősség megállapítására vonatkozó határozatok" kifejezések terjedelmét illetően.
83 Ezt követően az általános adatvédelmi rendelet (10) preambulumbekezdéséből kitűnik, hogy e rendelet célja, hogy hozzájáruljon a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség megteremtéséhez azáltal, hogy a személyes adatok kezelésével összefüggésben biztosítja a természetes személyek következetes és magas szintű védelmét, ami feltételezi, hogy e védelem szintje minden tagállamban azonos és egységes legyen. Márpedig e céllal ellentétes lenne, ha az e rendelkezésben előírt fokozott védelem csupán bizonyos tagállamokban lenne alkalmazandó a közúti közlekedési jogsértésekkel kapcsolatos személyes adatok kezelésére, más tagállamokban azonban nem, kizárólag azon az alapon, hogy e jogsértések az utóbbi tagállamokban nem minősülnek bűncselekménynek.
84 Végül, amint arra a főtanácsnok az indítványának 84. pontjában rámutatott, ezt a megállapítást a 2016/680 irányelv (13) preambulumbekezdése is megerősíti, amely szerint a "bűncselekmény ezen irányelv értelmében vett fogalma az Európai Unió Bírósága [...] általi értelmezésnek megfelelő, önálló uniós jogi fogalomnak minősül".
85 Ebből következik, hogy a "bűncselekmény" fogalmát, amely döntő fontosságú az általános adatvédelmi rendelet 10. cikkének a közúti közlekedési jogsértésekre vonatkozó, az alapügyben szereplőhöz hasonló személyes adatokra való alkalmazhatóságának meghatározásához, az Unió egész területén önállóan és egységesen kell értelmezni, figyelembe véve az e rendelkezés által követett célt, valamint azon összefüggést, amelybe e rendelkezés illeszkedik, anélkül hogy e tekintetben meghatározó lenne e jogsértések érintett tagállam általi minősítése, mivel e minősítés tagállamonként eltérő lehet (lásd ebben az értelemben: 2013. november 14-iBaláž ítélet, C-60/12, EU:C:2013:733, 26. és 35. pont).
86 Harmadszor, meg kell vizsgálni, hogy az olyan közúti közlekedési jogsértések, amelyek a büntetőpontoknak - amelyek harmadik személyekkel való közlését a vitatott rendelkezés előírja - a gépjárművek és gépjárművezetők nyilvántartásába való bejegyzését eredményezik, az általános adatvédelmi rendelet 10. cikke értelmében vett "bűncselekménynek" minősülnek-e.
87 A Bíróság ítélkezési gyakorlata szerint három kritérium releváns a jogsértés büntetőjogi jellegének értékelése során. Az első a jogsértés belső jog szerinti jogi minősítése, a második a jogsértés jellege, a harmadik pedig az érintett személlyel szemben kiszabható szankció súlya (lásd ebben az értelemben: 2012. június 5-iBonda ítélet, C-489/10, EU:C:2012:319, 37. pont; 2018. március 20-iGarlsson Real Estate és társai ítélet, C-537/16, EU:C:2018:193, 28. pont; 2021. február 2-iConsob ítélet, C-481/19, EU:C:2021:84, 42. pont).
88 Még azon jogsértések esetében is, amelyek a nemzeti jog szerint nem minősülnek "büntető jellegűnek", e jelleg megállapítására mindazonáltal a szóban forgó jogsértés jellegéből és a jogsértés miatt kiszabható szankció súlyából fakadóan is sor kerülhet (lásd ebben az értelemben: 2018. március 20-iGarlsson Real Estate és társai ítélet, C-537/16, EU:C:2018:193, 28. és 32. pont).
89 A jogsértés jellegére vonatkozó kritérium kapcsán azt kell megvizsgálni, hogy a szóban forgó szankció célja kifejezetten a megtorlásra irányul-e, és pusztán az, hogy megelőzésre irányuló célt is követ, nem foszthatja meg azt a büntetőjogi szankcióként való minősítéstől. A büntetőjogi szankciók ugyanis a jellegüknél fogva egyaránt szolgálják a jogellenes magatartás megtorlását és megelőzését. Ellenben egy olyan intézkedés, amely csupán az adott jogsértéssel okozott kár megtérítésére korlátozódik, nem ölt büntető jelleget (lásd ebben az értelemben: 2012. június 5-iBonda ítélet, C-489/10, EU:C:2012:319, 39. pont; 2018. március 20-iGarlsson Real Estate és társai ítélet, C-537/16, EU:C:2018:193, 33. pont). Márpedig nem vitatott, hogy büntetőpontok közúti közlekedési jogsértések miatti kiszabása - csakúgy, mint az e jogsértések elkövetése miatt kiszabható bírságok vagy egyéb szankciók - nem csupán az említett jogsértések által esetlegesen okozott károk megtérítésére, hanem emellett megtorlásra is irányul.
90 Ami az ugyanezen jogsértések elkövetése miatt kiszabható szankciók súlyára vonatkozó kritériumot illeti, mindenekelőtt rá kell mutatni arra, hogy kizárólag a bizonyos súllyal rendelkező közúti közlekedési jogsértések vonják maguk után büntetőpontok kiszabását, és következésképpen az ilyen jogsértések miatt kiszabható szankciók bizonyos súllyal rendelkeznek. A büntetőpontok kiszabása emellett általában hozzáadódik az ilyen jogsértés elkövetése esetén kiszabott szankcióhoz, amint arról egyébiránt - a jelen ítélet 58. pontjában foglaltakkal összhangban - az alapügy tárgyát képező jogszabály esetében is szó van. Végül, az említett pontok összege önmagában is jogkövetkezményeket - például vizsga letételére vonatkozó kötelezettséget vagy akár járművezetéstől való eltiltást - von maga után.
91 Ezt az elemzést az Emberi Jogok Európai Bíróságának ítélkezési gyakorlata is megerősíti, amely szerint bizonyos államokban a közúti közlekedési jogsértések "dekriminalizációjában" megnyilvánuló tendencia ellenére e jogsértéseket általában büntető jellegűnek kell tekinteni, figyelemmel arra, hogy a kiszabott szankciók és e szankciók súlyának foka egyaránt szolgálják a megtorlás és a megelőzés célkitűzését (lásd ebben az értelemben: EJEB, 1984. február 21., Öztürk kontra Németország, CE:ECHR:1984:0221JUD000854479, 49-53. §; 2007. június 29., O'Halloran és Francis kontra Egyesült Királyság, CE:ECHR:2007:0629JUD001580902, 33-36. §; 2016. október 4., Rivard kontra Svájc, CE:ECHR:2016:1004JUD002156312, 23. és 24. §).
92 Azoknak a közúti közlekedési jogsértéseknek az általános adatvédelmi rendelet 10. cikke értelmében vett "bűncselekményként" való minősítése, amelyek büntetőpontok kiszabását eredményezhetik, emellett e rendelkezés céljával is összhangban áll. A közúti közlekedési jogsértésekre - és többek között az e jogsértések elkövetése miatt kiszabott büntetőpontokra - vonatkozó személyes adatok nyilvánosság számára való hozzáférhetővé tétele - tekintettel arra, hogy az ilyen jogsértések veszélyeztetik a közúti közlekedés biztonságát - a társadalom általi helytelenítéshez és az érintett személy megbélyegzéséhez vezethet, különösen, ha e pontok az említett jogsértések bizonyos súlyát vagy gyakoriságát mutatják.
93 Ebből következik, hogy azok a közúti közlekedési jogsértések, amelyek büntetőpontok kiszabását eredményezhetik, az általános adatvédelmi rendelet 10. cikkében említett "bűncselekmények" fogalma alá tartoznak.
94 A fenti megfontolások összességére tekintettel az előterjesztett első kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 10. cikkét úgy kell értelmezni, hogy azt alkalmazni kell a gépjárművezetőkkel szemben közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatok kezelésére.
A második kérdésről
95 Második kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet rendelkezéseit úgy kell-e értelmezni, hogy azokkal ellentétes az olyan nemzeti jogszabály, amely a gépjárművezetőkkel szemben közúti közlekedési jogsértés miatt kiszabott büntetőpontok nyilvántartásának vezetésével megbízott közhatalmi szervet arra kötelezi, hogy ezeket az adatokat közölje minden olyan személlyel, aki erre vonatkozó kérelmet terjeszt elő, anélkül hogy igazolnia kellene az említett adatok megszerzéséhez fűződő különös érdekét.
96 E tekintetben emlékeztetni kell arra, hogy a személyes adatok bármely kezelésének egyrészt meg kell felelnie az általános adatvédelmi rendelet 5. cikkében kifejtett, az adatkezelésre vonatkozó elveknek, másrészt pedig teljesítenie kell az említett rendelet 6. cikkében felsorolt, az adatkezelés jogszerűségére vonatkozó kritériumok valamelyikét (lásd ebben az értelemben: 2019. január 16-iDeutsche Post ítélet, C-496/17, EU:C:2019:26, 57. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
97 Ami a személyes adatok kezelésére vonatkozó elveket illeti, igaz, hogy a kérdést előterjesztő bíróság különösen az általános adatvédelmi rendelet 5. cikke (1) bekezdésének f) pontjában rögzített "integritás" és "bizalmas jelleg" elvére hivatkozik. Mindemellett az említett bíróság kérdéseiből kitűnik, hogy e bíróság általánosabb jelleggel azt kívánja meghatározni, hogy a személyes adatok alapügyben szóban forgó kezelése jogszerűnek tekinthető-e az említett rendelet valamennyi rendelkezése, és különösen az arányosság elve szempontjából.
98 Ebből következik, hogy az e bíróság részére adandó válaszban figyelembe kell venni az említett rendelet 5. cikkének (1) bekezdésében kimondott többi elvet, és különösen az e rendelkezés c) pontjában szereplő "adattakarékosság" elvét is, amely szerint a személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lenniük, és a szükségesre kell korlátozódniuk, és amely az arányosság említett elvét fejezi ki (lásd ebben az értelemben: 2019. december 11-iAsociaţia de Proprietari bloc M5A-ScaraA ítélet, C-708/18, EU:C:2019:1064, 48. pont).
99 Ami az adatkezelés jogszerűségére vonatkozó elveket illeti, az általános adatvédelmi rendelet 6. cikke tartalmazza azon esetek kimerítő és korlátozó jellegű felsorolását, amelyekben a személyes adatok kezelése jogszerűnek minősíthető. Ebből következik, hogy ahhoz, hogy a személyes adatok kezelése jogszerűnek minősüljön, az említett 6. cikkben meghatározott esetek valamelyikébe kell tartoznia (lásd ebben az értelemben: 2019. december 11-iAsociaţia de Proprietari bloc M5A-ScaraA ítélet, C-708/18, EU:C:2019:1064, 37. és 38. pont). E tekintetben a személyes adatok alapügyben szóban forgó kezelése, vagyis a közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó adatok CSDD általi, nyilvánossággal való közlése az általános adatvédelmi rendelet 6. cikke (1) bekezdése e) pontjának hatálya alá tartozhat, amely rendelkezés értelmében az adatkezelés akkor és annyiban jogszerű, amennyiben az "közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges".
100 Ezenkívül, mivel - a jelen ítélet 94. pontjában megállapítottaknak megfelelően - a gépjárművezetőkkel szemben közúti közlekedési jogsértés miatt kiszabott büntetőpontokra vonatkozó személyes adatok az általános adatvédelmi rendelet 10. cikkének hatálya alá tartoznak, azok kezelése az e rendelkezésben előírt további korlátozások hatálya alá tartozik. Így e rendelkezéssel összhangban ezen adatok kezelésére "kizárólag abban az esetben kerülhet sor, ha az közhatalmi szerv felügyelete alatt történik", hacsak az adatkezelést "az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós vagy tagállami jog lehetővé [nem] teszi". Az említett rendelkezés egyébiránt pontosítja, hogy a "büntetőjogi felelősség megállapítására vonatkozó határozatok teljes körű nyilvántartása csak közhatalmi szerv által végzett adatkezelés keretében történhet".
101 A jelen esetben nem vitatott, hogy a személyes adatok alapügyben szóban forgó kezelését, vagyis a közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó adatok nyilvánossággal való közlését egy közhatalmi szerv, a CSDD végzi, amely az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett adatkezelőnek minősül (lásd analógia útján: 2017. március 9-iManni ítélet, C-398/15, EU:C:2017:197, 35. pont). Ugyanakkor az sem vitatott, hogy a közlést követően a közlést kérő személyek betekintést nyernek ezen adatokba, és azokat adott esetben tárolják vagy terjesztik. Amennyiben e további adatkezeléseket már nem a CSDD vagy más hatóság "felügyelete alatt" végzik, az említett adatok CSDD általi közlését engedélyező nemzeti jognak "az érintett jogai és szabadságai tekintetében megfelelő garanciákat" kell nyújtania.
102 Ennélfogva az alapügy tárgyát képezőhöz hasonló nemzeti jogszabály e rendelettel való összeegyeztethetőségének vizsgálatakor egyaránt figyelembe kell venni a jogszerűség általános feltételeit, különösen az általános adatvédelmi rendelet 5. cikke (1) bekezdésének c) pontjában és 6. cikke (1) bekezdésének e) pontjában rögzített feltételeket, valamint az e rendelet 10. cikkében előírt különös korlátozásokat.
103 E tekintetben meg kell állapítani, hogy e rendelkezések egyike sem tiltja általános és abszolút jelleggel, hogy valamely hatóság a nemzeti jogszabály alapján jogosult, sőt köteles legyen személyes adatoknak az azokat kérelmező személyekkel való közlésére.
104 Ugyanis, bár az általános adatvédelmi rendelet 5. cikke (1) bekezdésének c) pontja a személyes adatok kezelését az "adattakarékosság" elvének tiszteletben tartásához köti, e rendelkezés szövegéből egyértelműen következik, hogy annak nem célja ilyen általános és abszolút tilalom bevezetése, és különösen hogy azzal nem ellentétes a személyes adatok nyilvánossággal való közlése, ha ez a közlés e rendelet 6. cikke (1) bekezdésének e) pontja értelmében vett, közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges. Ugyanez igaz még akkor is, ha a szóban forgó adatok az általános adatvédelmi rendelet 10. cikkének hatálya alá tartoznak, feltéve hogy az e közlést engedélyező jogszabály az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújt (lásd ebben az értelemben: 2019. szeptember 24-iGC és társai [A különleges adatokra mutató linkek törlése] ítélet, C-136/17, EU:C:2019:773, 73. pont).
105 Ebben az összefüggésben emlékeztetni kell arra, hogy a magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő alapvető jogok nem korlátlan jogosultságokat jelentenek, hanem azokat a társadalomban betöltött szerepük alapján kell megítélni, és más alapvető jogokkal szemben kell mérlegelni azokat. E jogok tehát korlátozhatók, feltéve, hogy - a Charta 52. cikkének (1) bekezdésével összhangban - e korlátozásokat törvény írja elő, és e korlátozások tiszteletben tartják e jogok és szabadságok lényeges tartalmát, valamint az arányosság elvét. Ezen utóbbi elv értelmében a korlátozásra csak akkor és annyiban kerülhet sor, ha és amennyiben az szükséges, és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja. A korlátozásoknak a feltétlenül szükséges mérték határain belül kell maradniuk, és a beavatkozást tartalmazó szabályozásnak egyértelmű és pontos szabályokat kell tartalmaznia a szóban forgó intézkedés hatálya és alkalmazása tekintetében (lásd ebben az értelemben: 2020. július 16-iFacebook Ireland és Schrems ítélet, C-311/18, EU:C:2020:559, 172-176. pont).
106 Következésképpen annak meghatározása érdekében, hogy a büntetőpontokra vonatkozó személyes adatok nyilvánossággal való közlése, mint amelyről az alapügyben szó van, szükséges-e az általános adatvédelmi rendelet 6. cikke (1) bekezdésének e) pontja értelmében vett, közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához, valamint hogy az ilyen közlést engedélyező jogszabály e rendelet 10. cikke értelmében az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújt-e, különösen azt kell megvizsgálni, hogy a magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető jogokba történő, az említett közlés általi beavatkozás súlyára tekintettel e beavatkozás az elérni kívánt célkitűzések megvalósítása szempontjából indokolt-e, és különösen arányos-e.
107 A jelen esetben a lett parlament a kérdést előterjesztő bíróság elé terjesztett észrevételeiben, illetve a lett kormány a Bírósághoz benyújtott észrevételeiben arra hivatkozik, hogy a büntetőpontokra vonatkozó személyes adatoknak az azokhoz hozzáférést kérő valamennyi személlyel történő, CSDD általi közlése az e szervre háruló azon közérdekű feladat körébe tartozik, hogy javítsa a közúti közlekedés biztonságát, és ebben az összefüggésben többek között lehetővé tegye a közúti közlekedés szabályait rendszeresen megsértő gépjárművezetők azonosítását, továbbá hogy befolyásolja az úthasználók magatartását azáltal, hogy az említett szabályokkal összhangban álló magatartás tanúsítására ösztönzi őket.
108 E tekintetben emlékeztetni kell arra, hogy a közúti közlekedésbiztonság javítása az Unió által elismert közérdekű célt képez (lásd ebben az értelemben: 2015. április 23-iAykul ítélet, C-260/13, EU:C:2015:257, 69. pont, valamint az ott hivatkozott ítélkezési gyakorlat). A tagállamok tehát megalapozottan minősíthetik a közúti közlekedés biztonságát az általános adatvédelmi rendelet 6. cikke (1) bekezdésének e) pontja értelmében vett "közérdekű feladatnak".
109 Ugyanakkor az utóbbi rendelkezés által támasztott feltételek teljesítéséhez szükséges, hogy a CSDD által vezetett nyilvántartásba bejegyzett büntetőpontokra vonatkozó személyes adatok közlése ténylegesen a közúti közlekedésbiztonság javítására irányuló közérdekű célt szolgálja, anélkül hogy túllépné az e cél megvalósításához szükséges mértéket.
110 Amint azt az általános adatvédelmi rendelet (39) preambulumbekezdése hangsúlyozza, a szükségességgel kapcsolatos e követelmény nem teljesül, ha a közérdekű cél egyéb olyan eszközzel is észszerűen és hasonló hatékonysággal elérhető, amely nem sérti az érintett alapvető jogait, különösen a magánélet tiszteletben tartásához és a személyes adatok védelméhez való, a Charta 7. és 8. cikkében biztosított jogokat, azzal, hogy az ilyen adatok védelmére vonatkozó elvtől való eltérésnek és ezen elv korlátozásának a feltétlenül szükséges mértékre kell korlátozódnia (lásd ebben az értelemben: 2019. december 11-iAsociaţia de Proprietari bloc M5A-ScaraA ítélet, C-708/18, EU:C:2019:1064, 46. és 47. pont).
111 Márpedig, amint a tagállamok gyakorlatából kitűnik, valamennyi tagállam számos cselekvési lehetőséggel rendelkezik, amelyek között szerepel többek között a közúti közlekedési jogsértések visszatartó erejű, különösen az érintett gépjárművezetők járművezetéshez való jogtól való megfosztása révén történő visszaszorításának lehetősége, azzal, hogy a járművezetéstől való ezen eltiltás megsértése maga is hatékony büntetésekkel sújtható, anélkül hogy szükség volna ezen intézkedések nyilvánossággal való közlésére. E gyakorlatból az is kitűnik, hogy ezenkívül számos megelőző jellegű intézkedés hozható, a kollektív figyelemfelhívó kampányoktól kezdve olyan egyedi intézkedések elfogadásáig, amelyek a gépjárművezetőt képzéseken való részvételre és vizsgák letételére kötelezik, anélkül hogy szükség volna az ilyen egyedi intézkedések elfogadásának nyilvánossággal való közlésére. Márpedig a Bíróság rendelkezésére álló iratokból nem tűnik ki, hogy a lett jogalkotó az alapügy tárgyát képező szabályozás elfogadásakor, illetve e szabályozás elfogadása helyett megvizsgálta és előnyben részesítette volna ezen intézkedéseket.
112 Ezenfelül, amint arra a jelen ítélet 92. pontja rámutatott, a közúti közlekedési jogsértésekre - és többek között az e jogsértések elkövetése miatt kiszabott büntetőpontokra - vonatkozó személyes adatok nyilvánossággal való közlése a magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő alapvető jogokba való súlyos beavatkozásnak minősülhet, mivel a társadalom általi helytelenítéshez és az érintett személy megbélyegzéséhez vezethetnek.
113 Figyelembe véve egyrészt a szóban forgó adatok különleges jellegét és az érintett személyeknek a magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető jogaiba történő említett beavatkozás súlyát, másrészt pedig azt, hogy a jelen ítélet 111. pontjában tett megállapításokra tekintettel nem állapítható meg, hogy a közúti közlekedésbiztonság javítására irányuló cél ne lenne észszerűen és hasonló hatékonysággal elérhető más, kevésbé korlátozó eszközökkel, nem tekinthető bizonyítottnak, hogy a közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatok közlésére vonatkozó ilyen rendszer szükséges e célkitűzés megvalósításához (lásd analógia útján: 2010. november 9-iVolker und Markus Schecke és Eifert ítélet, C-92/09 és C-93/09, EU:C:2010:662, 86. pont).
114 Ily módon, noha igazolható a közúti közlekedés szabályait rendszeresen és rosszhiszeműen megsértő gépjárművezetők, illetve a jogsértéseket alkalmanként elkövető gépjárművezetők közötti különbségtétel, mindazonáltal nem tekinthető úgy, hogy a közúti közlekedésbiztonság javítása érdekében a nyilvánosságnak azonosítania kellene e gépjárművezetők első kategóriáját, vagy hogy ezen adatokat meg kellene osztani a nyilvánossággal, és így még az is kétséges, hogy az alapügy tárgyát képező szabályozás egyáltalán alkalmas-e a jelen ítélet 107. pontjában hivatkozott első célkitűzés megvalósítására.
115 Mindent egybevetve a Bíróság rendelkezésére álló iratokból kitűnik, hogy a CSDD nem csupán a közúti közlekedés szabályait rendszeresen és rosszhiszeműen megsértő gépjárművezetőkre kiszabott büntetőpontokra vonatkozó adatokat közli a nyilvánossággal, hanem a jogsértést alkalmanként elkövető gépjárművezetőkre kiszabott büntetőpontokra vonatkozó adatokat is. Megállapítható tehát, hogy az alapügyben szóban forgó szabályozás a büntetőpontokhoz való általános és nyilvános hozzáférés előírásával mindenképpen meghaladja a közúti közlekedés szabályainak rendszeres és rosszhiszemű megsértésével szembeni küzdelemben álló célkitűzés megvalósításához szükséges mértéket.
116 Ami az alapügy tárgyát képező szabályozás által megvalósítani kívánt, a jelen ítélet 107. pontjában hivatkozott második célkitűzést illeti, az említett iratokból kitűnik, hogy bár Lettországban a közúti közlekedési balesetek száma csökkenő tendenciát mutat, semmi nem enged olyan következtetés levonására, amely szerint e tendencia mögött a büntetőpontokra vonatkozó információk nyilvánosságra hozatala, nem pedig önmagában a büntetőpontok rendszerének létrehozatala áll.
117 A jelen ítélet 113. pontjában szereplő következtetést nem cáfolja meg az a körülmény, hogy a CSDD a gyakorlatban a szóban forgó személyes adatok közlését ahhoz a feltételhez köti, hogy a kérelmező megjelölje a tájékoztatás iránti kérelemmel érintett gépjárművezető nemzeti azonosító számát.
118 Ugyanis, még annak feltételezése esetén is, hogy - amint azt a lett kormány kifejtette - a nemzeti azonosító számok lakossági nyilvántartást vezető közhatalmi szervek általi közlésére szigorú követelmények vonatkoznak, és így e közlés megfelel az általános adatvédelmi rendelet 87. cikkének, ez nem változtat azon, hogy az alapügy tárgyát képező szabályozás és annak CSDD általi alkalmazása minden olyan személy számára lehetővé teszi a meghatározott gépjárművezetővel szemben kiszabott büntetőpontokra vonatkozó adatok megszerzését, aki ismeri e gépjárművezető nemzeti azonosító számát. A nyilvánosságra hozatalra vonatkozó ilyen rendszer eredményeként ezeket az adatokat olyan személyekkel is közölhetik, akik a közúti közlekedésbiztonság javítására irányuló közérdekű céltól eltérő okok miatt kívánnak információhoz jutni az adott személlyel szemben kiszabott büntetőpontokról.
119 A jelen ítélet 113. pontjában levont következtetést emellett azon körülmény sem cáfolja meg, hogy a gépjárművek és gépjárművezetők nemzeti nyilvántartása az általános adatvédelmi rendelet 86. cikke értelmében vett hivatalos dokumentumnak minősül.
120 Ugyanis, jóllehet a hivatalos dokumentumokhoz való nyilvános hozzáférés, amint az e rendelet (154) preambulumbekezdéséből következik, olyan közérdek, amely jogszerűvé teheti az ilyen dokumentumokban szereplő személyes adatok közlését, e hozzáférést mindazonáltal össze kell egyeztetni a magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető joggal, amint azt egyébiránt az említett 86. cikk is kifejezetten megköveteli. Márpedig, tekintettel különösen a közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatok különleges jellegére, valamint az ezen adatok nyilvánosságra hozatalával járó, a magánélet tiszteletben tartásához és az érintettek személyes adatainak védelméhez való alapvető jogokba történő beavatkozás súlyára, meg kell állapítani, hogy ezek a jogok elsőbbséget élveznek a nyilvánosság ahhoz fűződő érdekével szemben, hogy hozzáférjen a hivatalos dokumentumokhoz, nevezetesen a gépjárművek és gépjárművezetők nemzeti nyilvántartásához.
121 Ezenfelül ugyanezen okból kifolyólag az általános adatvédelmi rendelet 85. cikkében szereplő, a tájékozódás szabadságához való jog nem értelmezhető akként, hogy az igazolja a közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatoknak az erre irányuló kérelmet előterjesztő valamennyi személlyel való közlését.
122 A fentiek összességére tekintettel a második kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet rendelkezéseit, különösen az 5. cikkének (1) bekezdését, 6. cikke (1) bekezdésének e) pontját és 10. cikkét úgy kell értelmezni, hogy azokkal ellentétes az olyan nemzeti jogszabály, amely a gépjárművezetőkkel szemben közúti közlekedési jogsértés miatt kiszabott büntetőpontok nyilvántartásának vezetésével megbízott közhatalmi szervet arra kötelezi, hogy ezeket az adatokat tegye a nyilvánosság számára hozzáférhetővé, anélkül hogy a hozzáférést kérő személynek igazolnia kellene az említett adatok megszerzéséhez fűződő különös érdekét.
A harmadik kérdésről
123 Harmadik kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet rendelkezéseit, különösen az 5. cikke (1) bekezdésének b) pontját és 10. cikkét, valamint a 2003/98 irányelv 1. cikke (2) bekezdésének cc) pontját úgy kell-e értelmezni, hogy azokkal ellentétes az olyan nemzeti jogszabály, amely lehetővé teszi a gépjárművezetőkkel szemben közúti közlekedési jogsértés miatt kiszabott büntetőpontok nyilvántartásának vezetésével megbízott közhatalmi szerv számára, hogy ezeket az adatokat további felhasználás céljából közölje a gazdasági szereplőkkel.
124 Amint azt a kérdést előterjesztő bíróság hangsúlyozza, e kérdés abból ered, hogy a CSDD a gazdasági szereplőkkel olyan szerződéseket köt, amelyek értelmében a CSDD a gépjárművek és gépjárművezetők nemzeti nyilvántartásába bejegyzett büntetőpontokra vonatkozó személyes adatokat közli az említett gazdasági szereplőkkel, méghozzá oly módon, hogy minden olyan személy, aki tájékozódni kíván a meghatározott gépjárművezetővel szemben kiszabott büntetőpontokról, ezen adatokat nemcsak a CSDD-től, hanem e gazdasági szereplőktől is megszerezheti.
125 A második kérdésre adott válaszból következik, hogy az általános adatvédelmi rendelet rendelkezéseit, különösen az 5. cikkének (1) bekezdését, 6. cikke (1) bekezdésének e) pontját és 10. cikkét úgy kell értelmezni, hogy azokkal ellentétes az olyan nemzeti jogszabály, amely a gépjárművezetőkkel szemben közúti közlekedési jogsértés miatt kiszabott büntetőpontok nyilvántartásának vezetésével megbízott közhatalmi szervet arra kötelezi, hogy ezeket az adatokat közölje minden olyan személlyel, aki erre vonatkozó kérelmet terjeszt elő, anélkül hogy igazolnia kellene az említett adatok megszerzéséhez fűződő különös érdekét.
126 Ugyanezen rendelkezéseket a második kérdésre adott válaszban kifejtettekkel azonos okokból úgy kell értelmezni, hogy azokkal ugyancsak ellentétes az olyan nemzeti jogszabály, amely a közhatalmi szervek számára lehetővé teszi, hogy az ilyen jellegű adatokat közöljék a gazdasági szereplőkkel ezen adatok említett szereplők általi további felhasználásának és nyilvánossággal való közlésének lehetővé tétele érdekében.
127 Végül, ami a harmadik kérdésben szintén érintett rendelkezést, a 2003/98 irányelv 1. cikke (2) bekezdésének cc) pontját illeti, meg kell állapítani, hogy - amint arra a főtanácsnok az indítványának 128. és 129. pontjában rámutatott - e rendelkezés nem releváns annak meghatározása szempontjából, hogy az alapügyben szereplőhöz hasonló jogszabály ellentétes-e a személyes adatok védelmére vonatkozó uniós jogszabályokkal.
128 Függetlenül ugyanis attól, hogy a gépjárművezetőkkel szemben közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó adatok a 2003/98 irányelv hatálya alá tartoznak-e, vagy sem, ezen adatok védelmének terjedelmét mindenesetre az általános adatvédelmi rendelet alapján kell meghatározni, amint az egyrészt e rendelet (154) preambulumbekezdéséből, másrészt pedig ezen irányelvnek az általános adatvédelmi rendelet 94. cikke (2) bekezdésével összefüggésben értelmezett (21) preambulumbekezdéséből és 1. cikke (4) bekezdéséből következik, mivel az említett irányelv 1. cikkének (4) bekezdése lényegében előírja, hogy ez az irányelv semmilyen módon nem érinti az egyéneknek az uniós és nemzeti jog szerinti védelmi szintjét a személyes adatok feldolgozása vonatkozásában, és különösen nem változtatja meg az általános adatvédelmi rendelet szerinti jogokat és kötelezettségeket.
129 A fentiekre tekintettel a harmadik kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet rendelkezéseit, különösen az 5. cikkének (1) bekezdését, 6. cikke (1) bekezdésének e) pontját és 10. cikkét úgy kell értelmezni, hogy azokkal ellentétes az olyan nemzeti jogszabály, amely lehetővé teszi a gépjárművezetőkkel szemben közúti közlekedési jogsértés miatt kiszabott büntetőpontok nyilvántartásának vezetésével megbízott közhatalmi szerv számára, hogy ezeket az adatokat további felhasználás céljából közölje a gazdasági szereplőkkel.
A negyedik kérdésről
130 Negyedik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy az uniós jog elsőbbségének elvét úgy kell-e értelmezni, hogy azzal ellentétes az, ha valamely tagállamnak egy olyan nemzeti jogszabály ellen irányuló alkotmányjogi panasz tárgyában eljáró alkotmánybírósága, amely a Bíróság előzetes döntéshozatal iránti kérelem tárgyában hozott határozata alapján az uniós joggal összeegyeztethetetlennek bizonyul, a jogbiztonság elvének alkalmazásával úgy határoz, hogy e jogszabály joghatásait az ezen alkotmányjogi panasz tárgyában hozott végleges és jogerős határozat kihirdetésének időpontjáig fenntartja.
131 Amint az az előzetes döntéshozatalra utaló határozatból kitűnik, e kérdés előterjesztését az alapügy tárgyát képező nemzeti szabályozás által érintett jogviszonyok magas száma, valamint az indokolja, hogy az alkotmánybíróságról szóló törvény 32. cikkének (3) bekezdése és az azzal kapcsolatos ítélkezési gyakorlat értelmében a kérdést előterjesztő bíróság a jogbiztonság elve és az érintett személyek alapvető jogai közötti egyensúly biztosítására irányuló feladatának gyakorlása során korlátozhatja ítéleteinek visszaható hatályát annak elkerülése érdekében, hogy azok súlyosan sértsék mások jogait.
132 E tekintetben emlékeztetni kell arra, hogy azon értelmezés, amelyet a Bíróság az EUMSZ 267. cikk alapján ráruházott hatáskör alapján valamely uniós jogszabályra vonatkozóan kifejt, megmagyarázza és pontosítja e szabály jelentését és terjedelmét, amely szerint azt a hatálybalépésének időpontjától értelmezni és alkalmazni kell, illetőleg értelmezni és alkalmazni kellett volna. A Bíróság csak kivételesen, az uniós jogrendhez szorosan hozzátartozó jogbiztonság általános elvének alkalmazása útján korlátozhatja bármely érdekelt azon lehetőségét, hogy a jóhiszeműen létrejött jogviszonyok vitatása céljából a Bíróság által értelmezett rendelkezésre hivatkozzon. A Bíróság az érdekeltek jóhiszeműségére és a súlyos zavarok kockázatának fennállására vonatkozó két alapvető feltétel teljesülése esetén dönthet e korlátozásról (2007. március 6-iMeilicke ítélet, C-292/04, EU:C:2007:132, 34. és 35. pont; 2015. január 22-iBalazs ítélet, C-401/13 és C-432/13, EU:C:2015:26, 49. és 50. pont; 2015. szeptember 29-iGmina Wrocław ítélet, C-276/14, EU:C:2015:635, 44. és 45. pont).
133 A Bíróság állandó ítélkezési gyakorlata alapján az ilyen korlátozásra kizárólag ugyanazon ítéletben kerülhet sor, amely a kért értelmezésről szól. Szükségszerű ugyanis, hogy az uniós jogi rendelkezés Bíróság általi értelmezésének időbeli hatálya egyedi pillanatban kerüljön meghatározásra. Az az elv, hogy az időbeli hatály korlátozására kizárólag ugyanazon ítéletben kerülhet sor, amely a kért értelmezésről szól, biztosítja a tagállamok és más jogalanyok közötti egyenlő bánásmódot e joggal szemben, és ugyanakkor teljesíti a jogbiztonság elvéből eredő követelményeket (2007. március 6-iMeilicke ítélet, C-292/04, EU:C:2007:132, 36. és 37. pont; lásd ebben az értelemben: 2012. október 23-iNelson és társai ítélet, C-581/10 és C-629/10, EU:C:2012:657, 91. pont; 2018. november 7-iO'Brien ítélet, C-432/17, EU:C:2018:879, 34. pont).
134 Következésképpen a Bíróság által az előzetes döntéshozatali eljárásban hozott határozat időbeli hatálya nem függhet a kérdést előterjesztő bíróság által az alapügyben hozott végleges és jogerős ítélet kihirdetésének időpontjától, sem pedig attól, hogy a kérdést előterjesztő bíróság miként értékeli a szóban forgó nemzeti szabályozás által kiváltott joghatások fenntartásának szükségességét.
135 Az uniós jog elsőbbségének elve értelmében ugyanis nem engedhető meg, hogy a nemzeti jog - akár alkotmányos jellegű - rendelkezései sértsék az uniós jog egységességét és hatékonyságát (lásd ebben az értelemben: 2013. február 26-iMelloni ítélet, C-399/11, EU:C:2013:107, 59. pont; 2019. július 29-iPelham és társai ítélet, C-476/17, EU:C:2019:624, 78. pont). Még annak feltételezése esetén is, hogy a jogbiztonságon alapuló magasabb rendű megfontolások kivételesen az uniós jog valamely közvetlenül alkalmazandó szabálya által a vele ellentétes nemzeti jogra kifejtett kiszorító hatás átmeneti felfüggesztéséhez vezethetnek, az ilyen felfüggesztés feltételeit kizárólag a Bíróság állapíthatja meg (lásd ebben az értelemben: 2010. szeptember 8-iWinner Wetten ítélet, C-409/06, EU:C:2010:503, 61. és 67. pont).
136 A jelen esetben, mivel nem nyert bizonyítást a Bíróság által a jelen ítéletben elfogadott értelmezésből eredő súlyos zavarok kockázatának fennállása, nincs szükség az ítélet időbeli hatályának korlátozására, mivel a jelen ítélet 132. pontjában hivatkozott feltételeknek együttesen kell teljesülniük.
137 A fentiekre tekintettel a negyedik kérdésre azt a választ kell adni, hogy az uniós jog elsőbbségének elvét úgy kell értelmezni, hogy azzal ellentétes az, ha valamely tagállamnak egy olyan nemzeti jogszabály ellen irányuló alkotmányjogi panasz tárgyában eljáró alkotmánybírósága, amely a Bíróság előzetes döntéshozatal iránti kérelem tárgyában hozott határozata alapján az uniós joggal összeegyeztethetetlennek bizonyul, a jogbiztonság elvének alkalmazásával úgy határoz, hogy e jogszabály joghatásait az ezen alkotmányjogi panasz tárgyában hozott végleges és jogerős határozat kihirdetésének időpontjáig fenntartja.
A költségekről
138 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott:
1) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 10. cikkét úgy kell értelmezni, hogy azt alkalmazni kell a gépjárművezetőkkel szemben közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatok kezelésére.
2) Az (EU) 2016/679 rendelet rendelkezéseit, különösen az 5. cikkének (1) bekezdését, 6. cikke (1) bekezdésének e) pontját és 10. cikkét úgy kell értelmezni, hogy azokkal ellentétes az olyan nemzeti jogszabály, amely a gépjárművezetőkkel szemben közúti közlekedési jogsértés miatt kiszabott büntetőpontok nyilvántartásának vezetésével megbízott közhatalmi szervet arra kötelezi, hogy ezeket az adatokat tegye a nyilvánosság számára hozzáférhetővé, anélkül hogy a hozzáférést kérő személynek igazolnia kellene az említett adatok megszerzéséhez fűződő különös érdekét.
3) Az (EU) 2016/679 rendelet rendelkezéseit, különösen az 5. cikkének (1) bekezdését, 6. cikke (1) bekezdésének e) pontját és 10. cikkét úgy kell értelmezni, hogy azokkal ellentétes az olyan nemzeti jogszabály, amely lehetővé teszi a gépjárművezetőkkel szemben közúti közlekedési jogsértés miatt kiszabott büntetőpontok nyilvántartásának vezetésével megbízott közhatalmi szerv számára, hogy ezeket az adatokat további felhasználás céljából közölje a gazdasági szereplőkkel.
4) Az uniós jog elsőbbségének elvét úgy kell értelmezni, hogy azzal ellentétes az, ha valamely tagállamnak egy olyan nemzeti jogszabály ellen irányuló alkotmányjogi panasz tárgyában eljáró alkotmánybírósága, amely a Bíróság előzetes döntéshozatal iránti kérelem tárgyában hozott határozata alapján az uniós joggal összeegyeztethetetlennek bizonyul, a jogbiztonság elvének alkalmazásával úgy határoz, hogy e jogszabály joghatásait az ezen alkotmányjogi panasz tárgyában hozott végleges és jogerős határozat kihirdetésének időpontjáig fenntartja.
Aláírások
( *1 ) Az eljárás nyelve: lett.
Lábjegyzetek:
[1] A dokumentum eredetije megtekinthető CELEX: 62019CJ0439 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:62019CJ0439&locale=hu