62022CJ0060

A BÍRÓSÁG ÍTÉLETE (ötödik tanács)

2023. május 4. ( *1 )

„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – 5. cikk – Az adatkezelésre vonatkozó elvek – Adatkezelési felelősség – 6. cikk – Az adatkezelés jogszerűsége – A menedékjog iránti kérelemre vonatkozó, közigazgatási hatóság által készített elektronikus akta – Elektronikus postafiókon keresztül történő továbbítás az illetékes nemzeti bírósághoz – A 26. és a 30. cikk megsértése – Az adatkezelésért és az adatkezelési tevékenységek nyilvántartásának vezetéséért való közös felelősséget meghatározó megállapodás hiánya – Következmények – A 17. cikk (1) bekezdése – A törléshez való jog (»az elfeledtetéshez való jog«) – A 18. cikk (1) bekezdése – Az adatkezelés korlátozásához való jog – A »jogellenes adatkezelés« fogalma – Az elektronikus akta nemzeti bíróság általi figyelembevétele – Az érintett hozzájárulásának hiánya”

A C‑60/22. sz. ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság, Németország) a Bírósághoz 2022. február 1‑jén érkezett, 2022. január 27‑i határozatával terjesztett elő az

és

a Bundesrepublik Deutschland

között folyamatban lévő eljárásban,

A BÍRÓSÁG (ötödik tanács),

tagjai: E. Regan tanácselnök (előadó), D. Gratsias, M. Ilešič, I. Jarukaitis és Csehi Z. bírák,

főtanácsnok: T. Ćapeta,

hivatalvezető: A. Calot Escobar,

tekintettel az írásbeli szakaszra,

figyelembe véve a következők által előterjesztett észrevételeket:

–	UZ képviseletében J. Leuschner Rechtsanwalt,

–	a német kormány képviseletében J. Möller és P.‑L. Krüger, meghatalmazotti minőségben,

–	a cseh kormány képviseletében O. Serdula, M. Smolek és J. Vláčil, meghatalmazotti minőségben,

–	a francia kormány képviseletében A.‑L. Desjonquères és J. Illouz, meghatalmazotti minőségben,

–	az osztrák kormány képviseletében A. Posch, M.‑T. Rappersberger és J. Schmoll, meghatalmazotti minőségben,

–	a lengyel kormány képviseletében B. Majczyna, meghatalmazotti minőségben,

–	az Európai Bizottság képviseletében A. Bouchagiar, F. Erlbacher és H. Kranenborg, meghatalmazotti minőségben,

tekintettel a főtanácsnok meghallgatását követően hozott határozatra, miszerint az ügy elbírálására a főtanácsnok indítványa nélkül kerül sor,

meghozta a következő

Ítéletet

Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (GDPR) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; a továbbiakban: általános adatvédelmi rendelet) 5. cikkének, 17. cikke (1) bekezdése d) pontjának, 18. cikke (1) bekezdése b) pontjának, valamint 26. és 30. cikkének értelmezésére vonatkozik.

E kérelem előterjesztésre a harmadik országbeli állampolgár UZ és a Bundesamt für Migration und Flüchtlinge (szövetségi bevándorlási és menekültügyi hivatal, Németország) (a továbbiakban: szövetségi hivatal) által képviselt Bundesrepublik Deutschland (Németországi Szövetségi Köztársaság) között az ezen állampolgár által benyújtott nemzetközi védelem iránti kérelem elbírálása tárgyában folyamatban lévő jogvita keretében került sor.

Jogi háttér

Az uniós jog

A 2013/32/EU irányelv

A nemzetközi védelem megadására és visszavonására vonatkozó közös eljárásokról szóló, 2013. június 26‑i 2013/32/EU európai parlamenti és tanácsi irányelv (átdolgozás) (HL 2013. L 180., 60. o.; helyesbítés: HL 2016. L 198., 50. o.) (52) preambulumbekezdése szerint:

„A tagállamok által ezen irányelv alapján végzett személyesadat‑feldolgozás tekintetében a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv [(HL 1995. L 281., 31. o.] az irányadó.”

A GDPR

A GDPR (1), (10), (40), (74), (79) és (82) preambulumbekezdésének szövege a következő:

„(1)	A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az Európai Unió Alapjogi Chartája […] 8. cikkének (1) bekezdése és az [EUMSZ] 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.

[…]

(10)

A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok [Európai] Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. […]

[…]

(40)

Annak érdekében, hogy a személyes adatok kezelése jogszerű legyen, annak az érintett hozzájárulásán kell alapulnia, vagy valamely egyéb jogszerű, jogszabály által megállapított – akár e rendeletben, akár más, az e rendeletben említettek szerinti uniós vagy tagállami jogban foglalt – alappal kell rendelkeznie, ideértve az adatkezelőre vonatkozó jogi kötelezettségeknek való megfelelés szükségességét, az érintett által kötött esetleges szerződés teljesítését, illetve az érintett által kért, a szerződéskötést megelőzően megteendő lépéseket.

[…]

(74)

A személyes adatoknak az adatkezelő által vagy az adatkezelő nevében végzett bármilyen jellegű kezelése tekintetében az adatkezelő hatáskörét és felelősségét szabályozni kell. Az adatkezelőt kötelezni kell különösen arra, hogy megfelelő és hatékony intézkedéseket hajtson végre, valamint hogy képes legyen igazolni azt, hogy az adatkezelési tevékenységek e rendeletnek megfelelnek, és az alkalmazott intézkedések hatékonysága is az e rendelet által előírt szintű. Ezeket az intézkedéseket az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével kell meghozni.

[…]

(79)

Az érintettek jogainak és szabadságainak védelme csakúgy, mint az adatkezelők és az adatfeldolgozók hatásköre és felelőssége – a felügyeleti hatóságok általi ellenőrzéssel és azok intézkedéseivel összefüggésben is – megköveteli az e rendelet szerinti hatáskörök egyértelmű felosztását, ideértve azt az esetet is, amikor az adatkezelő más adatkezelőkkel közösen határozza meg az adatkezelés céljait és eszközeit, vagy amikor egy adatkezelő nevében végeznek adatkezelési műveletet.

[…]

(82)

Az adatkezelő vagy az adatfeldolgozó az e rendeletnek való megfelelés bizonyítása érdekében nyilvántartást vezet a hatásköre alapján végzett adatkezelési tevékenységekről. Minden adatkezelő és adatfeldolgozó köteles a felügyeleti hatósággal együttműködni és ezeket a nyilvántartásokat kérésre hozzáférhetővé tenni az érintett adatkezelési műveletek ellenőrzése érdekében.

5	A GDPR „Általános rendelkezések” című I. fejezete tartalmazza az 1–4. cikket.

E rendelet „Tárgy” című 1. cikke értelmében:

„(1) Ez a rendelet a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg.

(2) Ez a rendelet a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.

[…]”

Az említett rendelet a „Fogalommeghatározások” című 4. cikkének 2., 7. és 21. pontjában előírja:

„2.

»adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

[…]

»adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

[…]

21.	»felügyeleti hatóság«: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;

[…]”

8	A GDPR „Elvek” című II. fejezete tartalmazza e rendelet 5–11. cikkét.

E rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke a következőket írja elő:

„(1) A személyes adatok:

a)	kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (»jogszerűség, tisztességes eljárás és átláthatóság«);

gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés (»célhoz kötöttség«);

c)	az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk (»adattakarékosság«);

d)	pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék (»pontosság«);

tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel (»korlátozott tárolhatóság«);

kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (»integritás és bizalmas jelleg«).

(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

Az említett rendeletnek „Az adatkezelés jogszerűsége” című 6. cikke az (1) bekezdésében a következőket írja elő:

„A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a)	az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b)	az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c)	az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d)	az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e)	az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.”

11	A GDPR 7. cikke a hozzájárulás feltételeire vonatkozik, míg e rendelet 8. cikke meghatározza a gyermekek hozzájárulására vonatkozó feltételeket az információs társadalommal összefüggő szolgáltatások vonatkozásában.

E rendelet „A személyes adatok különleges kategóriáinak kezelése” című 9. cikke tiltja a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelését.

Az említett rendeletnek „A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelése” című 10. cikke a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatoknak az ugyanezen rendelet 6. cikkének (1) bekezdése alapján történő kezelésére vonatkozik.

14	A GDPR‑nek „Az érintett jogai” című III. fejezete tartalmazza a 12–23. cikket.

A GDPR „A törléshez való jog (»az elfeledtetéshez való jog«)” című 17. cikkének szövege a következő:

„(1) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

a)	a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

[…]

d)	a személyes adatokat jogellenesen kezelték;

[…]

(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:

[…]

b)	a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;

[…]

e)	jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.”

Az említett rendeletnek „Az adatkezelés korlátozásához való jog” című 18. cikke értelmében:

„(1) Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

[…]

b)	az adatkezelés jogellenes, és az érintett ellenzi [a személyes adatok törlését], és ehelyett kéri azok felhasználásának korlátozását;

[…]

(2) Ha az adatkezelés az (1) bekezdés alapján korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy az Unió, illetve valamely tagállam fontos közérdekéből lehet kezelni.

[…]”

17	A GDPR‑nek „Az adatkezelő és az adatfeldolgozó” című IV. fejezete tartalmazza a 24–43. cikket.

E rendelet „Közös adatkezelők” című 26. cikke, amely az említett fejezet „Általános kötelezettségek” című 1. szakaszában található, kimondja:

„(1) Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 13. és a 14. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.

(2) Az (1) bekezdésben említett megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.

(3) Az érintett az (1) bekezdésben említett megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában vagy mindegyik adatkezelővel szemben gyakorolhatja az e rendelet szerinti jogait.”

Az említett rendeletnek „Az adatkezelési tevékenységek nyilvántartása” című 30. cikke előírja:

„(1) Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza:

a)	az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;

b)	az adatfeldolgozás célja;

c)	az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;

d)	olyan címzettek kategóriái, akikkel a személyes adatokat közölték vagy közölni fogják, ideértve harmadik országbeli címzetteket vagy nemzetközi szervezeteket is;

[…]

4. Az adatkezelő vagy az adatfeldolgozó, valamint – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselője megkeresés alapján a felügyeleti hatóság részére rendelkezésére bocsátja a nyilvántartást.

[…]”

A GDPR‑nek a „Független felügyeleti hatóságok” című VI. fejezetében szereplő, „Hatáskörök” című 58. cikke a (2) bekezdésében a következőképpen rendelkezik:

„A felügyeleti hatóság korrekciós hatáskörében eljárva:

a)	figyelmezteti az adatkezelőt vagy az adatfeldolgozót, hogy a tervezett adatkezelési tevékenységei valószínűsíthetően sértik e rendelet rendelkezéseit;

b)	elmarasztalja az adatkezelőt vagy az adatfeldolgozót, ha adatkezelési tevékenysége megsértette e rendelet rendelkezéseit;

c)	utasítja az adatkezelőt vagy az adatfeldolgozót, hogy teljesítse az érintettnek az e rendelet szerinti jogai gyakorlására vonatkozó kérelmét;

d)	utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időtartamon belül – hozza összhangba e rendelet rendelkezéseivel;

e)	utasítja az adatkezelőt, hogy tájékoztassa az érintettet az adatvédelmi incidensről;

f)	átmenetileg vagy véglegesen korlátozza az adatkezelést, ideértve az adatkezelés megtiltását is;

a 16., 17., illetve a 18. cikkben foglaltaknak megfelelően elrendeli a személyes adatok helyesbítését, vagy törlését, illetve az adatkezelés korlátozását, valamint a 17. cikk (2) bekezdésének és a 19. cikknek megfelelően elrendeli azon címzettek erről való értesítését, akikkel vagy amelyekkel a személyes adatokat közölték;

h)	visszavonja a tanúsítványt vagy utasítja a tanúsító szervezetet a 42. és a 43. cikknek megfelelően kiadott tanúsítvány visszavonására, vagy utasítja a tanúsító szervezetet, hogy ne adja ki a tanúsítványt, ha a tanúsítás feltételei nem vagy már nem teljesülnek;

i)	a 83. cikknek megfelelően közigazgatási bírságot szab ki, az adott eset körülményeitől függően az e bekezdésben említett intézkedéseken túlmenően vagy azok helyett; és

j)	elrendeli a harmadik országbeli címzett vagy nemzetközi szervezet felé irányuló adatáramlás felfüggesztését.

21	A GDPR „Jogorvoslat, felelősség és szankciók” című VIII. fejezete tartalmazza a 77–84. cikket.

A GDPR‑nek „A felügyeleti hatóságnál történő panasztételhez való jog” című 77. cikke az (1) bekezdésében a következőképpen rendelkezik:

„Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.”

A GDPR „A kártérítéshez való jog és a felelősség” című 82. cikkének (1) és (2) bekezdése értelmében:

„(1) Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

(2) Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be az e rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.”

E rendelet „A közigazgatási bírságok kiszabására vonatkozó általános feltételek” című 83. cikkének (4), (5) és (7) bekezdése kimondja:

(4) Az alábbi rendelkezések megsértése – a (2) bekezdéssel összhangban – legfeljebb 10000000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%‑át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni:

a)	az adatkezelő és az adatfeldolgozó tekintetében a 8., a 11., a 25–39., a 42. és a 43. cikkben meghatározott kötelezettségek;

[…]

(5) Az alábbi rendelkezések megsértése – a (2) bekezdéssel összhangban – legfeljebb 20000000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%‑át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni:

a)	az adatkezelés elvei – ideértve a hozzájárulás feltételeit – az 5., 6., 7. és 9. cikknek megfelelően;

[…]

(7) A felügyeleti hatóságok 58. cikk (2) bekezdése szerinti korrekciós hatáskörének sérelme nélkül, minden egyes tagállam megállapíthatja az arra vonatkozó szabályokat, hogy az adott tagállami székhelyű közhatalmi vagy egyéb, közfeladatot ellátó szervvel szemben kiszabható‑e közigazgatási bírság, és ha igen, milyen mértékű.”

Az említett rendelet „Záró rendelkezések” című XI. fejezetében szereplő, „A 95/46/EK irányelv hatályon kívül helyezése” című 94. cikk a következőképpen rendelkezik:

„(1) A 95/46/ CE irányelv 2018. május 25‑i hatállyal hatályát veszti.

(2) A hatályon kívül helyezett irányelvre történő hivatkozásokat az e rendeletre történő hivatkozásnak kell tekinteni. A 95/46/EK irányelv 29. cikke által létrehozott, a természetes személyeknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoportra történő hivatkozást az e rendelet által létrehozott Európai Adatvédelmi Testületre történő hivatkozásnak kell tekinteni.”

A német jog

Az 1990. december 20‑i Bundesdatenschutzgesetz (az adatvédelemről szóló szövetségi törvény, BGBl. 1990 I, 2954. o.) alapügyre alkalmazandó változatának (a továbbiakban: BDSG) „A közigazgatási bírságokra vonatkozó rendelkezések” című 43. cikke a (3) bekezdésében kimondja:

„A [BDSG] 2. §‑ának (1) bekezdése alapján semmilyen közigazgatási bírság nem szabható ki hatóságokra és más közjogi szervekre.”

Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

27	2019. május 7‑én az alapeljárás felperese nemzetközi védelem iránti kérelmet nyújtott be a szövetségi hivatalhoz, amely e kérelmet elutasította.

28	Az elutasító határozat (a továbbiakban: vitatott határozat) meghozatala során a szövetségi hivatal az általa létrehozott „MARIS” elektronikus aktára támaszkodott, amely az alapeljárás felperesére vonatkozó személyes adatokat tartalmazza.

Ez utóbbi keresetet indított a vitatott határozattal szemben a Verwaltungsgericht Wiesbaden előtt (wiesbadeni közigazgatási bíróság, Németország), amely a jelen ügyben a kérdést előterjesztő bíróság. A „MARIS” elektronikus aktát ezt követően a GDPR 26. cikke szerinti közös eljárás keretében megküldték e bíróságnak a bírósági és közigazgatási elektronikus postafiókon (Elektronische Gerichts‑und Verwaltungspostfach) keresztül, amelyet a végrehajtó hatalom részét képező állami szerv kezel.

30	A kérdést előterjesztő bíróság rámutat, hogy a 2013/32 irányelv (52) preambulumbekezdéséből kitűnik, hogy a személyes adatoknak a tagállamok által a nemzetközi védelem megadására irányuló eljárások keretében végzett kezelését a GDPR szabályozza.

31	E bíróságnak ugyanakkor kétségei vannak azzal kapcsolatban, hogy a szövetségi hivatal által készített elektronikus akta megőrzése és ezen iratok bírósági és közigazgatási elektronikus postafiók útján történő megküldése megfelel‑e ezen rendeletnek.

Egyrészt, ami az elektronikus akta megőrzését illeti, nem nyert bizonyítást, hogy a szövetségi hivatal megfelel a GDPR 5. cikke (1) bekezdésének és 30. cikkének együttesen értelmezett rendelkezéseinek. A kérdést előterjesztő bíróság erre irányuló kérelme ellenére ugyanis a szövetségi hivatal nem nyújtotta be az ezen aktára vonatkozó adatkezelési tevékenységek teljes körű nyilvántartását. Márpedig az ilyen nyilvántartást az alapeljárás felperesére vonatkozó személyes adatok kezelésének időpontjában, vagyis a nemzetközi védelem iránti kérelme benyújtásának időpontjában kellett volna létrehozni. A szövetségi hivatalt meg kellene hallgatni a GDPR 5. cikkének (2) bekezdése szerinti elszámoltathatósága kérdésében, miután a Bíróság határozatot hozott a jelen előzetes döntéshozatal iránti kérelemről.

Másrészt, ami az elektronikus akta bírósági és közigazgatási elektronikus postafiókon keresztül történő továbbítását illeti, az ilyen továbbítás a GDPR 4. cikkének 2. pontja értelmében vett olyan „adatkezelésnek” minősül, amelynek meg kell felelnie az e rendelet 5. cikkében rögzített elveknek. Márpedig az említett rendelet 26. cikkét megsértve semmilyen nemzeti szabályozás nem szabályozza a közigazgatási hatóságok és bíróságok közötti továbbítási eljárást a közös adatkezelők felelősségi körének meghatározásával, és a szövetségi hivatal nem nyújtott be ilyen értelmű megállapodást a kérdést előterjesztő bíróság erre irányuló kérelme ellenére sem. Ez utóbbi bíróságban tehát felmerül az adatoknak a bírósági és közigazgatási elektronikus postafiókon keresztül történő továbbításának jogszerűségével kapcsolatos kérdés.

A kérdést előterjesztő bíróság szerint különösen azt kell meghatározni, hogy a GDPR 5., 26. és 30. cikkében előírt kötelezettségek megsértését, amelyből a személyes adatok kezelésének jogellenessége következik, ezen adatoknak az e rendelet 17. cikke (1) bekezdésének d) pontja szerinti törlésével vagy az adatkezelésnek az említett rendelet 18. cikke (1) bekezdése b) pontjának megfelelő korlátozásával kell‑e szankcionálni. Ilyen szankciókat kellene legalábbis az érintett személy kérelme esetén figyelembe venni. Ennek hiányában e bíróság köteles lenne részt venni az említett adatok bírósági eljárás keretében történő jogellenes kezelésében. Ilyen esetben kizárólag a felügyeleti hatóság avatkozhat be, a GDPR 58. cikke alapján, az érintett közhatalmi szervekkel szemben e rendelet 83. cikke (5) bekezdésének a) pontja alapján közigazgatási bírság kiszabásával. Mindazonáltal a BDSG 43. §–ának (3) bekezdése értelmében, amely az említett rendelet 83. cikkének (7) bekezdését ülteti át, nemzeti szinten semmilyen közigazgatási bírság nem szabható ki közhatalmi vagy egyéb, közfeladatot ellátó szervekre. Ebből következik, hogy sem a 2013/32 irányelvet, sem a GDPR‑t nem tartják tiszteletben.

Egyébiránt a kérdést előterjesztő bíróság szerint az alapügyben szereplő adatkezelés nem tartozik a GDPR 17. cikke (3) bekezdése e) pontjának hatálya alá, amely lehetővé teszi a személyes adatok felhasználását az alperes jogi igényei előterjesztéséhez, érvényesítéséhez, illetve védelméhez. Kétségtelen, hogy a jelen ügyben a szövetségi hivatal az adatokat e rendelet 17. cikke (3) bekezdése b) pontjának megfelelően a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából használja fel. Mindazonáltal e rendelkezés alkalmazása az adatvédelmi jogszabályokkal ellentétes gyakorlat tartós jogszerűvé tételét jelentené.

E bíróság ennélfogva arra keres választ, hogy az igazságszolgáltatási tevékenysége keretében milyen mértékben veheti figyelembe a végrehajtó hatalom körébe tartozó ilyen eljárás keretében szolgáltatott személyes adatokat. Ha ugyanis az elektronikus akta megőrzését vagy annak a bírósági és közigazgatási elektronikus postafiókba történő továbbítását a GDPR‑re tekintettel jogellenes adatkezelésnek kellene minősíteni, az említett bíróság az ilyen figyelembevétellel részt vesz a szóban forgó jogellenes adatkezelésben, ami ellentétes lenne az e rendelet által követett céllal, amely a természetes személyek alapvető jogainak és szabadságainak, és különösen a személyes adatok védelméhez való joguknak a védelmére irányul.

E tekintetben a kérdést előterjesztő bíróság arra is választ keres, hogy az a körülmény, hogy az érintett személy kifejezetten hozzájárul vagy ellenzi személyes adatainak bírósági eljárás keretében történő felhasználását, befolyásolhatja‑e ezen adatok figyelembevételének lehetőségét. Abban az esetben, ha e bíróság nem veheti figyelembe a „MARIS” elektronikus aktában szereplő adatokat az ezen akta megőrzését és továbbítását érintő jogellenességek miatt, e jogsértések esetleges orvoslásáig semmiféle jogalap nem állna fenn az alapeljárás felperesének a menekült jogállás elismerése iránti kérelméről szóló határozat meghozatalához. Következésképpen az említett bíróságnak meg kellene semmisítenie a vitatott határozatot.

E körülmények között a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)

Ahhoz vezet‑e az adatkezelőt terhelő, a [GDPR] 5. cikke szerinti elszámoltathatósághoz fűződő kötelezettség nem teljesítése, illetve hanyag vagy hiányos teljesítése, például az adatkezelési tevékenységek [e rendelet] 30. cikke szerinti nyilvántartásának hiánya vagy hiányos nyilvántartása vagy a közös eljárásra vonatkozó, [e rendelet] 26. cikke szerinti megállapodás hiánya révén, hogy az adatkezelés a [GDPR] 17. cikke (1) bekezdésének d) pontja és 18. cikke (1) bekezdésének b) pontja értelmében jogellenes, így az érintettnek a törléshez, illetve a korlátozáshoz való joga fennáll?

Az első kérdésre adandó igenlő válasz esetén: [a]hhoz vezet‑e a törléshez vagy korlátozáshoz való jog fennállása, hogy a kezelt adatokat bírósági eljárásban figyelmen kívül kell hagyni? Ez vonatkozik‑e legalábbis arra az esetre, ha az érintett tiltakozik a bírósági eljárás keretében történő felhasználás ellen?

Ha az első kérdésre nemleges válasz adandó: [a]hhoz vezet‑e az általános adatvédelmi rendelet 5., 30. vagy 26. cikkének az adatkezelő általi megsértése, hogy a nemzeti bíróság a kezelt adatok bíróság általi felhasználásának kérdését illetően az adatokat csak akkor veheti figyelembe, ha az érintett a felhasználáshoz kifejezetten hozzájárul?”

Az előzetes döntéshozatalra előterjesztett kérdésekről

Az elfogadhatóságról

A német kormány anélkül, hogy formálisan elfogadhatatlansági kifogást emelt volna, kétségeit fejezi ki azzal kapcsolatban, hogy az előzetes döntéshozatalra előterjesztett kérdések relevánsak‑e az alapeljárás kimenetele szempontjából. Mindenekelőtt az előzetes döntéshozatalra utaló határozatból kitűnik, hogy a GDPR 5. cikke (2) bekezdésének a szövetségi hivatal általi megsértése nem nyert jogerősen megállapítást, a kérdést előterjesztő bíróság annak vélelmezésére szorítkozott. Továbbá e bíróság nem állította, hogy a szövetségi hivatal aktái – feltéve, hogy nem jogosult azok felhasználására – kizárólag meghatározóak lennének e jogvita megoldása szempontjából. A kérdést előterjesztő bíróság ugyanis más információforrásokkal is rendelkezik, amelyeket a hivatalból történő vizsgálat elve alapján teljes mértékben ki kell használni, ha valamely hatóság nem nyújt be iratokat, vagy azok hiányosak. Végül a harmadik kérdés nyilvánvalóan hipotetikus, mivel az előzetes döntéshozatalra utaló határozatból nem tűnik ki, hogy az alapeljárás felperese hozzájárult volna vagy hozzájárulna személyes adatainak a kérdést előterjesztő bíróság általi kezeléséhez.

Emlékeztetni kell arra, hogy a Bíróság állandó ítélkezési gyakorlata értelmében az uniós jogra vonatkozó kérdések releváns voltát vélelmezni kell. A Bíróság csak akkor utasíthatja el a nemzeti bíróság által előzetes döntéshozatalra előterjesztett kérdést, ha az uniós jog kért értelmezése nyilvánvalóan semmilyen összefüggésben nincs az alapügy tényállásával vagy tárgyával, ha a probléma hipotetikus jellegű, vagy ha nem állnak a Bíróság rendelkezésére azok a ténybeli vagy jogi elemek, amelyek szükségesek ahhoz, hogy az elé terjesztett kérdésekre hasznos választ adhasson. Ráadásul az EUMSZ 267. cikkben említett eljárás keretében, amely a nemzeti bíróságok és a Bíróság feladatainak világos szétválasztásán alapul, az ügy konkrét tényállásának a megállapítása és megítélése, valamint a nemzeti jog értelmezése és alkalmazása kizárólag a nemzeti bíróság hatáskörébe tartozik (lásd különösen: 2022. március 24‑iAutoriteit Persoonsgegevens ítélet, C‑245/20, EU:C:2022:216, 20. és 21. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

Ahogyan az az EUMSZ 267. cikk második bekezdéséből egyértelműen kitűnik, a nemzeti bíróságok és a Bíróság közötti, a feladatmegosztáson alapuló szoros együttműködés keretében a kérdést előterjesztő bíróság feladata annak eldöntése, hogy az eljárás mely szakaszában terjesszen kérdést a Bíróság elé előzetes döntéshozatalra (2008. július 17‑iColeman ítélet, C‑303/06, EU:C:2008:415, 29. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

Közelebbről, a Bíróság e tekintetben már kimondta, hogy az a körülmény, hogy a ténykérdések még nem képezték kontradiktórius bizonyításfelvételi eljárás tárgyát, önmagában nem teszi elfogadhatatlanná az előzetes döntéshozatalra előterjesztett kérdést (lásd ebben az értelemben: 2014. szeptember 11‑iÖsterreichischer Gewerkschaftsbund ítélet, C‑328/13, EU:C:2014:2197, 19. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

Márpedig a jelen ügyben, noha az előzetes döntéshozatal iránti kérelemből kitűnik, hogy a kérdést előterjesztő bíróság nem határozott jogerősen arról, hogy a szövetségi hivatal megsértette‑e a GDPR 5. cikkének az e rendelet 26. és 30. cikkével összefüggésben értelmezett (2) bekezdéséből eredő kötelezettségeit, ezért az alapeljárás e szempontjának az e kérelemben szolgáltatott információk szerint még kontradiktórius vita tárgyát kell képeznie, ez nem változtat azon, hogy e bíróság megállapította, hogy sem a közös adatkezelésről szóló megállapodást, sem az e két utóbbi rendelkezésben említett, az adatkezelési tevékenységekre vonatkozó nyilvántartást nem nyújtotta be a szövetségi hivatal adatkezelőként, annak ellenére, hogy erre irányuló kérelmet intéztek hozzá.

Egyébiránt az előzetes döntéshozatalra utaló határozatból kitűnik, hogy az említett bíróság véleménye szerint, amely bíróságnak kizárólagos feladata a tényállás megállapítása és értékelése, a vitatott határozatot kizárólag a szövetségi hivatal által összeállított elektronikus iratok alapján fogadták el, amelynek megőrzése és továbbítása sértheti az említett rendeletben foglalt szabályokat, így e határozatot ezen okból meg kell semmisíteni.

Végül, ami az alapeljárás felperesének a személyes adatainak a bírósági eljárás keretében történő felhasználásához való hozzájárulását illeti, elegendő megállapítani, hogy az előzetes döntéshozatalra előterjesztett harmadik kérdés pontosan annak meghatározására irányul, hogy a jelen ügyben szükséges‑e ilyen hozzájárulás megadása ahhoz, hogy a kérdést előterjesztő bíróság jogosult legyen ezen adatok figyelembevételére.

E körülmények között, mivel a Bírósághoz az uniós jog értelmezésére irányuló olyan kérelemmel fordultak, amely nem nyilvánvalóan irreleváns az alapeljárás tényállása vagy tárgya vonatkozásában, és a Bíróság rendelkezik az ahhoz szükséges információkkal, hogy hasznos választ adjon a GDPR alapeljárásra gyakorolt hatásával kapcsolatban elé terjesztett kérdésekre, azokra válaszolnia kell, anélkül hogy maga a kérdést előterjesztő bíróság által vélelmezett tényállást vizsgálná, amely tényállást utóbb e bíróságnak kell majd felülvizsgálnia, ha az szükségessé válik (lásd analógia útján: 2008. július 17‑iColeman ítélet, C‑303/06, EU:C:2008:415, 31. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

Következésképpen meg kell állapítani, hogy a jelen előzetes döntéshozatal iránti kérelem elfogadható, és válaszolni kell az előterjesztő bíróság által feltett kérdésekre, ugyanakkor ez utóbbinak meg kell vizsgálnia, hogy a szövetségi hivatal megsértette‑e a GDPR 26. és 30. cikkében előírt kötelezettségeket.

Az ügy érdeméről

Az első kérdésről

Első kérdésével az előterjesztő bíróság lényegében arra keres választ, hogy a GDPR 17. cikke (1) bekezdésének d) pontját és 18. cikke (1) bekezdésének b) pontját úgy kell‑e értelmezni, hogy az e rendelet 26. és 30. cikkében előírt, az adatkezelésért való közös felelősséget meghatározó megállapodás megkötésére és az adatkezelési tevékenységekkel kapcsolatos nyilvántartás vezetésére vonatkozó kötelezettség adatkezelő általi megsértése jogellenes adatkezelésnek minősül, amely az érintettet az adatok törléséhez vagy az adatkezelés korlátozásához való joggal ruházza fel, mivel az ilyen jogsértés magában foglalja az említett rendelet 5. cikkének (2) bekezdésében meghatározott „elszámoltathatóság” elvének adatkezelő általi megsértését.

A Bíróság állandó ítélkezési gyakorlata szerint valamely uniós jogi rendelkezés értelmezéséhez nemcsak annak szövegét, hanem szövegkörnyezetét, és annak a szabályozásnak a célkitűzéseit is figyelembe kell venni, amelynek az részét képezi (lásd ebben az értelemben különösen: 2023. január 12‑iNemzeti Adatvédelmi és Információszabadság Hatóság ítélet, C‑132/21, EU:C:2023:2, 32. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

Ami először is a vonatkozó uniós jogi rendelkezések szövegét illeti, emlékeztetni kell arra, hogy a GDPR 17. cikke (1) bekezdésének d) pontja értelmében az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha a személyes adatokat „jogellenesen kezelték”.

51	Hasonlóképpen, a GDPR 18. cikke (1) bekezdésének b) pontja értelmében, amennyiben „az adatkezelés jogellenes”, az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását.

Az előző két pontban említett rendelkezéseket e rendelet 5. cikkének (1) bekezdésével összefüggésben kell értelmezni, amely szerint a személyes adatok kezelésének meg kell felelniük az e rendelkezésben kimondott bizonyos elveknek, köztük az említett rendelet 5. cikke (1) bekezdésének a) pontjában szereplő elvnek, melynek értelmében a személyes adatok kezelését „jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni”.

A GDPR 5. cikkének (2) bekezdése értelmében az adatkezelő az e rendelkezésben foglalt „elszámoltathatóság” elvének megfelelően felelős az e cikk (1) bekezdésének való megfelelésért, továbbá képesnek kell lennie annak igazolására, hogy tiszteletben tartja az ezen (1) bekezdésben rögzített összes elvet, így ennek bizonyítása rá hárul (lásd ebben az értelemben: 2022. február 24‑iValsts ieņēmumu dienests [Személyes adatok adóügyi célból történő kezelése] ítélet, C‑175/20, EU:C:2022:124, 77., 78. és 81. pont).

54	Ebből következik, hogy az említett rendelet 5. cikkének az e cikk (1) bekezdésének a) pontjával összefüggésben értelmezett (2) bekezdése alapján az adatkezelőnek meg kell győződnie az általa végzett adatkezelés „jogszerű” jellegéről.

Márpedig meg kell állapítani, hogy az adatkezelés jogszerűségére pontosan a GDPR 6. cikke vonatkozik – ahogyan az magából a címéből kitűnik –, amely előírja, hogy az adatkezelés csak akkor jogszerű, ha az e cikk (1) bekezdése első albekezdésének a)–f) pontjában meghatározott feltételek közül legalább egy teljesül, vagyis – amint az e rendelet (40) preambulumbekezdéséből is kitűnik – ha akár az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez akár az adatkezelés az egyik említett célból szükséges, amelyek a következők: olyan szerződés teljesítése, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtétele; az adatkezelőre vonatkozó jogi kötelezettség teljesítése; az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme; közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtása; valamint az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítése, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett érdekei vagy alapvető jogai és szabadságai.

Azon esetek e felsorolása, amelyekben a személyes adatok kezelése jogszerűnek tekinthető, kimerítő és korlátozó jellegű, így ahhoz, hogy az adatkezelést jogszerűnek lehessen tekinteni, annak a GDPR 6. cikke (1) bekezdésének első albekezdésében előírt esetek valamelyikébe kell tartoznia (lásd ebben az értelemben: 2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 99. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2022. december 8‑iInspektor v Inspektorata kam Visshia sadeben savet [A személyes adatok kezelésének céljai – nyomozás]C‑180/21, EU:C:2022:967, 83. pont).

Így a Bíróság ítélkezési gyakorlata szerint a személyes adatok bármely kezelésének meg kell felelnie az e rendelet 5. cikkének (1) bekezdésében foglalt, az adatkezelésre vonatkozó elveknek, és meg kell felelnie az említett rendelet 6. cikkében felsorolt, az adatkezelés jogszerűségére vonatkozó feltételeknek (lásd különösen: 2020. október 6‑iLa Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 208. pont; 2021. június 22–iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 96. pont; 2022. október 20–iDigi ítélet, C‑77/21, EU:C:2022:805, 49. és 56. pont).

Egyébiránt, mivel a GDPR 7–11. cikkének – amely a rendelet 5. és 6. cikkéhez hasonlóan e rendeletnek az elvekre vonatkozó II. fejezetében szerepel – az a célja, hogy pontosítsa az adatkezelőt az említett rendelet 5. cikke (1) bekezdésének a) pontja és 6. cikkének (1) bekezdése alapján terhelő kötelezettségek terjedelmét, a személyes adatok kezelésének, ahhoz, hogy jogszerű legyen – ahogyan az a Bíróság ítélkezési gyakorlatából kitűnik – az említett fejezet ezen egyéb rendelkezéseit is tiszteletben kell tartania, amelyek lényegében a hozzájárulásra, az érzékeny személyes adatok különleges kategóriáinak kezelésére, valamint a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelésére vonatkoznak (lásd ebben az értelemben: 2019. szeptember 24‑iGC és társai [Különleges adatokra mutató linkek törlése] ítélet, C‑136/17, EU:C:2019:773, 72–75. pont; 2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 100., 102. és 106. pont).

Márpedig az írásbeli észrevételt előterjesztő összes kormányhoz, valamint az Európai Bizottsághoz hasonlóan meg kell állapítani, hogy az adatkezelésért való közös felelősséget meghatározó megállapodás megkötésére vonatkozó, a GDPR 26. cikkében előírt kötelezettség, valamint az adatkezelési tevékenységek nyilvántartásának vezetésére vonatkozó, az e rendelet 30. cikkében előírt kötelezettség adatkezelő általi tiszteletben tartása nem szerepel az adatkezelés jogszerűségének az említett rendelet 6. cikke (1) bekezdésének első albekezdésében felsorolt indokai között.

60	Ezenkívül a GDPR 7–11. cikkétől eltérően e rendelet 26. és 30. cikkének nem célja az említett rendelet 5. cikke (1) bekezdésének a) pontjában és 6. cikkének (1) bekezdésében foglalt követelmények terjedelmének pontosítása.

Ennélfogva magából a GDPR 5. cikke (1) bekezdése a) pontjának és 6. cikke (1) bekezdése első albekezdésének szövegéből az következik, hogy az e rendelet 26. és 30. cikkében előírt kötelezettségek adatkezelő általi megsértése nem minősül az említett rendelet 17. cikke (1) bekezdésének d) pontja és 18. cikke (1) bekezdésének b) pontja értelmében vett olyan „jogellenes adatkezelésnek”, amely abból ered, hogy az adatkezelő megsértette az ugyanezen rendelet 5. cikkének (2) bekezdésében meghatározott „elszámoltathatóság” elvét.

Ezt az értelmezést másodsorban az a szövegkörnyezet is megerősíti, amelybe e különböző rendelkezések illeszkednek. A GDPR szerkezetéből, és ennélfogva annak rendszeréből ugyanis egyértelműen kitűnik, hogy az különbséget tesz egyrészt a többek között e rendelet 5. és 6. cikkét tartalmazó II. fejezetének tárgyát képező „elvek”, másrészt pedig az említett rendelet IV. fejezete 1. szakaszának részét képező, az adatkezelőkre vonatkozó „általános kötelezettségek” között, amelyek között szerepelnek az ugyanezen rendelet 26. és 30. cikkében említett kötelezettségek.

E különbségtétel egyébiránt tükröződik a GDPR szankciókra vonatkozó VIII. fejezetében, mivel egyrészt e rendelet 26. és 30. cikkének, másrészt 5. és 6. cikkének megsértése az említett rendelet 83. cikkének (4) és (5) bekezdése szerint bizonyos összeghatárig terjedő közigazgatási bírsággal sújtható, amely összeg a szóban forgó bekezdés szerint az adott jogsértés súlyossága miatt eltérő, amit az uniós jogalkotó elismer.

Harmadszor és utolsósorban, a GDPR‑nek a jelen ítélet 61. pontjában kifejtett szó szerinti értelmezését megerősíti az e rendelet által követett, a rendelet 1. cikkéből, valamint (1) és (10) preambulumbekezdéséből következő célkitűzés, amely többek között arra irányul, hogy biztosítsa a természetes személyek alapvető jogainak és szabadságainak, különösen a magánélet tiszteletben tartásához való jognak a magas szintű védelmét a személyes adatok kezelése tekintetében, amelyet az Európai Unió Alapjogi Chartája 8. cikkének (1) bekezdése és az EUMSZ 16. cikk (1) bekezdése rögzít (lásd ebben az értelemben: 2022. augusztus 1‑jei Vyriausioji tarnybinės ésikos komisija ítélet, C‑184/20, EU:C:2022:601, 125. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

A GDPR 26. cikke szerinti közös felelősséget meghatározó megállapodás vagy az e rendelet 30. cikke értelmében vett, az adatkezelési tevékenységek nyilvántartásának hiánya önmagában nem elegendő a személyes adatok védelméhez való alapvető jog megsértésének megállapításához. Közelebbről, igaz ugyan, hogy – amint az a GDPR (79) és (82) preambulumbekezdéséből kitűnik – a közös adatkezelők közötti egyértelmű felelősségmegosztás és az adatkezelési tevékenységek nyilvántartása olyan eszközök, amelyek biztosítják, hogy ezen adatkezelők tiszteletben tartsák az említett rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt garanciákat, ez nem változtat azon, hogy az ilyen nyilvántartás vagy megállapodás hiánya önmagában nem bizonyítja, hogy e jogokat és szabadságokat megsértették.

Ebből következik, hogy a GDPR 26. és 30. cikkének az adatkezelő általi megsértése nem minősül az e rendelet 5. cikke (1) bekezdésének a) pontjával és 6. cikke (1) bekezdésének első albekezdésével összefüggésben értelmezett 17. cikke (1) bekezdésének d) pontja vagy 18. cikke (1) bekezdésének b) pontja értelmében vett „jogellenes adatkezelésnek”, amely az érintettet a törléshez vagy az adatkezelés korlátozásához való joggal ruházza fel.

Ahogyan arra az írásbeli észrevételt előterjesztő összes kormány és a Bizottság hivatkozott, az ilyen jogsértést tehát a GDPR‑ben előírt más intézkedések alkalmazásával kell orvosolni, mint például az e rendelet 58. cikkének (2) bekezdése értelmében vett „korrekciós intézkedések” felügyeleti hatóság általi elfogadása révén, többek között e rendelkezés d) pontjának megfelelően az adatkezelési műveletek összhangba hozatalával, a felügyeleti hatósághoz az e rendelet 77. cikkének (1) bekezdése szerinti panasz benyújtásával, vagy e rendelet 82. cikke alapján az adatkezelő által esetlegesen okozott kár megtérítésével.

Végül, a kérdést előterjesztő bíróság által kifejtett aggályokra tekintettel, pontosítani kell továbbá, hogy az a körülmény, amely szerint a jelen ügyben kizárt a GDPR 58. cikke (2) bekezdésének i) pontja és 83. cikke szerinti közigazgatási bírság kiszabása, mivel a nemzeti jog tiltja az ilyen szankció alkalmazását a szövetségi hivatallal szemben, nem akadályozhatja meg e rendelet hatékony alkalmazását. E tekintetben ugyanis elegendő megállapítani, hogy az említett rendelet 83. cikkének (7) bekezdése kifejezetten lehetőséget biztosít a tagállamoknak arra, hogy meghatározzák, hogy lehet‑e ilyen bírságot közhatalmi vagy egyéb, közfeladatot ellátó szervvel szemben kiszabni, és ha igen, milyen mértékben. Végeredményben a GDPR‑ben előírt, az előző pontban felidézett különböző alternatív intézkedések lehetővé teszik az ilyen hatékony alkalmazás biztosítását.

Következésképpen az első kérdésre azt a választ kell adni, hogy a GDPR 17. cikke (1) bekezdésének d) pontját és 18. cikke (1) bekezdésének b) pontját úgy kell értelmezni, hogy az e rendelet 26. és 30. cikkében előírt, az adatkezelésért való közös felelősséget meghatározó megállapodás megkötésére és az adatkezelési tevékenységekkel kapcsolatos nyilvántartás vezetésére vonatkozó kötelezettség adatkezelő általi megsértése nem minősül jogellenes adatkezelésnek, amely az érintettet az adatok törléséhez vagy az adatkezelés korlátozásához való joggal ruházza fel, mivel az ilyen jogsértés önmagában nem foglalja magában az említett rendelet 5. cikke (1) bekezdésének a) pontjával és 6. cikke (1) bekezdésének első albekezdésével összefüggésben értelmezett 5. cikkének (2) bekezdésében meghatározott „elszámoltathatóság” elvének adatkezelő általi megsértését.

A második kérdésről

70	Figyelembe véve az első kérdésre adott választ, a második kérdésre nem szükséges válaszolni.

A harmadik kérdésről

Harmadik kérdésével az előterjesztő bíróság lényegében arra keres választ, hogy az uniós jogot úgy kell‑e értelmezni, hogy amennyiben a személyes adatok kezelője megsértette a GDPR 26. vagy 30. cikkéből eredő kötelezettségeit, az ilyen adatok nemzeti bíróság általi figyelembevételének jogszerűsége az érintett hozzájárulásától függ.

E tekintetben meg kell állapítani, hogy magából e rendelet 6. cikke (1) bekezdése első albekezdésének szövegéből egyértelműen kitűnik, hogy az érintettnek az ezen albekezdés a) pontjában említett hozzájárulása az adatkezelés jogszerűségének csupán egyik indokát képezi, ezzel szemben az ilyen hozzájárulást nem követelik meg az említett albekezdés b)–f) pontjában felsorolt egyéb jogszerűségi okok, amelyek lényegében az adatkezelés meghatározott célok eléréséhez való szükségességén alapulnak (lásd analógia útján: 2019. december 11‑iAsociaţia de Proprietari bloc M5A‑ScaraA ítélet, C‑708/18, EU:C:2019:1064, 41. pont).

Márpedig, ha valamely bíróság a nemzeti jog által ráruházott bírósági hatásköröket gyakorolja, a személyes adatok e bíróság által elvégzendő kezelését szükségesnek kell tekinteni az említett rendelet 6. cikke (1) bekezdése első albekezdésének e) pontjában kimondott, közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához kapcsolódó cél eléréséhez.

Mivel egyrészt ahhoz, hogy a személyes adatok kezelését jogszerűnek lehessen tekinteni, elegendő, ha az általános adatvédelmi rendelet 6. cikkének (1) bekezdésében előírt feltételek valamelyike teljesül, másrészt pedig, ahogyan az a jelen ítélet 61. pontjában megállapítást nyert, e rendelet 26. és 30. cikkének megsértése nem minősül jogellenes adatkezelésnek, a szövetségi hivatal által az utóbbi cikkekben előírt kötelezettségek megsértésével kezelt személyes adatok kérdést előterjesztő bíróság általi figyelembevétele nem függ az érintett hozzájárulásától.

Következésképpen a harmadik kérdésre azt a választ kell adni, hogy az uniós jogot úgy kell értelmezni, hogy amennyiben a személyes adatok kezelője megsértette a GDPR 26. vagy 30. cikkéből eredő kötelezettségeit, az ilyen adatok nemzeti bíróság általi figyelembevételének jogszerűsége nem függ az érintett hozzájárulásától.

A költségekről

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (ötödik tanács) a következőképpen határozott:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 17. cikke (1) bekezdésének d) pontját és 18. cikke (1) bekezdésének b) pontját

a következőképpen kell értelmezni:

az e rendelet 26. és 30. cikkében előírt, az adatkezelésért való közös felelősséget meghatározó megállapodás megkötésére és az adatkezelési tevékenységekkel kapcsolatos nyilvántartás vezetésére vonatkozó kötelezettség adatkezelő általi megsértése nem minősül jogellenes adatkezelésnek, amely az érintettet az adatok törléséhez vagy az adatkezelés korlátozásához való joggal ruházza fel, mivel az ilyen jogsértés önmagában nem foglalja magában az említett rendelet 5. cikke (1) bekezdésének a) pontjával és 6. cikke (1) bekezdésének első albekezdésével összefüggésben értelmezett 5. cikkének (2) bekezdésében meghatározott „elszámoltathatóság” elvének adatkezelő általi megsértését.

2)	Az uniós jogot úgy kell értelmezni, hogy amennyiben a személyes adatok kezelője megsértette a 2016/679 rendelet 26. vagy 30. cikkéből eredő kötelezettségeit, az ilyen adatok nemzeti bíróság általi figyelembevételének jogszerűsége nem függ az érintett hozzájárulásától.

Aláírások

( *1 ) Az eljárás nyelve: német.