Adatvédelem vagy a közúti büntetőpontok nyilvánossága

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Az unió luxembourgi bírósága által hozott ítélet egy szinte klasszikusnak nevezhető adatvédelmi ügyben született, és azt vette górcső alá, milyen mértékben avatkozhat be egy tagállam valakinek a személyes jogaiba a közúti közlekedésbiztonság előmozdítására irányuló céljának követése során.

A szerző az alábbi cikkében Európai Unió Bíróságának (EUB, Luxembourg) ítéletét mutatja be; a döntés egy magánszemély, B. alkotmányjogi panasza ügyében született.[1]

I. Bevezetés

Ami az alapügyet illeti, a lettországi alkotmánybíróság (Latvijas Republikas Satversmes tiesa) fordult előzetes döntéshozatal iránti kérelemmel a luxembourgi taláros testülethez egy előtte folyamatban lévő és egy magánszemély, B. által kezdeményezett eljárás keretében. Az eljárás a közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatokhoz való nyilvános hozzáférésről rendelkező nemzeti jogszabály jogszerűségének vitatása miatt zajlott a lett parlament (Latvijas Republikas Saeima) részvételével a balti állam alkotmánybírósága előtt.

Utóbbi az információ nyilvánosságra hozataláról szóló lett nemzeti törvény[2] és az (EU) 2016/679 számú rendelete[3] (általános adatvédelmi rendelet, GDPR) összeegyeztethetőségének kérdésében kérte az EUB segítségét. Az eljárás során ugyanis szükségessé vált annak értékelése, milyen mértékben avatkozhat be egy tagállam valamely magánszemély személyes jogaiba a közúti közlekedésbiztonság előmozdítására irányuló céljának követése során. Továbbá annak elbírálására, hogy a jelen esettel érintett lett jogi szabályozás és az annak rendelkezései alapján hozott hatósági intézkedések arányosak-e az általuk elérni kívánt céllal?

Emiatt ez egy szinte klasszikus adatvédelmi ügy, abban az értelemben, hogy elsősorban az offline világban játszódik, és az állam, valamint egy magánszemély közötti vertikális jogviszonyra vonatkozik, ezért zökkenőmentesen illeszkedik a kétségtelenül az első, tág értelemben vett adatvédelmi ügyben hozott, a fejlődést elindító Stauder-ítélet[4] óta az EUB elé kerülő ügyek sorába[5].

Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló 2016/679 EU-rendelet 5., 6. és 10. cikkének, valamint a közszféra információinak további felhasználásáról szóló 2003/98/EK irányelv 1. cikke (2) bekezdése cc) pontjának, valamint az uniós jog elsőbbsége és a jogbiztonság elvének az értelmezésére vonatkozott.

II. A tényállás

A kérdést előterjesztő bíróság előtti eljárás felperese, B. természetes személy, akivel szemben egy vagy több közúti közlekedési jogsértés miatt büntetőpontokat szabtak ki. A lett közúti közlekedésbiztonsági igazgatóság (Ceļu satiksmes drošības direkcija) e büntetőpontokat bejegyezte a gépjárművek és gépjárművezetők nemzeti nyilvántartásába.

A közúti közlekedésre vonatkozó lett szabályozás[6] értelmében az e nyilvántartásban szereplő, a gépjárművezetőkkel szemben kiszabott büntetőpontokra vonatkozó információk nyilvánosan hozzáférhetők, és azokat a közúti közlekedésbiztonsági hatóság közli minden olyan személlyel – többek között a gazdasági szereplőkkel is eme információk további felhasználása céljából –, aki erre vonatkozó kérelmet terjeszt elő, anélkül, hogy igazolnia kellene az eme információk megszerzéséhez fűződő különös érdekét. B., akinek kétségei voltak e szabályozás jogszerűségével kapcsolatban, alkotmányjogi panasszal fordult a lett alkotmánybírósághoz annak érdekében, hogy vizsgálja meg e rendelkezésnek a magánélet tiszteletben tartásához fűződő alapvető joggal való összhangját.

Mivel a közúti közlekedési törvény 14¹. cikkének (2) bekezdését a lett parlament fogadta el, az eljárásban ez az intézmény is részt vett. A parlament elismerte, hogy az érintett rendelkezés alapján bárki információkat szerezhet egy másik személy jogsértés miatt kiszabott pontjairól, akár oly módon, hogy közvetlenül a lett közúti közlekedésbiztonsági hatósághoz fordul, akár az adatok kereskedelmi célú további felhasználását végző szolgáltatók szolgáltatásainak igénybevétele útján. Nézete szerint azonban e rendelkezés jogszerű, mivel azt a közúti közlekedésbiztonság javításának célkitűzése igazolja, amely megköveteli, hogy a közlekedési jogsértést elkövetőket nyíltan azonosítsák, és a gépjárművezetőket visszatartsák a jogsértések elkövetésétől. Ezen kívül tiszteletben kell a tartani a lett alkotmány 100. cikkében foglalt, az információkhoz való hozzáférés jogát.

A lett alkotmánybíróság szerint az ügy által érintett alkotmányos jogra vonatkozó vizsgálatának keretében figyelembe kell vennie az EU általános adatvédelmi rendeletét. Ezért arra kérte az EUB-ot, tisztázza a GDPR több rendelkezésének hatályát annak meghatározására, hogy a közúti közlekedésre vonatkozó lett szabályozás összeegyeztethető-e az uniós jogszabállyal. Közelebbről, arról akart megbizonyosodni, hogy a közúti közlekedési törvény 14¹. cikkének (2) bekezdése sérti-e az általános adatvédelmi rendelet 10. cikkében foglalt ama követelményt, mely szerint az e jogszabályban említett adatok kezelésére csak „közhatalmi szerv felügyelete alatt” vagy „az érintett jogai és szabadságai tekintetében megfelelő garanciák” mellett kerülhet sor. Ezért az eljárás során felmerült kétségeinek tisztázása céljából az eljárását felfüggesztette és beterjesztette előzetes döntéshozatali kérelmét.

III. Az ügy értékelése és az EUB ítélete

III.1 Első kérdésével a lett alkotmánybíróság arra várt választ, a GDPR 10. cikkét úgy kell-e értelmezni, hogy azt alkalmazni kell a gépjárművezetőkkel szemben – közúti közlekedési jogsértések miatt – kiszabott büntetőpontokra vonatkozó személyes adatok nyilvános hozzáférhetővé tételével megvalósuló kezelésére.

III.1.1 Az EUB ezzel kapcsolatban rögzítette, eme információk közlése az általános adatvédelmi rendelet 2. cikkének (1) bekezdésének – rendkívül tágan meghatározott – tárgyi hatálya alá tartozik, és nem szerepel ama személyesadat-kezelések között, amelyeket a GDPR 2 cikke (2) bekezdésének a) és d) pontja kizár e rendelet hatálya alól[7]. Eszerint a rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt „az uniós jog hatályán kívül eső tevékenységek során” végzik. A GDPR alkalmazhatósága alóli e kivételt a 2. cikkének (2) bekezdésében szereplő többi kivételhez hasonlóan szigorúan kell értelmezni[8].

E tekintetben a GDPR e pontját, 2. cikke (2) bekezdésének b) pontjával és (16) preambulumbekezdésével összefüggésben kell értelmezni. E b) pont szerint a rendelet nem alkalmazandó a személyes adatok olyan „tevékenységekkel kapcsolatos kezelésére, amelyek az uniós jog hatályán kívül esnek, mint például a nemzetbiztonsággal kapcsolatos tevékenységek”, vagy „amelyeket az Unió közös kül- és biztonságpolitikájával összefüggésben végeznek”.

Az EUB korábbi ítéleteiben már több alkalommal kitért arra, hogy kizárólag az államnak vagy az állami hatóságoknak a rendelet 3. cikke (2) bekezdésében kifejezetten említett vagy ugyanezen kategóriába tartozónak tekinthető sajátos tevékenységei keretében végzett személyesadat-kezelés tartozik az irányelv hatálya alóli kivétel alá[9].

A GDPR 2. cikke (2) bekezdésének a (16) preambulumbekezdésével összefüggésben értelmezett a) pontját úgy kell tekinteni, annak egyedüli célja az, hogy kizárja e rendelet hatálya alól a személyes adatok olyan kezelését, amelyet az állami hatóságok a nemzetbiztonság megóvására irányuló vagy ugyanezen kategóriába tartozónak tekinthető tevékenység keretében végeznek. Így önmagában az, hogy egy tevékenység az állam vagy valamely közhatalmi szerv sajátos tevékenysége, nem elegendő ahhoz, hogy ezt a kivételt automatikusan alkalmazni lehessen erre a tevékenységre[10].

Összefoglalva: a nemzetbiztonság védelmére irányuló tevékenységek különösen azokat a tevékenységeket foglalják magukba, amelyek célja az alapvető állami funkcióknak és a társadalom alapvető érdekeinek a védelme. Mivel azonban, a közúti közlekedés biztonságával kapcsolatos tevékenységek nem ilyen célkitűzés megvalósítására irányulnak, következésképp nem sorolhatók a GDPR 2. cikke (2) bekezdésének a) pontja szerinti ama tevékenységek kategóriájába, amelyek célja a nemzetbiztonság megőrzése.

III.1.2 A GDPR 2. cikke (2) bekezdésének d) pontja szerint a rendelet nem alkalmazandó a személyes adatok olyan kezelésére, amelyet „az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából [végeznek], ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését”. E kivételt az a körülmény indokolja, hogy a személyes adatok illetékes hatóságok általi, ilyen célú kezelésére külön uniós jogi aktus, a 2016/680-as EU-irányelv[11] az irányadó: 3. cikke 7. pontjában meghatározza, mit kell „illetékes hatóság” alatt érteni, amely meghatározást analóg módon a 2. cikk (2) bekezdésének d) pontja tekintetében is alkalmazni kell. A 2016/680-as irányelv (10) preambulumbekezdéséből kitűnik, hogy az „illetékes hatóság” fogalmát a személyes adatoknak a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén megvalósuló védelmével összefüggésben kell értelmezni – figyelembe véve ama kiigazításokat, amelyek e területek sajátos természetéből adódóan e tekintetben szükségessé válhatnak.

Jelen ügyben a szakhatóság – a büntetőpontokra vonatkozó személyes adatok közlekedésbiztonsági célú, a nyilvánosság számára hozzáférést biztosító – kifogásolt tevékenysége során a 2016/680-as irányelv 3. cikkének 7. pontja értelmében vett „illetékes hatóságnak” lenne tekinthető, és e tevékenysége a GDPR 2. cikke (2) bekezdésének d) pontjában szereplő kivétel hatálya alá tartoznának. Az EUB szerint a GDPR tárgyi hatálya kiterjed a gépjárművezetőkkel szemben közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatok során a közúti közlekedésbiztonsági igazgatóság általi közlésére[12].

E megfontolásokra tekintettel a luxembourgi bírák leszögezték, a GDPR 10. cikkét úgy kell értelmezni, hogy azt alkalmazni kell a gépjárművezetőkkel szemben közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatok kezelésére.

III.1.3 A tényállás szerint a büntetőpontok közlésére vonatkozó lett szabályozás hozzáférést biztosít a közúti közlekedési jogsértésekre vonatkozó személyes adatokhoz. Annak meghatározására, hogy az ilyen hozzáférés az általános adatvédelmi rendelet 10. cikke értelmében vett, a „bűncselekményekre” vonatkozó személyes adatok kezelésének minősül-e, rögzíteni kell: e fogalom kizárólag a büntetőjog körébe tartozó jogsértésekre utal.

A büntetőjogi felelősség megállapítására vonatkozó határozatokra, valamit a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatoknak a 6. cikk (1) bekezdése alapján történő kezelésére kizárólag abban az esetben kerülhet sor, ha az közhatalmi szerv felügyelete alatt történik, vagy ha az adatkezelést az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós vagy tagállami jog lehetővé teszi. A büntetőjogi felelősségre vonatkozó határozatok teljes körű nyilvántartása csak közhatalmi szerv által végzett adatkezelés keretében történhet.

III.1.3.1 Ennek kapcsán az EUB rögzítette: e fogalom kizárólag a büntetőjog körébe tartozó jogsértésekre utal. Az uniós jogalkotó azzal, hogy szándékosan mellőzte a „közigazgatási” jelzőnek a GDPR 10. cikkébe való felvételét, az e rendelkezésben előírt fokozott védelmet kizárólag a büntetőjog területén akarta fenntartani. Ugyanakkor nem egyértelmű e rendelkezés összes nyelvi változatában, hogy e kifejezés csak a büntetőjogi elkövetésekre – bűncselekményekre – vonatkozik-e, vagy kiterjed a közigazgatási jogsértésekre is. Meghatározása szerint egy uniós jogi rendelkezés értelmezése maga után vonja a különböző nyelvi változatok összehasonlítását[13], továbbá az uniós jogszabály eltérő nyelvi változatait egységesen kell értelmezni[14].

A mindenkori eset konkrét körülményeire tekintettel a „pontosabb” nyelvi változatok jelentését kell helyesnek tekinteni, különösen, mivel ez a pontosabb jelentés a kevésbé pontos nyelvi változatok esetében is a lehetséges értelmezések egyike. Ezek tekintetében az egyik lehetőség egy olyan értelmezés, amely szerint a jogsértések csak büntetőjogi jellegűek. Az általános adatvédelmi rendelet 10. cikke különböző nyelvi változatainak összehasonlító értelmezése alapján a „büntetőjogi” kifejezés a „felelősség megállapítására vonatkozó határozatokra” és a jogsértésekre egyaránt vonatkozik[15].

III.1.3.2 Az EUB szerint az, hogy a közúti közlekedési jogsértések Lettországban közigazgatási jellegű jogsértésnek minősülnek, nem meghatározó annak értékelése szempontjából, hogy e jogsértések a GDPR 10. cikkének hatálya alá tartoznak-e. E tekintetben emlékeztetett arra, hogy jelentésének és hatályának meghatározása érdekében a tagállamok jogára kifejezett utalást nem tartalmazó uniós rendelkezést az egész unióban önállóan és egységesen kell értelmezni[16]. A GDPR semmilyen utalást nem tartalmaz a nemzeti jogokra a – 10. cikkben szereplő kifejezések, különösen a „bűncselekmények” és a „büntetőjogi felelősség megállapítására vonatkozó határozatok” – kifejezések terjedelmét illetően.

A rendelet célja hozzájárulni a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség megteremtéséhez azáltal, hogy a személyes adatok kezelésével összefüggésben biztosítja a természetes személyek következetes és magas szintű védelmét. Ez pedig feltételezi, hogy e védelem szintje minden tagállamban azonos és egységes legyen. Ellentétes lenne e céllal, ha az e rendelkezésben előírt fokozott védelem csupán bizonyos tagállamokban lenne alkalmazandó a közúti közlekedési jogsértésekkel kapcsolatos személyes adatok kezelésére, más tagállamokban azonban nem, kizárólag azon az alapon, hogy e jogsértések az utóbbi tagállamokban nem minősülnek bűncselekménynek[17].

Ezt a meghatározást a 2016/680-as EU-irányelv (13) preambulumbekezdése is megerősíti, mely szerint a „bűncselekmény ezen irányelv értelmében vett fogalma az Európai Unió Bírósága […] általi értelmezésnek megfelelő, önálló uniós jogi fogalomnak minősül”. Ebből következik, hogy a „bűncselekmény” fogalmát – amely döntő fontosságú az a GDPR 10. cikkének a közúti közlekedési jogsértésekre vonatkozó, a jelen ügyben szereplő személyes adatokra való alkalmazhatóságának meghatározásához – az unió egész területén önállóan és egységesen kell értelmezni, figyelembe véve az e rendelkezés által követett célt. Továbbá ama összefüggést, amelybe e rendelkezés illeszkedik, anélkül, hogy e tekintetben meghatározó lenne e jogsértések érintett tagállam általi minősítése, mivel e minősítés tagállamonként eltérő lehet[18].

III.1.3.3 A luxembourgi bíróság szerint vizsgálni kell, hogy a GDPR 10. cikke értelmében vett „bűncselekménynek” minősülnek-e az olyan közúti közlekedési jogsértések, amelyek a büntetőpontoknak a gépjárművek és a gépjárművezetők nyilvántartásába vételét eredményezik úgy, hogy azok közlését harmadik személyek számára a vitatott rendelkezés előírja.

Az EUB ítélkezési gyakorlata szerint három kritérium meghatározó a jogsértés büntetőjogi jellegének értékelése során. Az első a jogsértés belső jog szerinti jogi minősítése, a második a jogsértés jellege, a harmadik pedig az érintett személlyel szemben kiszabható szankció súlya[19]. Miként korábbi ítéletében rögzítette, még ama jogsértések esetében is, amelyek a nemzeti jog szerint nem minősülnek „büntetőjellegűnek”, ennek meghatározására a szóban forgó jogsértés jellegéből és a jogsértés miatt kiszabható szankció súlyából fakadóan is sor kerülhet[20].

A jogsértés jellegére vonatkozó kritérium kapcsán vizsgálni kell, hogy az érintett szankció célja kifejezetten a megtorlásra irányul-e. Pusztán az pedig, hogy megelőzésre irányuló célt is követ, nem foszthatja meg a büntetőjogi szankcióként való minősítéstől.[21] Nem vitatottan a büntetőpontok közúti közlekedési jogsértések miatti kiszabása nem csupán az e jogsértések által esetlegesen okozott károk megtérítésére, hanem emellett a megtorlásra is irányul.

Az EUB szerint a jelen ügyben kizárólag a bizonyos súllyal rendelkező közúti közlekedési jogsértések vonták maguk után büntetőpontok kiszabását, következésképpen az ilyen jogsértések miatt kiszabható szankciók bizonyos súllyal rendelkeznek. A büntetőpontok kiszabása emellett általában hozzáadódik az ilyen jogsértés elkövetése esetén kiszabott szankcióhoz. A büntetőpontok összege önmagában is jogkövetkezményeket – például vizsga letételére vonatkozó kötelezettséget vagy akár járművezetéstől való eltiltást – von maga után.

Azoknak a közúti közlekedési jogsértéseknek a GDPR 10. cikke értelmében vett „bűncselekményként” való minősítése – amelyek büntetőpontok kiszabását eredményezhetik – emellett e rendelkezés céljával is összhangban áll. Ebből következik, hogy azok a közúti közlekedési jogsértések, amelyek büntetőpontok kiszabását eredményezhetik, a GDPR 10. cikkében említett „bűncselekmények” fogalma alá tartoznak.

Az EUB ítéleti rendelkezése szerint:

a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-ei (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 10. cikkét úgy kell értelmezni, hogy azt alkalmazni kell a gépjárművezetőkkel szemben közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatok kezelésére.

III.2 Második kérdésével az előterjesztő bíróság arra várt választ: a GDPR rendelkezéseit úgy kell-e értelmezni, hogy azokkal ellentétes az olyan nemzeti jogszabály, amely a gépjárművezetőkkel szemben közúti közlekedési jogsértés miatt kiszabott büntetőpontok nyilvántartásának vezetésével megbízott közhatalmi szervet arra kötelezi, hogy ezeket az adatokat közölje minden olyan személlyel, aki erre vonatkozó kérelmet terjeszt elő, anélkül hogy igazolnia kellene az említett adatok megszerzéséhez fűződő különös érdekét.

A kérdés kapcsán az EUB emlékeztetett arra, hogy a személyes adatok bármely kezelésének egyrészt meg kell felelnie a GDPR 5. cikkében kifejtett, az adatkezelésre vonatkozó elveknek, másrészt teljesítenie kell a rendelet 6. cikkében felsorolt, az adatkezelés jogszerűségére vonatkozó kritériumok valamelyikét[22]. Az adatkezelés jogszerűségére vonatkozó elveket illetően a GDPR 6. cikke tartalmazza ama esetek kimerítő és korlátozó jellegű felsorolását, amelyekben a személyes adatok kezelése jogszerűnek minősíthető. Így ahhoz, hogy a személyes adatok kezelése jogszerűnek minősüljön, a 6. cikkben meghatározott esetek valamelyikébe kell tartozni[23].

Jelen esetben a személyes adatok tényállás szerinti kezelése ‑ vagyis a közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó adatok során a közúti közlekedésbiztonsági igazgatóság, általi, nyilvánossággal való közlése ‑ a GDPR 6. cikke (1) bekezdése e) pontjának hatálya alá tartozhat, amelynek értelmében az adatkezelés akkor és annyiban jogszerű, amennyiben az „közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges”[24].

A luxembourgi taláros testület szerint a magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető jogokba történő, e közlés általi beavatkozás súlyára tekintettel szükséges megvizsgálni, hogy e beavatkozás az elérni kívánt célkitűzések megvalósítása szempontjából indokolt-e, és különösen, hogy arányos-e.

E tekintetben emlékeztetett arra, hogy a közúti közlekedésbiztonság javítása az unió által elismert közérdekű célt képez[25]. Erre tekintettel, a tagállamok megalapozottan minősíthetik a közúti közlekedés biztonságát a GDPR 6. cikke (1) bekezdésének e) pontja értelmében vett „közérdekű feladatnak”. Ugyanakkor az e rendelkezés által támasztott feltételek teljesítéséhez az is szükséges, hogy a közúti közlekedésbiztonsági hatóság által vezetett nyilvántartásba bejegyzett büntetőpontokra vonatkozó személyes adatok közlése ténylegesen a közúti közlekedésbiztonság javítására irányuló közérdekű célt szolgálja, anélkül, hogy túllépné az e cél megvalósításához szükséges mértéket[26]. E követelmény nem teljesül, ha a közérdekű cél egyéb olyan eszközzel is észszerűen és hasonló hatékonysággal elérhető, amely nem sérti az érintett alapvető jogait, különösen a magánélet tiszteletben tartásához és a személyes adatok védelméhez való, a Charta 7. és 8. cikkében biztosított jogokat, azzal, hogy az ilyen adatok védelmére vonatkozó elvtől való eltérésnek és ezen elv korlátozásának a feltétlenül szükséges mértékre kell korlátozódnia[27].

Az EUB értékelése szerint ‑ figyelembe véve eme adatok különleges jellegét, az érintett személyeknek a magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető jogaiba történő említett beavatkozás súlyát, továbbá azt, hogy nem állapítható meg, a közúti közlekedésbiztonság javítására irányuló cél ne lenne észszerűen és hasonló hatékonysággal elérhető más, kevésbé korlátozó eszközökkel ‑ nem tekinthető bizonyítottnak, hogy a közúti közlekedési jogsértések miatt kiszabott büntetőpontokra kiterjedő személyes adatok közlésére vonatkozó ilyen rendszer szükséges e célkitűzés megvalósításához[28].

Bár a hivatalos dokumentumokhoz való nyilvános hozzáférés olyan közérdek, amely jogszerűvé teheti az ilyen dokumentumokban szereplő személyes adatok közlését, e hozzáférést mindazonáltal össze kell egyeztetni a magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető joggal. Azonban ‑ tekintettel különösen a közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatok különleges jellegére, valamint az eme adatok nyilvánosságra hozatalával járó, a magánélet tiszteletben tartásához és az érintettek személyes adatainak védelméhez való alapvető jogokba történő beavatkozás súlyára ‑ meg kell állapítani, ezek a jogok elsőbbséget élveznek a nyilvánosság ahhoz fűződő érdekével szemben, hogy hozzáférjen a hivatalos dokumentumokhoz, nevezetesen a gépjárművek és gépjárművezetők nemzeti nyilvántartásához[29]. Ugyanezen okból kifolyólag a GDPR 85. cikkében szereplő, a tájékozódás szabadságához való jog nem értelmezhető akként, hogy az igazolja a közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatoknak az erre irányuló kérelmet előterjesztő valamennyi személlyel való közlését[30].

A fentiek összességére tekintettel az EUB-nak a második kérdésre adott válasza szerint a GDPR rendelkezéseit ‑ különösen az 5. cikkének (1) bekezdését, 6. cikke (1) bekezdésének e) pontját és 10. cikkét ‑ úgy kell értelmezni: azokkal ellentétes az olyan nemzeti jogszabály, amely a gépjárművezetőkkel szemben közúti közlekedési jogsértés miatt kiszabott büntetőpontok nyilvántartásának vezetésével megbízott közhatalmi szervet arra kötelezi, hogy ezeket az adatokat tegye a nyilvánosság számára hozzáférhetővé, anélkül hogy a hozzáférést kérő személynek igazolnia kellene az említett adatok megszerzéséhez fűződő különös érdekét.

III.3 Harmadik kérdésével a lett alkotmánybíróság arra várt választ, hogy a GDPR rendelkezéseit, különösen az 5. cikke (1) bekezdésének b) pontját és 10. cikkét, valamint a 2003/98 irányelv 1. cikke (2) bekezdésének cc) pontját úgy kell-e értelmezni, azokkal ellentétes az olyan nemzeti jogszabály, amely lehetővé teszi a gépjárművezetőkkel szemben közúti közlekedési jogsértés miatt kiszabott büntetőpontok nyilvántartásának vezetésével megbízott közhatalmi szerv számára, hogy ezeket az adatokat további felhasználás céljából közölje a gazdasági szereplőkkel.

E kérdés azon alapult, hogy a közúti közlekedésbiztonsági igazgatóság ‑ a gazdasági szereplőkkel kötött szerződések értelmében ‑ a gépjárművek és gépjárművezetők nemzeti nyilvántartásába bejegyzett büntetőpontokra vonatkozó személyes adatokat közli e gazdasági szereplőkkel. Oly módon, hogy minden olyan személy, aki tájékozódni szeretne a meghatározott gépjárművezetővel szemben kiszabott büntetőpontokról, eme adatokat nemcsak a közúti közlekedésbiztonsági hatóságtól, hanem e gazdasági szereplőktől is megszerezheti.

Az EUB ítélete szerint:

az (EU) 2016/679 rendeletet, különösen az 5. cikkének (1) bekezdését, 6. cikke (1) bekezdésének e) pontját és 10. cikkét úgy kell értelmezni: azokkal ellentétes az olyan nemzeti jogszabály, amely a gépjárművezetőkkel szemben közúti közlekedési jogsértés miatt kiszabott büntetőpontok nyilvántartásának vezetésével megbízott közhatalmi szervet arra kötelezi, hogy ezeket az adatokat tegye a nyilvánosság számára hozzáférhetővé, anélkül hogy a hozzáférést kérő személynek igazolnia kellene az említett adatok megszerzéséhez fűződő különös érdekét; továbbá, amely lehetővé teszi a gépjárművezetőkkel szemben közúti közlekedési jogsértés miatt kiszabott büntetőpontok nyilvántartásának vezetésével megbízott közhatalmi szerv számára, hogy ezeket az adatokat további felhasználás céljából közölje a gazdasági szereplőkkel.

III. 4 A negyedik kérdés arra várt választ: az uniós jog elsőbbségének elvét úgy kell-e értelmezni, hogy azzal ellentétes az, ha valamely tagállamnak egy olyan nemzeti jogszabály ellen irányuló alkotmányjogi panasz tárgyában eljáró alkotmánybírósága, amely az EUB előzetes döntéshozatala során hozott határozata alapján az uniós joggal összeegyeztethetetlennek bizonyul, a jogbiztonság elvének alkalmazásával úgy határoz, hogy e jogszabály joghatásait az eme alkotmányjogi panasz tárgyában hozott végleges és jogerős határozat kihirdetésének időpontjáig fenntartja.

E tekintetben az EUB pontosította, hogy az EUMSZ 267. cikke által ráruházott hatáskör alapján valamely uniós jogszabályra vonatkozóan kifejti, megmagyarázza és pontosítja e szabály jelentését és terjedelmét, amely szerint azt a hatálybalépésének időpontjától értelmezni és alkalmazni kell, illetőleg értelmezni és alkalmazni kellett volna. Csak kivételesen, az uniós jogrendhez szorosan hozzátartozó jogbiztonság általános elvének alkalmazása útján korlátozhatja bármely érdekeltnek azt a lehetőségét, hogy a jóhiszeműen létrejött jogviszonyok vitatása céljából az általa értelmezett rendelkezésre hivatkozzon.

Az EUB az érdekeltek jóhiszeműségére és a súlyos zavarok kockázatának fennállására vonatkozó két alapvető feltétel teljesülése esetén dönthet e korlátozásról[31]. Állandó ítélkezési gyakorlata alapján az ilyen korlátozásra kizárólag ugyanazon ítéletben kerülhet sor, amely a kért értelmezésről szól. Szükségszerű ugyanis, hogy az uniós jogi rendelkezés EUB általi értelmezésének időbeli hatálya egyedi pillanatban legyen meghatározva. Az az elv biztosítja a tagállamok és más jogalanyok közötti egyenlő bánásmódot e joggal szemben, és ugyanakkor teljesíti a jogbiztonság elvéből eredő követelményeket[32]. Ebből következően az EUB által az előzetes döntéshozatali eljárásban hozott határozatának időbeli hatálya nem függhet a kérdést előterjesztő bíróság által az ügyben hozott végleges és jogerős ítélet kihirdetésének időpontjától, sem pedig attól, hogy a kérdést előterjesztő bíróság miként értékeli a szóban forgó nemzeti szabályozás által kiváltott joghatások fenntartásának szükségességét.

Az uniós jog elsőbbségének elve értelmében ugyanis nem engedhető meg, hogy a nemzeti jog – akár alkotmányos jellegű – rendelkezései sértsék az uniós jog egységességét és hatékonyságát[33].

Következtetése szerint jelen esetben ‑ mivel nem nyert bizonyítást az EUB által a jelen ítéletben elfogadott értelmezésből eredő súlyos zavarok kockázatának fennállása ‑ nincs szükség az ítélet időbeli hatályának korlátozására.

A fentiekre tekintettel az EUB negyedik kérdésre adott válasza szerint az uniós jog elsőbbségének elvét úgy kell értelmezni: azzal ellentétes, ha valamely tagállamnak egy olyan nemzeti jogszabály ellen irányuló alkotmányjogi panasz tárgyában eljáró alkotmánybírósága, amely az EUB előzetes döntéshozatal iránti kérelem tárgyában hozott határozata alapján az uniós joggal összeegyeztethetetlennek bizonyul, a jogbiztonság elvének alkalmazásával úgy határoz, hogy e jogszabály joghatásait az eme alkotmányjogi panasz tárgyában hozott végleges és jogerős határozat kihirdetésének időpontjáig fenntartja.

IV. Összefoglalás

A luxembourgi testület jelen ítéletében kimondta, hogy a lett szabályozás ellentétes az általános adatvédelmi rendelettel. Megítélése szerint nem nyert bizonyítást, hogy a közúti közlekedési jogsértések miatt kiszabott büntetőpontokra vonatkozó személyes adatok közlése szükséges lenne, különösen a lett kormány által hivatkozott, a közúti közlekedésbiztonság javítására irányuló célkitűzésre tekintettel. Továbbá, sem a nyilvánosságnak a hivatalos dokumentumokhoz való hozzáféréshez fűződő joga, sem a tájékozódás szabadságához való jog nem igazol egy ilyen szabályozást.

Lábjegyzetek:

[1] A 2021. június 22-ei, B. általi alkotmányjogi panasz, ítélet ECLI:EU:C:2021:504 (Ítélet)

[2] Az 1998. október 29‑ei, az információ nyilvánosságra hozataláról szóló lett törvény (Informācijas atklātības likums)

[3] A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-ei (EU) 2016/679 európai parlamenti és tanácsi rendelet – általános adatvédelmi rendelet (GDPR)

[4] Az 1969. november 12‑ei Erich Stauder kontra Stadt Ulm – Sozialamt-ítélet, C-29/69, EU:C:1969:57.

[5] Maciej Szpunar főtanácsnoknak a B., a Latvijas Republikas Saeima C‑439/19. sz. ügyben tett indítványa (Indítvány) 3-4. pont

[6] Az 1997. október 1-jei Ceļu satiksmes likums (közúti közlekedési törvény, Latvijas Vēstnesis, 1997. 14.¹ cikkének (2) bekezdése

[7] (2) E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:

a) az uniós jog hatályán kívül eső tevékenységek során végzik;
d) az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését

[8] A 2020. július 9‑ei Land Hessen-ítélet, C‑272/19, EU:C:2020:535, 68. pont; a 2020. július 16‑ai Facebook Ireland és Schrems-ítélet, C‑311/18, EU:C:2020:559, 84. pont

[9] A 2003. november 6‑ai Lindqvist-ítélet, C‑101/01, EU:C:2003:596, 42–44. pont; a 2017. szeptember 27‑ei Puškár-ítélet, C‑73/16, EU:C:2017:725, 36. és 37. pont; a 2018. július 10‑ei Jehovan todistajat-ítélet, C‑25/17, EU:C:2018:551, 38. pont

[10] A Land Hessen-ítélet, 70. pont

[11] A 2016/680 irányelv (2016. április 27.) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról,  valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről

[12] Ítélet 72. pont

[13] A 2000. szeptember 19‑ei Linster-ítélet, C‑287/98, EU:C:2000:468, 43. pont; a 2019. október 1‑jei Planet49-ítélet, C‑673/17, EU:C:2019:801, 47. pont

[14] A 2013. május 30‑ai Genil 48 és Comercial Hostelera de Grandes Vinos-ítélet C‑604/11, EU:C:2013:344, 38. pont; a 2012. szeptember 6‑ai Parlament kontra Tanács-ítélet C‑490/10, EU:C:2012:525, 68. pont

[15] Indítvány 74-77. pont

[16] Ítélet 81. pont

[17] Ítélet 83. pont

[18] A 2013. november 14‑ei Baláž-ítélet, C‑60/12, EU:C:2013:733, 26. és 35. pont

[19] A 2012. június 5‑ei Bonda-ítélet, C‑489/10, EU:C:2012:319, 37. pont; a 2018. március 20‑ai Garlsson Real Estate és társai-ítélet, C‑537/16, EU:C:2018:193, 28. pont; a 2021. február 2‑ai Consob-ítélet, C‑481/19, EU:C:2021:84, 42. pont

[20] Garlsson Real Estate-ítélet, 28. és 32. pont

[21] Bonda-ítélet, 39. pont; Garlsson Real Estate-ítélet, 33. pont

[22] A 2019. január 16‑ai Deutsche Post-ítélet, C‑496/17, EU:C:2019:26, 57. pont

[23] A 2019. december 11‑ei Asociaţia de Proprietari bloc M5A‑ScaraA-ítélet, C‑708/18, EU:C:2019:1064, 37. és 38. pont

[24] Ítélet 96. pont

[25] A 2015. április 23‑ai Aykul-ítélet, C‑260/13, EU:C:2015:257, 69. pont

[26] Ítélet 109

[27] Asociaţia de Proprietari-ítélet, 46. és 47. pont

[28] A 2010. november 9‑ei Volker und Markus Schecke és Eifert-ítélet, C‑92/09 és C‑93/09, EU:C:2010:662, 86. pont

[29] Ítélet 120. pont

[30] Ítélet 121. pont

[31] A 2007. március 6‑ai Meilicke-ítélet, C‑292/04, EU:C:2007:132, 34. és 35. pont; a 2015. január 22‑ei Balazs-ítélet, C‑401/13 és C‑432/13, EU:C:2015:26, 49. és 50. pont; a 2015. szeptember 29‑ei Gmina Wrocław-ítélet, C‑276/14, EU:C:2015:635, 44. és 45. pont

[32] Meilicke-ítélet, 36. és 37. pont; a 2012. október 23‑ai Nelson és társai-ítélet, C‑581/10 és C‑629/10, EU:C:2012:657, 91. pont; a 2018. november 7‑ei O’Brien-ítélet, C‑432/17, EU:C:2018:879, 34. pont

[33] A 2013. február 26‑ai Melloni-ítélet, C‑399/11, EU:C:2013:107, 59. pont; a 2019. július 29‑i Pelham és társai ítélet, C‑476/17, EU:C:2019:624, 78. pont

---