Kikkel közölhetők a személyes adatok?
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Egy újabb, a személyes adatok kezelésére vonatkozó kérdésben döntött az Európai Unió Bírósága. Az ítélet egy magánszemély és az Österreichische Post AG között zajló jogvitában született.
A szerző az alábbiakban az Európai Unió Bíróságának (EUB, Luxembourg) az R. W. és az Österreichische Post AG ügyében született ítéletét[1] ismerteti. Az R. W. mint felperes és az Österreichische Post AG mint alperes ügyében az előbbi olyan természetes személy, akinek személyes adatait az alperes kezelte, és aki tájékoztatást akart kapni az adatkezelőtől azokról a harmadik személyekről, akikkel, illetve amelyekkel ezeket az adatokat közlik. Az ügy döntő kérdése: hozzáférési joga szükségszerűen magában foglalja-e azt, hogy tájékoztatást kapjon a személyes adatait érintő közlések konkrét címzettjeiről, vagy az adatkezelő szorítkozhat-e arra, hogy kizárólag e közlések címzettjeinek kategóriáiról ad tájékoztatást?
Bevezetés
A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az Európai Unió Alapjogi Chartája (Charta) 8. cikkének (1) bekezdése és az Európai Unió Működéséről Szóló Szerződés (EUMSZ) 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.
A természetes személyek személyes adataik kezelésével összefüggő védelméhez kapcsolódó elvek és szabályok a természetes személyek állampolgárságától és lakóhelyétől függetlenül tiszteletben tartják e természetes személyek alapvető jogait és szabadságait, különösen, ami a személyes adataik védelméhez való jogukat illeti. Ez hozzájárul a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség, valamint a gazdasági unió megteremtéséhez, a gazdasági és társadalmi fejlődéshez, a belső piacon belüli gazdaságok erősödéséhez és konvergenciájához, valamint a természetes személyek jólétéhez[2].
A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló általános adatvédelmi rendelet (GDPR) védi a természetes személyeket adataiknak a magánszektor és a közszféra nagy része általi kezelése során. Az adatoknak a hatóságok által bűnüldözési célra történő feldolgozása a bűnüldözésben érvényesítendő adatvédelemről szóló irányelv hatálya alá tartozik[3]. A rendelet lehetővé teszi a természetes személyek számára a személyes adataik megfelelőbb kezelését. Korszerűsíti és egységesíti továbbá azokat a szabályokat, amelyek a vállalkozások számára lehetővé teszik az adminisztratív terhek csökkentését és a fogyasztói bizalom fokozását. A megfelelőség nyomon követéséért és érvényesítéséért felelős, teljes mértékben független felügyeleti hatóságok rendszerét hozta létre.
Az általános adatvédelmi rendelet megerősítette a hatályos jogokat, új jogokról rendelkezik, a korábban hatályos, a személyes adatok védelméről szóló 95/46 irányelv[4] előírásaihoz képest, megnövelte a természetes személyek személyes adataik feletti rendelkezését. Biztosítja a természetes személyek saját adataikhoz való egyszerűbb hozzáférését, az adatkezelés módjára vonatkozó információnyújtást, illetve annak biztosítását azért, hogy az adatokhoz való hozzáférési mód egyértelmű és érthető legyen. Rendelkezik az adathordozhatósághoz való jogról, ezzel megkönnyíti a személyes adatok szolgáltatásnyújtók közötti továbbítását. A törléshez, az elfeledtetéshez való jog egyértelműsítése kapcsán rögzíti, hogy amikor egy természetes személy már nem akarja adatai feldolgozását, azok tárolására pedig nincs jogos indok, az adatokat törlik. Egységes uniós szintű szabályai EU-szerte alkalmazandó adatvédelmi jogszabályok, amelyek növelik a jogbiztonságot. Az általános adatvédelmi rendelet 2018. május 25. óta hatályos.
Az R. W. mint felperes és az Österreichische Post AG mint alperes ügyében a felperes olyan természetes személy, akinek személyes adatait az alperes kezelte, és aki tájékoztatást akart kapni az adatkezelőtől azokról a harmadik személyekről, akikkel, illetve amelyekkel ezeket az adatokat közlik. Az ügy döntő kérdése: hozzáférési joga szükségszerűen magában foglalja-e azt, hogy tájékoztatást kapjon a személyes adatait érintő közlések konkrét címzettjeiről, vagy az adatkezelő szorítkozhat-e arra, hogy kizárólag e közlések címzettjeinek kategóriáiról ad tájékoztatást?
Előzetes döntéshozatali kérelmében lényegében ezt a kérdést terjesztette az osztrák legfelsőbb bíróság (Oberster Gerichtshof) az Európai Unió Bíróságához, és alapvetően a 2016/679 rendelet (GDPR) egy, a felek közötti jogvita alapjául szolgáló rendelkezésének értelmezésére irányult.
Luxembourgnak a GDPR kapcsán már volt alkalma pontosítani, hogy megfelelő egyensúlyt kell találni egyrészt az érintett személy ahhoz fűződő érdeke között, hogy magánéletét ‑ különösen az általános adatvédelmi rendelet III. fejezetében biztosított jogok és a keresetindításhoz való jog révén ‑ megvédje, másfelől az adatkezelő által viselt teher között[5]. Ez a megfelelő egyensúly az adatvédelem és az érintett magánéletének védelmére való fokozottabb figyelem javára vetítődött fel, amit az a szükséglet fejez ki: ahhoz, hogy az érintett hozzáférés iránti kérelmét ne teljesítsék, bizonyítani kell annak nyilvánvalóan megalapozatlan vagy túlzó jellegét[6].
Az előzetes döntéshozatalra előterjesztett kérdés a rendelet 15. cikke (1) bekezdésének c) pontjában foglalt rendelkezés értelmezését feltételezi az érintettnek az ott előírt ama joga terjedelme meghatározásának érdekében, hogy a személyes adatai közlésének címzettjei tekintetében tájékoztatást kapjon. Az EUB állandó ítélkezési gyakorlatából jelen eset kapcsán is megállapítható arra irányuló jogértelmezés, miszerint az uniós jogi rendelkezés különböző lehetséges értelmezései közül azt kell előnyben részesíteni, amely alkalmas e jogi aktus hatékony érvényesülésének a biztosítására[7].
Az általános adatvédelmi rendelet értelmezni kért „Az érintett hozzáférési joga” című 15. cikke (1) bekezdésének c) pontja szerint:
„(1) Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‑e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
c) ama címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;[…]
A tényállás[8]
R. W. 2019. január 15-én a postai szolgáltató Österreichische Posthoz fordult, hogy az általános adatvédelmi rendelet 15. cikke alapján hozzáférést kapjon az Österreichische Post birtokában lévő, vagy a múltban általa tárolt, rá vonatkozó személyes adatokhoz, valamint ha sor került az adatok harmadik személyek részére történő továbbítására, e címzettek kilétéhez.
A kérelemre adott válaszában az Österreichische Post csupán annyit közölt, hogy a jogszabály által megengedett mértékben, telefonkönyv-kiadási tevékenysége keretében használ fel adatokat, és ezeket a személyes adatokat üzletfelek részére, marketingcélokra kínálja. A továbbiakban a részletesebb információk és a további adatkezelési célok tekintetében egy internetes oldalra hivatkozott. Nem közölte az R. W.-vel az adatok konkrét címzettjeinek kilétét.
R. W. az osztrák bíróságokhoz keresetet nyújtott be az Österreichische Post ellen, és azt kérte, kötelezzék az alperest arra, hogy többek között közölje R. W.-vel az ily módon közölt személyes adatai címzettjének, illetve címzettjeinek kilétét. Az ily módon megindított bírósági eljárás során az Österreichische Post tájékoztatta R. W.-t, hogy személyes adatait marketingcélból kezelték, és üzletfelek – köztük a csomagküldő kereskedelem és a hagyományos kereskedelem területén működő hirdetők, informatikai vállalkozások, címszolgáltatók és egyesületek, például jótékonysági szervezetek, nem kormányzati szervezetek (NGO-k) vagy politikai pártok – részére továbbították.
Az elsőfokú és a fellebbviteli bíróság elutasította R. W. keresetét azzal az indokkal, hogy az általános adatvédelmi rendelet 15. cikke (1) bekezdésének c) pontja, mivel „címzettekre vagy címzettek kategóriáira” utal, lehetőséget biztosít az adatkezelő számára, hogy az érintett személynek csak címzetti kategóriákat adjon meg, és nem kell név szerint megjelölnie azokat a konkrét címzetteket, akik részére a személyes adatokat továbbították.
Az ítélettel szemben R. W. felülvizsgálati kérelmet nyújtott be az osztrák legfelsőbb bírósághoz, az Oberster Gerichtshofhoz. E bíróság az általános adatvédelmi rendelet 15. cikke (1) bekezdésének c) pontjával kapcsolatban tett fel kérdést, mivel e rendelkezés szövegéből nem állapítható meg egyértelműen, biztosítja-e az érintett számára a jogot arra, hogy hozzáférést kapjon a közölt adatok konkrét címzettjeire vonatkozó információkhoz, vagy, hogy az adatkezelő diszkrecionális döntésének körébe tartozik-e, milyen módon tesz eleget a címzettekre vonatkozó információkhoz való hozzáférés iránti kérelemnek. Ugyanakkor megjegyezte, az említett rendelkezés a „törvény szellemében” inkább amellett szól, hogy az érintett személy döntheti el, a személyes adatai címzettjeinek kategóriáiról vagy konkrét címzettjeiről kér-e információkat. Véleménye szerint az ezzel ellentétes értelmezés súlyosan veszélyeztetné az érintettek rendelkezésére álló, adataik védelmét szolgáló jogorvoslati lehetőségek hatékonyságát. Abban az esetben ugyanis, ha az adatkezelők dönthetnének arról, hogy a konkrét címzettekről vagy csak a címzettek kategóriáiról tájékoztatják-e az érintetteket, akkor félő, hogy a gyakorlatban aligha adnának tájékoztatást a konkrét címzettekről.
Az általános adatvédelmi rendelet 15. cikkének (1) bekezdésében előírt hozzáférési jog – megítélésében – nem kizárólag az aktuálisan kezelt személyes adatokra, hanem a korábban kezelt adatok összességére is vonatkozik.
Mivel az ügy tényállásból fakadó jogkövetkezmények megítélése az uniós jog értelmezésének szükségességét vetette fel, ezért az osztrák legfelsőbb bíróság az eljárását felfüggesztette, és előzetes döntéshozatal céljából kérdést terjesztett az EUB elé.
Értékelés
Az előzetes döntéshozatalra előterjesztett kérdés arra irányult, hogy a GDPR 15. cikke (1) bekezdésének c) pontját úgy kell-e értelmezni: az érintettnek a rá vonatkozó személyes adatokhoz való, e rendelkezésben előírt hozzáférési joga azt is magában foglalja, hogy abban az esetben, ha ezeket az adatokat a címzettekkel közölték vagy közölni fogják, az adatkezelő köteles megadni az érintettnek a címzettek konkrét személyazonosságát.
Másként fogalmazva, e rendelkezést úgy kell-e értelmezni: e jog terjedelmét meg kell-e különböztetni aszerint, hogy az adatokat már közölték – amely esetben e jognak ki kell terjednie e közlések konkrét címzettjeire –, vagy még nem határozták meg a jövőbeni közlések konkrét címzettjeit – amely esetben úgy kell tekinteni, hogy e jog a címzettek kategóriáira vonatkozó információkra korlátozódik.
Az EUB a kérdés kapcsán emlékeztetett arra, az e rendelkezésben foglaltak szerint az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, személyes adatainak kezelése folyamatban van‑e, és ha igen, jogosult arra, hogy hozzáférést kapjon az érintett személyes adatokhoz, valamint az azon címzettek vagy címzettek kategóriáira vonatkozó információkhoz, akikkel, illetve amelyekkel ezeket a személyes adatokat közölték vagy közölni fogják.
Az előterjesztett kérdés ebből a szempontból nézve arra irányult, hogy az érintett e hozzáférési jogának terjedelmét aszerint kell megkülönböztetni, hogy az adatokat már közölték – amely esetben e jognak ki kell terjednie e közlések konkrét címzettjeire –, vagy még nem határozták meg a jövőbeni közlések konkrét címzettjeit – amely esetben úgy kell tekinteni, hogy e jog a címzettek kategóriáira vonatkozó információkra korlátozódik.
Ennek kapcsán meg kell állapítani, bár a „címzettek” és a „címzettek kategóriái” kifejezés egymás után szerepel, de nem lehet arra következtetni, hogy bármilyen rangsor állna fenn közöttük.
Ugyanakkor a GDPR e rendelkezésének szövegéből nem lehet egyértelműen meghatározni, az érintettnek joga van-e ahhoz, hogy abban az esetben, ha a rá vonatkozó személyes adatokat valakivel közölték vagy közölni fogják, tájékoztatást kapjon az adatok címzettjeinek konkrét személyazonosságáról, mivel az e pontban foglalt rendelkezés megfogalmazása nem teszi lehetővé annak a kérdésnek az egyértelmű megválaszolását: az érintettnek az ott előírt hozzáférési joga szükségszerűen úgy tekintendő-e, hogy az magában foglalja az őt érintő személyes adatok közlésének pontos címzettjeire vonatkozó információkhoz való hozzáférést, vagy az csak a címzettek kategóriáira vonatkozó információkhoz való hozzáférésre korlátozódhat. Ez a rendelkezés nem határozza meg kifejezetten azt sem, lehet-e választani az előírt két lehetséges információs kategória – azaz a „címzettek” vagy a „címzettek kategóriái” – között, vagy, hogy melyik félnek – az érintettnek vagy az adatkezelőnek – kell választania, ha egyáltalán választania kell, melyik típusú információhoz kell hozzáférést biztosítani.
Amint az ügyben eljáró főtanácsnok indítványában ezzel kapcsolatban rámutatott, „a GDPR (63) preambulumbekezdése kifejezetten előírja, hogy „az érintett számára biztosítani kell a jogot arra, hogy megismerje […] a személyes adatok címzettjeit, […], továbbá hogy minderről tájékoztatást kapjon”. Ez a preambulumbekezdés, amelynek fényében a szóban forgó rendelkezést értelmezni kell, az érintettnek a személyes adatai közlésének konkrét címzettjeihez való hozzáférési jogára utal, és semmilyen módon nem említi, hogy ez a jog az adatkezelő mérlegelése alapján a címzettek puszta kategóriáira korlátozható[9].
Az EUB emlékeztetett továbbá arra is, ahhoz, hogy a hozzáféréshez való jogot tiszteletben tartsák, a természetes személyek adatai kezelésének meg kell felelnie a GDPR rendelet 5. cikkében rögzített elveknek.[10] Emellett az ítélkezési gyakorlatból kifejezetten az következik, a rendelet arra irányul, hogy biztosítsa a természetes személyek magas szintű védelmét az unión belül, és e célból e személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az unió egész területén[11].
A GDPR-rendelet (63) preambulumbekezdéséből következően e hozzáférési jog célja elsősorban az: az érintett számára lehetővé tenni, hogy tudomást szerezhessen adatai kezeléséről és eme adatkezelés jogszerűségét ellenőrizhesse[12]. E hozzáférési jog gyakorlásának többek között lehetővé kell tennie az érintett számára, hogy ne csak a rá vonatkozó adatok helyességét ellenőrizhesse, hanem azt is, azokat az arra jogosult személyekkel közölték-e[13] Ez főszabály szerint azt feltételezi, hogy a lehető legpontosabb információkat kell megadni. Ebből következően a személyes adatok kezelését az érintett számára átlátható módon kell végezni.
Ennek fényében az érintett hozzáférési jogát szabályzó 15. cikk, alapvető rendelkezést jelent annak biztosítására, hogy az adatok kezelésének módjai átláthatóak legyenek az érintettek számára.
A GDPR általános elvei közé tartozó, értelmezni kért előírásában szereplő átláthatóság elve azt jelenti, hogy az érintett információkkal rendelkezik arról, a személyes adatait hogyan dolgozzák fel, és ezek az információk könnyen hozzáférhetők és érthetők.
Amint azt a főtanácsnok az indítványában hangsúlyozta, a GDPR-rendelet 15. cikke (1) bekezdésének szerkezete maga is a szóban forgó rendelkezés olyan értelmezését támogatja, amely szerint az érintettnek – és így nem az adatkezelőnek, ahogyan azt a jelen ügyben az eljáró két nemzeti bíróság is megállapította – kell választania az ott előírt két lehetőség közül. A GDPR egyéb rendelkezéseivel – például a 13. és 14. cikkében foglaltakkal – ellentétben[14].
A rendelet 13. cikke az adatkezelő által abban az esetben rendelkezésre bocsátandó információkra vonatkozik, ha a személyes adatokat az érintettől gyűjtik. Ezzel szemben a 14. cikk az adatkezelő által abban az esetben rendelkezésre bocsátandó információkra vonatkozik, ha a személyes adatokat nem az érintettől szerezték meg.
Az adatkezelő tájékoztatási kötelezettségét illetően e cikk valós és tényleges hozzáférési jogot biztosít az érintett számára. Az e jog érintett általi gyakorlása logikusan azt feltételezi, e jog jogosultja választhat, hogy az azon konkrét címzettekre vonatkozó információkhoz kér hozzáférést, akikkel az adatokat közölték vagy közölni fogják, vagy pedig csak a címzettek kategóriáira vonatkozó információk kérésére szorítkozik.
A hozzáférési jog szükséges ahhoz – amint azt az EUB már korábbi ítéletében már megállapította –, hogy az érintett gyakorolhassa a helyesbítéshez való jogát, a törléshez való jogát – az elfeledtetéshez való jog” – és az adatkezelés korlátozásához való jogát, amely jogokat számára a GDPR 16., 17., illetve 18. cikke biztosít[15].
E rendelkezés olyan értelmezése, amely megtagadja az érdekelttől azt a lehetőséget, hogy tájékoztatást kapjon személyes adatai közlésének konkrét címzettjeiről, azzal a következménnyel járna, hogy az érintett az említett címzettek személyazonosságának ismerete hiányában nem vagy csak aránytalanul nagy erőfeszítések árán tudná velük szemben gyakorolni a GDPR e rendelkezései által biztosított jogait. Az EUB pontosította továbbá, a hozzáféréshez való jog szükséges annak lehetővé tételéhez is, hogy az érintett az általános adatvédelmi rendelet 21. cikkében szereplő, az adatok feldolgozása elleni tiltakozáshoz való jogát gyakorolja, vagy, hogy a GDPR 79. és 82. cikke alapján érvényesítse kártérítési igényét, ha őt kár érte, és kártérítésre legyen jogosult.
A GDPR 15. cikke – 13. és 14. cikkétől eltérően, amelyek az adatkezelő azon kötelezettségét írják elő, hogy tájékoztassa az érintettet a rá vonatkozó személyes adatok címzettjeinek kategóriáiról vagy konkrét címzettjeiről, ha személyes adatokat gyűjtenek az érintettől, illetve ha a személyes adatokat nem az érintettől szerezték meg – tényleges hozzáférési jogot biztosít az érintett számára, és így választási lehetőséget kell biztosítani arra, hogy – amennyiben ez lehetséges – azon konkrét címzettekre vonatkozó információkhoz kér hozzáférést, akikkel az adatokat közölték vagy közölni fogják, vagy pedig csak a címzettek kategóriáira vonatkozó információkhoz.
A GDPR 19. cikkének rendelkezése megerősíti, hogy az érintettnek a rendelet 16., 17. és 18. cikkében foglalt, a törléshez, a helyesbítéshez vagy az adatkezelés korlátozásához való jogának hatékony érvényesülése érdekében az érintett főszabály szerint jogosult a konkrét címzettek személyazonosságának azonosítására, ha személyes adatait már közölték. Az érintett csak így tudja érvényesíteni a jogait velük szemben[16].
Luxembourg szerint – hatékony érvényesülésének biztosítása érdekében – a rendelet e cikkét főszabály szerint úgy kell értelmezni, hogy az ebben előírt hozzáférési jognak szükségszerűen arra a lehetőségre kell vonatkoznia, miszerint az érintett az adatkezelőtől a személyes adataira vonatkozó közlések konkrét címzettjeire vonatkozó információkhoz jusson.
Miként korábbi ítéletében már kimondta, e hozzáférési jog gyakorlásának lehetővé kell tennie az érintett számára, hogy ne csak a rá vonatkozó adatok helyességét ellenőrizhesse, hanem azt is, hogy azokat jogszerűen kezelik-e[17], különösen, hogy azokat az arra jogosult személyekkel közölték-e.
E jogok hatékony érvényesülésének biztosítása érdekében az érintettet megilleti különösen az a jog, hogy tájékoztassák a konkrét címzettek személyazonosságáról abban az esetben, ha személyes adatait már közölték. Ezt az értelmezést támasztja alá a rendelet 19. cikkének értelmezése is, amely első mondatában előírja, az adatkezelő főszabály szerint minden olyan címzettet tájékoztat valamennyi személyesadat-helyesbítésről, -törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, a második mondatában pedig, hogy az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.
Az EUB fenti rendszertani elemzéséből következik, hogy a GDPR 15. cikke (1) bekezdésének c) pontja egyike azon rendelkezéseknek, amelyek célja annak biztosítása: a személyes adatok kezelésének módjai átláthatók legyenek az érintett számára, és lehetővé teszi számára, hogy az általános adatvédelmi rendelet 16–19., 21., 79. és 82. cikkében előírt előjogokat gyakorolja. A GDPR 19. cikkének rendelkezése megerősíti, hogy az érintettnek a GDPR 16., 17. és 18. cikkében foglalt, a törléshez, a helyesbítéshez vagy az adatkezelés korlátozásához való jogának hatékony érvényesülése érdekében az érintett főszabály szerint jogosult a konkrét címzettek személyazonosságának azonosítására, ha személyes adatait már közölték. Az érintett csak így tudja érvényesíteni a jogait velük szemben[18].
A fenti megfontolásokból következőn megállapítható, hogy a GDPR 15. cikke (1) bekezdésének c) pontja szerinti hozzáférési jog funkcionális eszköz, és szerepet játszik az érintettnek az adatvédelmi rendelet valamennyi fent említett rendelkezése hatékony érvényesülésének biztosításában. Ezt a rendelkezést főszabály szerint úgy kell értelmezni: az e rendelkezésben előírt hozzáférési jognak szükségszerűen arra a lehetőségre kell vonatkoznia, hogy az érintett az adatkezelőtől a személyes adataira vonatkozó közlések konkrét címzettjeire vonatkozó információkhoz jusson[19].
Ebből következően az érintett részére a hozzáférési jog alapján szolgáltatott információknak a lehető legpontosabbaknak kell lenniük. Ez a hozzáférési jog magában foglalja különösen azt a lehetőséget, hogy az érintett az adatkezelőtől információkat szerezzen be azokról a konkrét címzettekről, akikkel az adatokat közölték vagy közölni fogják, vagylagosan pedig annak lehetőségét, hogy csak a címzettek kategóriáira vonatkozóan kérjen információt. Miként az EUB korábbi ítéletében a GDPR által elérni kívánt céllal kapcsolatban már megállapította – amint az a rendelet (10) preambulumbekezdéséből is kitűnik –, az többek között arra irányul, hogy biztosítsa a természetes személyek magas szintű védelmét az unión belül[20].
E tekintetben az a GDPR által létrehozott általános jogi keret a személyes adatok védelméhez való, az Európai Unió Alapjogi Chartájának 8. cikke által védett alapvető jogból eredő, többek között a 8. cikk (2) bekezdésében kifejezetten előírt követelményeket érvényesíti[21].
A főtanácsnok megállapításában az szerepel: „a GDPR rendelet 15. cikke szabályozza az érintettnek az adatkezelővel szembeni azon jogát, hogy hozzáférjen az adatkezelés tárgyát képező, rá vonatkozó személyes adatokhoz, valamint az adatkezeléssel kapcsolatos információk egész sorához. Ez a rendelkezés konkretizálja és pontosítja az Európai Unió Alapjogi Chartája 8. cikke (2) bekezdésének második mondatában foglalt, minden személyt megillető azon jogot, hogy a róla gyűjtött adatokat megismerhesse”[22].
Konkrétabban, e jog értelmében az érintett először is jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, személyes adatainak kezelése folyamatban van-e. Adatkezelés esetén az érintett jogosult arra, hogy az adatkezelés tárgyát képező személyes adatokhoz, valamint az e rendelkezés a)–h) pontjában felsorolt különböző további információkhoz hozzáférést kapjon[23]. Ebben az összefüggésben a GDPR rendelet 15. cikke (1) bekezdésének c) pontja értelmében az érintett jogosult arra, hogy hozzáférést kapjon a következőkre vonatkozó információkhoz: „azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket.”
Ez a célkitűzés alátámasztja a GDPR 15. cikke (1) bekezdésének fenti értelmezését.
A főtanácsnok megítélésében e jog két esetben korlátozott.
Először, ha a konkrét címzettekről való tájékoztatás ténylegesen lehetetlen, például azért, mert még nem sikerült ténylegesen azonosítani őket, az adatkezelőtől nyilvánvalóan nem várható el, hogy olyan információkat közöljön, amelyek még nem léteznek. Ezért ebben, az előzetes döntéshozatal iránti kérelemben kifejezetten hivatkozott esetben az érintett hozzáférési joga csak a címzettek kategóriáira vonatkozhat.
Másodszor, az érintett hozzáférési jogának gyakorlását és az adatkezelő ezzel kapcsolatos kötelezettségének teljesítését a méltányosság és az arányosság elvének fényében kell vizsgálni[24].
Az GDPR által követett célkitűzésből következően az érintettnek joga van ahhoz, hogy az adatkezelőtől tájékoztatást kapjon azokról a konkrét címzettekről, akikkel a rá vonatkozó személyes adatokat közölték vagy közölni fogják.
A személyes adatok védelméhez való jog azonban nem abszolút jog. Miként az EUB korábbi ítéletében is megerősítette, a jogot ugyanis a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyúttal az arányosság elvével összhangban biztosítva, hogy egyensúlyban legyen más alapvető jogokkal[25]. Ezért elfogadható, hogy bizonyos körülmények között nem lehet konkrét címzettekre vonatkozó információkat szolgáltatni. A hozzáférés joga következésképpen a címzettek kategóriáira vonatkozó információkra korlátozható, ha a konkrét címzettek személyazonosságát nem lehet közölni, különösen, ha azok még nem ismertek[26].
Ebben az összefüggésben a 12. cikk (5) bekezdéséből kifejezetten következik, hogy az érintett kérelmei nem lehetnek nyilvánvalóan megalapozatlanok vagy túlzóak, és ha ez a helyzet, az adatkezelő a kérelem teljesítését is megtagadhatja. Ugyanebből a rendelkezésből következően az adatkezelőt terheli „a kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása”.
A jelen ügyben az előzetes döntéshozatal iránti kérelemből kitűnik, hogy az Österreichische Post elutasította az R. W. által a GDPR 15. cikkének (1) bekezdése alapján arra vonatkozóan benyújtott kérelmét, hogy ezen intézmény ismertesse vele azon címzettek személyazonosságát, akikkel, vagy amelyekkel a rá vonatkozó személyes adatokat közölte.
A kérdést előterjesztő bíróság feladata a továbbiakban annak vizsgálata, hogy az alapügyben fennálló körülményekre tekintettel az Österreichische Post bizonyította-e eme kérelem egyértelműen megalapozatlan vagy túlzó jellegét.
Az Európai Unió Bíróságának ítélete
A fenti megfontolások összességére tekintettel az előzetes döntéshozatalra előterjesztett kérdésre az EUB jogértelmezése szerint az általános adatvédelmi rendelet 15. cikke (1) bekezdésének c) pontját úgy kell értelmezni: az érintettnek a rá vonatkozó személyes adatokhoz való, e rendelkezésben előírt hozzáférési joga magában foglalja, hogy abban az esetben, ha ezeket az adatokat a címzettekkel közölték vagy közölni fogják, az adatkezelő köteles megadni az érintettnek a címzettek konkrét személyazonosságát, kivéve, ha a címzettek nem azonosíthatók, vagy ha az említett adatkezelő bizonyítja, hogy az érintett kérelmei az általános adatvédelmi rendelet 12. cikkének (5) bekezdése értelmében egyértelműen megalapozatlanok vagy túlzók, amely esetekben az adatkezelő megteheti, hogy az érintettnek csak a szóban forgó címzettek kategóriáit adja meg.
Lábjegyzetek:
[1] A 2023. január 12-ei R. W. és az Österreichische Post AG C‑154/21. sz. ügy, ítélet ECLI:EU:C:2023:3 (Ítélet)
[2] A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-ei (EU) 2016/679 rendelet (általános adatvédelmi rendelet, GDPR) (1) és (2) preambulumbekezdése
[3] Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27.) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről
[4] Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról
[5] A 2009. május 7-ei Rijkeboer-ítélet C‑553/07, EU:C:2009:293, 64. pont
[6] Giovanni Pitruzzella főtanácsnoknak az R. W. kontra Österreichische Post AG C‑154/21. sz. ügyben tett indítványa (Indítvány)
[7] A 2018. március 7-ei Sucrerie de Toury-ítélet C‑31/17, EU:C:2018:168, 41. pont
[8] Ítélet 17-27. pont
[9] Indítvány 23. pont
[10] A 2019. január 16-ai Deutsche Post-ítélet, C‑496/17, EU:C:2019:26, 57. pont
[11] A 2020. október 6-ai La Quadrature du Net és társai-ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 207. pont; 2022. február 24-ei Valsts ieņēmumu dienests ítélet C‑175/20, EU:C:2022:124, 49. pont; a 2022. április 28-ai Meta Platforms Ireland-ítélet C‑319/20, EU:C:2022:322, 52.pont
[12] Rijkeboer-ítélet, 51. és 52. pont; a 2014. július 17-ei Y. S. és Minister voor Immigratie, Integratie en Asiel-ítélet C‑141/12 és C‑372/12, EU:C:2014:2081, 44. pont
[13] Rijkeboer-ítélet, 49. pont
[14] Indítvány 21. pont
[15] Y. S.-ítélet, 44. pont; a 2017. december 20-ai Nowak-ítélet C‑434/16, EU:C:2017:994, ítélet, 57. pont
[16] Ítélet32. pont
[17] A 2014. július 17-ei Y. S. és társai-ítélet, C‑141/12 és C‑372/12, EU:C:2014:2081, 44. pont
[18] Ítélet 32. pont.
[19] Indítvány 33. pont
[20] La Quadrature-ítélet, 207. pont
[21] A 2017. március 9-ei Manni-ítélet, C‑398/15, EU:C:2017:197, 40. pont
[22] Indítvány 14. pont
[23] A rendelet „Az érintett hozzáférési joga” című 15. cikke szerint:
„(1) Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‑e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:
a) az adatkezelés céljai;
b) az érintett személyes adatok kategóriái;
c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;
h) a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár
[24] Indítvány 35., 36. pont
[25] A 2020. július 16-ai Facebook Ireland és Schrems-ítélet C‑311/18, EU:C:2020:559 172. pont
[26] Ítélet 48. pont