Language of document : ECLI:EU:C:2009:293

A BÍRÓSÁG ÍTÉLETE (harmadik tanács)

2009. május 7.(*)

„Az egyének védelme a személyes adatok feldolgozása vonatkozásában – 95/46/EK irányelv – A magánélet tiszteletben tartása – Adatok törlése – Az adatokhoz és az adatok címzettjeire vonatkozó információkhoz való hozzáférés joga – A hozzáféréshez való jog gyakorlásának határideje”

A C‑553/07. sz. ügyben,

az EK 234. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Raad van State (Hollandia) a Bírósághoz 2007. december 12‑én érkezett, 2007. december 5‑i határozatával terjesztett elő az előtte

a College van burgemeester en wethouders van Rotterdam

és

M. E. E. Rijkeboer

között folyamatban lévő eljárásban,

A BÍRÓSÁG (harmadik tanács),

tagjai: A. Rosas tanácselnök, A. Ó. Caoimh, J. Klučka, U. Lõhmus és P. Lindh (előadó) bírák,

főtanácsnok: D. Ruiz‑Jarabo Colomer,

hivatalvezető: M. Ferreira főtanácsos,

tekintettel az írásbeli eljárásra és a 2008. november 20‑i tárgyalásra,

figyelembe véve a következők által előterjesztett észrevételeket:

–        a College van burgemeester en wethouders van Rotterdam képviseletében R. de Bree advocaat,

–        M. E. E. Rijkeboer képviseletében W. van Bentem juridisch adviseur,

–        a holland kormány képviseletében C. M. Wissels és C. ten Dam, meghatalmazotti minőségben,

–        a cseh kormány képviseletében M. Smolek, meghatalmazotti minőségben,

–        a görög kormány képviseletében E.‑M. Mamouna és V. Karra, meghatalmazotti minőségben,

–        a spanyol kormány képviseletében M. Muñoz Pérez, meghatalmazotti minőségben,

–        az Egyesült Királysága Kormánya képviseletében Z. Bryanston‑Cross és H. Walker, meghatalmazotti minőségben, segítőjük: J. Stratford barrister,

–        az Európai Közösségek Bizottsága képviseletében R. Troosters és C. Docksey, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2008. december 22‑i tárgyaláson történt meghallgatását követően,

meghozta a következő

Ítéletet

1        Az előzetes döntéshozatal iránti kérelem a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.; a továbbiakban: irányelv) 12. cikke a) pontjának értelmezésére vonatkozik.

2        E kérelem előterjesztésére a M. Rijkeboer és a College van burgemeester en wethouders van Rotterdam (Rotterdam polgármesterének és alpolgármestereinek tanácsa, a továbbiakban: College) közötti jogvitában került sor, melynek tárgya M. Rijkeboer azon kérelmének College általi részleges megtagadása, hogy hozzáférést biztosítsanak számára a kérelmét megelőző két évben harmadik személyek számára kiadott személyes adatainak közlésére vonatkozó információkhoz.

 Jogi háttér

 A közösségi szabályozás

3        Az irányelvnek az alapvető jogokra és szabadságokra vonatkozó (2) és (10) preambulumbekezdése kimondja:

„(2)      mivel az adatfeldolgozási rendszerek célja az emberek szolgálata; mivel a természetes személyek nemzetiségétől [helyesen: állampolgárságától] és lakóhelyétől függetlenül tiszteletben kell tartaniuk e személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat, és hozzá kell járulniuk a gazdasági és társadalmi fejlődéshez, a kereskedelem fejlődéséhez, valamint az egyének jólétéhez;

[…]

(10)      mivel a személyes adatok feldolgozására vonatkozó nemzeti jogszabályok célja az alapvető jogok és szabadságok, különösen a magánélet tiszteletben tartásához való jog védelme, amelyet mind az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 8. cikke, mind a közösségi jog általános alapelvei elismernek [...].”

4        Az irányelv (25) preambulumbekezdése értelmében a személyek védelme elveinek tükröződniük kell egyrészt a személyekre, hatóságokra, vállalkozásokra, hivatalokra, vagy más, adatfeldolgozással foglalkozó szervekre megállapított kötelezettségekben, különösen az adatminőség, a technikai biztonság, a felügyelő hatóság értesítése és az adatfeldolgozáshoz szükséges feltételek tekintetében, másrészt az azon egyénekre szálló jogokban, akiknek az adatai feldolgozásra kerülnek, amelyek szerint tájékoztatják őket az adatfeldolgozásról, betekinthetnek az adatokba, helyesbítést kérhetnek, és bizonyos körülmények között tiltakozhatnak a feldolgozás ellen.

5        Az irányelvnek az adatok nem az érintettől való megszerzése esetére az érintett személy tájékoztatására vonatkozó kötelezettséget előíró (40) preambulumbekezdése kimondja, hogy e kötelezettség nem áll fenn, ha az érintett tájékoztatása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, továbbá kimondja, hogy e tekintetben figyelembe vehető az érintettek száma, az adatok kora és az elfogadott kompenzációs intézkedések.

6        Az irányelv (41) preambulumbekezdése értelmében minden személynek lehetővé kell tenni a rá vonatkozó, adatfeldolgozás alatt álló adatokhoz való hozzáférés jogának gyakorlását, különösen az adatok helyességének és az adatfeldolgozás jogszerűségének ellenőrzése céljából.

7        Az irányelv célja című 1. cikk a következőképpen fogalmaz:

„(1)      A tagállamok ezen irányelvnek megfelelően védik a természetes személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat a személyes adatok feldolgozása tekintetében.

(2)      A tagállamok nem korlátozhatják és nem tilthatják a személyes adatok tagállamok közötti szabad áramlását az (1) bekezdés értelmében biztosított védelemmel kapcsolatos indokok [helyesen: okok] miatt.”

8        A személyes adat fogalmát az irányelv 2. cikkének a) pontja úgy határozza meg, mint az azonosított vagy azonosítható természetes személyre („érintettre”) vonatkozó bármely információ.

9        Az irányelv 2. cikkének b) pontja „személyes adatok feldolgozása” alatt a következőket érti:

„a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés [helyesen: lekérdezés], felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés.”

10      Az irányelv 2. cikkének d) pontja szerint „adatkezelő” az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait és eszközeit.

11      Az irányelv 2. cikkének g) pontja értelmében „címzett” az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, akinek vagy amelynek a részére az adatot továbbítják, függetlenül attól, hogy az irányelv 2. cikkének f) pontjában meghatározott „harmadik személyről” van‑e szó.

12      Az irányelv 6. cikke kimondja a személyes adatok minőségére vonatkozó elveket. Az adatok tárolására vonatkozóan az 6. cikk (1) bekezdésének e) pontja kimondja, hogy a tagállamok rendelkeznek arról, hogy a személyes adatok „tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok gyűjtése vagy további feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé. A tagállamok állapítják meg a személyes adatok történelmi, statisztikai vagy tudományos célból, hosszabb ideig történő tárolásának megfelelő garanciáit.”

13      Az irányelv 10. és 11. cikke meghatározza azon adatok körét, amelyekről az adatkezelőnek vagy képviselőjének tájékoztatnia kell az érintettet, ha a rá vonatkozó adatokat tőle gyűjtik, illetve amikor az adatokat nem tőle szerezték be.

14      Az irányelv „adathozzáféréshez való jog” című 12. cikke a következőképpen fogalmaz:

„A tagállamoknak biztosítaniuk kell minden érintett számára a jogot, hogy:

a)      [helyesen: az adatkezelőtől] korlátozás nélkül, ésszerű időközönként, túlzott késedelem vagy költség nélkül:

–        megerősítést kapjon arról, hogy rá vonatkozóan adatok feldolgozása folyamatban van‑e, továbbá hogy információt kapjon legalább az adatfeldolgozás céljáról, az érintett adatkategóriákról, a címzettekről, vagy a címzettek kategóriáiról, akik felé az adatokat továbbítják,

–        érthető formában értesítést kapjon az adatfeldolgozás alatt álló adatokról és azok forrásával kapcsolatos minden rendelkezésre álló információról,

–        tájékoztatást kapjon a rá vonatkozó adatok automatizált feldolgozása során alkalmazott logikáról legalább a 15. cikk (1) bekezdésében említett automatizált döntések esetében;

b)      esettől függően kérje az olyan adatok helyesbítését, törlését vagy zárolását [helyesen: az esettől függően az adatkezelő helyt adjon az olyan adatok helyesbítése, törlése vagy zárolása iránti kérelmének], amelyek feldolgozása nem felel meg ezen irányelv rendelkezéseinek, különösen az ilyen adatok hiányos vagy hibás volta miatt;

c)      kérje az adatokról tudomást szerző harmadik felek értesítését a b) ponttal összhangban végzett minden helyesbítésről, törlésről vagy zárolásról, hacsak ez lehetetlennek nem bizonyul, vagy aránytalanul nagy erőfeszítést nem igényel [helyesen: az adatkezelő helyt adjon azon kérelmének, hogy a b) pontnak megfelelően végzett minden helyesbítésről, törlésről vagy zárolásról értesítse azokat a harmadik feleket, akiknek az adatokat továbbította, kivéve ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel.”

15      Az irányelv „mentességek [helyesen: kivételek] és korlátozások” című 13. cikkének (1) bekezdése felhatalmazza a tagállamokat arra, hogy eltérjenek többek között az irányelv 6. és 12. cikkétől, amennyiben ez bizonyos közérdekű célok eléréséhez szükséges, mint amilyen a nemzetbiztonság, a honvédelem, a bűncselekmények felderítése, az érintett vagy mások jogainak és szabadságainak védelme.

16      Az irányelv a 14. cikkében előírja, hogy a tagállamoknak biztosítaniuk kell az érintettnek, hogy bizonyos feltételek mellett tiltakozhasson a rá vonatkozó adatok feldolgozása ellen.

17      Az irányelv 17. cikke (1) bekezdésének második albekezdése szerint a tagállamoknak rendelkezniük kell arról, hogy az adatkezelő végrehajtsa a megfelelő technikai és szervezési intézkedéseket, melyeknek – tekintettel a technika állására és alkalmazásuk költségeire – olyan szintű biztonságot kell nyújtaniuk, amely megfelel az adatfeldolgozás által jelentett kockázatoknak és a védendő adatok jellegének.

18      Az irányelv 22. cikke és 23. cikkének (1) bekezdése értelmében a tagállamoknak biztosítaniuk kell mindenki számára a bírósági jogorvoslathoz való jogot bármely olyan jogának megsértése esetén, amelyet a szóban forgó adatfeldolgozásra alkalmazandó nemzeti jog biztosít számára, és rendelkezniük kell arról, hogy mindenki, aki jogellenes adatfeldolgozási művelet vagy az ezen irányelv értelmében elfogadott nemzeti rendelkezésekkel összeegyeztethetetlen intézkedés eredményeképpen kárt szenvedett, az adatkezelőtől kártérítésre jogosult az elszenvedett károkért.

 A nemzeti szabályozás

19      Az irányelvet egy általános jogszabály, a személyes adatok védelméről szóló törvény (Wet bescherming persoonsgegevens) ültette át a holland jogba. Másfelől külön törvényeket fogadtak el az irányelv alkalmazása érdekében. Ilyen az alapügyben szereplő törvény is, amely a helyi önkormányzatok birtokában lévő személyes adatokra vonatkozik (Wet gemeentelijke basisadministratie persoonsgegevens, Stb. 1994, 494. szám; a továbbiakban: Wet GBA).

20      A Wet GBA 103. cikkének (1) bekezdése értelmében a polgármester és alpolgármesterek tanácsa az érintett kérelmére négy héten belül írásban közli az érintettel, hogy a kérelem benyújtását megelőző évben az önkormányzat továbbított‑e rá vonatkozó adatot valamely átvevő vagy harmadik személy részére.

21      A Wet GBA 110. cikke értelmében a polgármester és alpolgármesterek tanácsa az adatközléstől számított egy évig megőrzi az ezen adatközlésre utaló feljegyzést, kivéve ha az adatközlés ténye az adatbázisból egyébként kiderül.

22      A College írásbeli észrevételeiből kiderül, hogy az önkormányzatnál tárolt adatok különösen a következőkre vonatkoznak: név, születési dátum, társadalombiztosítási és adószám, a község, ahova be van jelentve, lakcím és a községhez való bejelentkezés időpontja, családi állapot, gondnokság, a kiskorúak felügyelete, a külföldiek állampolgársága és tartózkodásuk jogalapja.

 Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdés

23      2005. október 26‑án M. Rijkeboer arra kérte a College‑t, hogy tájékoztassa őt az összes olyan esetről, amikor a kérelmét megelőző két év folyamán a helyi közigazgatástól származó, rá vonatkozó adatokat továbbítottak harmadik személyeknek. M. Rijkeboer meg kívánta ismerni e személyek személyazonosságát és a nekik továbbított adatok tartalmát. M. Rijkeboer, aki másik helyiségbe költözött, különösen azt kívánta megtudni, hogy kivel közölték korábbi lakcímét.

24      2005. október 27‑i és 2005. november 29‑i határozatával a College csupán részben adott helyt e kérelemnek, és a Wet GBA 103. cikkének (1) bekezdése értelmében csupán a kérelme benyújtását megelőző egy évre vonatkozó adatokat közölte M. Rijkeboerral.

25      Az adatközléseket a „Logisch Ontwerp GBA” szerint vették nyilvántartásba. Ezt az automatikusan működő rendszert a Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (a Holland Királyság Belügyekért és a királysággal kapcsolatos ügyekért felelős minisztériuma) hozta létre. Az előzetes döntéshozatal iránti kérelemből kiderül, hogy az M. Rijkeboer által kért, a kérelme benyújtását megelőző egy évnél régebbi adatokat a Wet GBA 110. cikkével összhangban automatikusan törölték.

26      M. Rijkeboer panaszt tett a College‑nél annak megtagadása ellen, hogy közöljék vele az azon személyekre vonatkozó információkat, akiknek a kérelme benyújtását megelőző egy évnél régebben továbbították az adatait. Miután e panaszt a 2006. február 13‑i határozattal elutasították, M. Rijkeboer keresetet indított a Rechtbank Rotterdam előtt.

27      E bíróság helyt adott a keresetnek, mert úgy vélte, hogy tájékoztatáshoz való jog a Wet GBA 103. cikkének (1) bekezdésében előírt, a kérelem benyújtását megelőző egy évben kiadott adatokra való korlátozása nem összeegyeztethető az irányelv 12. cikkével. A Rechtbank Rotterdam azt is kimondta, hogy az irányelv 13. cikkében szereplő kivételek nem alkalmazhatók.

28      A College fellebbezést nyújtott be az ítélettel szemben a Raad van State‑hoz. E bíróság megállapította, hogy az irányelv adathozzáféréshez való jogra vonatkozó 12. cikke semmiféle határidőt nem állapít meg e jog gyakorlására nézve. A Raad van State szerint azonban e cikk nem feltétlenül tiltja meg a jogalkotó számára, hogy időbeli korlátot szabjon az érintett számára arra, hogy információt kapjon azon személyekről, akikkel személyes adatait közölték, de a Raad van State‑nak kételyei vannak erre vonatkozóan.

29      Ilyen körülmények között a Raad van State felfüggesztette az eljárást, és előzetes döntéshozatal céljából a következő kérdést terjesztette a Bíróság elé:

„Összeegyeztethető‑e az adatok közlésének a megfelelő kérelem előterjesztését megelőző egy évre történő, törvényben előírt korlátozása a[z] [irányelv] 12. cikkének a) pontjával, adott esetben együttesen olvasva ezen irányelv 6. cikke (1) bekezdésének e) pontjával és az arányosság elvével?”

 Az előzetes döntéshozatalra előterjesztett kérdésről

30      Előzetesen emlékeztetni kell arra, hogy az EK 234. cikk által létrehozott bírósági együttműködési rendszer keretében a Bíróság feladatát a közösségi jogi rendelkezések értelmezése képezi. A nemzeti rendelkezések értelmezése a nemzeti bíróságok hatáskörébe tartozik (lásd a C‑449/06. sz. Gysen‑ügyben 2008. február 14‑én hozott ítélet [EBHT 2008., I‑553. o.] 17. pontját).

31      Ennélfogva a kérdést előterjesztő bíróság által feltett kérdést úgy kell érteni, mint amely lényegében annak megállapítására irányul, hogy az irányelv és különösen az irányelv 12. cikkének a) pontja szerint valamely személynek a rá vonatkozó személyes adatok címzettjeire vagy a címzettek kategóriájára vonatkozó információkhoz való hozzáférés joga korlátozható‑e az adathozzáférés iránti kérelem benyújtását megelőző egyéves időtartamra.

32      E bíróság az irányelv két rendelkezését, vagyis a személyes adatok tárolására vonatkozó 6. cikk (1) bekezdésének e) pontját és az ezen adatokhoz való hozzáférésre vonatkozó 12. cikkének a) pontját emeli ki. Azonban sem e bíróság, sem a Bíróság elé észrevételt terjesztő felek nem hivatkoztak az irányelv 13. cikkében felsorolt kivételekre.

33      Az irányelv 6. cikke az adatok minőségéről szól. E cikk (1) bekezdésének e) pontja előírja a tagállamok számára, hogy rendelkezzenek arról, hogy a személyes adatokat ne tárolják hosszabb ideig, mint amely az adatok gyűjtése vagy további feldolgozása céljainak eléréséhez szükséges. Az adatokat tehát törölni kell, amikor e célok megvalósultak.

34      Az irányelv 12. cikkének a) pontja előírja, hogy a tagállamok biztosítják az érintett számára a személyes adataihoz, valamint az ezen adatok címzettjeire vagy a címzettek kategóriájára vonatkozó információkhoz való hozzáférés jogát, anélkül hogy e jog gyakorlására vonatkozóan az irányelv határidőt szabna.

35      E két cikk tehát az érintett személy védelmét szolgálja. A kérdést előterjesztő bíróság arra keres választ, hogy van‑e kapcsolat e két cikk között abban az értelemben, hogy a személyes adatok címzettjeire vagy a címzettek kategóriáira, valamint a továbbított adatok tartalmára vonatkozó információkhoz való hozzáférés joga függhet‑e ezen adatok tárolásának időtartamától.

36      A Bíróság elé terjesztett észrevételek az e két rendelkezés közötti viszonnyal kapcsolatos eltérő nézeteket tükröznek.

37      A College, a holland, a cseh és a spanyol kormány, valamint az Egyesült Királyság Kormánya azt állítja, hogy az irányelv 12. cikkének a) pontjában szereplő címzettekre vagy a címzettek kategóriáira vonatkozó információkhoz való hozzáférés joga a jelenre nézve áll fenn, nem pedig a múltra. Mivel az adatokat a nemzeti szabályozásnak megfelelően törölték, az érintett többé nem férhet hozzájuk. Ez a következmény nem ellentétes az irányelvvel.

38      A College és a holland kormány így azzal érvel, hogy a Wet GBA 103. cikkének (1) bekezdése, melynek értelmében az érintett kérelmére az önkormányzat tájékoztatja őt a kérelem benyújtását megelőző évben harmadik személyek számára továbbított adatokról, túlmegy az irányelv által támasztott követelményeken.

39      A Bizottság és a görög kormány a maga részéről azt állítja, hogy az irányelv nem csupán a jelenre nézve ír elő hozzáférési jogot, hanem a kérelmet megelőző időszakra nézve is. A hozzáféréshez való jog pontos időbeli terjedelmére vonatkozóan azonban eltérőek a nézeteik.

40      Az irányelv által biztosított adathozzáféréshez való jog terjedelmének megítéléséhez először is meg kell határozni azon adatok körét, amelyekre a hozzáféréshez való jog kiterjed, majd az irányelv célkitűzéseinek fényében meg kell vizsgálni az irányelv 12. cikkének a) pontjában szereplő célt.

41      Az M. Rijkeboeréhez hasonló esetben az adatok két kategóriája jön számításba.

42      Az első kategóriába az önkormányzat birtokában lévő, magánjellegű adatok tartoznak, mint amilyen a név és a lakcím, amelyek a jelen esetben alapvető adatok. A College és a holland kormány szóbeli észrevételeiből kiderül, hogy ezen adatok hosszú ideig tárolhatók. Ezek az információk az irányelv 2. cikkének a) pontja értelmében „személyes adatoknak” minősülnek, mivel azonosított vagy azonosítható természetes személyre vonatkozó információkról van szó (lásd ebben az értelemben a C‑465/00., C‑138/01. és C‑139/01. sz., Österreichischer Rundfunk és társai egyesített ügyekben 2003. május 20‑án hozott ítélet [EBHT 2003., I‑4989. o.] 64. pontját, a C‑101/01. sz. Lindqvist‑ügyben 2003. november 6‑án hozott ítélet [EBHT 2003., I‑12971. o.] 24. pontját, valamint a C‑524/06. sz. Huber‑ügyben 2008. december 16‑án hozott ítélet [az EBHT‑ban még nem tették közzé] 43. pontját).

43      A második kategóriába tartoznak az azon címzettekre vagy a címzettek kategóriáira vonatkozó információk, akik felé ezeket az alapvető adatokat továbbítják, valamint az utóbbiak tartalmára vonatkozó információk is, e kategória tehát az alapvető adatok feldolgozásához kapcsolódik. A nemzeti szabályozásnak megfelelően ezeket az információkat csak egy évig tárolják.

44      A személyes adatok címzettjeire, valamint a továbbított adatok tartalmára vonatkozó információkhoz való hozzáférés jogának az alapügy tárgyát képező időbeli korlátozása tehát az adatok második csoportjára vonatkozik.

45      Annak meghatározásához, hogy az irányelv 12. cikkének a) pontja lehetővé tesz‑e, vagy sem ilyen időbeli korlátozást, e cikket az irányelv célkitűzéseinek fényében vizsgált céljára tekintettel kell értelmezni.

46      Az irányelv 1. cikke szerint az irányelv célja a természetes személyek alapvető jogainak és szabadságainak, különösen a magánélet tiszteletben tartásához való joguknak a személyes adatok feldolgozása tekintetében történő védelme, és ezáltal annak lehetővé tétele, hogy ezen adatok a tagállamok között szabadon áramoljanak.

47      A magánélet tiszteletben tartásának fontosságát az irányelv (2) és (10) preambulumbekezdése hangsúlyozza, valamint a Bíróság ítélkezési gyakorlata is kiemeli (lásd ebben az értelemben a fent hivatkozott Österreichischer Rundfunk és társai egyesített ügyekben hozott ítélet 70. pontját és a fent hivatkozott Lindqvist‑ügyben hozott ítélet 97. és 99. pontját, valamint a C‑275/06. sz. Promusicae‑ügyben 2008. január 29‑én hozott ítélet [EBHT 2008., I‑271. o.] 63. pontját és a C‑73/07. sz., Satakunnan Markkinapörssi és Satamedia ügyben 2008. december 16‑án hozott ítélet [az EBHT‑ban még nem tették közzé] 52. pontját).

48      Másfelől, ahogyan az az irányelv (25) premabulumbekezdéséből kitűnik, e védelem elveinek tükröződniük kell egyrészt az adatfeldolgozással foglalkozókra megállapított kötelezettségekben, különösen az adatminőség tekintetében – amely az irányelv 6. cikkének célja –, másrészt az azon személyek számára biztosított jogokban, akiknek adatai feldolgozásra kerülnek, és amely jogok értelmében az adatfeldolgozásról tájékoztatják őket, betekinthetnek ezen adatokba, kérhetik azok helyesbítését, valamint bizonyos körülmények között tiltakozhatnak az adatfeldolgozás ellen.

49      A magánélet tiszteletben tartásához való jog magában foglalja, hogy az érintett személy megbizonyosodhasson arról, hogy személyes adatait helyesen és jogszerűen dolgozzák fel, vagyis különösen arról, hogy alapvető adatai helyesek, és azokat arra jogosult személyeknek továbbítják. Ahogyan az az irányelv (41) preambulumbekezdésében szerepel, a szükséges ellenőrzések elvégzése céljából minden személynek lehetővé kell tenni a rá vonatkozó, adatfeldolgozás alatt álló adatokhoz való hozzáférés jogának gyakorlását.

50      E tekintetben az irányelv 12. cikkének a) pontja biztosítja az alapvető adatokhoz, valamint az adatok címzettjeire vagy a címzettek kategóriáira vonatkozó információkhoz való hozzáférés jogát.

51      E hozzáféréshez való jog szükséges annak lehetővé tételéhez, hogy az érintett az ugyanezen cikk b) és c) pontjában szereplő jogait gyakorolja, vagyis hogy kérelmére az adatkezelő helyesbítse, törölje vagy zárolja az olyan adatokat, amelyek feldolgozása nem felel meg az irányelv rendelkezéseinek [b) pont], vagy kérelmére az adatkezelő értesítse az adatokról tudomást szerző harmadik feleket e helyesbítésről, törlésről vagy zárolásról, kivéve ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel [c) pont].

52      E hozzáféréshez való jog szükséges annak lehetővé tételéhez is, hogy az érintett gyakorolja az irányelv 14. cikkében szereplő, az adatok feldolgozása elleni tiltakozáshoz való jogát vagy az irányelv 22 és 23. cikkében biztosított kártérítési igényét, ha őt kár érte.

53      Az alapvető adatok címzettjeire vagy a címzettek kategóriáira, valamint a továbbított adatok tartalmára vonatkozó információkhoz való hozzáférés jogát illetően az irányelv nem tartalmaz pontosítást arra nézve, hogy e jog a múltra vonatkozik‑e, és adott esetben milyen esetleges múltbeli időtartamra vonatkozik.

54      E tekintetben meg kell állapítani, hogy a jelen ítélet 51. és 52. pontjában szereplő rendelkezések hatékony érvényesüléséhez e jognak szükségszerűen a múltra is vonatkoznia kell. Ellenkező esetben ugyanis az érintett személy nem gyakorolhatná eredményesen a jogszerűtlennek vagy helytelennek vélt adatok helyesbítéséhez, törléséhez vagy zárolásához fűződő, valamint jogorvoslati és kártérítéshez való jogát.

55      Felmerül a kérdés, hogy e jognak milyen a múltbeli terjedelme.

56      A Bíróság már kimondta, hogy az irányelv rendelkezései viszonylag általánosak, tekintettel arra, hogy az irányelvet nagyszámú, igen sokféle helyzetre kell alkalmazni, és hogy az irányelv rendelkezéseit bizonyos rugalmasság jellemzi, számos esetben lehetővé téve a tagállamok számára a részletek meghatározását vagy a több lehetőség közül történő választást (lásd a fent hivatkozott Lindqvist‑ügyben hozott ítélet 83. pontját). A Bíróság ily módon elismerte, hogy a tagállamok több tekintetben mozgástérrel rendelkeznek az irányelv átültetése tekintetében (lásd a fent hivatkozott Lindqvist‑ügyben hozott ítélet 84. pontját). E mozgástér, amelynek léte az irányelv 12. cikke a) pontjának átültetésére vonatkozóan beigazolódott, azonban nem korlátlan.

57      A személyes adatok címzettjeire vagy a címzettek kategóriáira, valamint a továbbított adatok tartalmára vonatkozó információkhoz való hozzáférés jogának gyakorlására vonatkozó határidő megállapításának lehetővé kell tennie az érintett személy számára az irányelvben előírt, és a jelen ítélet 51. és 52. pontjában említett különböző jogok gyakorlását.

58      Az alapvető adatok tárolásának időtartama hasznos, de nem döntő tényező lehet.

59      Az irányelv hatálya ugyanis igen széles, ahogyan azt már a Bíróság is elismerte (lásd a fent hivatkozott Österreichischer Rundfunk és társai egyesített ügyekben hozott ítélet 43. pontját, és a fent hivatkozott Lindqvist‑ügyben hozott ítélet 88. pontját), és az irányelvben szereplő személyes adatok különfélék. Így a személyes adatok tárolásának időtartama, amelyet az irányelv 6. cikke (1) bekezdésének e) pontja az adatok gyűjtése vagy további feldolgozása céljainak függvényében határoz meg, változó lehet. Ha az alapvető adatok tárolásának időtartama hosszú, az érintett személynek a jelen ítélet 57. pontjában említett beavatkozás és jogorvoslati jog gyakorlásához fűződő érdeke bizonyos esetekben csökkenhet. Ha például nagyobb számú címzettről van szó, vagy a korlátozottabb számú címzettek számára történő adattovábbítás gyakoribb, a címzettekre vagy a címzettek kategóriáira, valamint a továbbított adatok tartalmára vonatkozó információk ugyanilyen hosszú ideig tartó tárolásának kötelezettsége túlzott terhet jelenthet az adatkezelő számára.

60      Márpedig az irányelv nem követeli meg, hogy a tagállamok ilyen terhet rójanak az adatkezelőre.

61      Így az irányelv 12. cikkének c) pontja kifejezetten kivételt fogalmaz meg az adatkezelő javára az adatokról tudomást szerző harmadik feleknek a helyesbítésről, törlésről vagy zárolásról való értesítésére vonatkozó kötelezettség alól, abban az esetben, ha ez lehetetlennek bizonyul, vagy aránytalan erőfeszítést igényel.

62      Az irányelv más rendelkezései szerint bizonyos intézkedések esetleges aránytalan jellege ugyancsak figyelembe vehető. Az érintett személy tájékoztatásának kötelezettségét illetően az irányelv (40) preambulumbekezdése kimondja, hogy az érintettek száma és az adatok kora is figyelembe vehető. Másfelől az irányelvnek az adatfeldolgozás biztonságára vonatkozó 17. cikke szerint a tagállamoknak rendelkezniük kell arról, hogy az adatkezelő végrehajtson olyan technikai és szervezési intézkedéseket, amelyek megfelelő biztonságot nyújtanak, tekintettel az adatfeldolgozás által jelentett kockázatokra és a védendő adatok jellegére, figyelembe véve a technika állását és alkalmazásuk költségeit.

63      Hasonló megfontolások vonatkoznak a címzettekre vagy a címzettek kategóriáira, valamint a továbbított adatok tartalmára vonatkozó információkhoz való hozzáférés jogára vonatkozó határidő megállapítására is. A jelen ítélet 57. pontjában említett megfontolásokon túl a tagállamok több tényezőt is figyelembe vehetnek, többek között a nemzeti jognak a keresetindításra nyitva álló határidőre vonatkozó rendelkezéseit, az alapvető adatok többé‑kevésbé érzékeny jellegét, ezen adatok tárolásának időtartamát és az érintett címzettek számát.

64      Így a tagállamok feladata, hogy megállapítsák a címzettekre vagy a címzettek kategóriáira, valamint a továbbított adatok tartalmára vonatkozó információk tárolásának határidejét, és olyan hozzáférést biztosítsanak ezen információkhoz, amely megfelelő egyensúlyt hoz létre egyfelől az érintett személynek ahhoz fűződő érdeke között, hogy a magánéletét megvédje, többek között az adatok helyesbítéséhez, törléséhez vagy zárolásához való jog gyakorlása útján, ha az adatok kezelése nem az irányelvnek megfelelően történik, valamint az ellentmondáshoz és a keresetindításhoz való jog révén, másfelől az adatkezelő számára az ezen információk tárolásának kötelezettsége által jelentett teher között.

65      Másfelől e határidő megállapítása során tekintetbe kell venni az irányelv 6. cikkének e) pontjából fakadó kötelezettségeket is, rendelkezni kell arról, hogy a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok gyűjtése vagy további feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé.

66      A jelen esetben az olyan szabályozás, amely az adatok címzettjeire vagy a címzettek kategóriáira, valamint a továbbított adatok tartalmára vonatkozó információk tárolásának időtartamát, és ezzel összefüggésben az ezen információkhoz való hozzáférést is egy évre korlátozza, miközben az alapvető adatokat ennél jóval hosszabb ideig tárolják, nem hoz létre megfelelő egyensúlyt a szóban forgó érdek és kötelezettség között, kivéve ha bizonyítást nyer, hogy ezen információ hosszabb idejű tárolása túlzott terhet jelentene az adatkezelő számára. Mindazonáltal a nemzeti bíróság feladata, hogy a fenti pontokban említett megfontolások fényében elvégezze a szükséges vizsgálatokat.

67      A fenti megfontolásokra tekintettel nem fogadható el bizonyos tagállamok azon érvelése, mely szerint az irányelv 10. és 11. cikkének alkalmazása feleslegessé tenné az irányelv 12.cikkének a) pontjában szereplő, a címzettekre vagy a címzettek kategóriáira vonatkozó információkhoz való hozzáférés jogának múltra vonatkozó biztosítását.

68      Meg kell állapítani ugyanis, hogy a 10. és 11. cikk előírja az adatkezelő vagy képviselője számára annak kötelezettségét, hogy bizonyos feltételek mellett tájékoztassa az érintett személyt, többek között az adatok címzettjeiről vagy a címzettek kategóriáiról. Az adatkezelő vagy képviselője köteles saját maga közölni ezt az információt az érintettel, nevezetesen az adatgyűjtés időpontjában vagy esetleg ezen adatok harmadik személy számára történő továbbításakor.

69      E rendelkezések tehát az irányelv 12. cikkéből fakadó kötelezettségektől eltérő kötelezettségeket írnak elő. Következésképpen semmilyen módon nem korlátozzák a tagállamokat terhelő azon kötelezettséget, hogy rendelkezzenek arról, hogy az adatkezelőnek hozzáférést kell biztosítania az érintett számára az adatok címzettjeire vagy a címzettek kategóriáira, valamint a továbbított adatokra vonatkozó információkhoz, ha az érintett úgy dönt, hogy gyakorolni kívánja a számára az irányelv 12. cikkében biztosított adathozzáféréshez való jogot. A tagállamoknak intézkedéseket kell hozniuk egyrészt az irányelvnek a tájékoztatási kötelezettségre vonatkozó 10. és 11. cikke átültetése, másrészt az irányelv 12. cikkének átültetése érdekében, anélkül hogy az előbbi intézkedések gyengíthetnék a másodikból fakadó kötelezettségeket.

70      Ennélfogva az előzetes döntéshozatalra előterjesztett kérdésre a következő választ kell adni:

–        az irányelv 12. cikkének a) pontja kötelezi a tagállamokat, hogy nem csupán a jelenre, de a múltra nézve is rendelkezzenek az adatok címzettjeire vagy a címzettek kategóriáira, valamint a továbbított adatok tartalmára vonatkozó információkhoz való hozzáférés jogáról. A tagállamok feladata, hogy meghatározzák ezen információ tárolásának határidejét, valamint ennek függvényében az adatokhoz való hozzáférést oly módon, hogy megfelelő egyensúly jöjjön létre egyrészt az érintett személynek ahhoz fűződő érdeke között, hogy különösen az irányelvben előírt beavatkozási lehetőségek és a keresetindításhoz való jog révén magánéletét megvédje, másfelől az adatkezelő számára az ezen információk tárolásának kötelezettsége által jelentett teher között.

–        Az olyan szabályozás, amely az adatok címzettjeire vagy a címzettek kategóriáira, valamint a továbbított adatok tartalmára vonatkozó információk tárolásának időtartamát, és ezzel összefüggésben az ezen információkhoz való hozzáférést is egy évre korlátozza, miközben az alapvető adatokat ennél jóval hosszabb ideig tárolják, nem hoz létre megfelelő egyensúlyt a szóban forgó érdek és kötelezettség között, kivéve ha bizonyítást nyer, hogy ezen információ hosszabb idejű tárolása túlzott terhet jelentene az adatkezelő számára. A nemzeti bíróság feladata, hogy elvégezze a szükséges vizsgálatokat.

 A költségekről

71      Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján, a Bíróság (harmadik tanács) a következőképpen határozott:

A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv 12. cikkének a) pontja kötelezi a tagállamokat, hogy nem csupán a jelenre, de a múltra nézve is rendelkezzenek az adatok címzettjeire vagy a címzettek kategóriáira, valamint a továbbított adatok tartalmára vonatkozó információkhoz való hozzáférés jogáról. A tagállamok feladata, hogy meghatározzák ezen információ tárolásának határidejét, valamint ennek függvényében az adatokhoz való hozzáférését oly módon, hogy megfelelő egyensúly jöjjön létre egyrészt az érintett személynek ahhoz fűződő érdeke között, hogy különösen az irányelvben előírt beavatkozási lehetőségek és a keresetindításhoz való jog révén magánéletét megvédje, másfelől az adatkezelő számára az ezen információk tárolásának kötelezettsége által jelentett teher között.

Az olyan szabályozás, amely az adatok címzettjeire vagy a címzettek kategóriáira, valamint a továbbított adatok tartalmára vonatkozó információk tárolásának időtartamát, és ezzel összefüggésben az ezen információkhoz való hozzáférést is egy évre korlátozza, miközben az alapvető adatokat ennél jóval hosszabb ideig tárolják, nem hoz létre megfelelő egyensúlyt a szóban forgó érdek és kötelezettség között, kivéve ha bizonyítást nyer, hogy ezen információ hosszabb idejű tárolása túlzott terhet jelentene az adatkezelő számára. A nemzeti bíróság feladata, hogy elvégezze a szükséges vizsgálatokat.

Aláírások


* Az eljárás nyelve: holland.