A BÍRÓSÁG ÍTÉLETE (nagytanács)
2014. április 8.(*)
„Tagállami kötelezettségszegés – 95/46/EK irányelv – A személyes adatok kezelése vonatkozásában a természetes személyeket megillető védelem és az ilyen adatok szabad áramlása – A 28. cikk (1) bekezdése – Nemzeti felügyelő hatóságok – Függetlenség – A felügyelő hatóság megbízatását a megbízatási idő lejárta előtt megszüntető nemzeti jogszabály – Új felügyelő hatóság létrehozása és másik személy elnökké történő kinevezése”
A C‑288/12. sz. ügyben,
az EUMSZ 258. cikk alapján kötelezettségszegés megállapítása iránt a Bírósághoz 2012. június 8‑án
az Európai Bizottság (képviselik: Talabér‑Ritz K. és B. Martenczuk, meghatalmazotti minőségben, kézbesítési cím: Luxembourg)
felperesnek,
támogatja:
az európai adatvédelmi biztos (képviselik: I. Chatelier, A. Buchta, Belényessy Zs., valamint H. Kranenborg, meghatalmazotti minőségben)
beavatkozó,
Magyarország (képviseli: Fehér M. Z., meghatalmazotti minőségben)
alperes ellen
benyújtott keresete tárgyában,
A BÍRÓSÁG (nagytanács),
tagjai: V. Skouris elnök, K. Lenaerts elnökhelyettes, M. Ilešič, L. Bay Larsen, T. von Danwitz, Juhász E., A. Borg Barthet, C. G. Fernlund és J. L. da Cruz Vilaça tanácselnökök, G. Arestis, J. Malenovský, M. Berger, A. Prechal, E. Jarašiūnas (előadó) és C. Vajda bírák,
főtanácsnok: M. Wathelet,
hivatalvezető: C. Strömholm tanácsos,
tekintettel az írásbeli szakaszra és a 2013. október 15‑i tárgyalásra,
a főtanácsnok indítványának a 2013. december 10‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Az Európai Bizottság keresetével annak megállapítását kéri a Bíróságtól, hogy Magyarország, mivel idő előtt megszüntette a személyes adatok védelmét felügyelő hatóság megbízatását, nem teljesítette a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelvből (HL L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) eredő kötelezettségeit.
Jogi háttér
Az uniós jog
2 A 95/46 irányelv (62) preambulumbekezdése értelmében:
„mivel a tagállamokban a feladataikat teljes függetlenséggel gyakorló felügyelő hatóságok létrehozása alapvető eleme az egyének védelmének a személyes adatok feldolgozása [helyesen: kezelése] tekintetében”.
3 A 95/46 irányelv „A felügyelő hatóság” című 28. cikkének (1) és (2) bekezdése az alábbiak szerint rendelkezik:
„(1) Minden tagállamnak rendelkeznie kell arról, hogy az ezen irányelv értelmében a tagállam által elfogadott nemzeti rendelkezéseknek a területén történő alkalmazását valamely hatóság vagy hatóságok felügyeljék.
E hatóságok a rájuk ruházott feladatok gyakorlása során teljes függetlenségben járnak el.
(2) Minden tagállamnak rendelkeznie kell arról, hogy a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének jogainak és szabadságainak védelmére vonatkozó közigazgatási intézkedések vagy rendeletek kidolgozásakor a felügyelő hatóságokkal konzultáljanak.”
4 A személyes adatok közösségi intézmények és szervek által történő feldolgozása [helyesen: kezelése] tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló, 2000. december 18‑i 45/2001/EK európai parlamenti és tanácsi rendelet (HL 2001. L 8., 1. o.; magyar nyelvű különkiadás 13. fejezet, 26. kötet, 102. o.) az V. fejezetében létrehoz egy független ellenőrző hatóságot, az úgynevezett európai adatvédelmi biztost.
5 E rendelet „Kinevezés” című 42. cikke szerint:
„(1) Az Európai Parlament és a Tanács közös megegyezéssel nevezi ki az európai adatvédelmi biztost ötéves időtartamra, a Bizottság által a nyilvános felhívást követően elkészített lista alapján.
[...]
(3) Az európai adatvédelmi biztos kinevezése megújítható.
(4) A megbízatás lejártán, illetve az elhalálozáson kívül, az európai adatvédelmi biztos megbízatása lemondással vagy az (5) bekezdésnek megfelelő felmentéssel szűnik meg.
(5) Az európai adatvédelmi biztost az Európai Parlament, a Tanács vagy a Bizottság kérelmére a Bíróság felmentheti, vagy a nyugdíjhoz, illetve ahelyett egyéb juttatásokhoz való jogától megfoszthatja abban az esetben, ha már nem felel meg a feladatai teljesítéséhez előírt feltételeknek, vagy súlyos kötelességszegést követett el.
[...]”
A magyar jog
6 A 95/46 irányelv 28. cikke szerinti adatvédelmi felügyelő hatóságot (a továbbiakban: felügyelő hatóság) 2011. december 31‑ig a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló, módosított 1992. évi LXIII. törvény (a továbbiakban: 1992. évi törvény) szabályozta. E törvény 23. §‑ának a szövege a következő volt:
„(1) A személyes adatok védelméhez és a közérdekű adatok nyilvánosságához való alkotmányos jog védelme érdekében az Országgyűlés adatvédelmi biztost [(a továbbiakban: biztos)] választ […].
(2) A [biztosra] – e törvényben foglalt eltérésekkel – az állampolgári jogok országgyűlési biztosáról szóló törvény rendelkezéseit kell alkalmazni.”
7 A biztos feladatkörét az 1992. évi törvény 24. és 25. §‑a határozta meg. Így különösen az említett 24. § a) pontja szerint a biztos „bejelentés alapján vagy – ha az adott ügyben bírósági eljárás nincs folyamatban – hivatalból ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabályok megtartását”, d) pontja alapján pedig „elősegíti a személyes adatok kezelésére és a közérdekű adatok nyilvánosságára vonatkozó törvényi rendelkezések egységes alkalmazását”.
8 Az 1992. évi törvény nem tartalmazott a biztos megbízatásának időtartamára vagy a megbízatás megszűnésének eseteire vonatkozó szabályokat, hanem e kérdésekre az állampolgári jogok országgyűlési biztosáról szóló 1993. évi LIX. törvény (a továbbiakban: 1993. évi törvény) 2011. december 31‑ig hatályos rendelkezéseit kellett alkalmazni. E törvény 4. §‑ának (5) bekezdése úgy rendelkezett, hogy az országgyűlési biztost hat évre választják, és az országgyűlési biztos egyszer újraválasztható. E törvény 15. §‑a szabályozta a megbízatás megszűnését, az alábbiak szerint:
„(1) Az országgyűlési biztos megbízatása megszűnik:
a) a megbízatási időtartam leteltével;
b) halállal;
c) lemondással;
d) összeférhetetlenség kimondásával;
e) felmentéssel;
f) a tisztségtől való megfosztással.
(2) Az országgyűlési biztos megbízatásának megszűnését az (1) bekezdés a)–c) pontja esetében az Országgyűlés elnöke állapítja meg. Az (1) bekezdés d)–f) pontja esetében a megbízatás megszűnésének kérdésében az Országgyűlés határoz. A megbízatás megszűnésének kimondásához a képviselők kétharmadának szavazata szükséges.
(3) A lemondást írásban kell közölni az Országgyűlés elnökével. Az országgyűlési biztos megbízatása a lemondásában megjelölt napon szűnik meg. A lemondás érvényességéhez elfogadó nyilatkozat nem szükséges.
[...]”
9 E 15. § (4)–(6) bekezdése részletezte az ugyanezen § (1) bekezdésének d)–f) pontja szerinti eseteket. Így különösen az 1993. évi törvény 15. §‑ának (5) bekezdése alapján a megbízatás felmentéssel történő megszüntetésére csak abban az esetben kerülhetett sor, ha az országgyűlési biztos neki fel nem róható okból kilencven napon túlmenően nem volt képes eleget tenni megbízatásából eredő feladatainak. E § (6) bekezdése úgy rendelkezett, hogy tisztségtől való megfosztással abban az esetben szűnhetett meg a megbízatás, ha az országgyűlési biztos neki felróható okból kilencven napon túlmenően nem tett eleget megbízatásából eredő feladatainak, vagyonnyilatkozat‑tételi kötelezettségét szándékosan elmulasztotta vagy a vagyonnyilatkozatban szándékosan lényeges adatot, tényt valótlanul közölt, továbbá, ha jogerős ítéletben megállapított bűntettet követett el.
10 Magyarország Alaptörvénye 2012. január 1‑jén lépett hatályba. VI. cikkének (3) bekezdése értelmében „[a] személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi”. Az Alaptörvény Záró rendelkezéseinek 3. és 5. pontja akként rendelkezett, hogy az átmeneti rendelkezéseket az Országgyűlés külön fogadja el, és azok az Alaptörvény részét képezik.
11 Az Országgyűlés által elfogadott Átmeneti Rendelkezések 16. cikke értelmében:
„A hivatalban lévő [biztos] megbízatása az Alaptörvény hatálybalépésével megszűnik.”
12 A felügyelő hatóságra vonatkozó magyar szabályozás tehát 2012. január 1‑jén módosult, és hatályba lépett az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: 2011. évi törvény), amely – a 77. §‑ának a) pontja értelmében – a 95/46 irányelvet átülteti a magyar jogrendbe. Ez a törvény hatályon kívül helyezte az 1992. évi törvényt, és a biztos helyett létrehozta a Nemzeti Adatvédelmi és Információszabadság Hatóságot (a továbbiakban: Hatóság).
13 A Hatóság feladatkörét a 2011. évi törvény 38. §‑ának (2) és (3) bekezdése határozza meg. E törvény 38. §‑ának (2) bekezdése úgy rendelkezik, hogy a Hatóság „feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése”. Az említett törvény 38. §‑ának (3) bekezdése többek között úgy rendelkezik, hogy a Hatóság feladatkörében bejelentés alapján vagy hivatalból járhat el.
14 A 2011. évi törvény 75. §‑ának (1) és (2) bekezdése biztosította a folytonosságot egyfelől a biztos, másfelől a Hatóság között azáltal, hogy lényegében úgy rendelkezett, hogy a 2012. január 1‑je előtt érkezett beadvány alapján a biztos által megindított ügyekben a Hatóság jár el, és 2012. január 1‑jétől kezeli az ezen időpontot megelőzően a biztos által kezelt adatokat.
15 Az említett törvény 38. §‑ának (5) bekezdése alapján „[a] Hatóság független, csak a törvénynek van alárendelve, feladatkörében nem utasítható, a feladatát más szervektől elkülönülten, befolyásolástól mentesen látja el”. E rendelkezés szerint a Hatóság számára feladatot csak törvény állapíthat meg.
16 A 2011. évi törvény 40. §‑ának (1) és (3) bekezdése alapján a Hatóságot elnök vezeti, akit a miniszterelnök javaslatára a köztársasági elnök nevez ki, kilenc évre. E törvény 45. §‑a szabályozza a Hatóság elnöke megbízatásának megszűnését. E §‑nak a 2012. évi XXV. törvénnyel módosított, 2012. április 7‑étől hatályos (1) bekezdése a következőképpen rendelkezik:
„A Hatóság elnökének megbízatása megszűnik
a) a megbízatási idejének lejártával;
b) lemondásával;
c) halálával;
d) a kinevezéséhez szükséges feltételek hiányának vagy a vagyonnyilatkozat‑tételi előírások megsértésének megállapításával;
e) összeférhetetlensége megállapításával”.
17 A 2011. évi törvény 2012. évi XXV. törvénnyel módosított 45. §‑ának (2)–(8) bekezdése részletesen szabályozza ezeket a különböző eseteket.
18 A 2011. évi törvény 74. §‑a megállapítja a Hatóság első elnökének kinevezésére vonatkozó szabályokat. Ennek értelmében:
„A Hatóság első elnökére a miniszterelnök 2011. november 15‑éig tesz javaslatot a köztársasági elnöknek. A Hatóság első elnökét a köztársasági elnök 2012. január 1‑jei hatállyal nevezi ki.”
A tényállás
19 Jóri A.‑t az Országgyűlés 2008. szeptember 29‑én választotta meg biztossá az 1992. évi törvény alapján, és ugyanezen a napon iktatták be tisztségébe. Megbízatása hat évre szólt, így annak 2014 szeptemberében kellett volna lejárnia. Az Alaptörvény Átmeneti Rendelkezéseinek 16. cikke alapján azonban megbízatása 2011. december 31‑én megszűnt. A Hatóság 2012. január 1‑jén kezdte meg tevékenységét, és a miniszterelnök javaslatára a köztársasági elnök Péterfalvi A.‑t nevezte ki a Hatóság elnökévé, kilenc évre.
A pert megelőző eljárás és a Bíróság előtti eljárás
20 A Bizottság 2012. január 17‑én felszólító levelet küldött Magyarország részére. Ebben a Bizottság kifejti, hogy Magyarország megsértette a 95/46 irányelv 28. cikkének (1) és (2) bekezdését, mivel idő előtt megszüntette a biztos megbízatását, nem folytatott vele konzultációt az új adatvédelmi törvény tervezetéről, valamint az új törvény túl tág lehetőséget teremtett a Hatóság elnöke megbízatásának megszüntetésére és e tekintetben a köztársasági elnök és a miniszterelnök is szerephez jutott.
21 Magyarország 2012. február 17‑i levelében vitatta a terhére rótt jogsértést. E tagállam először is arra hivatkozott, hogy a biztos megbízatásának idő előtti megszüntetése a felügyelő hatóság magyar modellje átalakításának következménye volt, a biztos nem kívánta, hogy a Hatóság elnökévé kinevezzék, és a jelenlegi elnök megbízatásának idő előtti megszüntetése ellentétes lenne a függetlenségét biztosító jogszabályokkal. Másodszor Magyarország a Bizottság rendelkezésére bocsátotta a biztossal az új adatvédelmi törvény tervezetéről folytatott konzultációval kapcsolatos iratokat. Harmadszor e tagállam jelezte, hogy módosítja a Hatóság elnöke megbízatásának megszüntetésére vonatkozó lehetőségekkel kapcsolatos rendelkezéseket annak érdekében, hogy a Bizottság aggályaira választ adjon.
22 A Bizottság 2012. március 7‑én indokolással ellátott véleményt küldött Magyarországnak, amelyben visszavonta fenntartásait a biztossal az új adatvédelmi törvényről folytatott konzultáció tekintetében. A Bizottság ugyanakkor megismételte egyrészt a biztos megbízatásának idő előtti megszűnésével, másrészt a Hatóság elnöke megbízatásának megszüntetésére vonatkozó lehetőségekkel, illetve a köztársasági elnök és a miniszterelnök ebben játszott szerepével kapcsolatos aggályait. Ez utóbbi kérdés kapcsán mindazonáltal jelezte, hogy ha Magyarország az indokolással ellátott véleményben meghatározott határidőn, vagyis az értesítéstől számított egy hónapon belül elfogadja a bejelentett törvénymódosításokat, akkor a Bizottság úgy tekinti, hogy az említett kérdéssel kapcsolatos jogsértés megszűnt.
23 Magyarország 2012. március 30‑án válaszolta meg az indokolással ellátott véleményt. Válaszában jelezte, hogy a 2011. évi törvény 45. §‑ának módosítását napokon belül elfogadják, amelyre 2012. április 2‑án, a 2012. évi XXV. törvény elfogadásával került sor, és ez a törvény 2012. április 7‑én lépett hatályba. Magyarország ugyanakkor e levelében fenntartotta a biztos megbízatásának idő előtti megszüntetésével kapcsolatos álláspontját, aminek következtében a Bizottság benyújtotta a jelen keresetet.
24 2012. december 6‑i levelében Magyarország a Bíróság eljárási szabályzata 60. cikkének (1) bekezdése alapján azt kérte, hogy az ügyben nagytanács határozzon.
25 A Bíróság elnökének 2013. január 8‑i végzésével megengedte az európai adatvédelmi biztos számára, hogy a Bizottság kérelmeinek támogatása végett beavatkozzon.
A keresetről
Az elfogadhatóságról
A felek érvei
26 Magyarország úgy véli, hogy a jelen kereset elfogadhatatlan, mivel az állítólagos kötelezettségszegést esetleg megállapító ítéletet nem lehetne végrehajtani. Feltételezve ugyanis, hogy a Bíróság megállapítja, hogy Magyarország a 95/46 irányelv megsértésével szüntette meg a biztos megbízatását, ezt a jogellenességet csak úgy lehetne orvosolni, hogy a Hatóság elnökét visszahívják, és a korábbi biztossal töltik be helyette ezt a tisztséget, ami az állítólagos kötelezettségszegés megismétlését jelentené. Márpedig Magyarország álláspontja szerint a Bizottság nem kérheti, hogy a Bíróság ítéletében állapítsa meg a kötelezettségszegést, ha az érintett tagállam ezt az ítéletet csak az uniós jog megsértésével tudja végrehajtani. Ráadásul a Hatóság elnöke megbízatásának idő előtti megszüntetése sértené a Hatóság függetlenségének Alaptörvényben foglalt elvét.
27 A Bizottság megoldási javaslata az állítólagos kötelezettségszegés orvoslására – ha a Bíróság ez utóbbit megállapítaná – egyébiránt azzal járna, hogy a Hatóság jelenlegi elnökének valamennyi aktusa összeegyeztethetetlen lenne az uniós joggal, mivel azokat olyan felügyelő hatóság fogadta el, amely nem felel meg a 95/46 irányelv követelményeinek, ami sértené a jogbiztonság elvét. Magyarország e tekintetben arra hivatkozik, hogy a 2011. évi törvény eleget tesz a 95/46 irányelv követelményeinek.
28 A Bizottság válaszában kifejti, hogy a Magyarország által előadott érveket el kell vetni, mivel a jelen kereset továbbra sem okafogyott, és semmi nem akadályozza a kifogásolt kötelezettségszegést megállapító ítélet végrehajtását.
A Bíróság álláspontja
29 Először is emlékeztetni kell arra, hogy a Bíróság állandó ítélkezési gyakorlata értelmében a kötelezettségszegés fennállását a tagállamnak az indokolással ellátott véleményben rögzített határidő leteltének időpontjában fennálló helyzete alapján kell megítélni (Bizottság kontra Portugália ítélet, C‑20/09, EU:C:2011:214, 31. pont és az ott hivatkozott ítélkezési gyakorlat). A jelen ügyben az indokolással ellátott véleményben a Magyarország számára arra vonatkozóan megállapított határidő, hogy a véleményben foglaltaknak megfeleljen, az értesítéstől számított egy hónap elteltével, azaz 2012. április 7‑én járt le.
30 Tény, hogy a Bíróság e tekintetben már kimondta, hogy elfogadhatatlan a kötelezettségszegés megállapítása iránti kereset, ha az indokolással ellátott véleményben megállapított határidő lejártát követően az állítólagos kötelezettségszegés a továbbiakban már nem keletkeztetett joghatásokat (lásd ebben az értelemben a Bizottság kontra Spanyolország ítélet, C‑221/04, EU:C:2006:329, 25. és 26. pontját, valamint a Bizottság kontra Portugália ítélet, EU:C:2011:214, 33. pontját).
31 A jelen esetben azonban a Bizottság által állított kötelezettségszegés abban áll, hogy a biztos nem láthatta el az eredetileg megállapított megbízatási idő végéig a megbízatását, és nem vitatott, hogy ez az időtartam az indokolással ellátott véleményben megállapított határidőig nem telt le. Ilyen körülmények között nem lehet úgy tekinteni, hogy az állítólagos kötelezettségszegés az indokolással ellátott véleményben megállapított határidő lejártát követően már nem fejtett ki joghatásokat.
32 Erre nincs hatással az a körülmény – feltéve, hogy bizonyítást nyer –, hogy a 2011. évi törvény megfelel a 95/46 irányelv követelményeinek, mivel ez nem függ össze azzal a kérdéssel, hogy az állítólagos kötelezettségszegés az indokolással ellátott véleményben megállapított határidő lejártát követően a továbbiakban kifejtett‑e joghatásokat, vagy sem, hiszen a jelen kereset csupán arra a kérdésre vonatkozik, hogy Magyarország elmulasztotta‑e a 95/46 irányelvből eredő kötelezettségeinek teljesítését azáltal, hogy idő előtt megszüntette a biztos megbízatását.
33 Ezt követően emlékeztetni kell arra is, hogy ha az Európai Unió Bírósága megállapítja, hogy egy tagállam nem teljesítette a Szerződésekből eredő valamely kötelezettségét, az adott államnak az EUMSZ 260. cikk (1) bekezdése értelmében meg kell tennie az Európai Unió Bíróságának ítéletében foglaltak teljesítéséhez szükséges intézkedéseket, és annak eldöntése, hogy melyek a kötelezettségszegést megállapító ítéletben foglaltak teljesítéséhez szükséges intézkedések, nem képezi az EUMSZ 258. cikk alapján meghozott ítélet tárgyát (lásd ebben az értelemben a Bizottság kontra Németország ítélet, C‑503/04, EU:C:2007:432, 15. pontját és az ott hivatkozott ítélkezési gyakorlatot).
34 Az a körülmény tehát, amelyre Magyarország hivatkozik – feltéve, hogy az bizonyítást nyer –, miszerint az állítólagos kötelezettségszegést csak a 95/46 irányelv, illetve a jogbiztonság elvének megsértésével lenne képes orvosolni, mindenképpen a kötelezettségszegést megállapító ítélet végrehajtása körébe tartozik, ennélfogva nem befolyásolja a jelen kereset elfogadhatóságát.
35 Végül, válaszul Magyarország azon alapuló érvére, hogy az állítólagos jogsértést esetleg megállapító ítélet végrehajtása alaptörvény‑ellenes helyzetet teremtene, meg kell állapítani, hogy az állandó ítélkezési gyakorlat alapján az uniós jogból eredő kötelezettségek nem teljesítésének igazolása végett a tagállam nem hivatkozhat kifogásként nemzeti jogrendszerének rendelkezéseire, még az alkotmányos rendelkezésekre sem (lásd többek között a Bizottság kontra Belgium ítélet, 102/79, EU:C:1980:120, 15. pontját, valamint a Bizottság kontra Portugália ítélet, C‑70/06, EU:C:2008:3, 21. és 22. pontját).
36 A fenti megfontolásokból következően a jelen kereset elfogadható.
Az ügy érdeméről
A felek érvei
37 A Bizottság és az őt támogató európai adatvédelmi biztos arra hivatkozik, hogy a Bíróság ítélkezési gyakorlatából következően a 95/46 irányelv 28. cikkének (1) bekezdésében szereplő „teljes függetlenségben” kifejezés a bármely, közvetlen vagy közvetett befolyással szembeni teljes függetlenséget jelenti, amely biztosítja az érintett felügyelő hatóság számára, hogy teljesen szabadon, utasításoktól és nyomásgyakorlástól mentesen működhessen, külső befolyás, illetve az ilyen befolyásgyakorlás lehetőségének kockázata nélkül.
38 A Bizottság és az európai adatvédelmi biztos elismeri, hogy a 95/46 irányelv a 28. cikkének a végrehajtása körében széles mozgásteret biztosít a tagállamoknak, többek között a tekintetben, hogy milyen intézményi modellt választanak, valamint a felügyelő hatóság megbízatásának pontos időtartama kapcsán. Következésképpen a tagállamok főszabály szerint szabadon választhatják meg ezen időtartam hosszát. Azt követően azonban, hogy a tagállam megállapította ezt az időtartamot, azt tiszteletben kell tartania, és nem szüntetheti meg a megbízatást annak lejárta előtt, kivéve ha azt súlyos és objektív módon ellenőrizhető okok indokolják. Ezt az értelmezést megerősíti a 45/2001 rendelet európai adatvédelmi biztosra vonatkozó 42. cikkével való összehasonlítás is.
39 A jelen ügyben Magyarország nem bizonyította olyan objektív ok fennállását, amely igazolja a biztos megbízatásának idő előtti megszüntetését. Először is a felügyelő hatóság átalakítása nem lehet elfogadható igazolás, még akkor sem, ha Magyarországnak jogában áll megváltoztatni felügyelő hatóságának intézményi modelljét. Másodszor e tagállam nem bizonyította, hogy a biztos lemondott megbízatásának folytatásáról, és visszautasította a Hatóság vezetését. Harmadszor nincs jelentősége annak, hogy a szóban forgó magyar szabályozás az Alaptörvény, illetve az Alaptörvény Átmeneti Rendelkezései részét képezi, illetve annak, hogy a 2011. évi törvény megfelel‑e a 95/46 irányelvben foglalt szempontoknak, vagy sem.
40 Magyarország előzetesen hangsúlyozza, hogy az alkotmányozó hatalom döntött arról, hogy a biztos helyett egy hatósági formában működő szervezetet hoz létre, és ehhez kapcsolódóan megszünteti a biztos megbízatását, valamint hogy a Hatóságra vonatkozó új szabályozás az Alaptörvényen alapul.
41 E tagállam érdemben vitatja a Bizottság és az európai adatvédelmi biztos által képviselt álláspontot. Kétségesnek tartja, hogy a 95/46 irányelv 28. cikkében foglalt függetlenségi követelmény kiterjed a tagállamoknak a felügyelő hatóság formájára vagy e forma megváltoztatására vonatkozó döntésére, amennyiben a létrehozott szervezet működése és döntéshozatali eljárása megfelel az említett irányelvben foglalt és a Bíróság által értelmezett függetlenségi követelménynek.
42 Magyarország szerint e 28. cikk szövegéből és a 45/2001 rendelet 44. cikkének megfogalmazásából, valamint a Bíróság ítélkezési gyakorlatából egyértelműen kitűnik, hogy a 95/46 irányelv 28. cikkének (1) bekezdésében foglalt függetlenségi követelmény a felügyelő hatóságot a feladatkörének ellátása során megillető függetlenséghez kapcsolódik, vagyis a szóban forgó hatóság funkcionális függetlenségére vonatkozik. A magyar szabályozás mind 2012. január 1‑je előtt, mind azt követően teljes mértékben megfelelt ennek a követelménynek. E 28. cikkből nem lehet levezetni olyan követelményt, hogy az említett hatóságot vezető személy számára alanyi jogot kell biztosítani e feladatkör ellátására. Amennyiben a felügyelő hatóság funkcionális függetlensége biztosított, csekély a jelentősége annak, hogy a hatóság vezetőjének személye akár eredeti megbízatásának lejártát megelőzően megváltozik. Ez a felfogás felel meg a felügyelő hatóságok megbízatási idejének megállapítása kapcsán a tagállamok számára elismert hatáskörnek.
43 A 95/46 irányelv nem határozza meg sem a felügyelő hatóságok felépítését és szervezetét, sem pedig a hatóságot vezető személyek megbízatásának időtartamát, ezért a tagállamok szabadon dönthetnek e hatóságok intézményi felépítéséről. Ez a szabadság kiterjed a felügyelő hatóság hatáskörének a választott intézményi modellben való gyakorlásával megbízott személy megválasztására, illetve modellváltás esetén az e személy leváltására vonatkozó döntés meghozatalára is, ideértve, ha erre a hivatalban lévő felügyelő hatóság megbízatásának idő előtti, ex lege megszüntetése eredményeként kerül sor.
44 A 95/46 irányelv 28. cikke csak azt a korlátozást támasztja a tagállamokkal szemben, hogy biztosítaniuk kell, hogy a felügyelő hatóságok feladatkörüket megbízatásuk időtartama alatt megszakítás nélkül, teljes függetlenségben láthassák el, amely időtartamot a tagállamok határozzák meg. A jelen esetben éppen erről van szó.
45 Az adatvédelem intézményi rendszerének megváltoztatása tehát olyan objektív ok, amely igazolja a biztos megbízatásának idő előtti megszüntetését. Figyelembe véve, hogy ezt az új rendszert, valamint a biztos megbízatásának megszüntetését az Alaptörvény, illetve az Alaptörvény Átmeneti Rendelkezései írják elő, sem a korábbi, sem az új törvényi szintű szabályozás nem tartalmazhat e tárgykörre vonatkozóan eltérő rendelkezéseket. Tekintettel az új szabályozás által létrehozott intézményi változásra, nem lett volna igazolt az olyan értelmű szabályozás, hogy a Hatóság elnökének tisztségét automatikusan a biztos töltse be. Egyébként a biztos kifejezésre juttatta, hogy nem ért egyet az új intézményi modellel, és hogy egy ilyen kinevezést nem fogadna el.
46 Ha a Bíróság elfogadná a Bizottság álláspontját, akkor a 95/46 irányelvet úgy kellene értelmezni, hogy az kizárja azt is, hogy a felügyelő hatóság élén álló személy megbízatásának időtartama megújítható legyen, vagy hogy e személy más, választás alapján betöltött közjogi tisztséget viseljen. Az említett álláspontból ugyanis az következik, hogy a felügyelő hatóság elnöke a megbízatás időtartama megújításának vagy egy másik tisztség betöltésének reményében, későbbi előmenetele érdekében hajlamos lenne a politikai hatalom valós vagy vélt elvárásaihoz igazodni.
A Bíróság álláspontja
47 Előzetesen emlékeztetni kell arra, hogy a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdése alapján a tagállamok kötelesek létrehozni egy vagy több felügyelő hatóságot, amelyek a rájuk ruházott feladatok gyakorlása során teljes függetlenségben járnak el. A természetes személyek személyes adataik kezelése tekintetében történő védelmére vonatkozó uniós szabályok tiszteletben tartásának független hatóság általi felügyeletére vonatkozó követelmény az elsődleges uniós jogból, nevezetesen az Európai Unió Alapjogi Chartája 8. cikkének (3) bekezdéséből és az EUMSZ 16. cikk (2) bekezdéséből is következik.
48 Következésképpen a független felügyelő hatóságok tagállamokban való létrehozatala lényeges eleme az egyének személyes adatok kezelése tekintetében való védelmének (Bizottság kontra Németország ítélet, C‑518/07, EU:C:2010:125, 23. pont és Bizottság kontra Ausztria ítélet, C‑614/10, EU:C:2012:631, 37. pont), amint arra egyébként a 95/46 irányelv (62) preambulumbekezdése rámutat.
49 Emlékeztetni kell arra, hogy Magyarországon az 1992. évi törvény alapján a hat évre megválasztott, egy alkalommal újraválasztható biztos látta el a személyes adatok védelmének felügyeletéért felelős, 95/46 irányelv szerinti hatóság feladatát, amit Magyarország nem vitat.
50 A jelen kereset megalapozottságának megítélése érdekében meg kell vizsgálni, hogy a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdésében foglalt azon követelmény, amely szerint biztosítani kell, hogy a rájuk ruházott feladatok gyakorlása során minden egyes hatóság teljes függetlenségben járjon el, magában foglalja‑e azt a kötelezettséget – amint azt a Bizottság állítja –, hogy az érintett tagállamnak e hatóság megbízatását az eredetileg megállapított időtartam leteltéig tiszteletben kell tartania.
51 A Bíróság már megállapította, hogy a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdését úgy kell értelmezni, hogy a személyes adatok védelmét felügyelő hatóságoknak olyan függetlenséggel kell rendelkezniük, amely lehetővé teszi számukra, hogy feladataik ellátása során külső befolyástól mentesen járjanak el. E függetlenség kizár többek között bármilyen összefonódást vagy bármely más formában jelentkező, akár közvetlen, akár közvetett külső befolyást, amely hatással lehetne határozataikra, és így akadályozhatná az említett hatóságoknak a magánélet védelméhez való alapvető jog és a személyes adatok szabad áramlása közötti helyes egyensúly létrehozásában álló feladatuk teljesítését (lásd ebben az értelemben a Bizottság kontra Németország ítélet, EU:C:2010:125, 30. pontját és a Bizottság kontra Ausztria ítélet, EU:C:2012:631, 41. és 42. pontját).
52 A felügyelő hatóságok által élvezett funkcionális függetlenség tehát abban az értelemben, hogy tagjai feladatkörük ellátása során senkitől nem fogadhatnak el utasítást, szükséges feltétele annak, hogy e hatóságok megfeleljenek a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdése értelmében vett függetlenség követelményének, azonban – ellentétben Magyarország állításával – az ilyen funkcionális függetlenség önmagában nem elegendő ahhoz, hogy a felügyelő hatóságok védve legyenek bármilyen külső befolyástól (Bizottság kontra Ausztria ítélet, EU:C:2012:631, 42. pont).
53 E tekintetben a Bíróság már megállapította, hogy önmagában az a kockázat, hogy az adatkezelést ellenőrző hatóságok döntéseire az őket felügyelő állami hatóságok politikai befolyást gyakorolhatnak, már elegendő akadályát jelenti annak, hogy az előbbiek független módon láthassák el feladatkörüket. Egyrészt ugyanis itt szó lehet e hatóságoknak az őket felügyelő hatóságok döntéshozatali gyakorlatához való „idő előtti igazodásáról”. Másrészt a magánélethez való jog őrzőjének szerepére tekintettel, amelyet az adatkezelést felügyelő hatóságok betöltenek, a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdése megköveteli, hogy határozataik, így ők maguk is, mentesek legyenek a részrehajlás legcsekélyebb gyanújától is (Bizottság kontra Németország ítélet, EU:C:2010:125, 36. pont és Bizottság kontra Ausztria ítélet, EU:C:2012:631, 52. pont).
54 Márpedig, ha valamennyi tagállam számára megengedett lenne, hogy a felügyelő hatóság megbízatását az eredetileg megállapított megbízatási idő lejárta előtt megszüntessék, anélkül hogy tiszteletben tartanák az alkalmazandó jogszabályok által e célból előzetesen meghatározott szabályokat és garanciákat, akkor e hatóság fölött megbízatásának gyakorlása közben végig ott lebegne a megbízatás idő előtti megszüntetésének fenyegetése, ami e hatóság politikai hatalomnak való megfeleléséhez vezetne, és ez ellentétes az említett függetlenségi követelménnyel (lásd ebben az értelemben a Bizottság kontra Ausztria ítélet, EU:C:2012:631, 51. pontját). Mindez akkor is igaz, ha a megbízatás idő előtti megszüntetésére újraszervezés vagy modellváltás eredményeként kerül sor, mivel ezeket úgy kell megszervezni, hogy az alkalmazandó jogszabályok által támasztott függetlenségi követelmények tiszteletben tartása biztosított legyen.
55 Ráadásul ilyen helyzetben nem tekinthető úgy, hogy a felügyelő hatóság a részrehajlás legcsekélyebb gyanújától mentesen működhet. A 95/46 irányelv 28. cikke (1) bekezdésének második albekezdésében szereplő függetlenségi követelményt ennélfogva szükségképpen úgy kell értelmezni, hogy az magában foglalja azt a kötelezettséget is, hogy a felügyelő hatóságok megbízatásának időtartamát annak leteltéig tiszteletben kell tartani, és a megbízatást csak az alkalmazandó jogszabályokban foglalt szabályok és garanciák tiszteletben tartása mellett lehet idő előtt megszüntetni.
56 Ezt az értelmezést tükrözik az európai adatvédelmi biztos megbízatásának megszűnésére vonatkozó szabályok is. A 45/2001 rendelet V. fejezetéből kitűnik, különösen a 42. cikk (4) és (5) bekezdéséből, amelyek szigorúan szabályozzák azokat a körülményeket, amelyek között az európai adatvédelmi biztos megbízatását idő előtt meg lehet szüntetni, hogy az európai adatvédelmi biztos függetlenségének alapvető feltétele a megbízatásának tiszteletben tartása a megbízatás időtartamának leteltéig, kivéve a súlyos és objektíve ellenőrizhető okon alapuló megszüntetést.
57 A jelen ügyben az 1993. évi törvény 15. §‑ának (1) bekezdése, amelyet az 1992. évi törvény 23. §‑ának (2) bekezdése alapján a biztosra alkalmazni kellett, úgy rendelkezett, hogy a biztos megbízatása csupán a megbízatási időtartam leteltével, halállal, lemondással, az összeférhetetlenség kimondásával, felmentéssel és a tisztségtől való megfosztással szűnhet meg. Az utóbbi három esetben a megszűnéshez az országgyűlési képviselők kétharmadának szavazatával meghozott határozat volt szükséges. Egyébként mind a felmentésre, mind a tisztségtől való megfosztásra csak az ugyanezen 15. § (5), illetve (6) bekezdésében részletesen meghatározott, korlátozott körülmények között kerülhetett sor.
58 Márpedig nem vitatott, hogy a biztos megbízatásának megszüntetésére nem e rendelkezések valamelyikének alkalmazásával került sor, és nem vitatott különösen az, hogy a biztos hivatalosan nem mondott le.
59 Ebből következik, hogy Magyarország úgy szüntette meg a biztos megbízatását, hogy nem tartotta tiszteletben a megbízatás védelme érdekében törvényben létrehozott garanciákat, és ezzel megsértette a biztos 95/46 irányelv 28. cikke (1) bekezdésének második albekezdése értelmében vett függetlenségét. Az, hogy erre az idő előtti megszüntetésre intézményi modellváltás eredményeként került sor, nem teheti azt összeegyeztethetővé a felügyelő hatóságok vonatkozásában e rendelkezés által megkövetelt függetlenséggel, amint arra a jelen ítélet 54. pontja rámutat.
60 Tény, hogy a tagállamok szabadon határozhatják meg és módosíthatják azt az intézményi modellt, amelyet a felügyelő hatóságaik tekintetében legalkalmasabbnak vélnek. Ennek során azonban figyelemmel kell lenniük arra, hogy nem sérthetik a felügyelő hatóság függetlenségét, amely a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdéséből következik, és amely magában foglalja az e hatóság megbízatása időtartamának tiszteletben tartására vonatkozó kötelezettséget, összhangban a jelen ítélet 54. pontjában kifejtettekkel.
61 Ezenkívül, miként azt Magyarország állítja, bár a biztos és a Hatóság mind szervezetét, mind felépítését tekintve alapvetően eltér egymástól, e két szerv feladatköre lényegében azonos, azaz a 95/46 irányelv alapján a nemzeti felügyelő hatóságokra ruházott feladatokat látják el, amint az kitűnik feladatkörükből, illetve abból, hogy a 2011. évi törvény 75. §‑ának (1) és (2) bekezdése biztosítja köztük a folytonosságot az ügyek intézése tekintetében. Önmagában az intézményi modell megváltoztatása tehát nem igazolhatja objektív módon a biztosi tisztség ellátásával megbízott személy megbízatásának olyan átmeneti intézkedések nélkül történő megszüntetését, amelyek alapján biztosítható a megbízatása időtartamának tiszteletben tartása.
62 A fenti megfontolásokra tekintettel meg kell állapítani, hogy Magyarország, mivel idő előtt megszüntette a személyes adatok védelmét felügyelő hatóság megbízatását, nem teljesítette a 95/46 irányelvből eredő kötelezettségeit.
A jelen ítélet időbeli hatályának korlátozásáról
63 Magyarország azt javasolja, hogy a Bíróság korlátozza ítéletének időbeli hatályát, és rendelkezzen úgy, hogy a megállapított kötelezettségszegés nem érinti a Hatóság elnökének megbízatását. Kérelme alátámasztása érdekében e tagállam a 2011. évi törvénynek a 95/46 irányelvvel való összeegyeztethetőségére, valamint a jelen ügy által felvetett kérdés újdonságára hivatkozik. A Bizottság ezzel szemben e kérelem elutasítását kéri.
64 E tekintetben meg kell állapítani – még ha feltételezzük is, hogy az EUMSZ 258. cikk alapján hozott ítéletek ugyanolyan következménnyel járhatnak, mint az EUMSZ 267. cikk alapján hozott ítéletek, és ezért a jogbiztonsággal kapcsolatos megfontolások kivételesen szükségessé tehetik ezen ítéletek időbeli hatályának korlátozását, amennyiben teljesülnek a Bíróságnak az EUMSZ 267. cikkre vonatkozó ítélkezési gyakorlatában felállított feltételek (lásd többek között a Bizottság kontra Görögország ítélet, C‑178/05, EU:C:2007:317, 67. pontját és az ott hivatkozott ítélkezési gyakorlatot, valamint a Bizottság kontra Írország ítélet C‑82/10, EU:C:2011:621, 63. pontját és az ott hivatkozott ítélkezési gyakorlatot) –, hogy a jelen ügyben Magyarország nem bizonyította, hogy e feltételek teljesültek. Különösen a jelen ítélet 62. pontjában megállapított kötelezettségszegés tekintetében a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdésében szereplő „teljes függetlenségben” kifejezés önmagában is egyértelmű, mindenesetre a Bíróság már értelmezte ezt a kifejezést az említett kötelezettségszegést több mint egy évvel megelőzően hozott Bizottság kontra Németország ítéletben, EU:C:2010:125. Ezen ítélet meghozatala következtében ugyanis az uniós jogot nem lehetett ésszerűen úgy értelmezni, hogy az lehetővé teszi, hogy Magyarország idő előtt megszüntesse a biztos megbízatását.
65 Következésképpen Magyarország kérelmét, amely a jelen ítélet időbeli hatályának korlátozására irányul, el kell utasítani.
A költségekről
66 Az eljárási szabályzat 138. cikkének (1) bekezdése alapján a Bíróság a pervesztes felet kötelezi a költségek viselésére, ha a pernyertes fél ezt kérte. Magyarországot, mivel pervesztes lett, a Bizottság kérelmének megfelelően kötelezni kell a költségek viselésére.
67 Ugyanezen szabályzat 140. cikkének (3) bekezdése alapján a Bíróság elrendelheti, hogy az említett 140. cikk (1) és (2) bekezdésében nem említett beavatkozó felek maguk viseljék saját költségeiket. A Bíróság ezért úgy határoz, hogy az eljárásba beavatkozó európai adatvédelmi biztos maga viseli saját költségeit.
A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott:
1) Magyarország – mivel idő előtt megszüntette a személyes adatok védelmét felügyelő hatóság megbízatását – nem teljesítette a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelvből eredő kötelezettségeit.
2) A Bíróság Magyarországot kötelezi a költségek viselésére.
3) Az európai adatvédelmi biztos maga viseli saját költségeit.
Aláírások