A BÍRÓSÁG ÍTÉLETE (hatodik tanács)
2024. március 7.(*)
„Előzetes döntéshozatal – A személyes adatok védelme – (EU) 2016/679 rendelet – 2., 4., 6., 10. és 86. cikk – Valamely bíróság birtokában lévő, egy természetes személy büntetőjogi felelősségét megállapító ítéletekre vonatkozó információk – Ilyen adatoknak egy gazdasági társaság által szervezett verseny miatt e társasággal való szóbeli közlése – A »személyes adatok kezelésének« fogalma – Az említett adatokhoz való hozzáférést szabályozó nemzeti szabályozás – A hivatalos dokumentumokhoz való nyilvános hozzáférés jogának és a személyes adatok védelmének összeegyeztetése”
A C‑740/22. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet az Itä‑Suomen hovioikeus (kelet‑finnországi fellebbviteli bíróság, Finnország) a Bírósághoz 2022. december 2‑án érkezett, 2022. november 30‑i határozatával terjesztett elő
az Endemol Shine Finland Oy
által indított eljárásban,
A BÍRÓSÁG (hatodik tanács),
tagjai: T. von Danwitz tanácselnök (előadó), P. G. Xuereb és I. Ziemele bírák,
főtanácsnok: T. Ćapeta,
hivatalvezető: A. Calot Escobar,
tekintettel az írásbeli szakaszra,
figyelembe véve a következők által előterjesztett észrevételeket:
– a finn kormány képviseletében A. Laine és M. Pere, meghatalmazotti minőségben,
– a portugál kormány képviseletében P. Barros da Costa, J. Ramos és C. Vieira Guerra, meghatalmazotti minőségben,
– az Európai Bizottság képviseletében A. Bouchagiar, H. Kranenborg és I. Söderlund, meghatalmazotti minőségben,
tekintettel a főtanácsnok meghallgatását követően hozott határozatra, miszerint az ügy elbírálására a főtanácsnok indítványa nélkül kerül sor,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o., helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 2. cikke (1) bekezdésének, 4. cikke 2. pontjának és 86. cikkének értelmezésére irányul.
2 E kérelem előterjesztésére egy harmadik személlyel szemben hozott büntetőítéletekkel kapcsolatos adatok az Endemol Shine Finland Oy‑val való közlésének a nemzeti bíróság általi megtagadására vonatkozó eljárás keretében került sor.
Jogi háttér
Az uniós jog
3 A GDPR (4), (10), (11), (15), (19) és (154) preambulumbekezdése a következőképpen szól:
„(4) A személyes adatok kezelését az emberiség szolgálatába kell állítani. A személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban, a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyensúlyban más alapvető jogokkal. Ez a rendelet minden alapvető jogot tiszteletben tart, és szem előtt tartja a[z Európai Unió Alapjogi Chartájában (a továbbiakban: Charta] elismert és a Szerződésekben rögzített szabadságokat és elveket, különösen ami a magán‑ és a családi élet […] tiszteletben tartásához és a személyes adatok védelméhez, a gondolat‑, a lelkiismeret‑ és a vallásszabadsághoz, a véleménynyilvánítás szabadságához és a tájékozódás szabadságához, a vállalkozás szabadságához, a hatékony jogorvoslathoz és a tisztességes eljáráshoz […] való jogot illeti.
[…]
(10) A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. A tagállamok számára lehetővé kell tenni, hogy az e rendeletben foglalt szabályok alkalmazását pontosító nemzeti rendelkezéseket tartsanak fenn vagy vezessenek be, ha a személyes adatok kezelésére jogi kötelezettség teljesítéséhez, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához szükséges. [A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i] 95/46/EK [európai parlamenti és tanácsi] irányelvet [(HL 1995. L 281., 1. o.)] végrehajtó általános és horizontális adatvédelmi jogszabályokhoz kapcsolódóan a tagállamok számos ágazatspecifikus jogszabályt hoztak azokon a területeken, ahol konkrétabb rendelkezésekre van szükség. Ez a rendelet a tagállamok számára mozgásteret biztosít ahhoz, hogy pontosítsák a benne meghatározott szabályokat, ideértve a személyes adatok különleges kategóriáira (»különleges adatok«) vonatkozókat is. Ennyiben tehát ez a rendelet nem zárja ki olyan tagállami jog elfogadását, amely meghatározza a különleges adatkezelési helyzetek körülményeit, ezen belül pontosabban megállapítja, hogy milyen feltételek mellett jogszerű a személyes adatok kezelése.
(11) Ahhoz, hogy a személyes adatok az Unió egész területén hatékony védelemben részesüljenek, az érintettek jogait, valamint a személyes adatokat kezelő, illetve az adatkezelést meghatározó személyek kötelezettségeit megerősíteni és részletesen meghatározni szükséges, ugyanakkor pedig az egyes tagállamokban a személyes adatok védelmére vonatkozó szabályok betartásának ellenőrzéséhez és biztosításához egyenértékű hatáskört is biztosítani szükséges, és a jogsértőkre azonos szankciókat kell alkalmazni.
[…]
(15) A komoly szabály‑kerülési kockázat veszélyének elkerülése érdekében a természetes személyek védelmének technológiailag semlegesnek kell lennie és nem függhet a felhasznált technikai megoldásoktól. A természetes személyek védelme a személyes adatok automatizált eszközök útján végzett kezelése mellett a manuális kezelésre is vonatkozik, ha a személyes adatokat nyilvántartási rendszerben tárolják vagy kívánják tárolni. Olyan iratok, illetve iratok csoportjai, és azok borítóoldalai, amelyek nem rendszerezettek meghatározott szempontok szerint, nem tartoznak e rendelet hatálya alá.
[…]
(19) A személyes adatoknak az illetékes hatóságok által bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából, ezeken belül ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése céljából végzett kezelése vonatkozásában a természetes személyek védelme, valamint az ilyen adatok szabad áramlása külön uniós jogi aktus tárgyát képezi. E rendelet ezért az e célok érdekében végzett adatkezelési tevékenységekre nem alkalmazandó. Ugyanakkor a közhatalmi szervek e rendelet alapján végzett személyes adatkezelését, ha az adatokat a fenti célok érdekében használják fel, a kifejezetten erre vonatkozó külön uniós jogi aktusnak, [a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/680 európai parlamenti és tanácsi irányelvnek (HL 2016. L 119., 89. o.; helyesbítések: HL 2018. L 127., 7. o.; HL 2021. L 74., 39. o.)] kell szabályoznia. A tagállamok az (EU) 2016/680 irányelv szerinti illetékes hatóságokat megbízhatják olyan egyéb feladatokkal is, amelyeknek ellátása nem feltétlenül a bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása, illetve nem a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése céljából történik, ebben az esetben a személyes adatoknak az említett egyéb célokból történő, egyébiránt az uniós jog hatálya alá tartozó kezelése e rendelet hatálya alá tartozik.
Az említett illetékes hatóságok által az e rendelet hatálya alá tartozó célokból végzett személyesadat‑kezelésre vonatkozóan a tagállamok számára lehetővé kell tenni, hogy konkrétabb rendelkezéseket tartsanak fenn vagy vezessenek be annak érdekében, hogy kiigazítsák az e rendeletben foglalt szabályok alkalmazását. Ezekben a rendelkezésekben a tagállamok – alkotmányos, szervezeti és közigazgatási szerkezetüket figyelembe véve – pontosabban meghatározhatják az említett illetékes hatóságok által az említett egyéb célokból végzett személyesadat‑kezelésre vonatkozó egyedi követelményeket. Azokban az esetekben, amikor a személyes adatok magánfél szervezetek általi kezelése e rendelet hatálya alá esik, e rendelet keretében lehetőséget kell biztosítani a tagállamok számára, hogy – bizonyos különös feltételek mellett – egyes jogokra és kötelezettségekre vonatkozóan jogi korlátozást alkalmazzanak, feltéve hogy e korlátozás egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül bizonyos fontos érdekek védelme – így például a közbiztonság, valamint a bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, ezeken belül ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését – érdekében. Ennek például a pénzmosás elleni küzdelem és a bűnügyi szakértői laboratóriumok vonatkozásában van jelentősége.
[…]
(154) E rendelet lehetővé teszi a hivatalos iratokhoz való nyilvános hozzáférés elvének figyelembevételét e rendelet alkalmazása során. A hivatalos iratokhoz való nyilvános hozzáférés közérdeknek tekinthető. Lehetővé kell tenni, hogy a közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek birtokában lévő dokumentumokban szereplő személyes adatokat az érintett hatóság vagy szerv nyilvánosságra hozza, ha a nyilvánosságra hozatalt az uniós jog vagy annak a tagállamnak a joga, amelynek az adott közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv a hatálya alá tartozik, előírja. Ezeknek a jogoknak össze kell egyeztetniük a hivatalos dokumentumokhoz való nyilvános hozzáférést és a közszféra információinak további felhasználását a személyes adatok védelméhez való joggal, és ennélfogva rendelkezhetnek a személyes adatok védelméhez való, e rendelet szerinti joggal történő szükséges összeegyeztetésről. A közhatalmi szervek és egyéb, közfeladatot ellátó szervek szervekre való hivatkozásba ebben az összefüggésben mindazon hatóságokat vagy egyéb olyan szerveket is bele kell érteni, amelyekre vonatkozik a dokumentumokhoz való nyilvános hozzáférést szabályozó tagállami jog. A [közszféra információinak további felhasználásáról szóló, 2003. november 17‑i] 2003/98/EK európai parlamenti és tanácsi irányelv [(HL 2003. L 345., 90. o.)] nem módosítja és nem érinti a természetes személyeknek a személyes adatok kezelése tekintetében történő, az uniós és a tagállami jogba foglalt rendelkezések védelmi szintjét, és különösen nem módosítja az ebben e rendeletben foglalt kötelezettségeket és jogokat. Különösen, az említett irányelvet nem kell alkalmazni olyan dokumentumokra, amelyekhez a hozzáférést a hozzáférési szabályok a személyes adatok védelmének indokával korlátozzák vagy kizárják, valamint az említett szabályok értelmében hozzáférhető dokumentumok azon részeire, amelyek olyan személyes adatokat tartalmaznak, amelyek további felhasználása jogszabályi definíció szerint összeegyeztethetetlen a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére vonatkozó jogszabályokkal.”
4 A GDPR „Tárgyi hatály” című 2. cikke kimondja:
„(1) E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
(2) E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:
a) az uniós jog hatályán kívül eső tevékenységek során végzik;
b) a tagállamok az [EU]‑Szerződés V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzik;
c) természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik;
d) az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.
(3) A személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelésére [a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló, 2000. december 18‑i 45/2001/EK európai parlamenti és tanácsi rendeletet (HL 2001. L 8., 1. o.; magyar nyelvű különkiadás 13. fejezet, 26. kötet, 102. o.)] kell alkalmazni. A 45/2001/EK rendeletet, valamint a személyes adatok ilyen kezelésére vonatkozó egyéb uniós jogi aktusokat a 98. cikkel összhangban hozzá kell igazítani az e rendeletben foglalt elvekhez és szabályokhoz.
(4) E rendelet nem érinti [a belső piacon az információs társadalommal összefüggő szolgáltatások, különösen az elektronikus kereskedelem egyes jogi vonatkozásairól szóló, 2000. június 8‑i] 2000/31/EK [európai parlamenti és tanácsi] irányelv [(Elektronikus kereskedelemről szóló irányelv) (HL 2000. L 178., 1. o.)] alkalmazását, különösen az irányelv 12–15. cikkében foglalt, a közvetítő szolgáltatók felelősségére vonatkozó szabályokat.”
5 A GDPR „Fogalommeghatározások” című 4. cikkének 1., 2., 6. és 7. pontjában előírja:
„E rendelet alkalmazásában:
1. »személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
2. »adatkezelés« a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
[…]
6. »nyilvántartási rendszer«: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető;
7. »adatkezelő« az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”.
6 E rendelet „A személyes adatok kezelésére vonatkozó elvek” című 5. cikkének szövege a következő:
„(1) A személyes adatok:
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (»jogszerűség, tisztességes eljárás és átláthatóság«);
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; […] (»célhoz kötöttség«);
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk (»adattakarékosság«);
d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék (»pontosság«);
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; (»korlátozott tárolhatóság«);
f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (»integritás és bizalmas jelleg«).
[…]”
7 Az említett rendeletnek „Az adatkezelés jogszerűsége” című 6. cikke az (1)–(3) bekezdésében a következőket írja elő:
„(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.
(2) Az e rendeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében, a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzeteket is.
(3) Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:
a) az uniós jog, vagy
b) azon tagállami jog, amelynek hatálya alá az adatkezelő tartozik.
Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.”
8 Az általános adatvédelmi rendeletnek „A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelése” című 10. cikke kimondja:
„A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó személyes adatoknak a 6. cikk (1) bekezdése alapján történő kezelésére kizárólag abban az esetben kerülhet sor, ha az közhatalmi szerv felügyelete alatt történik, vagy ha az adatkezelést az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós vagy tagállami jog lehetővé teszi. A büntetőjogi felelősség megállapítására vonatkozó határozatok teljes körű nyilvántartása csak közhatalmi szerv által végzett adatkezelés keretében történhet.”
9 E rendelet „Korlátozások” című 23. cikkének szövege a következő:
„(1) Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:
[…]
f) a bírói függetlenség és a bírósági eljárások védelme;
[…]”
10 Az általános adatvédelmi rendeletnek „A személyes adatok kezelése és a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog” című 85. cikke az (1) bekezdésében kimondja:
A tagállamok jogszabályban összeegyeztetik a személyes adatok e rendelet szerinti védelméhez való jogot a véleménynyilvánítás szabadságához és a tájékozódáshoz való joggal, ideértve a személyes adatok újságírási célból, illetve tudományos, művészi vagy irodalmi kifejezés céljából végzett kezelését is.
11 E rendeletnek „A személyes adatok kezelése és a hivatalos dokumentumokhoz való nyilvános hozzáférés” című 86. cikke előírja:
„A közérdekű feladat teljesítése céljából közhatalmi szervek, vagy egyéb, közfeladatot ellátó szervek, illetve magánfél szervezetek birtokában lévő hivatalos dokumentumokban szereplő személyes adatokat az adott szerv vagy szervezet az uniós joggal vagy a szervre vagy szervezetre alkalmazandó tagállami joggal összhangban nyilvánosságra hozhatja annak érdekében, hogy a hivatalos dokumentumokhoz való nyilvános hozzáférést összeegyeztesse a személyes adatok e rendelet szerinti védelméhez való joggal.”
A finn jog
A személyes adatok védelméről szóló törvény (1050/2018)
12 A tietosuojalaki (1050/2018) [a személyes adatok védelméről szóló törvény (1050/2018)] 1. cikke előírja:
„Ez a törvény pontosítja és kiegészíti a [GDPR‑t], valamint annak nemzeti szintű végrehajtását.”
13 E törvény 28. §‑ának szövege a következő:
„A hatóságok tevékenységének nyilvánosságára vonatkozó rendelkezéseket kell alkalmazni a hatósági személynyilvántartásban szereplő adatokhoz való hozzáféréshez való jogra és a hatósági személynyilvántartásban szereplő személyes adatok egyéb közlésére.”
A hatóságok tevékenységének nyilvánosságáról szóló törvény (621/1999)
14 A laki viranomaisten toiminnan julkisuudesta (621/1999) (a hatóságok tevékenységének nyilvánosságáról szóló törvény) 13. cikke a következőket írja elő:
„Valamely hivatalos irat tartalmára vonatkozó információk közlése iránti kérelemnek kellően pontosnak kell lennie ahhoz, hogy a hatóság meg tudja állapítani, hogy a kérelem mely dokumentumra vonatkozik.” A hatóságnak az információt kérő személyt az érkeztetési könyv és más nyilvántartások felhasználásával segítenie kell a megismerni kívánt dokumentum azonosításában. Az információt kérő személynek nem kell felfednie személyazonosságát, illetve indokolnia kérelmét, kivéve, ha ez szükséges a hatóság részére biztosított mérlegelési jogkör gyakorlásához vagy azon kérdés tisztázásához, hogy a kérelmező jogosult‑e a dokumentum tartalmáról tájékoztatást kapni.
A kérelmezőnek bizalmas iratokhoz, a hatósági személynyilvántartáshoz vagy más olyan dokumentumhoz való hozzáférés kérése esetén, amelyhez csak bizonyos feltételek mellett lehet hozzáférni, – eltérő rendelkezés hiányában – meg kell jelölnie az információ felhasználásának célját és az ezen információk közlése feltételeinek tisztázásához szükséges egyéb körülményeket, valamint szükség esetén tájékoztatást kell adnia az információ védelme biztosításának tervezett módjáról.”
15 E törvény 16. §‑a a következőképpen rendelkezik:
„A hatóság birtokában lévő dokumentumhoz való hozzáférésre sor kerülhet szóbeli tájékoztatás formájában vagy oly módon, hogy a dokumentumot a hatóságnál betekintés, másolatkészítés vagy meghallgatás céljából átadják, illetve úgy, hogy a dokumentumot másolatként vagy kinyomtatott formában rendelkezésre bocsátják. A dokumentum nyilvános tartalmához a kérelemben megfogalmazott módon kell tájékoztatást nyújtani, ha ez a dokumentumok jelentős száma vagy a másolás nehézsége miatt, illetve más hasonló okból nem jár az igazgatási tevékenység észszerűtlen akadályozásával.
[…]
Ha törvény kifejezetten másként nem rendelkezik, a hatóságok által vezetett személynyilvántartásból másolatként vagy kinyomtatott, illetve elektronikus formában akkor közölhetők személyes adatok, ha a címzett a személyes adatok védelmére vonatkozó rendelkezések alapján jogosult ilyen személyes információkat tárolni és felhasználni. A személyes adatok azonban közvetlen marketing, vélemény‑ vagy piackutatás céljából csak abban az esetben közölhetők, ha ezt kifejezetten előírják, vagy ha az érintett ehhez hozzájárult.
[…]”
A rendes bíróságok előtti eljárás nyilvánosságáról szóló törvény (370/2007)
16 A laki oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007) [a rendes bíróságok előtti eljárás nyilvánosságáról szóló törvény (370/2007)] 1. §‑a értelmében:
„Amennyiben e törvény vagy más törvény másként nem rendelkezik, a bírósági eljárás és az eljárási iratok nyilvánosak.”
A személyes adatok büntetőügyekben és a nemzetbiztonság fenntartásával összefüggésben történő kezeléséről szóló törvény (1054/2018)
17 A laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018) [a személyes adatok büntetőügyekben és a nemzetbiztonság fenntartásával összefüggésben történő kezeléséről szóló törvény (1054/2018)] 1. §‑a kimondja, hogy e törvényt kell alkalmazni a személyes adatok illetékes hatóságok általi kezelése során, ha többek között büntetőeljárás bíróság előtti lefolytatásáról van szó. A negyedik bekezdés értelmében az említett törvényt csak a személyes adatok első bekezdés szerinti olyan kezelésére kell alkalmazni, amely részben vagy egészben automatizált, vagy amelynek keretében a kezelt adatok nyilvántartási rendszert vagy annak egy részét alkotják, vagy azokat arra szánják.
18 E törvény 2. §‑ának második bekezdése értelmében:
„A hatóságok tevékenységének nyilvánosságára vonatkozó rendelkezéseket kell alkalmazni a hatósági személynyilvántartásban szereplő adatokhoz való hozzáféréshez való jogra és a hatósági személynyilvántartásban szereplő személyes adatok egyéb közlésére.”
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
19 Az alapeljárás felperese, az Endemol Shine Finland azt kérte az Etelä‑Savon käräjäoikeustól (dél‑savói körzeti bíróság, Finnország) hogy szóban közöljön vele az általa szervezett versenyen részt vevő természetes személlyel szembeni, büntetőjogi felelősséget megállapító esetleges ítéletekre vagy már letöltött büntetésekre vonatkozó információkat e személy bűnügyi előéletének megállapítása érdekében.
20 Az Etelä‑Savon käräjäoikeus (dél‑savói körzeti bíróság) elutasította az alapeljárás felperesének kérelmét, megállapítva, hogy e kérelem a rendes bíróságok előtti eljárás nyilvánosságáról szóló törvény értelmében vett nyilvános határozatokra vagy információkra vonatkozik. E bíróság szerint az alapeljárás felperese által hivatkozott indok nem minősül a személyes adatok védelméről szóló törvény 7. §‑a szerinti, a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatkezeléshez kapcsolódó indoknak. Az említett bíróság információs rendszereiben való keresés szintén személyes adatok kezelésének minősül, ezért a kért információkat szóban sem lehetett közölni.
21 Az alapeljárás felperese fellebbezést nyújtott be ezen ítélettel szemben a kérdést előterjesztő bírósághoz, az Itä‑Suomen hovioikeushoz (kelet‑finnországi fellebbviteli bíróság, Finnország) azt állítva, hogy az által kért információk szóbeli közlése nem minősül a GDPR 4. cikkének 2. pontja értelmében vett személyesadat‑kezelésnek.
22 A kérdést előterjesztő bíróság arra keres választ, hogy úgy kell‑e értelmezni a GDPR 2. cikkének (1) bekezdését és 4. cikkének 2. pontját, hogy a valamely természetes személlyel szembeni, büntetőjogi felelősséget megállapító esetleges ítéletekre vagy már letöltött büntetésekre vonatkozó információk szóbeli közlése az e rendelet értelmében vett személyesadat‑kezelésnek minősül. E tekintetben e bíróság megjegyzi, hogy a személyes adatok finn hatóságok általi kezelését a személyes adatok védelméről szóló törvény szabályozza. Mindazonáltal az ilyen adatok kezeléséhez általában kapcsolódó korlátozások nem alkalmazandók, nemcsak az e hatóságok birtokában lévő adatok nyilvános jellege miatt, hanem e törvény 28. §‑a és a személyes adatok büntetőügyekben és a nemzetbiztonság fenntartásával összefüggésben történő kezeléséről szóló törvény 2. §‑ának második bekezdése miatt is.
23 A személyes adatok védelmének az információkhoz való nyilvános hozzáférés jogával való összeegyeztetése érdekében a hatóságok tevékenységének nyilvánosságáról szóló törvény (621/1999) 16. §‑a korlátozza a valamely hatóság által vezetett személynyilvántartásból másolatként vagy kinyomtatott, illetve elektronikus formában származó személyes adatok közlését. Mivel azonban e § nem alkalmazandó a hatóságok birtokában lévő személynyilvántartásban szereplő személyes adatok szóbeli közlésére, fel kell tenni azt a kérdést, hogy hogyan biztosítható ezen összeegyeztetés, és hogyan vehetők figyelembe a személyes adatok védelmével kapcsolatos fontos szempontok, ha a hatóságok személynyilvántartásaiban szereplő ilyen adatokat szóban közlik.
24 E körülmények között az Itä‑Suomen hallinto‑oikeus (kelet‑finnországi közigazgatási bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
„1) A [GDPR] 2. cikkének (1) bekezdése és 4. cikkének 2. pontja értelmében vett személyesadat‑kezelésnek minősül‑e a személyes adatok szóbeli közlése?
2) A hivatalos dokumentumokhoz való nyilvános hozzáférés joga összeegyeztethető‑e a személyes adatok védelméhez való joggal a [GDPR] 86. cikkében említett módon azáltal, hogy a valamely természetes személyre vonatkozó, büntetőjogi felelősséget megállapító ítéletekre vagy az általa elkövetett bűncselekményekre vonatkozó információk korlátlanul hozzáférhetők a bírósági személynyilvántartásban, ha a kérelmező ezen információk szóbeli közlésére irányuló kérelmet nyújt be?
3) Jelentőséggel bír‑e a második kérdésre adandó válasz szempontjából, hogy a kérelmező társaságnak vagy magánszemélynek minősül?”
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az első kérdésről
25 Első kérdésével a kérdést előterjesztő bíróság lényegében arra keres választ, hogy úgy kell‑e értelmezni a GDPR 2. cikkének (1) bekezdését és 4. cikkének 2. pontját, hogy a valamely természetes személlyel szembeni esetleges, büntetőjogi felelősséget megállapító, végrehajtás alatt álló vagy már végrehajtott ítéletekre vonatkozó információk szóbeli közlése az e rendelet 4. cikkének 2. pontja értelmében vett személyesadat‑kezelésnek minősül, és igenlő válasz esetén pedig, hogy ezen adatkezelés az említett rendeletnek a 2. cikke (1) bekezdésében meghatározott tárgyi hatálya alá tartozik‑e.
26 Mindenekelőtt emlékeztetni kell arra, hogy valamely uniós jogi rendelkezés értelmezéséhez nemcsak annak szövegét, hanem azt a kontextust is figyelembe kell venni, amelybe illeszkedik, valamint azon jogi aktus céljait is, amelynek az a részét képezi [lásd ebben az értelemben: 2023. január 12‑i Österreichische Post (A személyes adatok címzettjeire vonatkozó információk) ítélet, C‑154/21, EU:C:2023:3, 29. pont].
27 Másrészt hangsúlyozni kell, hogy az alapeljárásban nem vitatott, hogy azok az információk, amelyek közlését az alapeljárás felperese kéri, a GDPR 4. cikkének 1. pontja értelmében vett személyes adatoknak minősülnek.
28 E rendelet 4. cikkének 2. pontja úgy határozza meg az „adatkezelés” fogalmát, mint „a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége”.
29 Többek között a „bármely művelet” kifejezésből kitűnik, hogy az uniós jogalkotó az „adatkezelés” fogalmát tágan kívánta értelmezni, amit az említett rendelkezésben felsorolt műveletekkel kapcsolatban használt „így” kifejezés nem kimerítő jellege is megerősít (lásd ebben az értelemben: 2022. február 24‑i Valsts ieņēmumu dienests [Személyes adatok adóügyi célból történő kezelése] ítélet, C‑175/20, EU:C:2022:124, 35. pont; 2023. június 22‑i Pankki S ítélet, C‑579/21, EU:C:2023:501, 46. pont).
30 E felsorolás magában foglalja többek között a továbbítás, terjesztés vagy „egyéb módon történő hozzáférhetővé tétel útján” való közlést, amely műveletek lehetnek automatizáltak vagy nem automatizáltak. E tekintetben a GDPR 4. cikkének 2. pontja nem ír elő semmilyen feltételt a „nem automatizált” adatkezelés formáját illetően. Az „adatkezelés” fogalma tehát magában foglalja a szóbeli közlést.
31 Az „adatkezelés” fogalmának ezen értelmezését megerősíti a GDPR célja, amely – amint az annak 1. cikkéből, valamint (1) és (10) preambulumbekezdéséből kitűnik – többek között arra irányul, hogy biztosítsa a természetes személyek alapvető jogainak és szabadságainak, különösen a magánélet tiszteletben tartásához való jognak a magas szintű védelmét a személyes adatok kezelése tekintetében, amelyet a Charta 8. cikkének (1) bekezdése és az EUMSZ 16. cikk (1) bekezdése rögzít (lásd ebben az értelemben: 2023. május 4‑i Bundesrepublik Deutschland [Bírói elektronikus fiók] ítélet, C‑60/22, EU:C:2023:373, 64. pont). Az a lehetőség ugyanis, hogy megkerüljék e rendelet alkalmazását a személyes adatok szóbeli közlésével, ahelyett hogy azt írásban tennék, nyilvánvalóan összeegyeztethetetlen ezzel a céllal.
32 E körülmények között az „adatkezelés” GDPR 4. cikkének 2. pontjában szereplő fogalma szükségképpen magában foglalja a személyes adatok szóbeli közlését.
33 Ugyanakkor felmerül a kérdés, hogy az ilyen adatkezelés a GDPR tárgyi hatálya alá tartozik‑e. E rendelet 2. cikke, amely meghatározza annak tárgyi hatályát, az (1) bekezdésében kimondja, hogy e rendeletet kell alkalmazni „a személyes adatok részben vagy egészben automatizált módon történő kezelésére”, valamint „azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni”.
34 E tekintetben ez utóbbi rendelkezés szövegéből, valamint a GDPR (15) preambulumbekezdéséből kitűnik, hogy e rendelet egyaránt alkalmazandó a személyes adatok automatizált kezelésére és az ilyen adatok manuális kezelésére annak érdekében, hogy az e rendelet által azon személyek számára biztosított védelmet, akiknek az adatait kezelik, ne tegyék függővé a felhasznált technikai megoldásoktól, és hogy elkerülhetők legyenek az e védelem megkerülésével kapcsolatos súlyos kockázatok. Ebből ugyanakkor az is kitűnik, hogy az említett rendeletet csak akkor kell alkalmazni a személyes adatok manuális kezelésére, ha „a kezelt adatok nyilvántartási rendszer részét képezik, vagy ha azokat nyilvántartási rendszer részévé kívánják tenni” (lásd analógia útján: 2018. július 10‑i Jehovan todistajat ítélet, C‑25/17, EU:C:2018:551, 53. pont).
35 Mivel a szóbeli közlés mint olyan nem automatizált adatkezelésnek minősül, ahhoz, hogy ezen adatkezelés a GDPR tárgyi hatálya alá tartozzon, az szükséges, hogy olyan adatokra vonatkozzon, amelyek valamely „nyilvántartási rendszer” „részét képezik” vagy amelyeket egy „nyilvántartási rendszer” „részévé kívánnak tenni”.
36 A „nyilvántartási rendszer” fogalmát illetően a GDPR 4. cikkének 6. pontja kimondja, hogy az kiterjed „a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állomány[ára], amely meghatározott ismérvek alapján hozzáférhető”.
37 E tekintetben a Bíróság már kimondta, hogy a jelen ítélet 34. pontjában felidézett célkitűzésnek megfelelően ez a rendelkezés tágan határozza meg a „nyilvántartási rendszer” fogalmát, különösen azzal, hogy a személyes adatok „bármely” tagolt állományát említi. Továbbá az a követelmény, amely szerint a személyes adatok összességének „meghatározott szempontok szerint rendszerezettnek” kell lennie, kizárólag annak lehetővé tételére irányul, hogy a valamely személlyel kapcsolatos adatokat könnyen vissza lehessen keresni. E követelményen kívül a GDPR 4. cikkének 6, pontja nem írja elő sem azokat a részletes szabályokat, amelyek szerint a nyilvántartási rendszert tagolni kell, sem azt, hogy annak milyen formát kell öltenie. Közelebbről, sem e rendelkezésből, sem e rendelet más rendelkezéséből nem tűnik ki, hogy a szóban forgó személyes adatoknak konkrét fájlokban vagy listákban, illetve bármely más lekérdezési rendszerben kell szerepelniük ahhoz, hogy meg lehessen állapítani az említett irányelv értelmében vett nyilvántartó rendszer fennállását (lásd analógia útján: 2018. július 10‑i Jehovan todistajat ítélet, C‑25/17, EU:C:2018:551, 56–58. pont).
38 A jelen ügyben az előzetes döntéshozatal iránti kérelemből kitűnik, hogy az alapeljárás felperese által kért adatokat „a bírósági személynyilvántartás” tartalmazza. Úgy tűnik tehát, hogy ezeket az adatokat a GDPR 4. cikkének 6. pontja értelmében vett nyilvántartási rendszer tartalmazza, aminek megvizsgálása azonban a kérdést előterjesztő bíróság feladata, anélkül hogy jelentősége lenne annak, hogy az említett adatokat elektronikus adatbázisokban vagy fizikai aktákban, illetve nyilvántartásokban tárolják‑e.
39 E körülmények között az első kérdésre azt a választ kell adni, hogy a GDPR 2. cikkének (1) bekezdését és 4. cikkének 2. pontját úgy kell értelmezni, hogy a valamely természetes személlyel szembeni esetleges, büntetőjogi felelősséget megállapító, végrehajtás alatt álló vagy már végrehajtott ítéletekre vonatkozó információk szóbeli közlése az e rendelet 4. cikkének 2. pontja értelmében vett személyesadat‑kezelésnek minősül, amely az említett rendelet tárgyi hatálya alá tartozik, amennyiben ezen információkat valamely nyilvántartási rendszerben tárolják vagy kívánják tárolni.
A második és a harmadik kérdésről
40 Együttesen vizsgálandó második és harmadik kérdésével a kérdést előterjesztő bíróság lényegében arra keres választ, hogy a GDPR rendelkezéseit, és különösen annak 86. cikkét úgy kell‑e értelmezni, hogy azokkal ellentétes, ha a bírósági személynyilvántartásban szereplő, valamely természetes személlyel szemben hozott, büntetőjogi felelősséget megállapító ítéletekre vonatkozó adatokat a hivatalos dokumentumokhoz való nyilvános hozzáférés biztosítása érdekében bárkivel szóban közölni lehet, anélkül hogy a közlést kérő személynek igazolnia kellene az említett adatok megszerzéséhez fűződő különös érdekét, és hogy az e kérdésre adandó válasz eltérő‑e attól függően, hogy e személy gazdasági társaság vagy magánszemély.
41 E kérdés az alapügy tárgyát képező nemzeti szabályozásból ered, mivel az nem követeli meg a személyes adatok védelmére vonatkozó nemzeti rendelkezések tiszteletben tartását az ilyen adatok szóbeli közlése esetén.
42 E tekintetben emlékeztetni kell arra, hogy az EUMSZ 288. cikk második bekezdése értelmében a rendelet teljes egészében kötelező és közvetlenül alkalmazandó minden tagállamban. Így a jellegükből és az uniós jogforrások rendszerében betöltött szerepükből fakadóan a rendeletek előírásainak főszabály szerint közvetlen hatályuk van a nemzeti jogrendszerekben, anélkül hogy szükség lenne arra, hogy a nemzeti hatóságok végrehajtási intézkedéseket fogadjanak el (2022. június 16‑i Port de Bruxelles és Région de Bruxelles‑Capitale ítélet, C‑229/21, EU:C:2022:471, 47. pont; 2023. március 30‑i Hauptpersonalrat der Lehrerinnen und Lehrer ítélet, C‑34/21, EU:C:2023:270, 77. pont).
43 Így a nemzeti bíróság köteles a GDPR követelményeit teljes egészében alkalmazni, még akkor is, ha az alkalmazandó nemzeti jogban nincs olyan konkrét rendelkezés, amely lehetővé tenné azon személy érdekeinek figyelembevételét, akinek a személyes adatairól szó van (lásd ebben az értelemben: 2023. március 2‑i Norra Stockholm Bygg ítélet, C‑268/21, EU:C:2023:145, 44. és 59. pont).
44 A fenti megfontolásokból következik, hogy a valamely természetes személlyel szemben hozott büntetőítéletekkel kapcsolatos adatok szóbeli közlésére csak akkor kerülhet sor, ha a GDPR‑ban előírt feltételek teljesülnek, amennyiben ezeket az adatokat valamely nyilvántartási rendszerben tárolják vagy kívánják tárolni.
45 Ennélfogva emlékeztetni kell arra, hogy a Bíróság állandó ítélkezési gyakorlatának megfelelően minden személyesadat‑kezelésnek egyrészt összhangban kell lennie a GDPR 5. cikkében előírt, az adatkezelésre vonatkozó elvekkel, másrészt – különös tekintettel az adatkezelés jogszerűségének az e cikk (1) bekezdésének a) pontjában előírt elvére – meg kell felelnie az adatkezelés jogszerűségére vonatkozóan ugyanezen rendelet 6. cikkében felsorolt feltételek egyikének [lásd ebben az értelemben: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet, C‑439/19, EU:C:2021:504, 96. pont; 2023. december 7‑i SCHUFA Holding és társai (Scoring) ítélet, C‑634/21, EU:C:2023:957, 67. pont].
46 Közelebbről, a személyes adatok alapügyben szóban forgó kezelése, vagyis a bűncselekményekre vonatkozó adatok nyilvánossággal való szóbeli közlése a GDPR 6. cikke (1) bekezdése e) pontjának hatálya alá tartozhat, amely rendelkezés értelmében az adatkezelés akkor és annyiban jogszerű, amennyiben az „közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges” [lásd ebben az értelemben: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet, C‑439/19, EU:C:2021:504, 99. pont].
47 Ezenkívül, ami konkrétabban a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó adatokat illeti, a GDPR 10. cikke további korlátozásokat ír elő azok kezelése tekintetében. E rendelkezéssel összhangban ezen adatok kezelésére „kizárólag abban az esetben kerülhet sor, ha az közhatalmi szerv felügyelete alatt történik”, hacsak az adatkezelést „az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújtó uniós vagy tagállami jog lehetővé [nem] teszi [lásd ebben az értelemben: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet, C‑439/19, EU:C:2021:504, 100. pont].
48 A Bíróság már kimondta, hogy sem a GDPR 6. cikke (1) bekezdésének e) pontja, sem pedig e rendelet 10. cikke nem tiltja általános és abszolút jelleggel, hogy valamely hatóság a nemzeti jogszabály alapján jogosult, sőt köteles legyen személyes adatoknak az azokat kérelmező személyekkel való közlésére [lásd ebben az értelemben: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet, C‑439/19, EU:C:2021:504, 103. pont].
49 Így a GDPR‑ral nem ellentétes a személyes adatok nyilvánossággal való közlése, ha ez a közlés e rendelet 6. cikke (1) bekezdésének e) pontja értelmében vett, közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges. Ugyanez igaz még akkor is, ha a szóban forgó adatok az általános adatvédelmi rendelet 10. cikkének hatálya alá tartoznak, feltéve hogy az e közlést engedélyező jogszabály az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújt [lásd ebben az értelemben: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet, C‑439/19, EU:C:2021:504, 104. pont].
50 A jelen ügyben az előzetes döntéshozatalra utaló határozatból, valamint a finn kormány által benyújtott írásbeli észrevételekből kitűnik, hogy a hatóságok tevékenységének nyilvánosságára vonatkozó nemzeti szabályozás és a rendes bíróságok előtti bírósági eljárások nyilvánosságáról szóló nemzeti szabályozás célja a hivatalos dokumentumokhoz való nyilvános hozzáférést lehetővé tevő közérdekű feladat megvalósítása.
51 E körülmények között a kérdést előterjesztő bíróság közelebbről azt kívánja megállapítani, hogy a személyes adatok alapügyben szóban forgó kezelése az arányosság elvére tekintettel jogszerűnek tekinthető‑e, különös tekintettel az egyrészt a hivatalos dokumentumokhoz való nyilvános hozzáférés GDPR 86. cikkében említett joga, másrészt pedig a Charta 7. és 8. cikkében biztosított, a magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető jog közötti mérlegelésre.
52 Ez utóbbi tekintetben emlékeztetni kell arra, hogy a magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő alapvető jogok nem korlátlan jogosultságokat jelentenek, ahogyan azt a GDPR (4) preambulumbekezdése jelzi, hanem azokat a társadalomban betöltött szerepük alapján kell megítélni, és más alapvető jogokkal szemben kell mérlegelni azokat. E jogok tehát korlátozhatók, feltéve, hogy – a Charta 52. cikkének (1) bekezdésével összhangban – e korlátozásokat törvény írja elő, és e korlátozások tiszteletben tartják e jogok és szabadságok lényeges tartalmát, valamint az arányosság elvét. Ezen utóbbi elv értelmében a korlátozásra csak akkor és annyiban kerülhet sor, ha és amennyiben az szükséges, és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja. E korlátozásoknak a feltétlenül szükséges mérték határain belül kell maradniuk, és a beavatkozást tartalmazó szabályozásnak egyértelmű és pontos szabályokat kell tartalmaznia a szóban forgó intézkedés hatályát és alkalmazását illetően. [lásd ebben az értelemben: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet, C‑439/19, EU:C:2021:504, 105. pont].
53 Annak meghatározása érdekében, hogy a büntetőítéletekkel kapcsolatos személyes adatok nyilvánossággal való közlése szükséges‑e a GDPR 6. cikke (1) bekezdésének e) pontja értelmében vett, közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához, valamint hogy az ilyen közlést engedélyező jogszabály e rendelet 10. cikke értelmében az érintett jogai és szabadságai tekintetében megfelelő garanciákat nyújt‑e, különösen azt kell megvizsgálni, hogy a magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető jogokba történő, az említett közlés általi beavatkozás súlyára tekintettel e beavatkozás az elérni kívánt célkitűzések megvalósítása szempontjából indokolt‑e, és különösen arányos‑e [lásd ebben az értelemben: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet, C‑439/19, EU:C:2021:504, 106. pont].
54 Ami az e jogokba való beavatkozás súlyosságát illeti, a Bíróság már kimondta, hogy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre, illetve a kapcsolódó biztonsági intézkedésekre vonatkozó adatok kezelése ezen adatok különösen érzékeny jellege folytán különösen súlyos beavatkozást jelenthet a magánélet tiszteletben tartásához és a személyes adatok védelméhez való, a Charta 7. és 8. cikkében biztosított alapvető jogokba. Mivel ugyanis ezek az adatok a társadalom helytelenítésével járó magatartásokra vonatkoznak, az ilyen adatokhoz való hozzáférés biztosítása megbélyegezheti az érintett személyt, és ezáltal a magánéletébe vagy szakmai életébe való súlyos beavatkozást képezhet [lásd ebben az értelemben: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet, C‑439/19, EU:C:2021:504, 74., 75. és 112. pont].
55 Noha a hivatalos dokumentumokhoz való, a kérdést előterjesztő bíróság által hivatkozott nyilvános hozzáférés, ahogyan az a GDPR (154) preambulumbekezdéséből következik, olyan közérdek, amely jogszerűvé teheti az ilyen dokumentumokban szereplő személyes adatok közlését, e hozzáférést mindazonáltal össze kell egyeztetni a magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető joggal, amint azt egyébiránt a GDPR 86. cikke is kifejezetten megköveteli. Márpedig, tekintettel különösen a büntetőítéletekkel kapcsolatos személyes adatok érzékenységére, valamint az ezen adatok nyilvánosságra hozatalával járó, a magánélet tiszteletben tartásához és az érintettek személyes adatainak védelméhez való alapvető jogokba történő beavatkozás súlyára, meg kell állapítani, hogy ezek a jogok elsőbbséget élveznek a nyilvánosság ahhoz fűződő érdekével szemben, hogy hozzáférjen a hivatalos dokumentumokhoz [lásd ebben az értelemben: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet, C‑439/19, EU:C:2021:504, 120. pont].
56 Ugyanezen okból kifolyólag a GDPR 85. cikkében szereplő, a tájékozódás szabadságához való jog nem értelmezhető akként, hogy az igazolja a büntetőítéletekkel kapcsolatos személyes adatoknak az erre irányuló kérelmet előterjesztő valamennyi személlyel való közlését [lásd ebben az értelemben: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet, C‑439/19, EU:C:2021:504, 121. pont].
57 E tekintetben nincs jelentősége annak, hogy a büntetőítéletekkel kapcsolatos adatokhoz való hozzáférést kérő személy gazdasági társaság vagy magánszemély‑e, vagy hogy az ilyen adatokat írásban vagy szóban közlik‑e.
58 A fenti megfontolásokra tekintettel az előzetes döntéshozatalra előterjesztett második és harmadik kérdésre azt a választ kell adni, hogy a GDPR rendelkezéseit, és különösen annak 6. cikke (1) bekezdésének e) pontját és 10. cikkét úgy kell értelmezni, hogy azokkal ellentétes, ha a bírósági személynyilvántartásban szereplő, valamely természetes személlyel szemben hozott, büntetőjogi felelősséget megállapító ítéletekre vonatkozó adatokat a hivatalos dokumentumokhoz való nyilvános hozzáférés biztosítása érdekében bárkivel szóban közölni lehet, anélkül hogy a közlést kérő személynek igazolnia kellene az említett adatok megszerzéséhez fűződő különös érdekét, és az a körülmény, hogy e személy gazdasági társaság vagy magánszemély, e tekintetben nem bír jelentőséggel.
A költségekről
59 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (hatodik tanács) a következőképpen határozott:
1) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 2. cikkének (1) bekezdését és 4. cikkének 2. pontját
a következőképpen kell értelmezni:
a valamely természetes személlyel szembeni esetleges, büntetőjogi felelősséget megállapító, végrehajtás alatt álló vagy már végrehajtott ítéletekre vonatkozó információk szóbeli közlése az e rendelet 4. cikkének 2. pontja értelmében vett személyesadat‑kezelésnek minősül, amely az említett rendelet tárgyi hatálya alá tartozik, amennyiben ezen információkat valamely nyilvántartási rendszerben tárolják vagy kívánják tárolni.
2) Az (EU) 2016/679 rendelet rendelkezéseit, különösen a 6. cikke (1) bekezdésének e) pontját és 10. cikkét
a következőképpen kell értelmezni:
azokkal ellentétes, ha a bírósági személynyilvántartásban szereplő, valamely természetes személlyel szemben hozott, büntetőjogi felelősséget megállapító ítéletekre vonatkozó adatokat a hivatalos dokumentumokhoz való nyilvános hozzáférés biztosítása érdekében bárkivel szóban közölni lehet, anélkül hogy a közlést kérő személynek igazolnia kellene az említett adatok megszerzéséhez fűződő különös érdekét, és az a körülmény, hogy e személy gazdasági társaság vagy magánszemély, e tekintetben nem bír jelentőséggel.
Aláírások