Language of document : ECLI:EU:C:2024:239

A BÍRÓSÁG ÍTÉLETE (ötödik tanács)

2024. március 14.(*)

„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – Az 58. cikk (2) bekezdésének d) és g) pontja – A tagállami felügyeleti hatóság hatáskörei – A 17. cikk (1) bekezdése – A törléshez való jog (»az elfeledtetéshez való jog«) – A jogellenesen kezelt személyes adatok törlése – A nemzeti felügyeleti hatóság arra vonatkozó hatásköre, hogy az adatkezelőt vagy az adatfeldolgozót az érintett előzetes kérelme nélkül az adatok törlésére utasítsa”

A C‑46/23. sz. ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Fővárosi Törvényszék (Magyarország) a Bírósághoz 2023. január 31‑én érkezett, 2022. december 8‑i határozatával terjesztett elő

a Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala

és

a Nemzeti Adatvédelmi és Információszabadság Hatóság

között folyamatban lévő eljárásban,

A BÍRÓSÁG (ötödik tanács),

tagjai: E. Regan tanácselnök, Csehi Z., M. Ilešič (előadó), I. Jarukaitis és D. Gratsias bírák,

főtanácsnok: L. Medina,

hivatalvezető: A. Calot Escobar,

tekintettel az írásbeli szakaszra,

figyelembe véve a következők által előterjesztett észrevételeket:

–        a Nemzeti Adatvédelmi és Információszabadság Hatóság képviseletében Dudás G. J. ügyvéd,

–        a magyar kormány képviseletében Biró‑Tóth Zs. és Fehér M. Z., meghatalmazotti minőségben,

–        a spanyol kormány képviseletében A. Ballesteros Panizo, meghatalmazotti minőségben,

–        az osztrák kormány képviseletében A. Posch, J. Schmoll és C. Gabauer, meghatalmazotti minőségben,

–        a lengyel kormány képviseletében B. Majczyna, meghatalmazotti minőségben,

–        a portugál kormány képviseletében P. Barros da Costa, J. Ramos és C. Vieira Guerra, meghatalmazotti minőségben,

–        az Európai Bizottság képviseletében A. Bouchagiar, Kovács Ch. és H. Kranenborg, meghatalmazotti minőségben,

tekintettel a főtanácsnok meghallgatását követően hozott határozatra, miszerint az ügy elbírálására a főtanácsnok indítványa nélkül kerül sor,

meghozta a következő

Ítéletet

1        Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 58. cikke (2) bekezdése c), d) és g) pontjának az értelmezésére vonatkozik.

2        E kérelmet a Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (Magyarország) (a továbbiakban: Újpest Önkormányzata) és a Nemzeti Adatvédelmi és Információszabadság Hatóság (Magyarország) (a továbbiakban: magyar felügyeleti hatóság) között folyamatban lévő jogvita keretében terjesztették elő, amelynek tárgya egy olyan határozat, amelyben ezen utóbbi jogellenesen kezelt személyes adatok törlését rendelte el.

 Jogi háttér

3        A GDPR (1), (10) és (129) preambulumbekezdése a következőképpen rendelkezik:

„(1)      A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az Európai Unió Alapjogi Chartája 8. cikkének (1) bekezdése és az [EUMSZ 16. cikk] (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.

[…]

(10)      A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok [Európai] Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. […]

[…]

(129)      E rendelet Unió‑szerte következetes végrehajtásának és e végrehajtás következetes nyomon követésének biztosítása érdekében a felügyeleti hatóságokat minden tagállamban ugyanazokkal a feladatokkal és tényleges hatáskörökkel kell felruházni, ideértve a vizsgálati hatáskört, a korrekciós és szankciós hatáskört és a szankciókat, valamint az engedélyezési és a tanácsadási hatáskört, különösen a természetes személyek panaszaival kapcsolatos ügyekben, továbbá – az ügyészi hatóságok tagállami jog szerinti hatásköreinek sérelme nélkül – az arra vonatkozó hatáskört, hogy e rendelet megsértése esetén az igazságügyi hatóságokhoz forduljanak, és bírósági eljárást kezdeményezzenek. […]”

4        A GDPR „Általános rendelkezések” című I. fejezete tartalmazza annak 1–4. cikkét.

5        E rendelet „Tárgy” című 1. cikke értelmében:

„(1)      Ez a rendelet a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg.

(2)      Ez a rendelet a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.

[…]”

6        Az említett rendelet a „Fogalommeghatározások” című 4. cikkének 2., 7. és 21. pontjában a következőket írja elő:

„E rendelet alkalmazásában:

[…]

2.      »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

[…]

7.      »adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

[…]

21.      »felügyeleti hatóság«: egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv;

[…]”

7        A GDPR „Elvek” című II. fejezete tartalmazza többek között annak „A személyes adatok kezelésére vonatkozó elvek” című 5. cikkét, amely a következőket írja elő:

„(1)      A személyes adatok:

a)      kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (»jogszerűség, tisztességes eljárás és átláthatóság«);

b)      gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon;[…] (»célhoz kötöttség«);

c)      az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk (»adattakarékosság«);

[…]

(2)      Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

8        A GDPR‑nek „Az érintett jogai” című III. fejezetében foglalt, „A törléshez való jog (»Az elfeledtetéshez való jog«)” című 17. cikke az (1) bekezdésében a következőket írja elő:

„Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

a)      a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b)      az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c)      az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;

d)      a személyes adatokat jogellenesen kezelték;

[…]”

9        A GDPR „Független felügyeleti hatóságok” című VI. fejezete tartalmazza annak 51–59. cikkét.

10      E rendeletnek a „Felügyeleti hatóság” című 51. cikke az (1) és (2) bekezdésében a következőket írja elő:

„(1)      A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam előírja, hogy e rendelet alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv […] felel.

(2)      Minden felügyeleti hatóság elősegíti e rendeletnek az Unió egész területén történő egységes alkalmazását. A felügyeleti hatóságok e célból együttműködnek egymással és a[z Európai] Bizottsággal, a VII. fejezettel összhangban.”

11      Az említett rendelet „Feladatok” című 57. cikke az (1) bekezdésében a következőképpen rendelkezik:

„(1)      Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, a felügyeleti hatóság a saját területén ellátja a következő feladatokat:

a)      nyomon követi és kikényszeríti e rendelet alkalmazását;

[…]

h)      vizsgálatot folytat e rendelet alkalmazásával kapcsolatban, akár más felügyeleti hatóságtól vagy más közhatalmi szervtől kapott információ alapján;

[…]”

12      Ugyanezen rendelet „Hatáskörök” című 58. cikke a (2) bekezdésében a következőket írja elő:

„A felügyeleti hatóság korrekciós hatáskörében eljárva:

[…]

c)      utasítja az adatkezelőt vagy az adatfeldolgozót, hogy teljesítse az érintettnek az e rendelet szerinti jogai gyakorlására vonatkozó kérelmét,

d)      utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időn belül – hozza összhangba e rendelet rendelkezéseivel;

[…]

g)      a 16., 17., illetve a 18. cikkben foglaltaknak megfelelően elrendeli a személyes adatok helyesbítését, vagy törlését, illetve az adatkezelés korlátozását, valamint a 17. cikk (2) bekezdésének és a 19. cikknek megfelelően elrendeli azon címzettek erről való értesítését, akikkel vagy amelyekkel a személyes adatokat közölték;

[…]

i)      a 83. cikknek megfelelően közigazgatási bírságot szab ki, az adott eset körülményeitől függően az e bekezdésben említett intézkedéseken túlmenően vagy azok helyett;

[…]”

 Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

13      Újpest Önkormányzata 2020 februárjában úgy döntött, hogy a Covid19‑világjárvány veszélyeztetett csoportjába tartozó, meghatározott jogosultsági feltételeknek megfelelő lakosok részére anyagi támogatást biztosít.

14      E célból, a jogosultsági feltételek megállapításához szükséges személyes adatok beszerzése érdekében a Magyar Államkincstárhoz és Budapest Főváros Kormányhivatala IV. Kerületi Hivatalához (Magyarország) (a továbbiakban: Kormányhivatal) fordult. Ezen adatok különösen a természetes személyazonosító adatokat és a társadalombiztosítási azonosító jelet foglalták magukban. A Magyar Államkincstár és a Kormányhivatal az adatkéréseket teljesítette.

15      Újpest Önkormányzata a támogatás kifizetése érdekében megalkotta az Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendeletet, amelyet a 30/2020. (VII. 15.) önkormányzati rendelettel módosított és kiegészített. E rendeletek tartalmazták a támogatásra való jogosultság ily módon megállapított feltételeit. Újpest Önkormányzata az átvett adatokat a támogatási programjának végrehajtására készített adatbázisban összegezte, és minden adatsorhoz egyedi azonosítót és vonalkódot hozott létre.

16      A magyar felügyeleti hatóság, amelyhez közérdekű bejelentés érkezett, 2020. szeptember 2‑án hatósági ellenőrzést indított a fent említett támogatási program alapjául szolgáló személyesadat‑kezeléseket érintően. E hatóság a 2021. április 22‑én meghozott határozatában megállapította, hogy Újpest Önkormányzata megsértette a GDPR 5. és 14. cikkének több rendelkezését, valamint a 12. cikk (1) bekezdését. Többek között megállapította, hogy Újpest Önkormányzata nem nyújtott tájékoztatást az érintetteknek egy hónapon belül az említett programmal összefüggésben kezelt személyes adataik köréről, a szóban forgó adatkezelés céljáról, és arról sem, hogy e személyek az ezzel összefüggő jogaikat hogyan gyakorolhatják.

17      A magyar felügyeleti hatóság a GDPR 58. cikke (2) bekezdésének d) pontja alapján arra utasította Újpest Önkormányzatát, hogy törölje azoknak az érintetteknek a személyes adatait, akik a Kormányhivatal és a Magyar Államkincstár tájékoztatása alapján jogosultak lettek volna a támogatást igénybe venni, de azt nem kérték. Megállapította, hogy a Magyar Államkincstár és a Kormányhivatal is megsértette az említett személyek személyes adatainak a kezelésére vonatkozó rendelkezéseket. Újpest Önkormányzatát és a Magyar Államkincstárat adatvédelmi bírság megfizetésére is kötelezte.

18      Újpest Önkormányzata a Fővárosi Törvényszék (Magyarország) – a kérdést előterjesztő bíróság – előtt indított közigazgatási perben vitatja a magyar felügyeleti hatóság határozatát, arra hivatkozva, hogy ezen utóbbi az érintett által e rendelet 17. cikke értelmében benyújtott kérelem hiányában nem jogosult arra, hogy a GDPR 58. cikke (2) bekezdésének d) pontja alapján elrendelje a személyes adatok törlését. E tekintetben a Kúria (Magyarország) Kfv.II.37.001/2021/6. számú ítéletére hivatkozik, amelyben a Kúria megállapította, hogy a magyar felügyeleti hatóság nem rendelkezik ilyen jogkörrel, és így hatályában fenntartotta a kérdést előterjesztő bíróság egyik ítéletét. Az alapeljárás felperesének álláspontja szerint az említett rendelet 17. cikkében előírt törléshez való jogot kizárólag az érintett jogának szánták.

19      A magyar felügyeleti hatóság által benyújtott alkotmányjogi panaszt követően az Alkotmánybíróság (Magyarország) megsemmisítette a Kúria fent említett ítéletét, megállapítva, hogy e hatóság az érintett kérelme hiányában is jogosult arra, hogy hivatalból elrendelje a jogellenesen kezelt személyes adatok törlését. Az Alkotmánybíróság e tekintetben az Európai Adatvédelmi Testület 39/2021. számú véleményére hivatkozott, amely szerint a GDPR 17. cikke két egymástól független törlési esetet ír elő, amelyek közül az egyik az érintett kérésére történő törlés, a másik pedig az adatkezelő önálló kötelezettsége, így a GDPR 58. cikke (2) bekezdésének g) pontját a jogellenesen kezelt személyes adatok hivatalból történő törlésére vonatkozó jogalapnak kell tekinteni.

20      Az Alkotmánybíróságnak az előző pontban említett határozatát követően a kérdést előterjesztő bíróságnak továbbra is kétségei vannak a GDPR 17. cikkének és 58. cikke (2) bekezdésének az értelmezését illetően. Úgy véli, hogy a személyes adatok törléséhez való jogot a GDPR 17. cikkének (1) bekezdése az érintett jogaként határozza meg, és e rendelkezés nem tartalmaz két egymástól független törlési esetet.

21      E bíróság hozzáteszi, hogy az érintettnek abban az esetben is fűződhet érdeke a rá vonatkozó személyes adatok kezeléséhez, ha a felügyeleti hatóság az adatkezelőt – akár jogellenes adatkezelés miatt – az említett adatok törlésére utasítja. Ilyen esetben e hatóság az említett személy jogát ezen utóbbi akarata ellenére gyakorolja.

22      A kérdést előterjesztő bíróság tehát azt kívánja meghatározni, hogy az érintett joggyakorlásától függetlenül a tagállami felügyeleti hatóság kötelezheti‑e – és ha igen, akkor mely jogalapon – az adatkezelőt vagy az adatfeldolgozót a jogellenesen kezelt személyes adatok törlésére, különösen annak figyelembevételével, hogy a GDPR 58. cikke (2) bekezdésének c) pontja kifejezetten az érintett jogainak gyakorlására vonatkozó kérelméről rendelkezik, e rendelet 58. cikke (2) bekezdésének d) pontja pedig általánosságban rendelkezik az adatkezelési műveleteknek az említett rendelet rendelkezéseivel való összhangjának megteremtéséről, míg ugyanezen rendelet 58. cikke (2) bekezdésének g) pontja közvetlenül visszautal annak 17. cikkére, amelynek alkalmazásához az érintett kifejezett kérelme szükséges.

23      Ha a nemzeti felügyeleti hatóság az érintett kérelme nélkül is utasíthatja az adatkezelőt vagy az adatfeldolgozót a jogellenesen kezelt személyes adatok törlésére, a kérdést előterjesztő bíróság arra a kérdésre vár választ, hogy tehető‑e különbség a törlésre vonatkozó utasítás előírásakor aszerint, hogy a személyes adatokat az érintettől gyűjtötték – figyelemmel az adatkezelőnek a GDPR 13. cikke (2) bekezdésének b) pontja szerinti kötelezettségére – vagy nem az érintettől szerezték meg, az adatkezelőnek a GDPR 14. cikke (2) bekezdésének c) pontja szerinti kötelezettséghez kapcsolódóan.

24      E körülmények között a Fővárosi Törvényszék (Magyarország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)      Úgy kell‑e értelmezni az Európai Parlament és a Tanács (EU) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016. április 27. napján kelt 2016/679 rendeletének (a továbbiakban: GDPR) 58. cikk (2) bekezdését, különösen annak c), d) és g) pontjait, hogy a tagállami felügyeleti hatóság korrekciós hatáskörében eljárva, az erre vonatkozó GDPR 17. cikk (1) bekezdése szerinti kifejezett érintetti kérelem nélkül is utasíthatja az adatkezelőt vagy az adatfeldolgozót a jogellenesen kezelt személyes adatok törlésére?

2)      Amennyiben az első kérdésre adott válasz szerint a felügyeleti hatóság érintetti kérelem nélkül is utasíthatja az adatkezelőt vagy az adatfeldolgozót a jogellenesen kezelt személyes adatok törlésére, úgy ez független‑e attól, hogy a személyes adatokat az érintettől gyűjtötték, avagy nem az érintettől szerezték meg?”

 Az előzetes döntéshozatalra előterjesztett kérdésekről

 Az első kérdésről

25      A kérdést előterjesztő bíróság az első kérdésével arra vár választ, hogy a GDPR 58. cikke (2) bekezdésének c), d) és g) pontját úgy kell‑e értelmezni, hogy a tagállami felügyeleti hatóság az e rendelkezésekben előírt korrekciós intézkedések elfogadására vonatkozó hatáskörének gyakorlása során jogosult arra, hogy az adatkezelőt vagy az adatfeldolgozót a jogellenesen kezelt személyes adatok törlésére utasítsa, még olyan esetben is, ha az érintett nem terjesztett elő erre irányuló kérelmet az e rendelet 17. cikkének (1) bekezdése szerinti jogainak gyakorlása céljából.

26      E kérdés a magyar felügyeleti hatóság azon határozatának a jogszerűségével kapcsolatos jogvita keretébe illeszkedik, amely a GDPR 58. cikke (2) bekezdésének d) pontja alapján Újpest Önkormányzatát arra utasítja, hogy törölje a jelen ítélet 13–15. pontjában ismertetett támogatási program keretében jogellenesen kezelt személyes adatokat.

27      A GDPR 17. cikkének (1) bekezdése értelmében az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy ezen adatokat indokolatlan késedelem nélkül törölje, többek között e rendelkezés d) pontja szerint abban az esetben, ha a szóban forgó adatokat „jogellenesen kezelték”.

28      A GDPR 58. cikke (2) bekezdésének d) pontja értelmében a felügyeleti hatóság utasíthatja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időn belül – hozza összhangba e rendelet rendelkezéseivel. Ezenkívül az említett rendelet 58. cikke (2) bekezdésének g) pontja értelmében a felügyeleti hatóság hatáskörrel rendelkezik arra, hogy az e rendelet 16., 17., illetve 18. cikkében foglaltaknak megfelelően elrendelje a személyes adatok helyesbítését vagy törlését, illetve az adatkezelés korlátozását, valamint e rendelet 17. cikke (2) bekezdésének és 19. cikkének megfelelően elrendelje azon címzettek erről való értesítését, akikkel vagy amelyekkel a személyes adatokat közölték.

29      A kérdést előterjesztő bíróság ebben az összefüggésben arra keresi a választ, hogy a tagállami felügyeleti hatóság jogosult‑e arra, hogy a GDPR 58. cikke (2) bekezdésének c), d) és g) pontjában előírt korrekciós intézkedések elfogadására vonatkozó hatáskörének gyakorlása során hivatalból – azaz, az érintett erre irányuló előzetes kérelme hiányában – az adatkezelőt vagy az adatfeldolgozót a jogellenesen kezelt személyes adatok törlésére utasítsa.

30      Az állandó ítélkezési gyakorlat értelmében valamely uniós jogi rendelkezés értelmezéséhez nemcsak annak kifejezéseit, hanem szövegkörnyezetét, és annak a szabályozásnak a célkitűzéseit is figyelembe kell venni, amelynek az részét képezi (2023. július 13‑i G GmbH ítélet, C‑134/22, EU:C:2023:567, 25. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

31      Előzetesen meg kell állapítani, hogy az uniós jognak a jelen ítélet 27. és 28. pontjában említett releváns rendelkezéseit a GDPR 5. cikkének (1) bekezdésével összefüggésben kell értelmezni, amely megfogalmazza a személyes adatok kezelésére vonatkozó elveket, és többek között – az a) pontban – azon elvet, amely szerint a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.

32      Ezen 5. cikk (2) bekezdése értelmében az adatkezelő az „elszámoltathatóságnak” az e rendelkezésben előírt elve szerint felelős az említett 5. cikk (1) bekezdésének való megfelelésért, továbbá képesnek kell lennie annak igazolására, hogy tiszteletben tartja az e rendelkezésben rögzített összes elvet, aminek bizonyítása egyébiránt rá hárul (lásd ebben az értelemben: 2023. május 4‑i Bundesrepublik Deutschland [Elektronikus igazságügyi fiók] ítélet, C‑60/22, EU:C:2023:373, 53. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

33      Amennyiben a személyes adatok kezelése nem felel meg a többek között a GDPR 5. cikkében meghatározott elveknek, a tagállami felügyeleti hatóságok az e rendelet 57. és 58. cikkében meghatározott feladataiknak és hatáskörüknek megfelelően jogosultak beavatkozni. E feladatok között szerepel többek között e rendelet 57. cikke (1) bekezdésének a) pontja értelmében az említett rendelet alkalmazásának nyomon követése és kikényszerítése (lásd ebben az értelemben: 2020. július 16‑i Facebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 108. pont).

34      E tekintetben a Bíróság már megállapította, hogy ha egy nemzeti felügyeleti hatóság a vizsgálata végén úgy ítéli meg, hogy az érintett személy nem részesül megfelelő szintű védelemben, az uniós jog alapján köteles megfelelően reagálni a megállapított hiányosság orvoslása érdekében, mégpedig függetlenül e hiányosság eredetétől vagy jellegétől. E célból a GDPR 58. cikkének (2) bekezdése felsorolja azokat a különböző korrekciós intézkedéseket, amelyeket a felügyeleti hatóság elfogadhat. E felügyeleti hatóságnak kell megválasztania a megfelelő eszközt az e rendelet teljes körű tiszteletben tartásának biztosítására irányuló feladatának a kellő gondossággal történő ellátásához (lásd ebben az értelemben: 2020. július 16‑i Facebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 111. és 112. pont).

35      Ami konkrétabban azt a kérdést illeti, hogy az ilyen korrekciós intézkedéseket az érintett felügyeleti hatóság hivatalból elfogadhatja‑e, mindenekelőtt meg kell állapítani, hogy a GDPR 58. cikkének (2) bekezdése a szövegét tekintve különbséget tesz a hivatalból elrendelhető korrekciós intézkedések – többek között az 58. cikk (2) bekezdésének d) és g) pontjában említettek – valamint azon korrekciós intézkedések között, amelyeket csupán az érintett által az e rendelet 58. cikke (2) bekezdésének c) pontja szerinti jogainak gyakorlása érdekében benyújtott kérelem alapján lehet elfogadni.

36      Egyrészt ugyanis a GDPR 58. cikke (2) bekezdése c) pontjának szövegéből kifejezetten kitűnik, hogy az e rendelkezésben említett korrekciós intézkedés elfogadása, azaz „[az adatkezelő vagy az adatfeldolgozó arra való utasítása], hogy teljesítse az érintettnek az e rendelet szerinti jogai gyakorlására vonatkozó kérelmét”, azt feltételezi, hogy az érintett korábban már élni kívánt a jogaival oly módon, hogy erre vonatkozó kérelmet terjesztett elő, és e kérelemnek a felügyeleti hatóság e rendelkezésben előírt határozata előtt nem adtak helyt. Másrészt – e rendelkezéstől eltérően – e rendelet 58. cikke (2) bekezdése d) és g) pontjának szövege alapján nem állapítható meg, hogy a tagállami felügyeleti hatóságnak az e rendelkezésekben említett intézkedések alkalmazása érdekében történő beavatkozása kizárólag olyan esetekre korlátozódna, amikor az érintett erre irányuló kérelmet terjesztett elő, mivel e szöveg nem tartalmaz ilyen kérelemre való utalást.

37      E rendelkezések kontextusát illetően meg kell továbbá állapítani, hogy e rendelet 17. cikke (1) bekezdésének szövege a „pedig” kötőszó segítségével megkülönbözteti egyrészt az érintett ahhoz való jogát, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó adatokat, és másrészt az adatkezelő arra vonatkozó kötelezettségét, hogy e személyes adatokat indokolatlan késedelem nélkül törölje. Ebből azt a következtetést kell levonni, hogy e rendelkezés két egymástól független esetet szabályoz, nevezetesen egyrészt az érintett kérelmére történő adattörlést, és másrészt az adatkezelőt az érintett bármely kérelmétől függetlenül terhelő önálló kötelezettség fennállásából eredő törlést.

38      Amint ugyanis arra az Európai Adatvédelmi Testület a 39/2021. sz. véleményében rámutatott, szükséges ilyen különbséget tenni, mivel az e 17. cikk (1) bekezdésében említett esetek közül egyesek olyan helyzetekre vonatkoznak, amelyekben az érintettet nem feltétlenül tájékoztatták arról, hogy rá vonatkozó személyes adatokat kezelnek, így kizárólag az adatkezelő állapíthatja meg ennek fennállását. Ez a helyzet konkrétan az e rendelet 17. cikke (1) bekezdésének d) pontjában említett olyan helyzetben, amikor ezen adatokat jogellenesen kezelték.

39      Ezt az értelmezést megerősíti a GDPR 5. cikkének az ezen 5. cikk (1) bekezdésének a) pontjával összefüggésben értelmezett (2) bekezdése, amelynek értelmében az adatkezelőnek meg kell győződnie többek között az általa végzett adatkezelés jogszerű jellegéről (lásd ebben az értelemben: 2023. május 4‑i Bundesrepublik Deutschland [Elektronikus igazságügyi fiók] ítélet, C‑60/22, EU:C:2023:373, 54. pont).

40      Végezetül ezt az értelmezést megerősíti a GDPR 58. cikkének (2) bekezdése által elérni kívánt, e rendelet (129) preambulumbekezdéséből kitűnő cél is, nevezetesen annak biztosítása, hogy a személyes adatok kezelése megfeleljen e rendeletnek, valamint az ezen utóbbit sértő helyzetek helyreállítása annak érdekében, hogy azokat a nemzeti felügyeleti hatóságok beavatkozása összhangba hozza az uniós joggal.

41      E tekintetben pontosítani kell, hogy noha a megfelelő és szükséges eszköz megválasztása a felügyeleti hatóság feladata, és e hatóságnak e választást az adott eset valamennyi körülményének figyelembevételével kell meghoznia, e hatóságnak a GDPR teljes körű tiszteletben tartásának biztosításában álló feladatát is kellő gondossággal kell ellátnia (lásd ebben az értelemben: 2020. július 16‑i Facebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 112. pont). Következésképpen a GDPR hatékony alkalmazásának biztosítása érdekében különösen fontos, hogy e hatóság tényleges hatáskörökkel rendelkezzen az e rendelet megsértésével szembeni hatékony fellépés, és különösen a jogsértések megszüntetése érdekében, ideértve azokat az eseteket is, amikor az érintetteket nem tájékoztatják a személyes adataik kezeléséről, az érintetteknek nincs tudomásuk e kezelésről, vagy mindenesetre nem kérelmezték ezen adatok törlését.

42      E körülmények között meg kell állapítani, hogy a GDPR 58. cikkének (2) bekezdésében említett egyes – többek között az e rendelkezés d) és g) pontjában szereplő – korrekciós intézkedések elfogadására vonatkozó hatáskört a tagállami felügyeleti hatóság hivatalból gyakorolhatja, amennyiben e hatáskör hivatalból történő gyakorlására szükség van ahhoz, hogy e hatóság teljesíthesse a feladatát. Következésképpen e hatóság, ha a vizsgálatát követően úgy ítéli meg, hogy ezen adatkezelés nem felel meg e rendelet követelményeinek, az uniós jog alapján köteles megfelelő intézkedéseket hozni a megállapított jogsértés orvoslása érdekében, függetlenül attól, hogy az érintett előzetesen kérelmet terjesztett‑e elő az említett rendelet 17. cikkének (1) bekezdése szerinti jogainak gyakorlása céljából.

43      Ezt az értelmezést egyébiránt megerősítik a GDPR‑nek a többek között az 1. cikkéből, valamint az (1) és (10) preambulumbekezdéséből következő céljai is, amely rendelkezések a természetes személyeknek az őket érintő személyes adatok védelméhez való, az Európai Unió Alapjogi Chartája 8. cikkének (1) bekezdésében és az EUMSZ 16. cikk (1) bekezdésében rögzített alapvető joga tekintetében a védelem magas szintjének biztosítására hivatkoznak (lásd ebben az értelemben: 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 207. pont; 2022. április 28‑i Meta Platforms Ireland ítélet, C‑319/20, EU:C:2022:322, 73. pont).

44      Az olyan értelmezés, amely ellentétes a jelen ítélet 42. pontjában elfogadott értelmezéssel, és amely szerint az ilyen felügyeleti hatóság csak az érintett által e célból előterjesztett kérelem alapján járhat el, veszélyeztetné a jelen ítélet 40. és 43. pontjában felidézett célok megvalósítását, különösen az alapügy tárgyát képezőhöz hasonló helyzetben, ha a jogellenesen kezelt személyes adatok törlése potenciálisan jelentős számban érint olyan személyeket, akik a GDPR 17. cikkének (1) bekezdése alapján nem érvényesítették a törléshez való jogukat.

45      Amint ugyanis arra a Bizottság az írásbeli észrevételeiben lényegében hivatkozott, a GDPR 17. cikkének (1) bekezdése értelmében vett, az érintettek által előterjesztett előzetes kérelemre vonatkozó követelmény azt jelentené, hogy az adatkezelő ilyen kérelem hiányában megőrizhetné a szóban forgó személyes adatokat, és azokat továbbra is jogellenesen kezelhetné. Az ilyen értelmezés sértené az e rendelet által előírt védelem hatékonyságát, mivel az inaktív személyeket megfosztaná a védelemtől annak ellenére, hogy a személyes adataikat jogellenesen kezelték.

46      A fenti megfontolásokra tekintettel az első kérdésre azt a választ kell adni, hogy a GDPR 58. cikke (2) bekezdésének d) és g) pontját úgy kell értelmezni, hogy a tagállami felügyeleti hatóság az e rendelkezésekben előírt korrekciós intézkedések elfogadására vonatkozó hatáskörének gyakorlása során jogosult arra, hogy az adatkezelőt vagy az adatfeldolgozót a jogellenesen kezelt személyes adatok törlésére utasítsa, még olyan esetben is, ha az érintett nem terjesztett elő erre irányuló kérelmet az e rendelet 17. cikkének (1) bekezdése szerinti jogainak gyakorlása céljából.

 A második kérdésről

47      A kérdést előterjesztő bíróság a második kérdésével lényegében arra vár választ, hogy a GDPR 58. cikkének (2) bekezdését úgy kell‑e értelmezni, hogy a tagállami felügyeleti hatóság azon hatásköre, hogy elrendelheti a jogellenesen kezelt személyes adatok törlését, kiterjedhet mind az érintettől gyűjtött adatokra, mind pedig a más forrásból származó adatokra.

48      E tekintetben mindenekelőtt meg kell állapítani, hogy az előző pontban említett rendelkezések szövege nem tartalmaz olyan utalást, amely arra engedne következtetni, hogy a felügyeleti hatóságnak az e rendelkezésekben felsorolt korrekciós intézkedések elfogadására vonatkozó hatásköre az érintett adatok eredetétől, és különösen attól a körülménytől függ, hogy azokat az érintettől gyűjtötték‑e.

49      Ugyanígy meg kell állapítani, hogy a GDPR 17. cikke (1) bekezdésének szövege, amely – amint az a jelen ítélet 37. pontjából kitűnik – az adatkezelőt érintően önálló kötelezettséget állapít meg a jogellenesen kezelt személyes adatok törlésére vonatkozóan, nem tartalmaz a gyűjtött adatok eredetére vonatkozó követelményt.

50      Ezenkívül, amint az a jelen ítélet 41. és 42. pontjából kitűnik, a GDPR hatékony és következetes alkalmazásának biztosítása érdekében szükséges, hogy a nemzeti felügyeleti hatóság tényleges hatáskörökkel rendelkezzen az e rendelet megsértésével szembeni hatékony fellépéshez. Így a korrekciós intézkedések elfogadására vonatkozó, a GDPR 58. cikke (2) bekezdésének d) és g) pontjában megállapított hatáskör nem függhet az érintett adatok eredetétől, és különösen attól a körülménytől, hogy azokat az érintettől gyűjtötték‑e.

51      Következésképpen az írásbeli észrevételeket előterjesztő valamennyi kormánnyal és a Bizottsággal egyetértve meg kell állapítani, hogy a GDPR 58. cikke (2) bekezdésének d) és g) pontja értelmében vett, korrekciós intézkedések elfogadására vonatkozó hatáskör gyakorlása nem függhet attól, hogy a szóban forgó személyes adatokat közvetlenül az érintettől gyűjtötték‑e, vagy sem.

52      Ezt az értelmezést megerősítik a GDPR‑nek – és különösen e rendelet 58. cikke (2) bekezdésének – a jelen ítélet 40. és 43. pontjában felidézett céljai is.

53      A fenti megfontolásokra tekintettel a második kérdésre azt a választ kell adni, hogy a GDPR 58. cikkének (2) bekezdését úgy kell értelmezni, hogy a tagállami felügyeleti hatóság azon hatásköre, hogy elrendelheti a jogellenesen kezelt személyes adatok törlését, kiterjedhet mind az érintettől gyűjtött adatokra, mind pedig a más forrásból származó adatokra.

 A költségekről

54      Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (ötödik tanács) a következőképpen határozott:

1)      A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 58. cikke (2) bekezdésének d) és g) pontját

a következőképpen kell értelmezni:

a tagállami felügyeleti hatóság az e rendelkezésekben előírt korrekciós hatáskörének gyakorlása során jogosult arra, hogy az adatkezelőt vagy az adatfeldolgozót a jogellenesen kezelt személyes adatok törlésére utasítsa, még olyan esetben is, ha az érintett nem terjesztett elő erre irányuló kérelmet az e rendelet 17. cikkének (1) bekezdése szerinti jogainak gyakorlása céljából.

2)      A 2016/679 rendelet 58. cikkének (2) bekezdését

a következőképpen kell értelmezni:

a tagállami felügyeleti hatóság azon hatásköre, hogy elrendelheti a jogellenesen kezelt személyes adatok törlését, kiterjedhet mind az érintettől gyűjtött adatokra, mind pedig a más forrásból származó adatokra.


Regan

Csehi

Ilešič

Jarukaitis

 

      Gratsias


Kihirdetve Luxembourgban, a 2024. március 14‑i nyilvános ülésen.



A. Calot Escobar

 

E. Regan

hivatalvezető

 

tanácselnök

*      Az eljárás nyelve: magyar.