A BÍRÓSÁG ÍTÉLETE (első tanács)

2023. január 12.(*)

„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – A 15. cikk (1) bekezdésének c) pontja – Az érintettnek az adataihoz való hozzáférési joga – Azon címzettekre vagy címzettek kategóriáira vonatkozó információk, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják – Korlátozások”

A C‑154/21. sz. ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet az Oberster Gerichtshof (legfelsőbb bíróság, Ausztria) a Bírósághoz 2021. március 9‑én érkezett, 2021. február 18‑i határozatával terjesztett elő az

RW

és

az Österreichische Post AG

között folyamatban lévő eljárásban,

A BÍRÓSÁG (első tanács),

tagjai: A. Arabadjiev tanácselnök, L. Bay Larsen, a Bíróság elnökhelyettese, az első tanács bírájaként eljárva, P. G. Xuereb, A. Kumin és I. Ziemele (előadó) bírák,

főtanácsnok: G. Pitruzzella,

hivatalvezető: A. Calot Escobar,

tekintettel az írásbeli szakaszra,

figyelembe véve a következők által előterjesztett észrevételeket:

–        RW képviseletében R. Haupt Rechtsanwalt,

–        az Österreichische Post AG képviseletében R. Marko Rechtsanwalt,

–        az osztrák kormány képviseletében G. Kunnert, A. Posch és J. Schmoll, meghatalmazotti minőségben,

–        a cseh kormány képviseletében M. Smolek és J. Vláčil, meghatalmazotti minőségben,

–        az olasz kormány képviseletében G. Palmieri, meghatalmazotti minőségben, segítője: M. Russo avvocato dello Stato,

–        a lett kormány képviseletében J. Davidoviča, I. Hūna és K. Pommere, meghatalmazotti minőségben,

–        a román kormány képviseletében L.‑E. Baţagoi, E. Gane és A. Wellman, meghatalmazotti minőségben,

–        a svéd kormány képviseletében H. Eklinder, J. Lundberg, C. Meyer‑Seitz, A. M. Runeskjöld, M. Salborn Hodgson, R. Shahsavan Eriksson, H. Shev és O. Simonsson, meghatalmazotti minőségben,

–        az Európai Bizottság képviseletében F. Erlbacher és H. Kranenborg, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2022. június 9‑i tárgyaláson történt meghallgatását követően,

meghozta a következő

Ítéletet

1        Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: általános adatvédelmi rendelet) 15. cikke (1) bekezdése c) pontjának értelmezésére vonatkozik.

2        Ezt a kérelmet az RW és az Österreichische Post AG (a továbbiakban: Österreichische Post) között az általános adatvédelmi rendelet 15. cikke (1) bekezdésének c) pontja szerinti, személyes adatokhoz való hozzáférés iránti kérelem tárgyában folyamatban lévő jogvita keretében terjesztették elő.

 Jogi háttér

3        Az általános adatvédelmi rendelet (4)–(9), (10), (39), (63) és (74) preambulumbekezdése a következőképpen szól:

„(4)      […] A személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban, a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyensúlyban más alapvető jogokkal. […]

[…]

(9)      A [személyes adatok feldolgozása (helyesen: kezelése) vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.)] célkitűzései és elvei továbbra is érvényesek, azonban az irányelv nem akadályozta meg sem azt, hogy az [Európai] Unió tagállamaiban az adatvédelem végrehajtása széttagolt módon valósuljon meg, sem a jogbizonytalanságot, sem pedig azt, hogy széles körben az a benyomás alakuljon ki, hogy természetes személy védelme – különösen az online tevékenységek esetében – jelentős kockázatoknak van kitéve. Az a tény, hogy a személyes adatok kezelése tekintetében a természetes személyek jogai és szabadságai egyes tagállamokban eltérő szintű védelmet élveznek, különösen, ami személyes adatok védelméhez való jogot illeti, a személyes adatok Unióban történő szabad áramlásának útjában állhat. Ebből eredően ezek az eltérések a gazdasági tevékenységek uniós szinten való folytatásának akadályát képezhetik, torzíthatják a versenyt, és hátráltathatják a hatóságokat az uniós jog szerinti feladataik ellátásában. A jogok és szabadságok védelmi szintjében mutatkozó ilyen eltérések a 95/46/EK irányelv végrehajtásában és alkalmazásában fennálló eltérésekre vezethetők vissza.

(10)      A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. […]

[…]

(39)      A személyes adatok kezelésének jogszerűnek és tisztességesnek kell lennie. A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. […]

[…]

(63)      Az érintett jogosult, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz, valamint arra, hogy egyszerűen és észszerű időközönként, az adatkezelés jogszerűségének megállapítása és ellenőrzése érdekében gyakorolja e jogát. […] Ezért minden érintett számára biztosítani kell a jogot arra, hogy megismerje különösen a személyes adatok kezelésének céljait, továbbá ha lehetséges, azt, hogy a személyes adatok kezelése milyen időtartamra vonatkozik, a személyes adatok címzettjeit, azt, hogy a személyes adatok automatizált kezelése milyen logika alapján történt, valamint azt, hogy az adatkezelés – legalább abban az esetben, amikor az profilalkotásra épül – milyen következményekkel járhat, továbbá hogy minderről tájékoztatást kapjon. […] Ez a jog nem érintheti hátrányosan mások jogait és szabadságait, beleértve az üzleti titkokat vagy a szellemi tulajdont, és különösen a szoftverek védelmét biztosító szerzői jogokat. Ezek a megfontolások mindazonáltal nem eredményezhetik azt, hogy az érintettől minden információt megtagadnak. […]

[…]

(74)      A személyes adatoknak az adatkezelő által vagy az adatkezelő nevében végzett bármilyen jellegű kezelése tekintetében az adatkezelő hatáskörét és felelősségét szabályozni kell. Az adatkezelőt kötelezni kell különösen arra, hogy megfelelő és hatékony intézkedéseket hajtson végre, valamint hogy képes legyen igazolni azt, hogy az adatkezelési tevékenységek e rendeletnek megfelelnek, és az alkalmazott intézkedések hatékonysága is az e rendelet által előírt szintű. Ezeket az intézkedéseket az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével kell meghozni.”

4        Az általános adatvédelmi rendelet „Tárgy” című 1. cikkének (2) bekezdése a következőképpen rendelkezik:

„Ez a rendelet a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.”

5        Az általános adatvédelmi rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke a következőket mondja ki:

„(1)      A személyes adatok:

a)      kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (»jogszerűség, tisztességes eljárás és átláthatóság«);

[…]

(2)      Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

6        Az általános adatvédelmi rendelet „Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések” című 12. cikkének (1) bekezdése a következőket tartalmazza:

„(1)      Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

(2)      Az adatkezelő elősegíti az érintett 15–22. cikk szerinti jogainak a gyakorlását. A 11. cikk (2) bekezdésében említett esetekben az adatkezelő az érintett 15–22. cikk szerinti jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.

[…]

(5)      A 13. és 14. cikk szerinti információkat és a 15–22. és 34. cikk szerinti tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

a)      ésszerű összegű díjat számíthat fel, vagy

b)      megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.

[…]”

7        Az általános adatvédelmi rendeletnek a „Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik” című 13. cikkének (1) bekezdése a következőket írja elő:

„Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

[…]

e)      adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen; […]

[…]”

8        Az általános adatvédelmi rendeletnek a „Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik” című 14. cikkének (1) bekezdése a következőket írja elő:

„Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:

[…]

e)      adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen

[…]”

9        Az általános adatvédelmi rendeletnek „Az érintett hozzáférési joga” című 15. cikke értelmében:

„(1)      Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‑e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

a)      az adatkezelés céljai;

b)      az érintett személyes adatok kategóriái;

c)      azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

d)      adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

e)      az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;

f)      a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;

g)      ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;

h)      a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

(2)      Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a 46. cikk szerinti megfelelő garanciákról.

(3)      Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, ésszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

(4)      A (3) bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.”

10      Az általános adatvédelmi rendeletnek „A helyesbítéshez való jog” című 16. cikke a következőképpen rendelkezik:

„Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.”

11      Az általános adatvédelmi rendeletnek „A törléshez való jog (»az elfeledtetéshez való jog«)” című 17. cikke értelmében:

„(1)      Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:

a)      a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;

b)      az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;

c)      az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;

d)      a személyes adatokat jogellenesen kezelték;

e)      a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;

f)      a személyes adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

(2)      Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

[…]”

12      Az általános adatvédelmi rendelet „Az adatkezelés korlátozásához való jog” című 18. cikkének (1) bekezdése a következőképpen rendelkezik:

„Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

a)      az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;

b)      az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

c)      az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

d)      az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek‑e az érintett jogos indokaival szemben.

[…]”

13      Az általános adatvédelmi rendelet 19. cikkének szövege a következő:

„Az adatkezelő minden olyan címzettet tájékoztat a 16. cikk, a 17. cikk (1) bekezdése, illetve a 18. cikk szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés‑korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.”

14      Az általános adatvédelmi rendeletnek „A tiltakozáshoz való jog” című 21. cikke szerint:

„(1)      Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

(2)      Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.

(3)      Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

(4)      Az (1) és (2) bekezdésben említett jogra legkésőbb az érintettel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.

(5)      Az információs társadalommal összefüggő szolgáltatások igénybevételéhez kapcsolódóan és [az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelvtől (elektronikus hírközlési adatvédelmi irányelv) (HL 2002. L 201., 37. o.; magyar nyelvű különkiadás: 13. fejezet, 29. kötet, 514. o.)] eltérve az érintett a tiltakozáshoz való jogot műszaki előírásokon alapuló automatizált eszközökkel is gyakorolhatja.

(6)      Ha a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból tiltakozhasson a rá vonatkozó személyes adatok kezelése ellen, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.”

15      Az általános adatvédelmi rendeletnek „Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog” című 79. cikkének (1) bekezdése a következőket tartalmazza:

„A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.”

16      Az általános adatvédelmi rendelet „A kártérítéshez való jog és a felelősség” című 82. cikkének (1) bekezdése a következőképpen rendelkezik:

„Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.”

 Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdés

17      2019. január 15‑én RW az Österreichische Posthoz fordult, hogy az általános adatvédelmi rendelet 15. cikke alapján hozzáférést kapjon az Österreichische Post birtokában lévő vagy a múltban általa tárolt, rá vonatkozó személyes adatokhoz, valamint amennyiben sor került az adatok harmadik személyek részére történő továbbítására, e címzettek kilétéhez.

18      A kérelemre adott válaszában az Österreichische Post csupán annyit közölt, hogy a jogszabály által megengedett mértékben, telefonkönyv‑kiadási tevékenysége keretében használ fel adatokat, és ezeket a személyes adatokat üzletfelek részére, marketingcélokra kínálja. A továbbiakban a részletesebb információk és további adatkezelési célok tekintetében egy internetes oldalra hivatkozott. Nem közölte az RW‑vel az adatok konkrét címzettjeinek kilétét.

19      RW az osztrák bíróságokhoz keresetet nyújtott be az Österreichische Post ellen, és azt kérte, hogy kötelezzék ez utóbbit arra, hogy többek között közölje RW‑vel az ily módon közölt személyes adatai címzettjének, illetve címzettjeinek kilétét.

20      Az ily módon megindított bírósági eljárás során az Österreichische Post tájékoztatta RW‑t, hogy személyes adatait marketingcélból kezelték, és üzletfelek – köztük a csomagküldő kereskedelem és a hagyományos kereskedelem területén működő hirdetők, informatikai vállalkozások, címszolgáltatók és egyesületek, például jótékonysági szervezetek, nem kormányzati szervezetek (NGO‑k) vagy politikai pártok – részére továbbították.

21      Az elsőfokú és a fellebbviteli bíróság elutasította az RW keresetét azzal az indokkal, hogy az általános adatvédelmi rendelet 15. cikke (1) bekezdésének c) pontja, mivel „címzettekre vagy címzettek kategóriáira” utal, lehetőséget biztosít az adatkezelő számára, hogy az érintett személy számára csak címzetti kategóriákat adjon meg, és nem kell név szerint megjelölnie azokat a konkrét címzetteket, akik részére a személyes adatokat továbbították.

22      RW felülvizsgálati kérelmet nyújtott be a kérdést előterjesztő bírósághoz, az Oberster Gerichtshofhoz (legfelsőbb bíróság, Ausztria).

23      Ez a bíróság az általános adatvédelmi rendelet 15. cikke (1) bekezdése c) pontjával kapcsolatban tesz fel kérdést, mivel e rendelkezés szövegéből nem állapítható meg egyértelműen, hogy biztosítja‑e az érintett számára a jogot arra, hogy hozzáférést kapjon a közölt adatok konkrét címzettjeire vonatkozó információkhoz, vagy hogy az adatkezelő diszkrecionális döntése körébe tartozik, hogy milyen módon tesz eleget a címzettekre vonatkozó információkhoz való hozzáférés iránti kérelemnek.

24      Az említett bíróság ugyanakkor megjegyzi, hogy az említett rendelkezés ratio legise inkább azon értelmezés mellett szól, amely szerint az érintett személy döntheti el, hogy a személyes adatai címzettjeinek kategóriáiról vagy konkrét címzettjeiről kér információkat. Véleménye szerint az ezzel ellentétes értelmezés súlyosan veszélyeztetné az érintettek rendelkezésére álló, adataik védelmét szolgáló jogorvoslati lehetőségek hatékonyságát. Abban az esetben ugyanis, ha az adatkezelők dönthetnének arról, hogy a konkrét címzettekről vagy csak a címzettek kategóriáiról tájékoztatják‑e az érintetteket, akkor félő, hogy a gyakorlatban aligha adnának tájékoztatást a konkrét címzettekről.

25      Ezenkívül, ellentétben az általános adatvédelmi rendelet 13. cikke (1) bekezdésének e) pontjával és 14. cikke (1) bekezdésének e) pontjával, amelyek adatszolgáltatásra kötelezik az adatkezelőt, a rendelet 15. cikkének (1) bekezdése az érintett hozzáférési jogának mértékét hangsúlyozza, ami a kérdést előterjesztő bíróság szerint arra is utal, hogy az érintett személynek joga van eldönteni, hogy a konkrét címzettekről vagy a címzettek kategóriáiról kér‑e tájékoztatást.

26      Végül a kérdést előterjesztő bíróság hozzáteszi, hogy az általános adatvédelmi rendelet 15. cikkének (1) bekezdésében előírt hozzáférési jog nem kizárólag az aktuálisan kezelt személyes adatokra vonatkozik, hanem a korábban kezelt adatok összességére is. Ezzel kapcsolatban kifejti, hogy a 2009. május 7‑i Rijkeboer ítéletben (C‑553/07, EU:C:2009:293) ítéletben szereplő, a 95/46 irányelvben előírt hozzáférési jog célján alapuló megállapítások az általános adatvédelmi rendelet 15. cikke szerinti hozzáférési jogra is alkalmazandók, főképp mivel az általános adatvédelmi rendelet (9) és (10) preambulumbekezdéséből levezethető, hogy az uniós jogalkotónak nem állt szándékában az irányelvhez képest csökkenteni a védelem szintjét.

27      Ilyen körülmények között az Oberster Gerichtshof (legfelsőbb bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdést terjeszti a Bíróság elé:

„Úgy kell‑e értelmezni az [általános adatvédelmi rendelet] 15. cikke (1) bekezdésének c) pontját, hogy a címzettek kategóriáihoz való hozzáférési jog korlátozott, ha a tervezett közlések konkrét címzettjei még nem állapíthatók meg, a hozzáférési jognak azonban kötelezően ki kell terjednie e közlések címzettjeire is, amennyiben az adatokat már közölték?”

 Az előzetes döntéshozatalra előterjesztett kérdésről

28      Az előterjesztő bíróság előzetes döntéshozatalra előterjesztett kérdése lényegében arra irányul, hogy az általános adatvédelmi rendelet 15. cikke (1) bekezdésének c) pontját úgy kell‑e értelmezni, hogy az érintettnek a rá vonatkozó személyes adatokhoz való, e rendelkezésben előírt hozzáférési joga azt is magában foglalja, hogy abban az esetben, ha ezeket az adatokat a címzettekkel közölték vagy közölni fogják, az adatkezelő köteles megadni az érintettnek a címzettek konkrét személyazonosságát.

29      Elöljáróban emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint valamely uniós jogi rendelkezés értelmezéséhez nemcsak annak szövegét, hanem azt a kontextust is figyelembe kell venni, amelybe illeszkedik, valamint azon jogi aktus céljait is, amelynek az a részét képezi (2022. március 15‑i Autorité des marchés financiers ítélet, C‑302/20, EU:C:2022:190, 63. pont). Az uniós jogi rendelkezés különböző lehetséges értelmezései közül továbbá azt kell előnyben részesíteni, amely alkalmas a rendelkezés hatékony érvényesülésének biztosítására (2018. március 7‑i Cristal Union ítélet, C‑31/17, EU:C:2018:168, 41. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

30      Mindenekelőtt az általános adatvédelmi rendelet 15. cikke (1) bekezdése c) pontjának szövegét illetően emlékeztetni kell arra, hogy a rendelkezésben foglaltak szerint az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‑e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy hozzáférést kapjon az említett személyes adatokhoz, valamint az azon címzettek vagy címzettek kategóriáira vonatkozó információkhoz, akikkel, illetve amelyekkel ezeket a személyes adatokat közölték vagy közölni fogják.

31      E tekintetben meg kell jegyezni, hogy a rendelkezésben a „címzettek” és a „címzettek kategóriái” kifejezés egymás után szerepel, de nem lehet arra következtetni, hogy bármilyen rangsor állna fenn közöttük.

32      Meg kell tehát állapítani, hogy az általános adatvédelmi rendelet 15. cikke (1) bekezdése c) pontjának szövegéből nem lehet egyértelműen meghatározni, hogy az érintettnek joga van‑e ahhoz, hogy abban az esetben, ha a rá vonatkozó személyes adatokat valakivel közölték vagy közölni fogják, tájékoztatást kapjon az adatok címzettjeinek konkrét személyazonosságáról.

33      Az általános adatvédelmi rendelet 15. cikke (1) bekezdése c) pontjának szövegkörnyezetét illetően először is emlékeztetni kell arra, hogy a rendelet (63) preambulumbekezdése szerint az érintett számára biztosítani kell a jogot arra, hogy megismerje a személyes adatok címzettjeit, továbbá hogy erről tájékoztatást kapjon, és – amint arra a főtanácsnok az indítványának 23. pontjában rámutatott – nem írja elő azt, hogy ez a jog a címzettek kategóriáira lenne korlátozható.

34      Másodszor emlékeztetni kell arra is, hogy ahhoz, hogy a hozzáféréshez való jogot tiszteletben tartsák, a természetes személyek adatai kezelésének meg kell felelnie az általános adatvédelmi rendelet 5. cikkében rögzített elveknek (lásd ebben az értelemben: 2019. január 16‑i Deutsche Post ítélet, C‑496/17, EU:C:2019:26, 57. pont).

35      Ezen elvek közé tartozik az általános adatvédelmi rendelet 5. cikke (1) bekezdésének a) pontjában említett átláthatóság elve, amely – a rendelet (39) preambulumbekezdésében foglaltak szerint – azt jelenti, hogy az érintett információkkal rendelkezik arról, hogy személyes adatait hogyan dolgozzák fel, és ezek az információk könnyen hozzáférhetők és érthetők.

36      Harmadszor, rá kell mutatni arra, hogy – amint azt a főtanácsnok az indítványának 21. pontjában hangsúlyozta – az általános adatvédelmi rendelet 13. és 14. cikkétől eltérően, amelyek az adatkezelő azon kötelezettségét írják elő, hogy tájékoztassa az érintettet a rá vonatkozó személyes adatok címzettjeinek kategóriáiról vagy konkrét címzettjeiről, ha személyes adatokat gyűjtenek az érintettől, illetve ha a személyes adatokat nem az érintettől szerezték meg, az általános adatvédelmi rendelet 15. cikke tényleges hozzáférési jogot biztosít az érintett számára, és így utóbbi részére választási lehetőséget kell biztosítani arra, hogy – amennyiben ez lehetséges – azon konkrét címzettekre vonatkozó információkhoz kér hozzáférést, akikkel az adatokat közölték vagy közölni fogják, vagy pedig csak a címzettek kategóriáira vonatkozó információkhoz.

37      Negyedszer, a Bíróság korábban már kimondta, hogy e hozzáférési jog gyakorlásának lehetővé kell tennie az érintett számára, hogy ne csak a rá vonatkozó adatok helyességét ellenőrizhesse, hanem azt is, hogy azokat jogszerűen kezelik‑e (lásd analógia útján: 2014. július 17‑i YS és társai ítélet, C‑141/12 és C‑372/12, EU:C:2014:2081, 44. pont; 2017. december 20‑i Nowak ítélet, C‑434/16, EU:C:2017:994, 57. pont), különösen hogy azokat az arra jogosult személyekkel közölték‑e (lásd analógia útján: 2009. május 7‑i Rijkeboer ítélet, C‑553/07, EU:C:2009:293, 49. pont).

38      Ez a hozzáférési jog szükséges ahhoz, hogy az érintett adott esetben gyakorolhassa a helyesbítéshez való jogát, a törléshez való jogát („az elfeledtetéshez való jog”), és az adatkezelés korlátozásához való jogát, amely jogokat az általános adatvédelmi rendelet 16., 17., illetve 18. cikke biztosítja számára (lásd analógia útján: 2014. július 17‑i YS és társai ítélet, C‑141/12 és C‑372/12, EU:C:2014:2081, 44. pont; 2017. december 20‑i Nowak ítélet, C‑434/16, EU:C:2017:994, 57. pont), az általános adatvédelmi rendelet 21. cikkében előírt, személyes adatok kezelése elleni tiltakozáshoz való jogát, és az általános adatvédelmi rendelet 79. és 82. cikkében biztosított kártérítési igényét, amennyiben kár érte (lásd analógia útján: 2009. május 7‑i Rijkeboer ítélet, C‑553/07, EU:C:2009:293, 52. pont).

39      Így tehát a jelen ítélet előző pontjában említett összes jog hatékony érvényesülésének biztosítása érdekében az érintettet megilleti különösen az a jog, hogy tájékoztassák a konkrét címzettek személyazonosságáról abban az esetben, ha személyes adatait már közölték.

40      Ezt az értelmezést támasztja alá ötödször és utolsósorban az általános adatvédelmi rendelet 19. cikkének értelmezése is, amely első mondatában azt írja elő, hogy az adatkezelő főszabály szerint minden olyan címzettet tájékoztat valamennyi személyesadat‑helyesbítésről, ‑törlésről vagy adatkezelés‑korlátozásról, akivel, illetve amellyel a személyes adatot közölték, a második mondatban pedig hogy az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.

41      Így tehát az általános adatvédelmi rendelet 19. cikkének második mondata kifejezetten biztosítja az érintett számára azt a jogot, hogy az adatkezelőtől tájékoztatást kapjon a rá vonatkozó adatok konkrét címzettjeiről, az adatkezelőre háruló azon kötelezettséggel összefüggésben, hogy valamennyi címzettet tájékoztassa az érintettet az általános adatvédelmi rendelet 16. cikke, 17. cikkének (1) bekezdése és 18. cikke alapján megillető jogok gyakorlásáról.

42      A fenti rendszertani elemzésből az következik, hogy az általános adatvédelmi rendelet 15. cikke (1) bekezdésének c) pontja egyike azon rendelkezéseknek, amelyek célja annak biztosítása, hogy a személyes adatok kezelésének módjai átláthatóak legyenek az érintett számára, és lehetővé teszi számára – amint erre a főtanácsnok indítványának 33. pontjában rámutatott –, hogy gyakorolja a többek között az általános adatvédelmi rendelet 16–19., 21., 79. és 82. cikkében előírt előjogokat.

43      Ennélfogva meg kell állapítani, hogy az érintett részére az általános adatvédelmi rendelet 15. cikke (1) bekezdésének c) pontjában előírt hozzáférési jog alapján szolgáltatott információknak a lehető legpontosabbaknak kell lenniük. Ez a hozzáférési jog magában foglalja különösen azt a lehetőséget, hogy az érintett az adatkezelőtől információkat szerezzen be azokról a konkrét címzettekről, akikkel az adatokat közölték vagy közölni fogják, vagylagosan pedig annak lehetőségét, hogy csak a címzettek kategóriáira vonatkozóan kérjen információt.

44      Végül az általános adatvédelmi rendelet által elérni kívánt céllal kapcsolatban meg kell állapítani, hogy az – amint az a rendelet (10) preambulumbekezdéséből is kitűnik – többek között arra irányul, hogy biztosítsa a természetes személyek magas szintű védelmét az Unión belül (2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 207. pont). E tekintetben – amint arra a főtanácsnok az indítványának 14. pontjában lényegében rámutatott – az általános adatvédelmi rendelet által létrehozott általános jogi keret a személyes adatok védelméhez való, az Európai Unió Alapjogi Chartájának 8. cikke által védett alapvető jogból eredő, többek között a 8. cikk (2) bekezdésében kifejezetten előírt követelményeket érvényesíti (lásd ebben az értelemben: 2017. március 9‑i Manni ítélet, C‑398/15, EU:C:2017:197, 40. pont).

45      Ez a célkitűzés pedig alátámasztja az általános adatvédelmi rendelet 15. cikke (1) bekezdésének a jelen ítélet 43. pontjában szereplő értelmezését.

46      Az általános adatvédelmi rendelet által követett célkitűzésből ezért az is következik, hogy az érintettnek joga van ahhoz, hogy az adatkezelőtől tájékoztatást kapjon azokról a konkrét címzettekről, akikkel a rá vonatkozó személyes adatokat közölték vagy közölni fogják.

47      Mindemellett végül hangsúlyozni kell, hogy – amint az az általános adatvédelmi rendelet (4) preambulumbekezdéséből is kitűnik – a személyes adatok védelméhez való jog nem abszolút jog. Ezt a jogot ugyanis a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyúttal az arányosság elvével összhangban biztosítva, hogy egyensúlyban legyen más alapvető jogokkal, amint azt lényegében a Bíróság is megerősítette a 2020. július 16‑i Facebook Ireland és Schrems ítélet (C‑311/18, EU:C:2020:559) 172. pontjában.

48      Ezért elfogadható, hogy bizonyos körülmények között nem lehet konkrét címzettekre vonatkozó információkat szolgáltatni. A hozzáférés joga következésképpen a címzettek kategóriáira vonatkozó információkra korlátozható, ha a konkrét címzettek személyazonosságát nem lehet közölni, különösen, ha azok még nem ismertek.

49      Emlékeztetni kell továbbá arra, hogy az általános adatvédelmi rendelet 12. cikke (5) bekezdésének b) pontja értelmében az adatkezelő a rendelet 5. cikkének (2) bekezdésében, valamint (74) preambulumbekezdésében említett felelősség elvével összhangban megtagadhatja a kérelem alapján történő intézkedést, ha az érintett kérelme egyértelműen megalapozatlan vagy túlzó, a kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása pedig az adatkezelőt terheli.

50      A jelen ügyben az előzetes döntéshozatal iránti kérelemből kitűnik, hogy az Österreichische Post elutasította az RW által az általános adatvédelmi rendelet 15. cikkének (1) bekezdése alapján arra vonatkozóan benyújtott kérelmet, hogy az Österreichische Post ismertesse vele azon címzettek személyazonosságát, akikkel vagy amelyekkel a rá vonatkozó személyes adatokat közölte. A kérdést előterjesztő bíróság feladata annak vizsgálata, hogy az alapügyben fennálló körülményekre tekintettel az Österreichische Post bizonyította‑e ezen kérelem egyértelműen megalapozatlan vagy túlzó jellegét.

51      A fenti megfontolások összességére tekintettel az előzetes döntéshozatalra előterjesztett kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 15. cikke (1) bekezdésének c) pontját úgy kell értelmezni, hogy az érintettnek a rá vonatkozó személyes adatokhoz való, e rendelkezésben előírt hozzáférési joga magában foglalja, hogy abban az esetben, ha ezeket az adatokat a címzettekkel közölték vagy közölni fogják, az adatkezelő köteles megadni az érintettnek a címzettek konkrét személyazonosságát, kivéve ha a címzettek nem azonosíthatók, vagy ha az említett adatkezelő bizonyítja, hogy az érintett kérelmei az általános adatvédelmi rendelet 12. cikkének (5) bekezdése értelmében egyértelműen megalapozatlanok vagy túlzók, amely esetekben az adatkezelő megteheti, hogy az érintettnek csak a szóban forgó címzettek kategóriáit adja meg.

 A költségekről

52      Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (első tanács) a következőképpen határozott:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 15. cikke (1) bekezdésének c) pontját

a következőképpen kell értelmezni:

az érintettnek a rá vonatkozó személyes adatokhoz való, e rendelkezésben előírt hozzáférési joga magában foglalja, hogy abban az esetben, ha ezeket az adatokat a címzettekkel közölték vagy közölni fogják, az adatkezelő köteles megadni az érintettnek a címzettek konkrét személyazonosságát, kivéve ha a címzettek nem azonosíthatók, vagy ha az említett adatkezelő bizonyítja, hogy az érintett kérelmei a 2016/679 rendelet 12. cikkének (5) bekezdése értelmében egyértelműen megalapozatlanok vagy túlzók, amely esetekben az adatkezelő megteheti, hogy az érintettnek csak a szóban forgó címzettek kategóriáit adja meg.

Aláírások

*      Az eljárás nyelve: német.