A BÍRÓSÁG ÍTÉLETE (harmadik tanács)
2024. január 11.(*)
„Előzetes döntéshozatal – Jogszabályok közelítése – A természetes személyeknek a személyes adatok kezelése tekintetében történő védelme és ezen adatok szabad áramlása (általános adatvédelmi rendelet) – (EU) 2016/679 rendelet – A 4. cikk 7. pontja – Az »adatkezelő« fogalma – Tagállami hivatalos lap – A társaságok vagy jogi képviselőik által készített társasági jogi okiratok változatlan formában történő közzétételére vonatkozó kötelezettség – Az 5. cikk (2) bekezdése – Az ilyen okiratokban szereplő személyes adatok egymást követő, több különböző személy vagy szervezet általi kezelése – A felelősségek meghatározása”
A C‑231/22. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a cour d’appel de Bruxelles (Belgium) a Bírósághoz 2022. április 1‑jén érkezett, 2022. február 23‑i határozatával terjesztett elő
az État belge
és
az Autorité de protection des données
között,
LM
részvételével folyamatban lévő eljárásban,
A BÍRÓSÁG (harmadik tanács),
tagjai: K. Jürimäe tanácselnök, N. Piçarra, M. Safjan (előadó), N. Jääskinen és M. Gavalec bírák,
főtanácsnok: L. Medina,
hivatalvezető: C. Strömholm tanácsos,
tekintettel az írásbeli szakaszra és a 2023. március 23‑i tárgyalásra,
figyelembe véve a következők által előterjesztett észrevételeket:
– az Autorité de protection des données képviseletében F. Biebuyck és P. Van Muylder avocates, valamint E. Kairis advocaat,
– a belga kormány képviseletében P. Cottin, J.‑C. Halleux és C. Pochet, meghatalmazotti minőségben, segítőik: S. Kaisergruber és P. Schaffner avocats,
– a magyar kormány képviseletében Biró‑Tóth Zs. és Fehér M. Z., meghatalmazotti minőségben,
– az Európai Bizottság képviseletében A. Bouchagiar, H. Kranenborg és A.‑C. Simon, meghatalmazotti minőségben,
a főtanácsnok indítványának a 2023. június 8‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: általános adatvédelmi rendelet) 4. cikke 7. pontjának és 5. cikke (2) bekezdésének értelmezésére vonatkozik.
2 E kérelmet az État belge (belga állam) és az általános adatvédelmi rendelet 51. cikke alapján Belgiumban létrehozott felügyeleti hatóság, az Autorité de protection des données (adatvédelmi hatóság, Belgium, a továbbiakban: APD) között azon határozat tárgyában folyamatban lévő jogvita keretében terjesztették elő, amellyel e hatóság arra kötelezte a Moniteur belge – az e tagállamban a hivatalos és nyilvános kiadványok széles körének papíron és elektronikus úton történő előállítását és terjesztését biztosító hivatalos lap – irányító hatóságát, hogy tegyen eleget egy természetes személy e hivatalos lapban közzétett okiratban szereplő több személyes adat törléséhez való jogának.
Jogi háttér
Az uniós jog
3 Az általános adatvédelmi rendelet 4. cikkének 2. és 7. pontja a következőképpen rendelkezik:
„E rendelet alkalmazásában:
[…]
2. »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
[…]
7. »adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
[…]”
4 Az általános adatvédelmi rendelet 5. cikke a következőket mondja ki:
„(1) A személyes adatok:
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (»jogszerűség, tisztességes eljárás és átláthatóság«);
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés (»célhoz kötöttség«);
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk (»adattakarékosság«);
d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék (»pontosság«);
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel (»korlátozott tárolhatóság«);
f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (»integritás és bizalmas jelleg«).
(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”
5 Az általános adatvédelmi rendelet 17. cikkének szövege a következő:
„(1) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
[…]
(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:
[…]
b) a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
[…]
d) a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; […]
[…]”
6 Az általános adatvédelmi rendelet 26. cikke értelmében:
„(1) Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 13. és a 14. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.
(2) Az (1) bekezdésben említett megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.
(3) Az érintett az (1) bekezdésben említett megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja az e rendelet szerinti jogait.”
7 Az általános adatvédelmi rendelet 51. cikke többek között úgy rendelkezik, hogy minden tagállamnak elő kell írnia, hogy e rendelet alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv felel.
A belga jog
8 A 2002. december 24‑i loi‑programme (programtörvény, Moniteur belge 2002. december 31., 58686. o.) 472. cikke a következőképpen rendelkezik:
„A Moniteur belge a Moniteur belge igazgatósága által kiadott hivatalos kiadvány, amely mindazokat a szövegeket tartalmazza, amelyeknek a Moniteur belge‑ben való közzétételét elrendelik.”
9 E programtörvény 474. cikke a következőket mondja ki:
„A Moniteur belge igazgatósága általi, a Moniteur belge‑ben történő közzétételre négy nyomtatott példányban kerül sor.
[…]
Egy példányt elektronikusan tárolnak. Az elektronikus tárolás szabályait a Király határozza meg […].”
10 Az említett programtörvény 475. cikkének a szövege a következő:
„Minden egyéb nyilvánosság számára történő hozzáférhetővé tételre a Moniteur belge igazgatóságának honlapján kerül sor.
Az ezen a honlapon hozzáférhetővé tett kiadványok a 474. cikkben előírt nyomtatott példányok elektronikusan megjelenített pontos másolatai.”
11 Ugyanezen programtörvény 475bis cikke értelmében:
„Bármely állampolgár a Moniteur belge ingyenes telefonos ügyfélszolgálatán keresztül, önköltségi áron beszerezheti a Moniteur belge‑től a Moniteur belge‑ben közzétett okiratok és dokumentumok másolatát. E szolgálat feladata továbbá, hogy az állampolgárok számára a dokumentumok keresését segítő szolgáltatást nyújtson.”
12 A 2002. december 24‑i programtörvény 475ter cikke a következőket írja elő:
„A Moniteur belge‑ben található információk minél szélesebb körű terjesztése és az azokhoz való hozzáférés biztosítása érdekében a Minisztertanácsban megvitatott királyi rendelet útján egyéb kiegészítő intézkedéseket kell elfogadni.”
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
13 Belgiumban egy természetes személy rendelkezett egy korlátolt felelősségű társaság többségi részesedésével. Mivel e társaság tagjai úgy határoztak, hogy leszállítják e társaság törzstőkéjét, az említett társaság társasági szerződését a 2019. január 23‑i rendkívüli taggyűlési határozattal módosították.
14 A code des sociétés‑nak (társasági törvénykönyv) az 1999. május 7–i törvény (Moniteur belge, 1999. augusztus 6., 29440. o.) szerinti változata alapján e határozat kivonatát e természetes személy közjegyzője készítette, mielőtt azt a hatáskörrel rendelkező bíróság, vagyis az e társaság székhelye szerinti cégbíróság hivatalához továbbította. A vonatkozó jogszabályi rendelkezések értelmében a bíróság e kivonatot közzététel céljából megküldte a Moniteur belge igazgatóságának.
15 2019. február 12‑én az említett kivonatot változatlan formában, vagyis tartalmának ellenőrzése nélkül tették közzé a Moniteur belge mellékleteiben az alkalmazandó jogszabályi rendelkezéseknek megfelelően.
16 Ugyanezen kivonat tartalmazza az említett társaság törzstőkéjének leszállítására vonatkozó határozatot, e tőke eredeti összegét, az érintett leszállítás összegét, valamint a törzstőke új összegét és ugyanezen társaság társasági szerződésének új szövegét. Tartalmaz továbbá egy olyan szövegrészt, amely feltünteti a társaság két tagjának, köztük a jelen ítélet 13. pontjában említett természetes személynek a nevét, a részükre visszatérített összegeket, valamint a bankszámlaszámaikat (a továbbiakban: az alapeljárás tárgyát képező szövegrész).
17 E természetes személy, miután megállapította, hogy a közjegyzője hibát követett el, amikor a jelen ítélet 14. pontjában említett kivonatba belefoglalta az alapeljárás tárgyát képező szövegrészt, noha azt a törvény nem írta elő, e közjegyző és annak adatvédelmi tisztviselője útján intézkedett e szövegrész törlése iránt az általános adatvédelmi rendelet 17. cikkében előírt törléshez való jogának megfelelően.
18 A Service public fédéral Justice (szövetségi igazságügyi hatóság, a továbbiakban: SPF Justice), amelyhez a Moniteur belge igazgatósága tartozik, a 2019. április 10‑i határozatával megtagadta e törlési kérelem teljesítését.
19 2020. január 21‑én az említett természetes személy panaszt nyújtott be az SPF Justice‑szel szemben az APD‑hez annak megállapítása iránt, hogy e törlési kérelem megalapozott volt, és teljesülnek a törléshez való jog gyakorlásának az általános adatvédelmi rendelet 17. cikkének (1) bekezdésében előírt feltételei.
20 2021. március 23‑i határozatával az ADP „megrovást” küldött az SPF Justice részére, és felszólította ez utóbbit, hogy a lehető leghamarabb, de legkésőbb az e határozatról szóló értesítéstől számított 30 napon belül tegyen eleget az említett törlési kérelemnek.
21 2021. április 22‑én a belga állam a cour d’appel de Bruxelles‑hez (brüsszeli fellebbviteli bíróság, Belgium), a kérdést előterjesztő bírósághoz fordult az említett határozat hatályon kívül helyezése iránt.
22 E bíróság megjegyzi, hogy a felek nem értenek egyet abban a kérdésben, hogy az alapeljárásban hogyan kell értelmezni az általános adatvédelmi rendelet 4. cikkének 7. pontjában szereplő „adatkezelő” fogalmát, mivel az alapeljárás tárgyát képező szövegrészben szereplő személyes adatokat – amelyek közzétételét a törvény nem írja elő – több lehetséges „egymást követő” adatkezelő kezelte. Ezek közé tartozik először is az a közjegyző, aki az alapeljárás tárgyát képező szövegrészt tartalmazó kivonatot ezen adatok tévedésből történő beillesztésével szövegezte meg, másodszor annak a bíróságnak a hivatala, ahová e kivonatot ezt követően benyújtották, mielőtt közzététel céljából a Moniteur belge‑hez továbbították, harmadszor pedig a Moniteur belge, amely a jogállását és feladatait szabályozó jogszabályi rendelkezéseknek megfelelően a kivonatot változatlan formában, vagyis az e bíróságtól való átvételt követően ellenőrzési és módosítási jogkör nélkül közzétette.
23 Ennek keretében a kérdést előterjesztő bíróság arra keres választ, hogy a Moniteur belge az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett „adatkezelőnek” minősíthető‑e. Igenlő válasz esetén, és megjegyezve, hogy az alapeljárásban részt vevő felek nem hivatkoznak az általános adatvédelmi rendelet 26. cikkében előírt közös felelősségre, e bíróság azt is meg kívánja tudni, hogy e rendelet 5. cikkének (2) bekezdése értelmében a Moniteur belge önállóan felel‑e az említett rendelet 5. cikkének (1) bekezdésében rögzített elveknek való megfelelésért, vagy pedig e felelősség együttesen terheli azokat a közjogi szerveket is, amelyek előzetesen kezelték az alapeljárás tárgyát képező szövegrészben szereplő adatokat, vagyis az e szövegrészt tartalmazó kivonatot készítő közjegyzőt, és azt a cégbíróságot, amelynek illetékességi területén az érintett korlátolt felelősségű társaság székhelye található.
24 E körülmények között a cour d’appel de Bruxelles (brüsszeli fellebbviteli bíróság) úgy határozott, hogy felfüggeszti az eljárást, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
„1) Úgy kell‑e értelmezni az általános adatvédelmi rendelet 4. cikkének 7. pontját, hogy adatkezelőnek minősül valamely tagállam hivatalos lapja, amely hivatalos iratok közétételére és archiválására irányuló közfeladatot lát el, és amely anélkül, hogy a nemzeti jogalkotó a közzétételre kerülő dokumentumok tartalmával, illetve a közzététel céljaival és eszközeivel kapcsolatos mérlegelési jogkörrel ruházta volna fel, más közigazgatási szervek rendelkezése alapján köteles közzétenni azokat az okiratokat és dokumentumokat, amelyeket e szervek azt követően küldenek meg e hivatalos lap részére, hogy az azokban szereplő személyes adatokat maguk is kezelték?
2) Az első kérdésre adott igenlő válasz esetén úgy kell‑e értelmezni az általános adatvédelmi rendelet 5. cikkének (2) bekezdését, hogy e rendelkezés értelmében kizárólag a szóban forgó hivatalos lap felel az adatkezelőre háruló kötelezettségek tiszteletben tartásáért, ami kizárja azon egyéb közigazgatási szervek felelősségét, amelyek az általuk közzétenni kért okiratokban és hivatalos dokumentumokban szereplő adatokat korábban kezelték, vagy e kötelezettségek együttesen vonatkoznak minden egyes egymást követően közreműködő adatkezelőre?”
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az első kérdésről
25 Első kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 4. cikkének 7. pontját úgy kell‑e értelmezni, hogy valamely tagállam hivatalos lapjáért felelős ügynökség vagy szerv – amely ezen állam jogszabályai értelmében többek között változatlan formában köteles közzétenni azokat a hivatalos okiratokat és dokumentumokat, amelyeket harmadik személyek készítettek saját felelősségükre az alkalmazandó szabályok betartásával, és ezt követően benyújtották valamely igazságügyi hatósághoz, amely azokat közzététel céljából megküldi ezen ügynökségnek vagy szervnek – az ezen okiratokban és dokumentumokban szereplő személyes adatok „adatkezelőjének” minősül az előbbi rendelkezés értelmében.
26 Elöljáróban pontosítani kell, hogy az „adatkezelőnek” az általános adatvédelmi rendelet 4. cikkének 7. pontjában szereplő fogalma feltételezi a személyes adatok e rendelet 4. cikkének 2. pontja értelmében vett „adatkezelését”. A jelen ügyben az előzetes döntéshozatalra utaló határozatból kitűnik, hogy az alapeljárás tárgyát képező szövegrészben szereplő személyes adatokat a Moniteur belge kezelte. Még ha a kérdést előterjesztő bíróság nem is fejti ki részletesen ezen adatkezelést, az APD és a belga kormány egybehangzó írásbeli észrevételeiből kitűnik, hogy ezeket az adatokat a Moniteur belge legalábbis gyűjtötte, rögzítette, tárolta, továbbítás útján közölte és terjesztette, mivel az ilyen műveletek az említett rendelet 4. cikkének 2. pontja értelmében vett „adatkezelésnek” minősülnek.
27 Ezen előzetes pontosításra figyelemmel emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében az „adatkezelő” fogalma magában foglalja azokat a természetes vagy jogi személyeket, közhatalmi szerveket, ügynökségeket vagy bármely egyéb szervet, amelyek önállóan vagy másokkal együtt meghatározzák az adatkezelés céljait és eszközeit. E rendelkezés azt is kimondja, hogy amennyiben az adatkezelés céljait és eszközeit többek között valamely tagállam joga határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat e jog is meghatározhatja.
28 E tekintetben emlékeztetni kell arra, hogy a Bíróság ítélkezési gyakorlata szerint e rendelkezés az „adatkezelő” fogalmának tág meghatározásával arra irányul, hogy az érintetteknek hatékony és teljes védelmet biztosítson (lásd ebben az értelemben: 2023. december 5‑i Nacionalinis visuoemės sveikatos centras ítélet, C‑683/21, EU:C:2023:949, 29. pont; 2023. december 5‑i Deutsche Wohnen ítélet, C‑807/21, EU:C:2023:950, 40. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
29 Figyelemmel az általános adatvédelmi rendelet 4. cikke 7. pontjának az e céllal összefüggésben értelmezett szövegére, egyértelmű, hogy annak meghatározásához, hogy valamely személyt vagy szervezetet az e rendelkezés értelmében vett „adatkezelőnek” kell‑e minősíteni, azt kell megvizsgálni, hogy e személy vagy szervezet önállóan vagy másokkal együtt határozza‑e meg az adatkezelés céljait és eszközeit, vagy azokat a nemzeti jog határozza‑e meg. Amennyiben ezt a nemzeti jog határozza meg, meg kell vizsgálni, hogy e jog kijelöli‑e az adatkezelőt, vagy meghatározza‑e a kijelölésére vonatkozó különös szempontokat.
30 E tekintetben pontosítani kell, hogy az „adatkezelőnek” az általános adatvédelmi rendelet 4. cikkének 7. pontja szerinti fogalma tág meghatározására tekintettel az adatkezelés céljainak és eszközeinek meghatározása – és adott esetben ezen adatkezelő nemzeti jog általi kijelölése – nem csupán kifejezett, hanem hallgatólagos is lehet. Ez utóbbi esetben azonban szükséges, hogy e meghatározás kellő bizonyossággal következzen az érintett személy vagy szervezet szerepéből, feladataiból és hatásköreiből. E személyek védelmét ugyanis csökkentené az általános adatvédelmi rendelet 4. cikke 7. pontjának olyan megszorító értelmezése, hogy az csak azokra az esetekre terjedne ki, amelyekben a személy, közhatalmi szerv, ügynökség vagy szerv által végzett adatkezelés céljait és eszközeit a nemzeti jog kifejezetten meghatározza, még akkor is, ha e célok és eszközök lényegében az érintett szervezet tevékenységét szabályozó jogszabályi rendelkezésekből erednek.
31 A jelen ügyben először is a kérdést előterjesztő bíróság pontosítja, hogy az alapeljárásban a nemzeti jog vélhetően nem hatalmazza fel a Moniteur belge‑t az általa végzett adatkezelés céljainak és eszközeinek meghatározására, mivel az előzetes döntéshozatalra előterjesztett első kérdést ezen előfeltevésből kiindulva tette fel. Az APD és a belga kormány által a tárgyaláson előadott egybehangzó magyarázatokból egyébiránt kitűnik, hogy a Moniteur belge‑t irányító közhatalmi szervet, vagyis az SPF Justice‑t sem ruházza fel vélhetően a nemzeti jog ilyen jogkörrel.
32 Másodszor, a Bíróság rendelkezésére álló iratokból kitűnik, hogy a Moniteur belge részére közzététel céljából továbbított okiratokban és dokumentumokban szereplő személyes adatokat lényegében abból a célból gyűjtik, rögzítik, tárolják és teszik közzé, hogy hivatalosan tájékoztassák a nyilvánosságot ezen okiratok és dokumentumok létezéséről, és hogy azok harmadik személyekkel szemben érvényesíthetővé váljanak.
33 A kérdést előterjesztő bíróság magyarázataiból ezenkívül kitűnik, hogy az adatkezelés alapvetően automatizált eszközök segítségével történik: az érintett adatokat többek között papírra nyomtatott példányokra másolják, amelyek közül egyet elektronikusan tárolnak, a papíralapú példányokat elektronikus formában másolják a Moniteur belge honlapjára, és az érdeklődők másolatot kaphatnak a telefonos ügyfélszolgálat útján, amelynek feladata, hogy a polgárok számára a dokumentumok keresését segítő szolgáltatást nyújtson.
34 A Bíróság rendelkezésére álló iratokból tehát az következik, hogy a belga jog – legalábbis hallgatólagosan – meghatározta a személyes adatok Moniteur belge általi kezelésének céljait és eszközeit.
35 E körülmények között meg kell jegyezni, hogy a Moniteur belge – mint a kiadványaiban szereplő személyes adatoknak a belga jogszabályok által előírt adatkezelési céloknak és eszközöknek megfelelő kezeléséért felelős ügynökség vagy szerv – az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett „adatkezelőnek” tekinthető.
36 E megállapítást nem kérdőjelezi meg az a körülmény, hogy az SPF Justice alá rendelt szervként a Moniteur belge nem rendelkezik jogi személyiséggel. E rendelkezés egyértelmű szövegéből ugyanis kitűnik, hogy az adatkezelő nemcsak természetes vagy jogi személy, hanem közhatalmi szerv, ügynökség vagy szerv is lehet, mivel az ilyen szervezetek a nemzeti jog alapján nem feltétlenül rendelkeznek jogi személyiséggel.
37 Ugyanígy az a tény, hogy a nemzeti jog értelmében a Moniteur belge az e hivatalos lapban való közzétételük előtt nem ellenőrzi az említett lap által kapott okiratokban és dokumentumokban szereplő személyes adatokat, nem befolyásolhatja azt a kérdést, hogy a Moniteur belge adatkezelőnek minősíthető‑e.
38 Noha igaz, hogy a Moniteur belge‑nek az érintett dokumentumot változatlan formában kell közzétennie, kizárólag az ő feladata a közzététel, majd ezt követően az érintett okirat vagy dokumentum terjesztése. Egyrészt az ilyen okiratoknak és dokumentumoknak az ellenőrzés vagy a tartalmuk módosításának lehetősége nélküli közzététele elválaszthatatlanul kapcsolódik az adatkezelés nemzeti jog által meghatározott céljaihoz és eszközeihez, mivel a Moniteur belge‑hez hasonló hivatalos lap szerepe arra korlátozódik, hogy tájékoztassa a nyilvánosságot ezen okiratok és dokumentumok létezéséről, ahogyan azokat az alkalmazandó nemzeti jognak megfelelően másolat formájában e laphoz továbbították, oly módon, hogy azokra harmadik személyekkel szemben hivatkozni lehessen. Másrészt ellentétes lenne az általános adatvédelmi rendelet 4. cikke 7. pontjának a jelen ítélet 28. pontjában említett céljával valamely tagállam hivatalos lapjának az „adatkezelő” fogalma alól abból az okból történő kizárása, hogy ez utóbbi nem gyakorol ellenőrzést a kiadványaiban szereplő személyes adatok fölött (lásd analógia útján: 2014. május 13‑i Google Spain és Google ítélet, C‑131/12, EU:C:2014:317, 34. pont).
39 A fenti indokokra tekintettel az első kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 4. cikkének 7. pontját úgy kell értelmezni, hogy valamely tagállam hivatalos lapjáért felelős ügynökség vagy szerv – amely ezen állam jogszabályai értelmében többek között változatlan formában köteles közzétenni azokat a hivatalos okiratokat és dokumentumokat, amelyeket harmadik személyek készítettek saját felelősségükre az alkalmazandó szabályok betartásával, és ezt követően benyújtották valamely igazságügyi hatósághoz, amely azokat közzététel céljából megküldi ezen ügynökségnek vagy szervnek – jogi személyiségének hiánya ellenére az ezen okiratokban és dokumentumokban szereplő személyes adatok „adatkezelőjének” minősíthető, amennyiben az érintett nemzeti jog meghatározza a személyes adatok e hivatalos lap általi kezelésének céljait és eszközeit.
A második kérdésről
40 Második kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 5. cikkének (2) bekezdését úgy kell‑e értelmezni, hogy a valamely tagállam hivatalos lapjáért felelős, az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett „adatkezelőnek” minősülő ügynökséget vagy szervet önálló felelősnek kell tekinteni az általános adatvédelmi rendelet 5. cikkének (1) bekezdésében említett elveknek való megfelelésért, vagy pedig e kötelezettség együttesen terheli ezen ügynökséget vagy szervet, valamint azon harmadik fél közjogi szervezeteket, amelyek előzetesen kezelték az említett hivatalos lap által közzétett okiratokban és dokumentumokban szereplő személyes adatokat.
41 Mindenekelőtt emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 5. cikkének (2) bekezdése értelmében az adatkezelő felel az e cikk (1) bekezdésében foglalt kötelezettségek formájában előírt elveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.
42 A jelen ügyben a Bíróság rendelkezésére álló iratokból kitűnik, hogy az alapeljárásban szóban forgó személyes adatoknak a Moniteur belge‑re bízott kezelése későbbi is, mint a közjegyző és a hatáskörrel rendelkező bíróság hivatala által végzett adatkezelés, és technikailag is eltér az e két szerv által végzett adatkezeléstől, amennyiben azokat kiegészíti. A Moniteur belge által végzett műveleteket ugyanis a nemzeti jogszabály írja elő a számára, és azok magukban foglalják többek között a hozzá benyújtott okiratokban vagy azok kivonataiban szereplő adatok digitális átalakítását, azok közzétételét, széles nyilvánosság számára történő hozzáférhetővé tételét, valamint tárolását.
43 Ennélfogva úgy kell tekinteni, hogy a Moniteur belge az általános adatvédelmi rendelet 5. cikkének (2) bekezdése értelmében felelős az e cikk (1) bekezdésében említett elveknek való megfelelésért azon adatkezelések tekintetében, amelyekre a nemzeti jog alapján köteles, és ennélfogva az általános adatvédelmi rendelet által az adatkezelővel szemben előírt valamennyi kötelezettségért.
44 Ezt követően, figyelembe véve a kérdést előterjesztő bíróság arra vonatkozó kérdéseit, hogy az ilyen hivatalos lap önállóan felelős‑e ezen adatkezelésért, emlékeztetni kell arra, amint az az általános adatvédelmi rendelet 4. cikke 7. pontjának szövegéből következik, hogy e rendelkezés nemcsak azt írja elő, hogy a személyes adatok kezelésének céljait és eszközeit adatkezelőként több személy együttesen is meghatározhatja, hanem azt is, hogy a nemzeti jog maga is meghatározhatja e célokat és eszközöket, és kijelölheti az adatkezelőt vagy a kijelölésére vonatkozó különös szempontokat.
45 Így a különböző személyek vagy szervezetek által végzett, ugyanazon személyes adatokra vonatkozó adatkezelési lánc keretében a nemzeti jog meghatározhatja az e különböző személyek vagy szervezetek által egymást követően végzett adatkezelések összességének céljait és eszközeit oly módon, hogy azok közös adatkezelőnek minősüljenek.
46 Egyébiránt emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 26. cikkének (1) bekezdése közös felelősséget ír elő arra az esetre, ha a személyes adatok kezelésének céljait és eszközeit két vagy több adatkezelő közösen határozza meg. E rendelkezés azt is kimondja, hogy a közös adatkezelőknek a közöttük létrejött megállapodás révén átlátható módon kell meghatározniuk az e rendelet követelményeinek való megfelelés biztosítására vonatkozó kötelezettségeiket, kivéve, ha és amennyiben a kötelezettségeiket az uniós jog vagy a rájuk alkalmazandó tagállami jog határozza meg.
47 Az említett rendelkezésből így az következik, hogy a személyes adatok kezeléséért felelős közös adatkezelők kötelezettségei nem feltétlenül a különböző adatkezelők közötti megállapodás fennállásától függnek (lásd ebben az értelemben: 2023. december 5‑i Nacionalinis visuomenės sveikatos centras ítélet, C‑683/21, EU:C:2023:949, 44. és 45. pont), hanem eredhetnek a nemzeti jogból is.
48 A Bíróság ezenkívül megállapította egyrészt azt, hogy az adatkezelésért való közös felelősséghez elegendő, ha egy személy befolyásolja a személyes adatok saját céljaira történő kezelését, és ezáltal részt vesz ezen adatkezelés céljainak és eszközeinek meghatározásában, másrészt pedig azt, hogy több szereplő ugyanazon adatkezelésért való közös felelőssége nem feltételezi, hogy mindegyikük hozzáféréssel rendelkezik az érintett személyes adatokhoz (lásd ebben az értelemben: 2023. december 5‑i Nacionalinis visuomenės sveikatos centras ítélet, C‑683/21, EU:C:2023:949, 40–43. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
49 A jelen ítélet 44–48. pontjából következően az általános adatvédelmi rendelet 26. cikke (1) bekezdésének és 4. cikke 7. pontjának együttesen értelmezett rendelkezései értelmében a nemzeti jog megállapíthatja az ugyanazon személyes adatokra vonatkozó adatkezelési lánc több szereplőjének közös felelősségét, amennyiben a különböző adatkezelési műveleteket az e jog által meghatározott célok és eszközök kötik össze, és e jog meghatározza a közös adatkezelők mindegyikének kötelezettségeit.
50 Pontosítani kell, hogy a láncolat több szereplője által végzett különböző adatkezeléseket összekötő célokat és eszközöket, valamint e szereplők kötelezettségeit a nemzeti jog nemcsak közvetlenül, hanem közvetetten is meghatározhatja, feltéve ez utóbbi esetben, hogy az kellően egyértelműen levezethető az érintett személyekre vagy szervezetekre, valamint az e jog által előírt adatkezelési lánc keretében általuk végzett személyesadat‑kezelésre vonatkozó jogszabályi rendelkezésekből.
51 Végül mindenesetre pontosítani kell, hogy abban az esetben, ha a kérdést előterjesztő bíróság arra a következtetésre jutna, hogy a Moniteur belge‑ért felelős ügynökség vagy szerv nem önállóan, hanem másokkal együtt felelős az általános adatvédelmi rendelet 5. cikkének (1) bekezdésében említett elveknek való megfelelésért az alapeljárástárgyát képező szövegrészletben szereplő adatok tekintetében, az ilyen megállapítás egyáltalán nem befolyásolná azt a kérdést, hogy többek között az általános adatvédelmi rendelet 17. cikke (3) bekezdésének b) és d) pontjában foglalt kivételekre tekintettel helyt kell‑e adni a jelen ítélet 13. pontjában említett természetes személy által előterjesztett törlési kérelemnek.
52 A fenti indokokra tekintettel a második kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 5. cikkének (2) bekezdését a rendelet 4. cikkének 7. pontjával és 26. cikkének (1) bekezdésével összefüggésben úgy kell értelmezni, hogy a valamely tagállam hivatalos lapjáért felelős, az e rendelet 4. cikkének 7. pontja értelmében vett „adatkezelőnek” minősülő ügynökség vagy szerv önállóan felelős az 5. cikkének (1) bekezdésében említett elveknek való megfelelésért a személyes adatok azon kezelésére vonatkozóan, amelyet a nemzeti jog értelmében köteles elvégezni, kivéve, ha e jogból e műveletek tekintetében más szervezetekkel közös felelősség következik.
A költségekről
53 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (harmadik tanács) a következőképpen határozott:
1) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 4. cikkének 7. pontját
a következőképpen kell értelmezni:
a valamely tagállam hivatalos lapjáért felelős ügynökség vagy szerv – amely ezen állam jogszabályai értelmében többek között változatlan formában köteles közzétenni azokat a hivatalos okiratokat és dokumentumokat, amelyeket harmadik személyek készítettek saját felelősségükre az alkalmazandó szabályok betartásával, és ezt követően benyújtották valamely igazságügyi hatósághoz, amely azokat közzététel céljából megküldi ezen ügynökségnek vagy szervnek – jogi személyiségének hiánya ellenére az ezen okiratokban és dokumentumokban szereplő személyes adatok „adatkezelőjének” minősíthető, amennyiben az érintett nemzeti jog meghatározza a személyes adatok e hivatalos lap általi kezelésének céljait és eszközeit.
2) A 2016/679 rendelet 5. cikkének (2) bekezdését a rendelet 4. cikkének 7. pontjával és 26. cikkének (1) bekezdésével összefüggésben
a következőképpen kell értelmezni:
a valamely tagállam hivatalos lapjáért felelős, az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett „adatkezelőnek” minősülő ügynökség vagy szerv önállóan felelős az 5. cikkének (1) bekezdésében említett elveknek való megfelelésért a személyes adatok azon kezelésére vonatkozóan, amelyet a nemzeti jog értelmében köteles elvégezni, kivéve ha e jogból e műveletek tekintetében más szervezetekkel közös felelősség következik.
Aláírások