A BÍRÓSÁG ÍTÉLETE (nagytanács)
2024. március 21.(*)
„Előzetes döntéshozatal – (EU) 2019/1157 rendelet – Az uniós polgárok személyazonosító igazolványai biztonságának megerősítése – Érvényesség – Jogalap – Az EUMSZ 21. cikk (2) bekezdése – Az EUMSZ 77. cikk (3) bekezdése – (EU) 2019/1157 rendelet – A 3. cikk (5) bekezdése – A tagállamok azon kötelezettsége, hogy a személyazonosító igazolványok adathordozójába két ujjnyomatot interoperábilis digitális formátumban beillesszenek – Az Európai Unió Alapjogi Chartájának 7. cikke – A magán‑ és a családi élet tiszteletben tartása – Az Alapjogi Charta 8. cikke – A személyes adatok védelme – (EU) 2016/679 rendelet – 35. cikk – Adatvédelmi hatásvizsgálat elvégzésére vonatkozó kötelezettség – Valamely érvénytelennek nyilvánított rendelet joghatásainak ideiglenes fenntartása”
A C‑61/22. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság, Németország) a Bírósághoz 2022. február 1‑jén érkezett, 2022. január 13‑i határozatával terjesztett elő az
RL
és
a Landeshauptstadt Wiesbaden
között folyamatban lévő eljárásban,
A BÍRÓSÁG (nagytanács),
tagjai: K. Lenaerts elnök, L. Bay Larsen elnökhelyettes, A. Arabadjiev, A. Prechal, E. Regan (előadó), T. von Danwitz, F. Biltgen és Csehi Z. tanácselnökök, J.‑C. Bonichot, S. Rodin, D. Gratsias, M. L. Arastey Sahún és M. Gavalec bírák,
főtanácsnok: L. Medina,
hivatalvezető: D. Dittert egységvezető,
tekintettel az írásbeli szakaszra és a 2023. március 14‑i tárgyalásra,
figyelembe véve a következők által előterjesztett észrevételeket:
– RL képviseletében W. Achelpöhler Rechtsanwalt,
– a német kormány képviseletében J. Möller és P.‑L. Krüger, meghatalmazotti minőségben,
– a belga kormány képviseletében P. Cottin és A. Van Baelen, meghatalmazotti minőségben, segítőjük: P. Wytinck advocaat,
– a spanyol kormány képviseletében L. Aguilera Ruiz, meghatalmazotti minőségben,
– a lengyel kormány képviseletében B. Majczyna, meghatalmazotti minőségben,
– az Európai Parlament képviseletében G. C. Bartram, P. López‑Carceller és J. Rodrigues, meghatalmazotti minőségben,
– az Európai Unió Tanácsa képviseletében M. França és Z. Šustr, meghatalmazotti minőségben,
– az Európai Bizottság képviseletében H. Kranenborg, E. Montaguti és I. Zaloguin, meghatalmazotti minőségben,
a főtanácsnok indítványának a 2023. június 29‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem az uniós polgárok személyazonosító igazolványai és a szabad mozgás jogával élő uniós polgárok és azok családtagjai részére kiállított tartózkodási okmányok biztonságának megerősítéséről szóló, 2019. június 20‑i (EU) 2019/1157 európai parlamenti és tanácsi rendelet (HL 2019. L 188., 67. o.), különösen pedig a 3. cikke (5) bekezdésének érvényességére vonatkozik.
2 E kérelmet az RL és a Landeshauptstadt Wiesbaden (Wiesbaden tartományi főváros, Németország) között annak tárgyában folyamatban lévő jogvita keretében terjesztették elő, hogy ez utóbbi elutasította az RL ujjnyomatot nem tartalmazó személyazonosító igazolvány kiállítása iránti kérelmét.
I. Jogi háttér
A. Az uniós jog
1. A 2019/1157 rendelet
3 A 2019/1157 rendelet (1), (2), (4), (5), (17)–(21), (23), (26)–(29), (32), (33), (36), (40)–(42) és (46) preambulumbekezdésének szövege a következő:
„(1) Az [EU‑Szerződésben] elhatározták, hogy – miközben biztosítják az európai népek védelmét és biztonságát – megkönnyítik a személyek szabad mozgását azáltal, hogy az [EU‑Szerződés] és az [EUM‑Szerződés] rendelkezéseinek megfelelően létrehoznak egy, a szabadságon, a biztonságon és a jog érvényesülésén alapuló térséget.
(2) Az uniós polgárság az [Európai] Unió valamennyi polgárát felruházza a szabad mozgás jogával, bizonyos korlátozások és feltételek mellett. E jogot [az Unió polgárainak és családtagjaiknak a tagállamok területén történő szabad mozgáshoz és tartózkodáshoz való jogáról, valamint az 1612/68/EGK rendelet módosításáról, továbbá a 64/221/EGK, a 68/360/EGK, a 72/194/EGK, a 73/148/EGK, a 75/34/EGK, a 75/35/EGK, a 90/364/EGK, a 90/365/EGK és a 93/96/EGK irányelv hatályon kívül helyezéséről szóló, 2004. április 29‑i 2004/38/EK európai parlamenti és tanácsi rányelv (HL 2004. L 158., 77. o.; magyar nyelvű különkiadás 5. fejezet, 5. kötet, 46. o.; helyesbítés: HL 2009. L 274., 47. o.)] juttatja érvényre. Az Európai Unió Alapjogi Chartájának (a továbbiakban: a Charta) 45. cikke szintén rendelkezik a szabad mozgásról és tartózkodásról. A szabad mozgás magában foglalja az érvényes személyazonosító igazolvánnyal vagy útlevéllel a tagállamok területéről való kiutazás és az oda való beutazás jogát.
[…]
(4) A [2004/38] irányelv úgy rendelkezik, hogy a tagállamok elfogadhatják a szükséges intézkedéseket, hogy megtagadják, megszüntessék vagy visszavonják az említett irányelv által biztosított bármely jogot, joggal való visszaélés vagy csalás esetében. Az okmányok hamisítását és a tartózkodási jogra vonatkozó feltételekkel kapcsolatos lényeges tények hamis feltüntetését azonosították az említett irányelvvel összefüggésben elkövetett csalás jellemző eseteiként.
(5) A tagállamok által kiállított nemzeti személyazonosító igazolványok, valamint a más tagállamban tartózkodó uniós polgárok és családtagjaik számára kiállított tartózkodási engedélyek biztonsági szintje jelentősen eltér. Ezen eltérések növelik a meghamisítás és az okmányokkal való visszaélés kockázatát, és gyakorlati nehézségeket is okoznak a polgároknak, amikor azok élni kívánnak a szabad mozgáshoz való jogukkal. Az okmányhamisítás kockázatait elemző európai hálózat statisztikái azt mutatják, hogy a hamisított személyazonosító igazolványokkal kapcsolatos esetek száma az idő múlásával emelkedett.
[…]
(17) A biztonsági elemek szükségesek az okmány hitelességének ellenőrzéséhez és az egyén személyazonosságának megállapításához. A biztonsági minimumszabályok meghatározása, valamint a biometrikus adatoknak a személyazonosító igazolványokba és az olyan családtagok tartózkodási kártyáiba való beillesztése, akik nem valamelyik tagállam állampolgárai, fontos lépést jelent afelé, hogy biztonságosabbá váljon az érintett okmányok Unión belüli használata. Az ilyen biometrikus azonosítók alkalmazása elősegíti azt is, hogy az uniós polgárok teljes mértékben élhessenek a szabad mozgáshoz való jogukkal.
(18) Az arcképnek és két ujjnyomatnak (a továbbiakban: a biometrikus adatok) a személyazonosító igazolványokon és tartózkodási kártyákon történő tárolása, ami a harmadik országbeli állampolgárok biometrikus útlevelei és tartózkodási engedélyei esetében már előírás, megfelelő módon ötvözi a megbízható személyazonosítást és hitelesítést mérsékelt csalási kockázat fennállása mellett, a személyazonosító igazolványok és tartózkodási kártyák biztonságának megerősítése céljából.
(19) Általános gyakorlatként az okmányok hitelességének és a birtokos személyazonosságának ellenőrzése céljából a tagállamoknak elsősorban az arcképet kell ellenőrizniük, és amennyiben az okmány hitelességének és a birtokos személyazonosságának kétséget kizáró megerősítésére van szükség, a tagállamoknak az ujjnyomatokat is ellenőrizniük kell.
(20) A tagállamoknak biztosítaniuk kell, hogy azokban az esetekben, amikor a biometrikus adatok ellenőrzése nem erősíti meg az okmány hitelességét vagy birtokosának személyazonosságát, a szakképzett személyzet kötelező manuális ellenőrzést hajtson végre.
(21) Ez a rendelet nem szolgáltat jogalapot a biometrikus adatok tárolására vonatkozó nemzeti szintű tagállami adatbázisok létrehozására és fenntartására, amelyre az adatvédelemre vonatkozó uniós jognak megfelelő nemzeti jog vonatkozik. Továbbá e rendelet nem szolgáltat jogalapot egy uniós szintű központi adatbázis létrehozásához vagy fenntartásához.
[…]
(23) E rendelet alkalmazásában [a Nemzetközi Polgári Repülési Szervezet (ICAO)] 9303. sz. dokumentumában meghatározott azon jellemzőket kell figyelembe venni, amelyek biztosítják a globális interoperabilitást többek között a gép általi olvashatóság és a szemrevételezés tekintetében.
[…]
(26) A tagállamoknak gondoskodniuk kell arról, hogy a biometrikus azonosítók gyűjtése tekintetében megfelelő és hatékony eljárások álljanak rendelkezésre, amely eljárások megfelelnek a Chartában, az Európa Tanács emberi jogok és alapvető szabadságok védelméről szóló[, Rómában 1950. november 4‑én aláírt egyezményben (kihirdette. az 1993. évi XXXI. törvény)], valamint [az Egyesült Nemzetek Közgyűlése által 1989. november 20‑án elfogadott, 1990. szeptember 2‑án hatályba lépett, a gyermekek jogairól szóló ENSZ‑egyezményben (Recueil des traités des Nations unies, 1577. kötet, 3. o.)] meghatározott jogoknak és elveknek. A tagállamoknak gondoskodniuk kell arról, hogy a gyermek mindenek felett álló érdeke az adatgyűjtési eljárás egésze során elsődleges szempont legyen. Ennek érdekében a szakképzett személyzetnek megfelelő képzésben kell részesülnie a biometrikus azonosítók gyűjtésének gyermekbarát gyakorlatairól.
(27) Amennyiben nehézségekkel jár a biometrikus azonosítók gyűjtése, a tagállamok biztosítják, hogy megfelelő eljárások álljanak rendelkezésre az érintett személy méltóságának tiszteletben tartására. Ezért figyelembe kell venni a nemekhez, valamint a gyermekek és a különleges bánásmódot igénylő személyek sajátos igényeihez kapcsolódó egyedi megfontolásokat.
(28) A személyazonosító igazolványok biztonságára és formátumára vonatkozó minimumszabályok bevezetése lehetővé teszi a tagállamok számára, hogy ezen okmányok hitelességére támaszkodhassanak a szabad mozgáshoz való jogukkal élő uniós polgárok esetében. A megerősített biztonsági szabályok bevezetésének kielégítő garanciát kell nyújtania a hatóságok és a magánszervezetek számára ahhoz, hogy az uniós polgárok által személyazonosítási célból használt személyazonosító igazolványok hitelességére támaszkodhassanak.
(29) Az okmányt kiállító tagállam kék négyszögben negatív nyomtatással készített, tizenkét sárga csillaggal körülvett kétbetűs országkódja olyan megkülönböztető jel, amely megkönnyíti az okmány szemrevételezéssel történő ellenőrzését, különösen akkor, amikor birtokosa a szabad mozgáshoz fűződő jogát gyakorolja.
[…]
(32) A tagállamoknak minden szükséges lépést meg kell tenniük annak biztosítása érdekében, hogy a biometrikus adatok helyesen azonosítsák azt a személyt, aki számára a személyazonosító igazolványt kiállítják. E célból a tagállamoknak meg kell fontolniuk a biometrikus azonosítók, különösen az arcképek, személyazonosító igazolványokat kiállító nemzeti hatóságok általi valós idejű nyilvántartásba vétellel történő begyűjtését.
(33) A tagállamok kötelesek megosztani egymással a biztonságos adathordozón tárolt információkhoz való hozzáféréshez, az azok hitelesítéséhez és ellenőrzéséhez szükséges információkat. A biztonságos adathordozókhoz használt formátumoknak interoperábilisaknak kell lenniük, többek között az automatizált határátkelőhelyek tekintetében is.
[…]
(36) Az uniós polgárok számára kiállított tartózkodási okmányoknak tartalmazniuk kell olyan meghatározott információkat, amelyek biztosítják, hogy azokat az összes tagállamban ilyen okmányként azonosítsák. Ez meg kell, hogy könnyítse az uniós polgárok számára, hogy éljenek a szabad mozgás jogával és az ehhez kapcsolódó jogokkal, ugyanakkor a harmonizáció nem lehet nagyobb mértékű, mint ami a jelenlegi okmányok gyengeségeinek kiküszöbölése érdekében helyénvaló. A tagállamok szabadon megválaszthatják, hogy milyen formátumban állítják ki ezeket az okmányokat, ám azokat csak az ICAO 9303. sz. dokumentumában szereplő előírásoknak megfelelő formátumban állíthatják ki.
[…]
(40) [A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: általános adatvédelmi rendelet] alkalmazandó az e rendelet alkalmazásával összefüggésben kezelendő személyes adatok tekintetében. Szükség van a kezelt személyes adatokra vonatkozó biztosítékok további pontosítására, különösen a különleges adatok, mint például a biometrikus azonosítók tekintetében. Az érintetteket tájékoztatni kell arról, hogy okmányaikban egy a biometrikus adataikat tartalmazó adathordozó található, ezen belül ennek kontaktmentes hozzáférhetőségéről, valamint a személyazonosító igazolványaikban és tartózkodási okmányaikban megtalálható adatok felhasználásának minden esetéről. Az érintettek számára mindenképpen hozzáférést kell biztosítani a személyazonosító igazolványaikban és tartózkodási okmányaikban kezelt személyes adatokhoz, és hibás vagy hiányos adatok esetében új okmány kiállítása révén biztosítani kell számukra az azok helyesbítéséhez való jogot. Az adathordozónak kiemelten biztonságosnak kell lennie, és hatékony védelmet kell nyújtania a rajta tárolt személyes adatoknak a jogosulatlan hozzáféréssel szemben.
(41) A tagállamoknak felelőseknek kell lenniük a biometrikus adatok megfelelő kezeléséért, az adatok gyűjtésétől azoknak a kiemelten biztonságos adathordozón történő tárolásáig, az [általános adatvédelmi] rendelettel összhangban.
(42) A tagállamoknak különös körültekintéssel kell eljárniuk, amikor külső szolgáltatóval működnek együtt. Az ilyen együttműködés nem zárhatja ki a tagállamnak a személyes adatokkal kapcsolatos kötelezettségek megsértése miatt az uniós vagy a nemzeti jog alapján keletkező felelősségét.
[…]
(46) Mivel e rendelet céljait, nevezetesen a biztonság megerősítését és az uniós polgárok és a családtagjaik által a szabad mozgás joga gyakorlásának megkönnyítését a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban az intézkedés léptéke vagy hatásai miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat az EUSZ 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően ez a rendelet nem lépi túl az e célok eléréséhez szükséges mértéket.”
4 A 2019/1157 rendelet „Tárgy” című 1. cikke a következőképpen rendelkezik:
„E rendelet megerősíti a tagállamok által állampolgáraik részére kiállított személyazonosító igazolványokra és a tagállamok által az uniós polgárok és azok családtagjai részére az Unióban való szabad mozgáshoz való joguk gyakorlására kiállított tartózkodási okmányokra vonatkozó biztonsági szabályokat.”
5 E rendelet „Hatály” című 2. cikke kimondja:
„Ez a rendelet a következőkre alkalmazandó:
a) a tagállamok által saját állampolgáraik számára kiállított személyazonosító igazolványok, a [2004/38] irányelv 4. cikkének (3) bekezdésében említettek szerint;
E rendelet nem alkalmazandó az ideiglenes jelleggel kiállított, hat hónapnál rövidebb érvényességi idejű személyazonosító okmányokra.
b) a három hónapnál hosszabb ideig a fogadó tagállamban tartózkodó uniós polgárok számára a [2004/38] irányelv 8. cikkével összhangban kiállított bejelentkezésről szóló igazolás, valamint az uniós polgárok számára a [2004/38] irányelv 19. cikkével összhangban, kérelemre kiállított, huzamos tartózkodási jogot igazoló okmányok;
c) a [2004/38] irányelv 10. cikkével összhangban kiállított tartózkodási kártyák az uniós polgárok azon családtagjai számára, akik nem valamelyik tagállam állampolgárai, valamint a [2004/38] irányelv 20. cikkével összhangban kiállított huzamos tartózkodási kártyák az uniós polgárok azon családtagjai számára, akik nem valamelyik tagállam állampolgárai.”
6 Az említett rendelet „Biztonsági szabályok/formátum/előírások” című 3. cikkének (5)–(7) és (10) bekezdése a következőket írja elő:
„(5) A személyazonosító igazolványoknak magukban kell foglalniuk egy kiemelten biztonságos adathordozót, amely tartalmazza a birtokos arcképmását és két ujjnyomatot interoperábilis digitális formátumban. A biometrikus azonosítók rögzítéséhez a tagállamoknak [a harmadik országok állampolgárai tartózkodási engedélye egységes formátumára vonatkozó műszaki előírások meghatározásáról és a C(2002) 3069 határozat hatályon kívül helyezéséről szóló, 2018. november 30‑i] C(2018)7767 bizottsági végrehajtási határozatban megállapított műszaki előírásokat kell alkalmazniuk.
(6) Az adathordozónak elegendő kapacitással és képességgel kell rendelkeznie az adatok sértetlenségének, hitelességének és titkosságának biztosításához. A tárolt adatoknak kontaktmentesen hozzáférhetőeknek kell lenniük, és azok védelmét a C(2018)7767 végrehajtási határozat szerint kell biztosítani. A tagállamok megosztják egymással az adathordozó hitelesítéséhez, valamint az (5) bekezdésben említett biometrikus adatokhoz való hozzáféréshez és az azok ellenőrzéséhez szükséges információkat.
(7) A 12 év alatti gyermekek mentesülhetnek az ujjnyomatadási kötelezettség alól.
A 6 év alatti gyermekek mentesülnek az ujjnyomatadási kötelezettség alól.
Azon személyek, akik az ujjnyomatadásra fizikailag képtelenek, mentesülnek az ujjnyomatadási kötelezettség alól.
[…]
(10) Ha a tagállamok a személyazonosító igazolványokban elektronikus szolgáltatások – például e‑kormányzat és e‑üzletvitel – céljaira szolgáló adatokat tárolnak, az ilyen nemzeti adatokat fizikailag vagy logikailag el kell különíteni az (5) bekezdésben említett biometrikus adatoktól.”
7 Ugyanezen rendelet „Fokozatos kivonás” című 5. cikke értelmében:
„(1) A 3. cikkben meghatározott követelményeknek meg nem felelő személyazonosító igazolványok érvényessége a lejáratuk időpontjában vagy 2031. augusztus 3‑ig szűnik meg, attól függően, hogy melyik következik be korábban.
(2) Az (1) bekezdéstől eltérve:
a) azon személyazonosító igazolványok érvényessége, amelyek […] nem tartalmaznak a (3) bekezdésben meghatározott géppel olvasható vizsgálati zónát, a lejáratuk időpontjában vagy 2026. augusztus 3‑ig szűnik meg, attól függően, hogy melyik következik be korábban;
[…]
(3) A (2) bekezdés alkalmazásában géppel olvasható vizsgálati zóna:
a) az ICAO 9303. sz. dokumentuma harmadik részének megfelelő, géppel olvasható vizsgálati zóna; vagy
b) bármely más, géppel olvasható vizsgálati zóna, amelyre vonatkozóan a kiállító tagállam közli a benne tárolt információk leolvasásához és megjelenítéséhez szükséges szabályokat, kivéve, ha egy tagállam 2021. augusztus 2‑ig értesíti a[z Európai] Bizottságot az ezen információk leolvasására és megjelenítésére vonatkozó képessége hiányáról.
[…]”
8 A 2019/1157 rendeletnek „A feltüntetendő minimális információk” című 6. cikkének első bekezdése a következőképpen rendelkezik:
„A tagállamok által az uniós polgárok számára kiállított tartózkodási okmányoknak legalább a következőket fel kell tüntetniük:
[…]
f) a [2004/38] irányelv 8. és 19. cikkével összhangban kiállított, a bejelentkezésről szóló igazolásokon és a huzamos tartózkodási jogot igazoló okmányokon feltüntetendő információk;
[…]”
9 E rendeletnek „A biometrikus azonosítók gyűjtése” című 10. cikke a következőket írja elő:
„(1) A biometrikus azonosítók gyűjtését kizárólag a személyazonosító igazolványok és a tartózkodási kártyák kiállításáért felelős hatóságok által kijelölt szakképzett és kellően felhatalmazott személyzet végezheti a személyazonosító igazolványok tekintetében a 3. cikk (5) bekezdésében, a tartózkodási kártyák tekintetében pedig a 7. cikk (1) bekezdésében meghatározott, kiemelten biztonságos adathordozóba történő beillesztés céljából. Az első mondattól eltérve, az ujjnyomatokat kizárólag az említett hatóságok szakképzett és kellően felhatalmazott személyzete gyűjtheti be, kivéve abban az esetben, amikor a kérelmet a tagállam diplomáciai vagy konzuli hatóságainál nyújtják be.
Annak biztosítása érdekében, hogy a biometrikus azonosítók egyezzenek a kérelmező személyazonosságával, a kérelmezőnek minden egyes kérelem esetében legalább egyszer személyesen meg kell jelennie a kiállítási eljárás során.
(2) A tagállamoknak gondoskodniuk kell arról, hogy a biometrikus azonosítók gyűjtése tekintetében megfelelő és hatékony eljárások álljanak rendelkezésre, amely eljárások megfelelnek a Chartában, az emberi jogok és alapvető szabadságok védelméről szóló egyezményben, valamint az Egyesült Nemzetek gyermek jogairól szóló egyezményében meghatározott jogoknak és elveknek.
Amennyiben nehézségekkel jár a biometrikus azonosítók gyűjtése, a tagállamok biztosítják, hogy megfelelő eljárások álljanak rendelkezésre az érintett személy méltóságának tiszteletben tartása érdekében.
(3) Hacsak az uniós vagy a nemzeti jog adatkezelés céljából ezt nem írja elő, a személyazonosító igazolványok vagy tartózkodási okmányok személyre szabásának céljából tárolt biometrikus azonosítókat kiemelten biztonságos módon, csak az okmány átvételének időpontjáig, de minden esetben legfeljebb a kiállítástól számított 90 napig lehet tárolni. Ezen időszakot követően ezeket a biometrikus azonosítókat azonnal törölni kell vagy meg kell semmisíteni.”
10 Az említett rendeletnek „A személyes adatok védelme és a felelősség” című 11. cikkének (4) és (6) bekezdése kimondja:
„(4) A külső szolgáltatókkal való együttműködés nem zárja ki a tagállamnak a személyes adatokkal kapcsolatos kötelezettségek megsértése miatt az uniós vagy a nemzeti jog alapján keletkező felelősségét.
[…]
(6) A személyazonosító igazolványok és a tartózkodási okmányok adathordozójában tárolt biometrikus adatok csak az uniós és a nemzeti joggal összhangban, az illetékes nemzeti hatóságok és az uniós ügynökségek kellően felhatalmazott személyzete által, a következők ellenőrzése céljából használhatók fel:
a) a személyazonosító igazolvány vagy a tartózkodási okmány hitelessége;
b) az okmány birtokosának személyazonossága közvetlenül hozzáférhető, összehasonlítható jellemzők segítségével, amennyiben a személyazonosító igazolvány vagy a tartózkodási okmány bemutatását jogszabály írja elő.”
11 Ugyanezen rendelet „További technikai előírások” című 14. cikkének (1) és (2) bekezdése a következőképpen rendelkezik:
„(1) Annak biztosítása érdekében, hogy a 2. cikk a) és c) pontjában említett személyazonosító igazolványok és tartózkodási okmányok megfeleljenek a jövőbeni biztonsági minimumszabályoknak, a Bizottság végrehajtási jogi aktusok révén további technikai előírásokat állapít meg a következőkre vonatkozóan:
a) újabb biztonsági elemek és követelmények, ideértve az utánzás, a meghamisítás és a hamísítás elleni megerősített előírásokat;
b) a 3. cikk (5) bekezdésében említett biometrikus jellemzők adathordozójára és biztonságára vonatkozó műszaki előírások, beleértve a jogosulatlan hozzáférés megelőzését és a hitelesítés megkönnyítését is;
c) az arckép és az ujjnyomatok minőségére és közös műszaki előírásaira vonatkozó követelmények.
Ezeket a végrehajtási jogi aktusokat a 15. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(2) A 15. cikk (2) bekezdésében említett eljárással összhangban olyan döntés is hozható, hogy az e cikkben említett előírásoknak titkosaknak kell lenniük és azokat nem lehet nyilvánosságra hozni. […]”
2. Az általános adatvédelmi rendelet
12 Az általános adatvédelmi rendelet (51) preambulumbekezdése a következőket mondja ki:
„Az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak. […] A fényképek kezelését nem szükséges szisztematikusan különleges adatkezelésnek tekinteni, mivel azokra csak azokban az esetekben vonatkozik a biometrikus adatok fogalommeghatározása, amikor a természetes személy egyedi azonosítását vagy hitelesítését lehetővé tevő speciális eszközzel kezelik őket. Az ilyen adatok nem kezelhetők, kivéve, ha az adatkezelés az e rendeletben meghatározott egyedi esetekben megengedett, azt is figyelembe véve, hogy a tagállami jog különös rendelkezéseket állapíthat meg az adatok védelmére vonatkozóan annak érdekében, hogy kiigazítsák az e rendeletben foglalt szabályok alkalmazását valamely jogi kötelezettségnek való megfelelés vagy közérdekből végzett feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása tekintetében. Az ilyen adatkezelésre vonatkozó konkrét előírásokon kívül e rendelet általános elveit és egyéb szabályait kell alkalmazni, különösen a jogszerű adatkezelés feltételei tekintetében. A személyes adatok ilyen különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérésről kifejezetten rendelkezni kell, ideértve, ha az érintett egyértelmű hozzájárulását adja, vagy bizonyos sajátos adatkezelési szükségletekre tekintettel […]”
13 E rendelet „Fogalommeghatározások” című 4. cikkének szövege a következő:
„E rendelet alkalmazásában:
[…]
2. »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
[…]
7. »adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;
[…]”
14 Az említett rendeletnek „A személyes adatok különleges kategóriáinak kezelése” című 9. cikkének (1) bekezdése a következőket írja elő:
„A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.”
15 Ugyanezen rendelet „Adatvédelmi hatásvizsgálat” című 35. cikkének (1), (3) és (10) bekezdése a következőképpen rendelkezik:
„(1) Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.
[…]
(3) Az (1) bekezdésben említett adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:
a) természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
b) a 9. cikk (1) bekezdésében említett személyes adatok különleges kategóriái, vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése; vagy
c) nyilvános helyek nagymértékű, módszeres megfigyelése.
[…]
(10) Ha a 6. cikk (1) bekezdésének c) vagy e) pontja szerinti adatkezelés jogalapját uniós vagy az adatkezelőre alkalmazandó tagállami jog írja elő, és e jog a szóban forgó konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint e jogalap elfogadása során egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot, akkor az (1)–(7) bekezdést nem kell alkalmazni, kivéve, ha a tagállamok az adatkezelési tevékenységet megelőzően ilyen hatásvizsgálat elvégzését szükségesnek tartják.”
3. Az (EU) 2016/399 rendelet
16 A 2017. március 15‑i (EU) 2017/458 európai parlamenti és tanácsi rendelettel (HL 2017. L 74., 1. o.) módosított, a személyek határátlépésére irányadó szabályok uniós kódexéről szóló, 2016. március 9‑i (EU) 2016/399 európai parlamenti és tanácsi rendelet (Schengeni határ‑ellenőrzési kódex) (HL 2016. L 77., 1. o.) 8. cikkének (1) és (2) bekezdése a következőket írja elő:
„(1) A külső határok átlépését a határőrök ellenőrzik. Az ellenőrzéseket e fejezetnek megfelelően hajtják végre.
[…]
(2) A szabad mozgás uniós jogával rendelkező személyeket be‑ és kiutazáskor az alábbi ellenőrzéseknek kell alávetni:
a) a személy személyazonosságának és állampolgárságának, valamint a határátlépésre jogosító úti okmány eredetiségének és érvényességének ellenőrzése, többek között a releváns adatbázisok és azon belül is mindenekelőtt az alábbiak lekérdezésével […]
b) […] annak ellenőrzése, hogy a szabad mozgás uniós jogával rendelkező személy nem minősül‑e valamely tagállam közrendjét, belső biztonságát, nemzetközi kapcsolatait, vagy az adott tagállamban a közegészséget veszélyeztető személynek; […]
Az úti okmány eredetiségét vagy birtokosának személyazonosságát illetően felmerült kétség esetén ellenőrizni kell [a tagállamok által kiállított útlevelek és úti okmányok biztonsági jellemzőire és biometrikus elemeire vonatkozó előírásokról szóló, 2004. december 13‑i] 2252/2004/EK [tanácsi] rendelettel [HL 2004. L 385., 1. o.] összhangban kibocsátott útlevelekben és úti okmányokban található biometrikus azonosítók legalább egyikét. Amennyiben lehetséges, ezt az ellenőrzést az említett rendelet hatályán kívül eső úti okmányok esetében is el kell végezni.
[…]”
4. A 2004/38 irányelv
17 A 2004/38 irányelvnek „A kiutazás joga” című 4. cikkének (1) és (3) bekezdése az alábbiak szerint rendelkezik:
„(1) A nemzeti határellenőrzéskor alkalmazandó, úti okmányokra vonatkozó rendelkezések sérelme nélkül, valamennyi uniós polgár érvényes személyazonosító igazolvánnyal vagy útlevéllel, és azok a családtagjaik, akik nem valamelyik tagállam állampolgárai és érvényes útlevéllel rendelkeznek, jogosultak egy tagállam területét elhagyni egy másik tagállamba való utazás céljából.
[…]
(3) A tagállamok jogszabályaikkal összhangban állampolgáraik részére az állampolgárságot feltüntető személyazonosító igazolványt vagy útlevelet állítanak ki és hosszabbítanak meg.”
18 Ugyanezen irányelvnek „A beutazás joga” című 5. cikkének (1) bekezdése szerint:
„A nemzeti határellenőrzéskor alkalmazandó, úti okmányokra vonatkozó rendelkezések sérelme nélkül, a tagállamoknak biztosítaniuk kell, hogy az uniós polgárok érvényes személyazonosító igazolvánnyal vagy útlevéllel, és családtagjaik, akik nem valamelyik tagállam állampolgárai, érvényes útlevéllel beutazhassanak a területükre.
Az uniós polgároktól beutazási vízum vagy azzal egyenértékű formai követelmények nem kérhetők.”
19 Az említett irányelvnek a „Tartózkodás joga három hónapig” című 6. cikke a következőket mondja ki:
„(1) Az uniós polgárokat érvényes személyazonosító igazolvány vagy útlevél birtokában külön feltételek és más formai követelmények nélkül három hónapig megilleti a tartózkodás joga egy másik tagállam területén.
(2) Az (1) bekezdés rendelkezéseit kell alkalmazni az érvényes útlevéllel rendelkező azon családtagokra is, akik nem valamelyik tagállam állampolgárai, és az uniós polgárt kísérik, vagy hozzá csatlakoznak.”
20 A 2004/38 irányelvnek „Az uniós polgárokra vonatkozó adminisztratív formai követelmények” című 8. cikkének (1) bekezdése a következőket írja elő:
„(1) Az 5. cikk (5) bekezdésének sérelme nélkül, a három hónapnál hosszabb tartózkodási idő tekintetében a fogadó tagállam megkövetelheti az uniós polgártól a megfelelő hatóságoknál történő bejelentkezést.
[…]
(3) A bejelentkezésről szóló igazolás kiállításához a tagállamok csak a következőket követelhetik meg:
– a 7. cikk (1) bekezdése a) pontjának hatálya alá tartozó uniós polgároktól érvényes személyazonosító igazolvány vagy útlevél bemutatása, az alkalmazásra vonatkozó munkáltató szándékról való igazolás vagy a munkaviszony igazolása, vagy annak bizonyítéka, hogy önálló vállalkozók,
– a 7. cikk (1) bekezdése b) pontjának hatálya alá tartozó uniós polgároktól érvényes személyazonosító igazolvány vagy útlevél bemutatása, valamint annak bizonyítéka, hogy megfelelnek az említett rendelkezésben meghatározott feltételeknek,
– a 7. cikk (1) bekezdése c) pontjának hatálya alá tartozó uniós polgároktól érvényes személyazonosító igazolvány vagy útlevél bemutatása, egy akkreditált intézménybe való beiratkozás és a teljes körű egészségbiztosítás igazolása, valamint a 7. cikk (1) bekezdésének c) pontjában említett nyilatkozat vagy azzal egyenértékű eszköz. A tagállamok nem írhatják elő, hogy ez a nyilatkozat a források bármilyen konkrét összegére hivatkozzon.”
5. Az intézményközi megállapodás
21 A jogalkotás minőségének javításáról szóló, 2016. április 13‑i, az Európai Parlament, az Európai Unió Tanácsa és az Európai Bizottság közötti intézményközi megállapodás (HL 2016 L 123., 1. o.; a továbbiakban: intézményközi megállapodás) (12)–(14) pontja értelmében:
„(12) […]
A demokratikus döntéshozatali folyamat keretében a hatásvizsgálatok elősegítik, hogy a három intézmény megalapozott döntéseket hozzon, de nem helyettesítik a politikai döntéseket. […]
A hatásvizsgálatoknak ki kell térniük az adott probléma fennállására, mértékére és következményeire, valamint arra a kérdésre, hogy szükséges‑e az uniós szintű fellépés. A hatásvizsgálatok keretében fel kell térképezni az alternatív megoldásokat, és amennyire lehet, a várható rövid és hosszú távú költségeket és előnyöket, méghozzá integrált és kiegyensúlyozott módon, mind mennyiségi, mind minőségi elemzéseket alkalmazva, továbbá felmérve a gazdasági, környezeti és társadalmi hatásokat. A szubszidiaritás és az arányosság elvét, valamint az alapvető jogokat teljes mértékben tiszteletben kell tartani. […] A hatásvizsgálatoknak pontos, tárgyilagos és teljes körű információkon kell alapulniuk, az elemzés körét és súlyponti elemeiket tekintve pedig arányosnak kell lenniük.
(13) A Bizottság minden olyan jogalkotási […] kezdeményezés […] esetében hatásvizsgálatot végez, amely várhatóan jelentős gazdasági, környezeti vagy társadalmi hatással jár. A Bizottság munkaprogramjában vagy az együttes nyilatkozatban szereplő kezdeményezéseket főszabályként hatásvizsgálatnak kell kísérnie.
[…] A hatásvizsgálatok végső eredményeit az Európai Parlament, a[z Európai Unió Tanácsa] és a nemzeti parlamentek rendelkezésére kell bocsátani, és a[z Európai] Bizottság kezdeményezésének elfogadásakor a Szabályozói Ellenőrzési Testület véleményével (véleményeivel) együtt nyilvánosságra kell hozni azokat.
(14) [A Parlament] és a Tanács a Bizottság jogalkotási javaslatainak vizsgálatakor teljes mértékben figyelembe veszi a Bizottság hatásvizsgálatait. E célból a hatásvizsgálatokat úgy kell elkészíteni, hogy azok alapján [a Parlament] és Tanács könnyebben tudja azt mérlegelni, hogy a Bizottság miért az adott intézkedés mellett döntött.”
B. A német jog
22 A 2009. június 18‑i Gesetz über Personalausweise und den elektronischen Identitätsnachweis (a személyazonosító igazolványokról és a személyazonosság elektronikus igazolásáról szóló törvény; BGBl. I, 1346. o.) alapügy tényállására alkalmazandó változatának (a továbbiakban: PAuswG) „A személyazonosító igazolvány kiállítása” című 5. §‑ának (9) bekezdése a következőképpen rendelkezik:
„A [személyazonosító igazolványt] kérelmezőnek a [2019/1157 rendelet] alapján az elektronikus adathordozón tárolandó két ujjnyomatát a személyazonosító igazolvány elektronikus tároló‑ és kezelőeszközén kell tárolni a bal és a jobb mutatóujjról készült sík nyomat formájában. Az egyik mutatóujj hiánya, az ujjnyomat nem kielégítő minősége vagy az ujjbegy sérülése esetén ehelyett a hüvelykujj, a középső ujj vagy a gyűrűsujj sík nyomatát kell tárolni. Ujjnyomat nem tárolandó, ha az ujjnyomatvétel olyan egészségügyi okokból, amelyek nem csupán átmeneti jellegűek, nem lehetséges.”
23 A PAuswG 6. §‑ának (1) és (2) bekezdése értelmében:
„(1) A személyazonosító igazolványokat tíz év érvényességi időre állítják ki.
(2) A személyazonosító igazolvány érvényességének lejárta előtt új személyazonosító igazolvány kiállítása kérhető, ha az újbóli kiállításhoz fűződő jogos érdek igazolható.”
24 A PAuswG‑nek „Az igazolvány kiállítása” című 9. §‑a (1) bekezdésének első mondata szerint:
„A személyazonosító igazolványok és ideiglenes személyazonosító igazolványok kiállítása az Alaptörvény 116. cikkének (1) bekezdése értelmében vett németek kérelmére történik.”
25 A PAuswG „Érvénytelenség” című 28. §‑ának (3) bekezdése a következőket írja elő:
„Az elektronikus tároló‑ és kezelőeszköz meghibásodásai nem befolyásolják a személyazonosító igazolvány érvényességét.”
II. Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdés
26 2021. november 30‑án az alapeljárás felperese új személyazonosító igazolvány kiállítását kérte Wiesbaden tartományi fővárostól arra hivatkozva, hogy régi igazolványának chipje hibás volt. Kérte azonban, hogy az új igazolványt ujjnyomatok nélkül állítsák ki.
27 Wiesbaden tartományi főváros két indok alapján utasította el ezt a kérelmet. Egyrészt az alapeljárás felperese nem jogosult új személyazonosító igazolvány kiállítására, mivel már rendelkezik érvényes személyazonosító okmánnyal. A PAuswG 28. §‑a (3) bekezdésének megfelelően ugyanis a személyazonosító igazolvány akkor is érvényes marad, ha annak elektronikus chipje hibás. Másrészt, mindenesetre 2021. augusztus 2. óta kötelező az új személyazonosító igazolványok chipjén két ujjnyomatkép tárolása a PAuswG 5. §‑ának (9) bekezdése értelmében, amely a 2019/1157 rendelet 3. cikkének (5) bekezdését ülteti át.
28 2021. december 21‑én az alapeljárás felperese keresetet indított a kérdést előterjesztő bíróság, a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság, Németország) előtt annak érdekében, hogy a bíróság kötelezze Wiesbaden tartományi fővárost arra, hogy állítson ki számára ujjnyomatképet nem tartalmazó új személyazonosító igazolványt.
29 A kérdést előterjesztő bíróságban kételyek merültek fel az alapügyben hozott határozat két indokát illetően. Különösen a második indok kapcsán arra hajlik, hogy a 2019/1157 rendelet érvényessége, de legalábbis a 3. cikk (5) bekezdésének érvényessége vitatható.
30 Először is a kérdést előterjesztő bíróság megkérdőjelezi, hogy e rendeletet nem inkább az EUMSZ 77. cikk (3) bekezdése alapján, és ebből következően az e rendelkezésben előírt különleges jogalkotási eljárás keretében, mintsem az EUMSZ 21. cikk (2) bekezdése alapján, és így a rendes jogalkotási eljárás keretében kellett volna‑e elfogadni. Egyrészt ugyanis az EUMSZ 77. cikk (3) bekezdése kifejezetten az Unió azon hatáskörére utal, hogy többek között a személyazonosító igazolványokra vonatkozó rendelkezéseket fogadhat el, és így speciálisabb rendelkezés, mint az EUMSZ 21. cikk (2) bekezdése. Másrészt a 2013. október 17‑i Schwarz ítéletben (C‑291/12, EU:C:2013:670) a Bíróság kimondta, hogy az EK 62. cikk (2) bekezdésének a) pontja – amely jelenleg az EUMSZ 77. cikk (3) bekezdésének felel meg – megfelelő jogalapot biztosított az uniós polgárok ujjnyomatainak kötelező gyűjtését és útlevelekben való tárolását előíró 2252/2004 rendelet elfogadásához.
31 Másodszor, a kérdést előterjesztő bíróság a 2019/1157 rendelet elfogadását érintő eljárási szabálytalanság lehetséges fennállására hivatkozik. Amint azt ugyanis az európai adatvédelmi biztos az uniós polgárok személyazonosító igazolványai és más dokumentumok biztonságának megerősítéséről szóló rendeletjavaslatról szóló, 2018. augusztus 10‑i 7/2018. sz. véleményében (a továbbiakban: 7/2018. sz. vélemény) hangsúlyozta, az ujjnyomatok gyűjtése és tárolása személyes adatok kezelésének minősül, amelyet az általános adatvédelmi rendelet 35. cikkének (10) bekezdése értelmében hatásvizsgálatnak kell alávetni. Márpedig a jelen ügyben ilyen vizsgálatra nem került sor. Közelebbről, az említett rendeletjavaslathoz csatolt, „Impact assessment” című dokumentum nem tekinthető az e rendelkezés értelmében vett hatásvizsgálatnak.
32 Harmadszor, a kérdést előterjesztő bíróság konkrétabban arra keresi a választ, hogy a 2019/1157 rendelet 3. cikkének (5) bekezdése összeegyeztethető‑e a Chartának a magán‑ és a családi élet tiszteletben tartására, illetve a személyes adatok védelmére vonatkozó 7. és 8. cikkével. A tagállamok azon kötelezettsége ugyanis, hogy olyan személyazonosító igazolványokat állítsanak ki, amelyek adathordozója két ujjnyomatképet tartalmaz, a Charta e két rendelkezése által elismert jogok gyakorlása korlátozásának minősül, amely korlátozás csak akkor igazolható, ha megfelel a Charta 52. cikkének (1) bekezdésében előírt feltételeknek.
33 Márpedig egyrészt előfordulhat, hogy az említett korlátozás nem felel meg valamely általános érdekű célkitűzésnek. A Bíróság a 2013. október 17‑i Schwarz ítéletben (C‑291/12, EU:C:2013:670) kétségtelenül elismerte, hogy a harmadik országbeli állampolgároknak az Unió területére való jogellenes belépése elleni küzdelem az uniós jog által elismert célkitűzés. Mindazonáltal a személyazonosító igazolvány elsősorban nem olyan úti okmány, mint az útlevél, és célja csupán az, hogy lehetővé tegye az uniós polgár személyazonosságának ellenőrzését mind a közigazgatási hatóságokkal, mind pedig a más magánfelekkel fennálló kapcsolataiban.
34 Másrészt, még ha feltételezzük is, hogy az említett rendelet az uniós jog által elismert általános érdekű célkitűzést követ, továbbra is kétséges, hogy e korlátozás arányos‑e. A Bíróság által a 2013. október 17‑i Schwarz ítéletben (C‑291/12, EU:C:2013:670) elfogadott megoldás ugyanis nem ültethető át a 2019/1157 rendeletre, mivel az az útlevelekre vonatkozik, amelyek birtoklása a személyazonosító igazolványokkal ellentétben nem kötelező Németországban, és amelyek használata eltérő célra irányul.
35 Ezzel szemben a 7/2018. sz. véleményből kitűnik, hogy az ujjnyomatok rögzítése és tárolása széles körű hatással jár, mivel 370 millió uniós polgárt érinthet, potenciálisan az Unió lakosságának 85%‑át kötelezve ujjnyomatadásra. Márpedig ez a jelentős hatás a kezelt adatok (arcképmás és két ujjnyomat) igen érzékeny jellegével együtt azt vonja maga után, hogy a Charta 7. és 8. cikkében biztosított jogok gyakorlásának a személyazonosító igazolványok kiállítása céljából történő kötelező ujjnyomatvételből eredő korlátozása nagyobb mértékű, mint az útlevelek esetében, ami viszont a szóban forgó intézkedés erőteljesebb igazolását, valamint alapos vizsgálatát követelné meg a feltétlen szükségesség kritériuma alapján.
36 Mindenesetre a szigorú arányossági vizsgálat elvégzésének szükségessége az általános adatvédelmi rendelet 9. cikkének (1) bekezdéséből is következik, amelynek értelmében az ilyen biometrikus adatok kezelése főszabály szerint tilos, és csak kivételes és szigorúan korlátozott esetekben engedélyezhető.
37 Ebben az összefüggésben a kérdést előterjesztő bíróság ugyan úgy véli, hogy a biometrikus adatok használata csökkenti az okmányok hamisíthatóságának kockázatát, kétségei vannak azzal kapcsolatban, hogy önmagában ez a körülmény igazolhatja‑e a személyes adatok védelméhez való jog ilyen mértékű korlátozását, különösen az alábbi okokra tekintettel.
38 Először is az európai adatvédelmi biztos a 7/2018. sz. véleményében hangsúlyozta, hogy más, a személyazonosító okmányok nyomtatásával kapcsolatos biztonságos technikák, mint például a hologramok vagy a vízjelek használata, sokkal kisebb mértékű beavatkozást jelentenének, ugyanakkor alkalmasak lennének ezen okmányok hamisításának megakadályozására és hitelességük igazolására is. Egyébiránt az a tény, hogy a német jog elismeri, hogy a hibás chippel rendelkező személyazonosító igazolvány továbbra is érvényes, azt bizonyítja, hogy a fizikai biztonsági elemek, különösen a mikrobetűk vagy UV‑nyomatok, elegendőek az említett okmányok biztonságának garantálásához.
39 Továbbá, a 2019/1157 rendelet 3. cikkének (7) bekezdése felhatalmazza a tagállamokat arra, hogy a 12 év alatti gyermekeket mentesítsék az ujjnyomatadási kötelezettség alól, és minden esetben arra kötelezi őket, hogy a 6 év alatti gyermekeket teljesen mentesítsék e kötelezettség alól, ami azt bizonyítja, hogy a két ujjnyomat begyűjtése nem feltétlenül szükséges.
40 Egyébiránt a 2019/1157 rendelet 3. cikkének (5) bekezdése nem tartja tiszteletben az általános adatvédelmi rendelet 5. cikkében foglalt adattakarékosság elvét, amelyből kitűnik, hogy a személyes adatok gyűjtésének és felhasználásának az adatkezelés céljai szempontjából megfelelőnek és relevánsnak kell lennie, és a szükségesre kell korlátozódnia. Ugyanis, bár lehetővé teszi a különböző típusú rendszerek interoperabilitását, a két teljes ujjnyomat, és nem csupán az ujjnyomatok jellemző pontjainak (minuciák) gyűjtése növeli a tárolt személyes adatok mennyiségét, és így adatszivárgás esetén a személyazonossággal való visszaélés kockázatát is. Ez a kockázat egyébként nem elhanyagolható, mivel a személyazonosító igazolványokban használt elektronikus csipeket illetéktelen szkennerek is leolvashatják.
41 Végül, lényegében előfordulhat, hogy a Charta 7. és 8. cikkében biztosított jogok gyakorlásának korlátozása nem jogszerű, mivel a 7/2018. sz. véleményében az európai adatvédelmi biztos rámutatott, hogy a 2019/1157 rendelet elfogadásakor a hamisított személyazonosító igazolványok száma a kiállított okmányok számához képest viszonylag alacsony volt (38 870 hamis okmány 2013 és 2017 között), és hogy ez a szám több éve csökkenő tendenciát mutat.
42 E körülmények között a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság, Németország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdést terjeszti a Bíróság elé:
„[A 2019/1157 rendelet] 3. cikkének (5) bekezdésében foglalt, ujjnyomatoknak a személyazonosító igazolványokba való beillesztésére és azokon való tárolására vonatkozó kötelezettség ellentétes‑e a magasabb szintű uniós joggal, különösen
a) az EUMSZ 77. cikk (3) bekezdésével;
b) a [Charta] 7. és 8. cikkével;
c) az általános adatvédelmi rendelet 35. cikkének (10) bekezdésével,
és ezért érvénytelen‑e valamelyik okból?”
III. Az előzetes döntéshozatalra előterjesztett kérdésről
43 Kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy e 2019/1157 rendelet – részben vagy egészben ‑ érvénytelen‑e először is amiatt, hogy azt téves jogalap alapján fogadták el, másodszor, hogy sérti az általános adatvédelmi rendelet 35. cikkének (10) bekezdését, harmadszor pedig, hogy sérti a Charta 7. és 8. cikkét.
A. Az első, a téves jogalap megválasztására alapított érvénytelenségi okról
44 A kérdést előterjesztő bíróság által felhozott első érvénytelenségi ok arra a kérdésre vonatkozik, hogy különös tekintettel az EUMSZ 77. cikk (3) bekezdésében szereplő, a személyazonosító igazolványokra tett kifejezett utalásra, valamint a 2013. október 17‑i Schwarz ítéletben (C‑291/12, EU:C:2013:670) elfogadott megoldásra, a 2019/1157 rendeletet nem inkább ezen 77. cikk (3) bekezdése alapján és az abban előírt különleges jogalkotási eljárás keretében kellett volna‑e elfogadni, mintsem – ahogyan az történt – az EUMSZ 21. cikk (2) bekezdése alapján.
1. Előzetes észrevételek
45 Az állandó ítélkezési gyakorlat szerint az uniós jogi aktus jogalapja megválasztásának olyan objektív elemeken – köztük a jogi aktus célján és tartalmán – kell alapulnia, amelyek alkalmasak arra, hogy bírósági felülvizsgálat tárgyát képezzék (2022. február 16‑i Magyarország kontra Parlament és Tanács ítélet, C‑156/21, EU:C:2022:97, 107. pont; 2022. február 16‑i Lengyelország kontra Parlament és Tanács ítélet, C‑157/21, EU:C:2022:98, 121. pont).
46 Ezenkívül meg kell jegyezni, hogy amennyiben a Szerződésekben van speciálisabb rendelkezés, amelyet a szóban forgó jogi aktus jogalapjaként lehet használni, a jogi aktust arra kell alapozni (2012. szeptember 6‑i Parlament kontra Tanács ítélet, C‑490/10, EU:C:2012:525, 44. pont; 2020. december 8‑i Lengyelország kontra Parlament és Tanács ítélet, C‑626/18, EU:C:2020:1000, 48. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
47 Végül, ha valamely uniós jogi aktus vizsgálatából az derül ki, hogy az több cél elérésére irányul, vagy több összetevőt foglal magában, és ha ezen célok vagy ezen összetevők egyike elsődlegesnek vagy döntő jellegűnek mutatkozik, míg a többi csak járulékos jellegű, vagy csak rendkívül korlátozott hatállyal rendelkezik, a jogi aktus elfogadásának jogalapját e fő célkitűzésnek vagy összetevőnek megfelelően kell meghatározni (lásd ebben az értelemben: 2018. november 20‑i Bizottság kontra Tanács [Antarktiszi védett tengeri területek] ítélet, C‑626/15 és C‑659/16, EU:C:2018:925, 77. pont; 2021. október 6‑i 1/19 [Isztambuli egyezmény] vélemény, EU:C:2021:832, 286. pont).
2. Az EUMSZ 21. cikk (2) bekezdésének, illetve az EUMSZ 77. cikk (3) bekezdésének hatályáról
48 Az EUMSZ 21. cikk (2) bekezdése kimondja, hogy ha az Unió fellépése bizonyul szükségesnek ahhoz, hogy minden uniós polgár számára biztosított legyen a tagállamok területén való szabad mozgáshoz és tartózkodáshoz való jog, és ha a Szerződések nem biztosítják az ehhez szükséges hatáskört, az Európai Parlament és a Tanács rendes jogalkotási eljárás keretében rendelkezéseket fogadhat el e jogok gyakorlásának megkönnyítése érdekében.
49 Ebből következik, hogy e rendelkezés általános hatáskört biztosít az Unió számára az EUMSZ 20. cikk (2) bekezdésének a) pontjában említett, az uniós polgárok tagállamok területén való szabad mozgáshoz és tartózkodáshoz való joga gyakorlásának megkönnyítéséhez szükséges rendelkezések elfogadására, hacsak a Szerződések nem biztosítják az ehhez szükséges hatáskört.
50 Márpedig az EUMSZ 21. cikk (2) bekezdésétől eltérően az EUMSZ 77. cikk (3) bekezdése kifejezetten rendelkezik ilyen hatáskörökről az uniós polgárok számára kiállított útlevelekre, személyazonosító igazolványokra, tartózkodási engedélyekre vagy bármilyen egyéb ilyen jellegű okmányokra vonatkozó intézkedések elfogadása tekintetében, az EUMSZ 20. cikk (2) bekezdésének a) pontjában említett, a tagállamok területén való szabad mozgáshoz és tartózkodáshoz való jog gyakorlásának megkönnyítése érdekében.
51 Igaz, hogy az EUMSZ 77. cikk (3) bekezdése e Szerződésnek a szabadságon, a biztonságon és a jog érvényesülésén alapuló térségről szóló V. címében, pontosabban e címnek „A határok ellenőrzésével, a menekültüggyel és a bevándorlással kapcsolatos politikák” című 2. fejezetében található. Mindazonáltal az EUMSZ 77. cikk (1) bekezdése szerint az Unió olyan politikát alakít ki, amelynek célja annak biztosítása, hogy a belső határok átlépésekor a személyek, állampolgárságuktól függetlenül, mentesüljenek mindenfajta ellenőrzés alól, továbbá a személyek ellenőrzésének és a határátlépések eredményes felügyeletének biztosítása a külső határokon, valamint e határok integrált határőrizeti rendszerének fokozatos bevezetése. Márpedig az e 77. cikk (3) bekezdésében előírt, az útlevelekre, személyazonosító igazolványokra, tartózkodási engedélyekre vagy bármilyen egyéb ilyen jellegű okmányra vonatkozó rendelkezések elfogadására irányuló hatásköri ok az Unió ilyen politikájának szerves részét képezik. Az uniós polgárok vonatkozásában ugyanis ezen okmányok többek között lehetővé teszik számukra annak tanúsítását, hogy a tagállamok területén való szabad mozgáshoz és tartózkodáshoz való jog megilleti őket, és így élhetnek e jogukkal. Következésképpen az említett 77. cikk (3) bekezdése megalapozhatja az említett okmányokra vonatkozó intézkedések elfogadását, ha az ilyen fellépés szükségesnek bizonyul az EUMSZ 20. cikk (2) bekezdésének a) pontjában említett jog gyakorlásának megkönnyítéséhez.
52 Az EUMSZ 77. cikk (3) bekezdése tárgyi hatályának ezen értelmezését nem teszi kérdésessé sem – a Parlament, a Tanács és a Bizottság által hivatkozott – azon történeti fejlődés, amelyet a Szerződések az útlevelekre, személyazonosító igazolványokra, tartózkodási engedélyekre és bármilyen egyéb ilyen jellegű okmányra vonatkozó intézkedések elfogadására vonatkozó uniós hatáskör terén elértek, sem pedig a német kormány által hivatkozott azon körülmény, amely szerint e rendelkezés azt írja elő, hogy az akkor alkalmazandó, „amennyiben a Szerződések nem biztosítottak hatáskört az ilyen fellépésre”.
53 Kétségtelen, hogy a Lisszaboni Szerződés hatályon kívül helyezte a korábban az EK 18. cikk (3) bekezdésében foglalt rendelkezést, amely kifejezetten kizárta annak lehetőségét, hogy az uniós jogalkotó az EK 18. cikk (2) bekezdésére (jelenleg az EUMSZ 21. cikk (2) bekezdése) hivatkozzon „az útlevelekre, személyazonosító igazolványokra, tartózkodási engedélyekre vagy bármilyen egyéb ilyen jellegű okmányra vonatkozó rendelkezések”, valamint „a szociális biztonságra vagy a szociális védelemre vonatkozó rendelkezések” elfogadásának jogalapjaként. Ugyanakkor e Szerződés e két területen – azaz egyrészt a szociális biztonság és a szociális védelem tekintetében az EUMSZ 21. cikk (3) bekezdésében, másrészt az útlevelekre, személyazonosító igazolványokra, tartózkodási engedélyekre vagy bármilyen egyéb ilyen jellegű okmányra vonatkozó rendelkezéseket illetően az EUMSZ 77. cikk (3) bekezdésében – kifejezetten hatáskört ruházott az Unióra az ilyen fellépésre, és az említett területeken az intézkedések elfogadását a Tanács különleges jogalkotási eljárásához, különösen pedig egyhangú határozatához kötötte.
54 E körülmények között a korábban az EK 18. cikk (3) bekezdésében meghatározott rendelkezés törléséből nem lehet arra következtetni, hogy ezentúl „az útlevelekre, személyazonosító igazolványokra, tartózkodási engedélyekre vagy bármilyen egyéb ilyen jellegű okmányra vonatkozó rendelkezéseket” az EUMSZ 21. cikk (2) bekezdése alapján lehetne elfogadni. Éppen ellenkezőleg, a történeti fejlődésből az következik, hogy a Szerződések megalkotói az EUMSZ 77. cikk (3) bekezdésével az EUMSZ 20. cikk (2) bekezdésének a) pontjában biztosított, a tagállamok területén való szabad mozgáshoz és tartózkodáshoz való jog gyakorlásának megkönnyítését célzó ilyen rendelkezések elfogadására az EUMSZ 21. cikk (2) bekezdésében előírt általánosabb hatáskörnél speciálisabb hatáskört kívántak ruházni az Unióra.
55 Ezenkívül az EUMSZ 77. cikk (3) bekezdésében szereplő azon kitételt, amely szerint e rendelkezés akkor alkalmazandó, „amennyiben a Szerződések nem biztosítottak hatáskört az ilyen fellépésre”, az EUM‑Szerződés általános rendszerére tekintettel úgy kell érteni, hogy az ily módon maghatározott hatáskörök nem egy általánosabb hatályú rendelkezés, mint az EUMSZ 21. cikk (2) bekezdése, hanem egy speciálisabb rendelkezés által biztosított hatáskörök.
56 Ennélfogva a 2019/1157 rendelet elfogadása csak azzal a feltétellel volt alapítható az EUMSZ 21. cikk (2) bekezdésére, ha e rendelet elsődleges vagy túlnyomórészt meghatározó célja vagy összetevője kívül esik az EUMSZ 77. cikk (3) bekezdésének különös, az útleveleknek, személyazonosító igazolványoknak, tartózkodási engedélyeknek vagy bármilyen egyéb ilyen jellegű okmánynak az EUMSZ 20. cikk (2) bekezdésének a) pontjában említett jog gyakorlásának megkönnyítése érdekében történő kiállítására kiterjedő hatályán.
3. A 2019/1157 rendelet elsődleges vagy túlnyomórészt meghatározó céljáról, illetve összetevőjéről
57 Elsősorban, ami a 2019/1157 rendelet célját illeti, az 1. cikke kimondja, hogy annak célja a tagállamok által állampolgáraik részére kiállított személyazonosító igazolványokra és a tagállamok által az uniós polgárok és családtagjaik számára a szabad mozgáshoz való joguk gyakorlására kiállított tartózkodási okmányokra vonatkozó biztonsági előírások megerősítése.
58 Ugyanebben az értelemben e rendelet (46) preambulumbekezdése kimondja, hogy e rendelet célja ezen úti és személyazonosító okmányok „biztonságának megerősítése” „az uniós polgárok és családtagjaik által a szabad mozgás joga gyakorlásának megkönnyítése” érdekében, amit az említett rendelet (1), (2), (5), (17), (28), (29) és (36) preambulumbekezdése is megerősít.
59 Másodsorban, a 2019/1157 rendelet tartalmát illetően meg kell jegyezni, hogy e rendelet 16. cikket tartalmaz. E rendelet 1. és 2. cikke meghatározza a rendelet tárgyát, illetve hatályát. Az említett rendelet 3. és 4., valamint 6. és 7. cikke, amelyek a rendelet fő összetevőit képezik, többek között a tagállamok által kiállított személyazonosító igazolványok és tartózkodási okmányok biztonsági, tartalmi, formai és műszaki előírásaira vonatkozó követelményeket fogalmaz meg, míg ugyanezen rendelet 5. és 8. cikke az általa meghatározott követelményeknek meg nem felelő személyazonosító igazolványok és tartózkodási kártyák fokozatos kivonását írja elő. Végül a 2019/1157 rendelet 9–16. cikke pontosítja az e rendeletben előírt kötelezettségek végrehajtásának módját, különösen a biometrikus azonosítók gyűjtése és a személyes adatok védelme tekintetében.
60 Kétségtelen, hogy a 2019/1157 rendelet 2. cikke kimondja, hogy e rendelet nemcsak a tagállamok által saját állampolgáraik részére kiállított személyazonosító igazolványokra alkalmazandó, hanem a fogadó tagállamban három hónapnál hosszabb ideig tartózkodó uniós polgárok számára a 2004/38 irányelv 8. cikkével összhangban kiállított bejelentkezésről szóló igazolásokra, valamint az ezen irányelv 19. cikkének megfelelően kiállított, huzamos tartózkodási jogot igazoló olyan okmányokra is, amely igazolások és okmányok nem hasonlíthatók a személyazonosító igazolványokhoz, útlevelekhez vagy tartózkodási engedélyekhez. Mindazonáltal a 2019/1157 rendelet nem tartalmaz egyetlen olyan rendelkezést sem, amely ezen igazoló okmányokat szabályozná, és a 6. cikke első bekezdésének f) pontjában csupán azt mondja ki, hogy a tagállamok által az uniós polgárok részére kiállított tartózkodási okmányoknak tartalmazniuk kell a 2004/38 irányelv 8., illetve 19. cikkével összhangban kiállított, a bejelentkezésről szóló igazolásokon és huzamos tartózkodási jogot igazoló okmányokon feltüntetendő információkat. Következésképpen e rendeletnek ezen igazolásokkal kapcsolatos célját és összetevőjét rendkívül korlátozott hatályúnak kell tekinteni, így az említett rendelet jogalapja nem határozható meg e célra vagy összetevőre tekintettel.
61 E körülmények között a 2019/1157 rendelet elsődleges céljából és összetevőiből az következik, hogy azon jogi aktusok körébe tartozik, amelyek az EUMSZ 77. cikk (3) bekezdésének a jelen ítélet 48–51. pontjában meghatározott különös hatálya alá tartoznak.
62 Következésképpen az uniós jogalkotó azáltal, hogy a 2019/1157 rendeletet az EUMSZ 21. cikk (2) bekezdése alapján fogadta el, megsértette az EUMSZ 77. cikk (3) bekezdését, és nem megfelelő jogalkotási eljárást alkalmazott.
63 Ebből következik, hogy a kérdést előterjesztő bíróság által hivatkozott, arra alapított első érvénytelenségi ok, hogy a 2019/1157 rendeletet tévesen fogadták el az EUMSZ 21. cikk (2) bekezdése alapján és rendes jogalkotási eljárás keretében, maga után vonhatja e rendelet érvénytelenségét.
B. A második, az általános adatvédelmi rendelet 35. cikke (10) bekezdésének megsértésére alapított érvénytelenségi okról
64 A kérdést előterjesztő bíróság által hivatkozott második érvénytelenségi ok látszólag azon alapul, hogy a 2019/1157 rendeletet adatvédelmi hatásvizsgálat nélkül fogadták el, megsértve ezzel az általános adatvédelmi rendelet 35. cikkének (10) bekezdését.
65 E tekintetben meg kell jegyezni, hogy az általános adatvédelmi rendelet 35. cikkének (1) bekezdése úgy rendelkezik, hogy ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. E rendelet 35. cikkének (3) bekezdése pontosítja, hogy ilyen hatásvizsgálatra van szükség az említett rendelet 9. cikkének (1) bekezdésében említett személyes adatok különleges kategóriáinak, például a természetes személyek egyedi azonosítását célzó biometrikus adatoknak a nagy számban történő kezelése esetén.
66 Mivel a jelen ügyben a 2019/1157 rendelet maga nem ír elő semmilyen, a személyes adatokon vagy adatállományokon végzett műveletet, hanem csupán azt mondja ki, hogy a tagállamok bizonyos adatkezeléseket végeznek a személyazonosító igazolvány kérelmezése esetén, meg kell állapítani, hogy e rendelet elfogadásának nem volt feltétele a tervezett adatkezelési műveleteknek az általános adatvédelmi rendelet 35. cikkének (1) bekezdése értelmében vett hatásvizsgálatának előzetes elvégzése. Márpedig e rendelet 35. cikkének (10) bekezdése ezen rendelet 35. cikkének (1) bekezdésétől való eltérést vezet be.
67 Ebből következik, hogy mivel – amint az a fentiekből kitűnik – az általános adatvédelmi rendelet 35. cikkének (1) bekezdése nem volt alkalmazandó a 2019/1157 rendelet elfogadásakor, ezen rendelet elfogadása nem sérthette a 2016/679 rendelet 35. cikkének (10) bekezdését.
68 A fentiekre tekintettel az általános adatvédelmi rendelet 35. cikke (10) bekezdésének megsértésére alapított második ok nem vonhatja maga után a 2019/1157 rendelet érvénytelenségét.
C. A harmadik, a 2019/1157 rendelet 3. cikke (5) bekezdésének a Charta 7. és 8. cikkével való összeegyeztethetetlenségére alapított érvénytelenségi okról
69 A 2019/1157 rendelet érvénytelenségével kapcsolatban a kérdést előterjesztő bíróság által felhozott harmadik ok arra vonatkozik, hogy a két teljes ujjnyomatnak a tagállamok által kiállított személyazonosító igazolványok adathordozójába való beillesztésére vonatkozó, az e rendelet 3. cikkének (5) bekezdésében előírt kötelezettség a Charta 7. és 8. cikkében biztosított jogok indokolatlan korlátozását jelenti.
1. A korlátozás fennállásáról
70 A Charta 7. cikke többek között azt írja elő, hogy mindenkinek joga van ahhoz, hogy magánéletét tiszteletben tartsák. A Charta 8. cikke (1) bekezdésének értelmében mindenkinek joga van a rá vonatkozó személyes adatok védelméhez. Ezen – együttesen értelmezett – rendelkezésekből az következik, hogy főszabály szerint az említett jogok sérelmét képezheti a személyes adatoknak harmadik személyek általi bármely kezelése (2013. október 17‑i Schwarz ítélet, C‑291/12, EU:C:2013:670, 25. pont).
71 A jelen ügyben a 2019/1157 rendelet 3. cikkének (5) bekezdése úgy rendelkezik, hogy a tagállamok által saját állampolgáraik részére kiállított személyazonosító igazolványoknak magukban kell foglalniuk egy kiemelten biztonságos adathordozót, amely tartalmazza a birtokos arcképmását és két ujjnyomatot interoperábilis digitális formátumban.
72 Márpedig az ilyen személyes adatok lehetővé teszik az érintett természetes személyek konkrét azonosítását, és különösen érzékeny adatoknak minősülnek azon jelentős kockázatok miatt, amelyeket kezelésük az alapvető jogokra és szabadságokra nézve jelenthet, amint az különösen az általános adatvédelmi rendelet (51) preambulumbekezdéséből kitűnik, amely rendelet a szóban forgó adatokra – a 2019/1157 rendelet (40) preambulumbekezdésében emlékeztetettek szerint – alkalmazandó.
73 Következésképpen a két ujjnyomatnak a személyazonosító igazolványok adathordozójába történő beillesztésére vonatkozó, a 2019/1157 rendelet 3. cikkének (5) bekezdésében előírt kötelezettség egyaránt korlátozza a Charta 7. és 8. cikkében biztosított, a magánélet tiszteletben tartásához való jogot, illetve a személyes adatok védelméhez való jogot.
74 Ezenkívül e kötelezettség két egymást követő – az említett rendelet 10. cikkében szabályozott – személyesadat‑kezelési művelet előzetes elvégzését foglalja magában, nevezetesen az említett ujjnyomatoknak az érintettől való gyűjtését, valamint a személyazonosító igazolványok személyre szabása céljából történő ideiglenes tárolását. Az említett műveletek szintén a Charta 7. és 8. cikkében biztosított jogok korlátozását jelentik.
2. A korlátozás igazolásáról
75 Amint az az állandó ítélkezési gyakorlatból következik, a Charta 7. és 8. cikkében biztosított, a magánélet tiszteletben tartásához való jog, illetve a személyes adatok védelméhez való jog nem korlátlan jogosultságokat jelentenek, hanem azokat a társadalomban betöltött szerepük alapján kell megítélni (lásd ebben az értelemben: 2022. szeptember 20‑i SpaceNet és Telekom Deutschland ítélet, C‑793/19 és C‑794/19, EU:C:2022:702, 63. pont).
76 E jogok tehát korlátozhatók, feltéve hogy a Charta 52. cikke (1) bekezdésének első mondata értelmében e korlátozásra a törvény által, az említett jogok lényeges tartalmának, valamint az arányosság elvének tiszteletben tartásával kerül sor. Ezenkívül e bekezdés második mondata szerint az arányosság elvére figyelemmel, korlátozásukra csak akkor és annyiban kerülhet sor, ha és amennyiben az elengedhetetlen és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja. E tekintetben a Charta 8. cikkének (2) bekezdése pontosítja, hogy a személyes adatokat többek között csak „meghatározott célokra, az érintett személy hozzájárulása alapján vagy valamilyen más, a törvényben rögzített jogos okból lehet kezelni”.
a) A törvényesség elvének tiszteletben tartásáról
77 Ami a Charta 52. cikke (1) bekezdésének első mondatában megfogalmazott azon követelményt illeti, amely szerint az alapvető jogok gyakorlása csak törvény által korlátozható, magában foglalja, hogy az e jogokba történő beavatkozást lehetővé tevő jogi aktusnak magának kell meghatároznia az érintett jog gyakorlásával kapcsolatos korlátozás terjedelmét, azzal, hogy egyrészt e követelmény nem zárja ki, hogy a szóban forgó korlátozást a különböző helyzetekhez és a változó körülményekhez való alkalmazkodáshoz kellően nyitott módon fogalmazzák meg, másrészt pedig hogy a Bíróság adott esetben értelmezés útján pontosíthatja a korlátozás konkrét hatályát, figyelembe véve mind a szóban forgó uniós szabályozás megfogalmazását, mind pedig az általános rendszerét és az általa megvalósítani kívánt, a Chartában biztosított alapvető jogok fényében értelmezett célkitűzéseket (2022. június 21‑i Ligue des droits humains ítélet, C‑817/19, EU:C:2022:491, 114. pont).
78 A jelen ügyben a Charta 7. és 8. cikkében biztosított alapvető jogok gyakorlásának abból a kötelezettségből eredő korlátozásait, hogy két teljes ujjnyomatot kell a tagállamok által kiállított személyazonosító igazolványok adathordozójába beilleszteni, valamint e korlátozások alkalmazási feltételeit és terjedelmét egyértelműen és pontosan meghatározza – az uniós jogalkotó által rendes jogalkotási eljárás keretében elfogadott, és a jelen ítélet által joghatásaiban fenntartott – 2019/1157 rendelet 3. cikkének (5) bekezdése, valamint 10. cikkének (1) és (3) bekezdése.
79 Következésképpen a Charta 7. és 8. cikkében biztosított alapvető jogok gyakorlásának említett korlátozásai megfelelnek a Charta 52. cikke (1) bekezdésének első mondatában említett törvényesség elvének.
b) A Charta 7. és 8. cikkében biztosított alapvető jogok lényeges tartalmának tiszteletben tartásáról
80 Meg kell állapítani, hogy az ujjnyomatokkal szolgáltatott információk önmagukban nem nyújthatnak betekintést az érintett személyek magán‑ és családi életébe.
81 E körülmények között a két ujjnyomatnak a tagállamok által kiállított személyazonosító igazolványok adathordozójába való beillesztésére vonatkozó, a 2019/1157 rendelet 3. cikkének (5) bekezdésében előírt kötelezettség által jelentett korlátozás nem sérti a Charta 7. és 8. cikkében biztosított alapvető jogok lényeges tartalmát (lásd analógia útján: 2022. június 21‑i Ligue des droits humains ítélet, C‑817/19, EU:C:2022:491, 120. pont).
c) Az arányosság elvének tiszteletben tartásáról
82 Amint az a Charta 52. cikke (1) bekezdésének második mondatából kitűnik, ahhoz, hogy a Chartában biztosított alapvető jogok gyakorlása az arányosság elvére figyelemmel korlátozható legyen, e korlátozásoknak elengedhetetlennek kell lenniük, és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét kell szolgálniuk.
83 Konkrétabban, a személyes adatok védelme alóli kivételek és e védelem korlátozásai a feltétlenül szükséges mértékre korlátozódnak, azzal, hogy amikor több, a követett jogszerű célok elérésére alkalmas intézkedés közötti választásra van lehetőség, a legkevésbé korlátozó jellegűt kell igénybe venni. Ezenkívül valamely általános érdekű célt nem lehet elérni annak figyelembevétele nélkül, hogy azt össze kell egyeztetni az intézkedéssel érintett alapvető jogokkal, mivel el kell végezni egyrészről a közérdekű cél, másrészről pedig a szóban forgó jogok közötti kiegyensúlyozott mérlegelést annak biztosítása érdekében, hogy az ezen intézkedéssel okozott hátrányok ne legyenek aránytalanok az elérni kívánt célokhoz képest. A Charta 7. és 8. cikkében biztosított jogokat érintő korlátozás igazolásának lehetőségét tehát az ilyen korlátozással járó beavatkozás súlyosságának felmérésével, valamint annak ellenőrzésével kell értékelni, hogy az e korlátozás által elérni kívánt közérdekű cél jelentősége összefügg‑e a beavatkozás súlyosságával (2022. november 22‑i Luxembourg Business Registers ítélet, C‑37/20 és C‑601/20, EU:C:2022:912, 64. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
84 Következésképpen annak vizsgálatához, hogy a jelen ügyben a Charta 7. és 8. cikkében biztosított jogokba való, a két ujjnyomatnak a személyazonosító igazolványok adathordozójába történő, a 2019/1157 rendelet 3. cikkének (5) bekezdésében előírt beillesztésének kötelezettségéből eredő beavatkozások tiszteletben tartják‑e az arányosság elvét, először is azt meg kell vizsgálni, hogy ezen intézkedés az Unió által elismert egy vagy több általános érdekű célkitűzést követ‑e, és ténylegesen alkalmas‑e e célok megvalósítására, másodszor azt, hogy az ebből eredő beavatkozások a feltétlenül szükséges mértékre korlátozódnak‑e, abban az értelemben, hogy az említett célkitűzések észszerűen nem érhetők el ugyanolyan hatékonyan más, az érintett személyek ezen alapvető jogait kevésbé sértő eszközökkel, harmadszor pedig azt, hogy az említett beavatkozások nem aránytalanok‑e a célkitűzésekhez képest, ami különösen e célok és az említett beavatkozások súlyosságának egymással szembeni mérlegelését jelenti (lásd ebben az értelemben: 2022. november 22‑i Luxembourg Business Registers ítélet, C‑37/20 és C‑601/20, EU:C:2022:912, 66. pont; 2022. december 8‑i Orde van Vlaamse Balies és társai ítélet, C‑694/20, EU:C:2022:963, 42. pont).
1) Az Unió által elismert egy vagy több általános érdekű célkitűzés követéséről és az intézkedés e célok elérésére való alkalmasságáról
i) A szóban forgó intézkedés által követett célkitűzések általános érdekű jellegéről
85 A 2019/1157 rendelet 1. cikke értelmében a rendelet célja többek között a tagállamok által állampolgáraik részére a szabad mozgáshoz való joguk gyakorlására kiállított személyazonosító igazolványokra vonatkozó biztonsági előírások megerősítése.
86 Konkrétabban, és amint az a 2019/1157 rendelet (4), (5), (17)–(20) és (32) preambulumbekezdéséből kitűnik, a biometrikus adatoknak – köztük két teljes ujjnyomatnak – a személyazonosító igazolványok adathordozójába való beillesztésének célja az említett kártyák hitelességének biztosítása, valamint a birtokos személyazonossága megbízható ellenőrzésének lehetővé tétele, hozzájárulva e rendelet (23) és (33) preambulumbekezdésének, valamint 3. cikke (5) bekezdésének megfelelően a személyazonosító okmányok ellenőrzésére szolgáló rendszerek interoperabilitásához az okmányhamisítás és az okmányokkal való visszaélés kockázatának csökkentése érdekében.
87 Márpedig a Bíróságnak már volt alkalma arra, hogy az útlevelek kiállításával (lásd ebben az értelemben: 2013. október 17‑i Schwarz ítélet, C‑291/12, EU:C:2013:670, 36–38. pont), valamint a harmadik országbeli állampolgárok nyilvántartó rendszerének létrehozásával kapcsolatban (lásd ebben az értelemben: 2019. október 3‑i A és társai ítélet, C‑70/18, EU:C:2019:823, 46. pont, valamint az ott hivatkozott ítélkezési gyakorlat) kimondja, hogy az okmányhamisítás elleni küzdelem, amely magában foglalja többek között a személyazonosító igazolványok hamisítása és a személyazonossággal való visszaélés elleni küzdelmet, az Unió által elismert általános érdekű célkitűzésnek minősül.
88 Ami a személyazonosító okmányok ellenőrzésére szolgáló rendszerek interoperabilitásának célkitűzését illeti, az szintén ilyen jellegű, mivel – amint az a 2019/1157 rendelet (17) preambulumbekezdéséből kitűnik – hozzájárul ahhoz, hogy az uniós polgárok könnyebben gyakorolhassák az EUMSZ 20. cikkben számukra elismert, a tagállamok területén való szabad mozgáshoz és tartózkodáshoz való jogukat.
ii) A szóban forgó intézkedésnek az általános érdekű célkitűzések tényleges megvalósítására való alkalmasságáról
89 A jelen ügyben a két teljes ujjnyomatnak a személyazonosító igazolványok adathordozójába való beillesztése alkalmas a személyazonosító igazolványok hamisítása és a személyazonossággal való visszaélés elleni küzdelemre, valamint az ellenőrzésre szolgáló rendszerek interoperabilitására irányuló, az uniós jogalkotó által ezen intézkedés igazolása érdekében hivatkozott általános érdekű célkitűzések megvalósítására.
90 Mindenekelőtt ugyanis az ujjnyomatokhoz hasonló biometrikus adatoknak a személyazonosító igazolványokba való beillesztése megnehezítheti a személyazonosító igazolványok hamisítását, mivel többek között a 2019/1157 rendelet 3. cikkének az e rendelet 14. cikkének (1) és (2) bekezdésével összefüggésben értelmezett (5) bekezdése értelmében az ilyen adatokat pontos műszaki előírások szerint kell tárolni, amely előírások titokban tarthatók.
91 Továbbá az ilyen biometrikus adatok beillesztése olyan eszköz, amely a 2019/1157 rendelet 11. cikke (6) bekezdésének, valamint (18) és (19) preambulumbekezdésének megfelelően lehetővé teszi a személyazonosító igazolvány hitelességének és az okmány birtokosa személyazonosságának megbízható ellenőrzését, és ezáltal a csalás kockázatának csökkentését.
92 Végül az uniós jogalkotó azon döntése, hogy előírja a teljes ujjnyomatok beillesztését, szintén alkalmasnak tűnik a személyazonosító igazolványok ellenőrzésére szolgáló rendszerek interoperabilitására irányuló célkitűzés megvalósítására, mivel a teljes ujjnyomatok felhasználása lehetővé teszi a tagállamok által használt automatizált ujjnyomat‑azonosító rendszerek összességével való kompatibilitás biztosítását, annak ellenére, hogy az ilyen rendszerek nem szükségszerűen ugyanazt az azonosítási mechanizmust alkalmazzák.
93 A kérdést előterjesztő bíróság megjegyzi továbbá, hogy a 2019/1157 rendelet 3. cikke (7) bekezdésének első albekezdése felhatalmazza a tagállamokat arra, hogy különösen a 12 év alatti gyermekeket mentesítsék az ujjnyomatadási kötelezettség alól, és a második albekezdésében pedig előírja számukra, hogy a hat év alatti gyermekeket mentesítsék e kötelezettség alól.
94 Kétségtelen, hogy valamely jogszabály csak akkor tekinthető alkalmasnak a hivatkozott célkitűzés elérésére, ha az általa előírt intézkedések valóban megfelelnek a célkitűzés elérésére irányuló törekvésnek, és azokat koherensen és szisztematikusan hajtják végre (lásd analógia útján: 2023. december 5‑i Nordic Info ítélet, C‑128/22, EU:C:2023:951, 84. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
95 Mindazonáltal a 2019/1157 rendelet annak ellenére megfelel e követelménynek, hogy mentességet ír elő a gyermekek ujjnyomatadási kötelezettsége alól, mivel – amint az a (26) preambulumbekezdéséből kitűnik – e mentességek célja a gyermek mindenek felett álló érdekének figyelembevétele.
96 Ugyanez vonatkozik a 2019/1157 rendelet 5. cikkében kimondott szabályra is, amely szerint azok a személyazonosító igazolványok, amelyek nem felelnek meg az e rendelet 3. cikkében meghatározott követelményeknek, a lejáratukkor, de legkésőbb 2031. augusztus 3‑én érvényüket vesztik. Az uniós jogalkotó ugyanis – az e rendeletben előírt intézkedések hosszú távú hatékonyságát kérdésessé nem téve – vélhette úgy, hogy az ilyen átmeneti időszak megfelelő annak elkerülésére, hogy a tagállamokra a valamennyi érintett személy számára nagyon rövid időn belül új személyazonosító igazolvány kiállításának terhe háruljon.
97 Ami azt a körülményt illeti, hogy egyes tagállamok a jogszabályaikban azt írják elő, hogy az általuk kiállított személyazonosító igazolványok az elektronikus adathordozó hibás jellege ellenére is érvényesek maradnak, elegendő megjegyezni, hogy az ilyen jogszabályok csak akkor egyeztethetők össze a 2019/1157 rendelettel, ha az előző pontban említett átmeneti időszak még nem telt el.
2) A szóban forgó intézkedés alkalmazásának az általános érdekű célkitűzések megvalósításához való szükségességéről
98 E tekintetben először is, ami magát az ujjnyomatoknak a személyazonosító igazolványok adathordozójába való beillesztésének elvét illeti, meg kell jegyezni, hogy az ujjnyomatok megbízható és hatékony eszközök valamely személy személyazonosságának bizonyossággal történő megállapítására, és hogy az ujjnyomatok gyűjtésére szolgáló eljárás kivitelezése egyszerű.
99 Közelebbről, amint arra a főtanácsnok az indítványának 90. pontjában rámutatott, önmagában az arcképmás beillesztése az azonosítás kevésbé hatékony eszköze, mint a képmáson kívül két ujjnyomat beillesztése, mivel az idősödés, az életmód, a betegség vagy a plasztikai, illetve helyreállító sebészeti beavatkozás megváltoztathatja az arc anatómiai jellemzőit.
100 Igaz, hogy a 2019/1157 rendelet alapjául szolgáló rendeletjavaslatot kísérő bizottsági hatásvizsgálat jelezte, hogy előnyben kell részesíteni azt a lehetőséget, hogy ne tegyék kötelezővé a két ujjnyomatnak a személyazonosító igazolványok adathordozójába való beillesztését.
101 Azon kívül azonban, hogy maga a Bizottság döntött úgy, hogy a jogalkotási javaslatában nem él ezzel a lehetőséggel, meg kell jegyezni, hogy bár az intézményközi megállapodás (14) pontja előírja, hogy a Bizottság jogalkotási javaslatainak vizsgálatakor a Parlamentnek és a Tanácsnak teljes mértékben figyelembe kell vennie a Bizottság hatásvizsgálatait, ugyanezen megállapodás (12) pontja kimondja, hogy a „demokratikus döntéshozatali folyamat keretében a hatásvizsgálatok elősegítik, hogy a három intézmény megalapozott döntéseket hozzon, de nem helyettesítik a politikai döntéseket”. Következésképpen a Parlament és a Tanács, noha köteles figyelembe venni a Bizottság hatásvizsgálatait, azok tartalma, különösen az azokban foglalt értékelések nem kötik őket (lásd ebben az értelemben: 2018. június 21‑i Lengyelország kontra Parlament és Tanács ítélet, C‑5/16, EU:C:2018:483, 159. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
102 Következésképpen önmagában az a tény, hogy az uniós jogalkotó a hatásvizsgálat értelmében javasolt intézkedéstől eltérő és adott esetben szigorúbb intézkedést fogadott el, nem alkalmas annak bizonyítására, hogy túllépte az elérni kívánt célkitűzés megvalósításához szükséges mértéket (lásd ebben az értelemben: 2016. május 4‑i Pillbox 38 ítélet, C‑477/14, EU:C:2016:324, 65. pont).
103 A jelen ügyben a Bizottság által végzett hatásvizsgálat megállapította, hogy az ujjnyomatoknak a személyazonosító igazolványok adathordozójába való beillesztésének kötelezővé tételében álló lehetőség volt a leghatékonyabb lehetőség a személyazonosító igazolványok hamisítása elleni küzdelemre és az okmányok hitelességének javítására irányuló konkrét célkitűzés megvalósítása szempontjából. E körülmények között a beillesztés kötelezővé nem tételében álló lehetőség semmiképpen nem teheti kérdésessé az uniós jogalkotó által elfogadott intézkedésnek a jelen ítélet 84. pontjában felidézett ítélkezési gyakorlat értelmében vett szükségességét.
104 Másodszor, ami a két teljes ujjnyomat és nem csupán az ujjnyomatok jellemző pontjainak (minuciák) beillesztését illeti, egyrészt, amint arra a főtanácsnok az indítványának 93. pontjában rámutatott, a minuciák nem nyújtanak ugyanolyan szintű biztonságot mint a teljes ujjnyomatok. Másrészt a személyazonosító okmányok ellenőrzésére szolgáló rendszerek interoperabilitásához – ami az elsődleges célkitűzések egyike –, teljes ujjnyomat beillesztése szükséges. Amint az ugyanis a 7/2018. sz. vélemény 47. pontjából kitűnik, és amint azt a kérdést előterjesztő bíróság is hangsúlyozza, a tagállamok különböző ujjnyomat‑felismerési technológiákat alkalmaznak, így a személyazonosító igazolvány adathordozójába az ujjnyomatok csupán bizonyos jellemzőinek beillesztése veszélyeztetné a személyazonosító okmányok ellenőrzésére szolgáló rendszerek interoperabilitására irányuló, a 2019/1157 rendelet által követett célkitűzés megvalósítását.
105 A fenti megfontolásokból következik, hogy a Charta 7. és 8. cikkében biztosított alapvető jogoknak a két teljes ujjnyomat adathordozóba való beillesztésére vonatkozó kötelezettségből eredő korlátozása tiszteletben tartja a feltétlenül szükséges mértéket.
3) Egyfelől a szóban forgó alapvető jogokba való beavatkozás súlyossága, másfelől pedig az ezen intézkedés által követett célok közötti súlyozás fennállásáról
i) A Charta 7. és 8. cikkében biztosított jogok gyakorlása korlátozásából fakadó beavatkozás súlyosságáról
106 A Charta 7. és 8. cikkében biztosított jogok korlátozásából fakadó beavatkozás súlyosságának értékelésekor figyelembe kell venni az érintett személyes adatok jellegét, különösen ezen adatok esetlegesen érzékeny jellegét, valamint az adatkezelés jellegét és konkrét módjait, különösen az ezen adatokhoz hozzáférő személyek számát és az ezen adatokhoz való hozzáférés módjait. Adott esetben figyelembe kell venni a visszaélésszerű kezelés kockázatának megelőzésére irányuló intézkedések fennállását is.
107 A jelen ügyben a Charta 7. és 8. cikkében biztosított jogok gyakorlásának a 2019/1157 rendeletből eredő korlátozása kétségtelenül a személyek nagy számát érintheti, mivel ezt a számot a Bizottság a hatásvizsgálatában az Unió akkori 440 millió lakosából 370 millióra becsülte. Az ujjnyomatok mint biometrikus adatok természetüknél fogva különösen érzékenyek, és – amint az többek között az általános adatvédelmi rendelet (51) preambulumbekezdéséből kitűnik – az uniós jogban egyedi védelmet élveznek.
108 Hangsúlyozni kell azonban, hogy a 2019/1157 rendelet a két teljes ujjnyomat gyűjtését és tárolását csak ezen ujjnyomatoknak a személyazonosító igazolványok adathordozójába való beillesztése céljából engedélyezi.
109 Ezenkívül e rendelet 10. cikkének (3) bekezdésével összefüggésben értelmezett 3. cikkének (5) bekezdéséből az következik, hogy e beillesztést, és a személyazonosító igazolványnak az érintett személy általi átvételét követően a gyűjtött ujjnyomatokat kizárólag az említett – fizikai formában főszabály szerint e személy birtokában lévő – okmány adathordozóján tárolják.
110 Végül a 2019/1157 rendelet egy sor garanciát ír elő azon kockázatok korlátozása céljából, hogy a rendelet végrehajtása során az általa követett céloktól eltérő célok elérése érdekében gyűjtsenek vagy használjanak fel személyes adatokat, nemcsak a személyes adatokat érintő, e rendelet által kötelezővé tett kezelési műveletek tekintetében, hanem a személyazonosító igazolványok adathordozójába beillesztett ujjnyomatokat esetlegesen érintő fő kezelések tekintetében is.
111 Így először is az adatgyűjtést illetően a 2019/1157 rendelet 10. cikkének (1) és (2) bekezdése kimondja, hogy a biometrikus azonosítók gyűjtését „kizárólag […] szakképzett és kellően felhatalmazott személyzet végezheti”, és hogy e személyzetnek „a biometrikus azonosítók gyűjtése tekintetében megfelelő és hatékony eljárások[at kell követnie]”, amely eljárások megfelelnek a Chartában, az emberi jogok és alapvető szabadságok védelméről szóló egyezményben, valamint az Egyesült Nemzeteknek a gyermek jogairól szóló egyezményében meghatározott jogoknak és elveknek. Ezenkívül, amint az a jelen ítélet 93. pontjában megállapításra került, e rendelet 3. cikkének (7) bekezdése különös szabályokat tartalmaz a 12 év alatti gyermekekre (első és második albekezdés), valamint az ujjnyomatadásra fizikailag képtelen személyekre (harmadik albekezdés) vonatkozóan, amennyiben ez utóbbiak „mentesülnek az ujjnyomatadási kötelezettség alól”.
112 Másodszor, ami az adattárolást illeti, egyrészt a 2019/1157 rendelet arra kötelezi a tagállamokat, hogy biometrikus adatokként arcképet és két ujjnyomatot tároljanak. E tekintetben e rendelet (21) preambulumbekezdése kifejezetten pontosítja, hogy e rendelet nem szolgáltat „jogalapot a biometrikus adatok tárolására vonatkozó nemzeti szintű tagállami adatbázisok létrehozására és fenntartására, amelyre az adatvédelemre vonatkozó uniós jognak megfelelő nemzeti jog vonatkozik”, és nem szolgáltat „jogalapot egy uniós szintű központi adatbázis létrehozásához vagy fenntartásához”. Másrészt az említett rendelet 10. cikkének (3) bekezdése előírja, hogy „a biometrikus azonosítókat […] csak az okmány átvételének időpontjáig, de minden esetben legfeljebb a kiállítástól számított 90 napig lehet tárolni”, és pontosítja, hogy „[e]zen időszakot követően ezeket a biometrikus azonosítókat azonnal törölni kell vagy meg kell semmisíteni”.
113 Ebből többek között az következik, hogy a 2019/1157 rendelet 10. cikkének (3) bekezdése nem teszi lehetővé, hogy a tagállamok a biometrikus adatokat az e rendeletben meghatározott céloktól eltérő célokból kezeljék. Ezenkívül ugyanezen rendelkezéssel ellentétes az ujjnyomatoknak a személyazonosító igazolványok személyre szabása céljából történő ideiglenes tárolásán túlmenő központi adatbázisban történő tárolása.
114 Végül a 2019/1157 rendelet 11. cikkének (6) bekezdése utal arra a lehetőségre, hogy a biztonságos adathordozóban tárolt biometrikus adatokat az uniós joggal és a nemzeti joggal összhangban az illetékes nemzeti hatóságok és az uniós ügynökségek kellően felhatalmazott személyzete is felhasználhatja.
115 E rendelkezés a) pontja csupán a személyazonosító igazolvány vagy a tartózkodási okmány hitelességének ellenőrzése céljából teszi lehetővé a személyazonosító igazolványok és a tartózkodási okmányok adathordozójában tárolt biometrikus adatok felhasználását.
116 Az említett rendelkezés b) pontja pedig előírja, hogy a személyazonosító igazolványok és a tartózkodási okmányok adathordozójában tárolt biometrikus adatok felhasználhatók a birtokos személyazonosságának ellenőrzésére a „közvetlenül hozzáférhető, összehasonlítható jellemzők segítségével, amennyiben a személyazonosító igazolvány vagy a tartózkodási okmány bemutatását jogszabály írja elő”. Márpedig az ilyen adatkezelésre szigorúan csak az érintett személy azonosítására korlátozódó célból és a személyazonosító igazolvány vagy tartózkodási okmány bemutatását előíró jogszabály által pontosan meghatározott feltételek mellett kerülhet sor, mivel az ilyen adatkezelés alkalmas arra, hogy kiegészítő információkat szolgáltasson az érintett személyek magánéletéről.
117 Harmadszor, ami a személyazonosító igazolványok adathordozójában rögzített biometrikus adatok lekérdezését illeti, hangsúlyozni kell, hogy a 2019/1157 rendelet (19) preambulumbekezdése sorrendet állít fel az okmány hitelességének és a birtokos személyazonosságának ellenőrzésére szolgáló eszközök alkalmazását illetően, előírva, hogy a tagállamoknak „elsősorban az arcképet kell ellenőrizniük”, és szükség esetén az okmány hitelességének és a birtokos személyazonosságának kétséget kizáró megerősítése érdekében „az ujjnyomatokat is ellenőrizniük kell”.
118 Negyedszer, ami a tárolt adatokhoz való jogosulatlan hozzáférés kockázatát illeti, a 2019/1157 rendelet 3. cikkének (5) és (6) bekezdése e kockázat minimalizálása érdekében előírja, hogy az ujjnyomatokat „kiemelten biztonságos adathordozón” kell tárolni, amely „elegendő kapacitással és képességgel [rendelkezik] az adatok sértetlenségének, hitelességének és titkosságának biztosításához”. Ezenfelül e rendelet 3. cikkének (10) bekezdéséből az következik, hogy „ha a tagállamok a személyazonosító igazolványokban elektronikus szolgáltatások – például e‑kormányzat és e‑üzletvitel – céljaira szolgáló adatokat tárolnak, az ilyen nemzeti adatokat fizikailag vagy logikailag el kell különíteni”, többek között az említett rendelet alapján gyűjtött és tárolt ujjnyomatoktól. Végül ugyanezen rendelet (41) és (42) preambulumbekezdéséből, valamint 11. cikkének (4) bekezdéséből kitűnik, hogy továbbra is a tagállamok felelősek a biometrikus adatok megfelelő kezeléséért, akkor is, ha külső szolgáltatókkal működnek együtt.
ii) A célkitűzések jelentőségéről
119 Amint az a jelen ítélet 86. pontjában megállapításra került, a két ujjnyomatnak a személyazonosító igazolványok adathordozójába történő beillesztésének célja a személyazonosító igazolványok hamisítása és a személyazonossággal való visszaélés elleni küzdelem, valamint a személyazonosító okmányok ellenőrzésére szolgáló rendszerek interoperabilitásának biztosítása. Márpedig ezen az alapon hozzájárulhat az érintett személyek magánéletének védelméhez, valamint tágabb értelemben a bűnözés és a terrorizmus elleni küzdelemhez.
120 Ezenkívül az ilyen intézkedés lehetővé teszi azon igény kielégítését, hogy valamennyi uniós polgár rendelkezzen olyan eszközzel, amellyel megbízhatóan azonosításhatja magát, és hogy a tagállamok meggyőződhessenek arról, hogy az uniós jog által elismert jogokra hivatkozó személyek valóban jogosultak azokra. Így hozzájárul különösen ahhoz, hogy megkönnyítse az uniós polgárok számára a szabad mozgáshoz és tartózkodáshoz való joguk gyakorlását, amely jog a Charta 45. cikkében biztosított, szintén alapvető jog. A 2019/1157 rendelet által, különösen a két ujjnyomatnak a személyazonosító igazolványok adathordozójába való beillesztése révén követett célkitűzések különös jelentőséggel bírnak nemcsak az Unió és a tagállamok, hanem az uniós polgárok számára is.
121 Egyébiránt e célkitűzések jogszerűségét és jelentőségét egyáltalán nem teszi kérdésessé a kérdést előterjesztő bíróság által hivatkozott azon körülmény, hogy a 7/2018. sz. vélemény a 24–26. pontjában kifejti, hogy 2013 és 2017 között mindössze 38 870 hamis személyazonosító igazolványra derült fény, és hogy ez a szám évek óta csökkenő tendenciát mutat.
122 Ugyanis, még ha úgy is tekintjük, hogy a hamis személyazonosító igazolványok száma alacsony, az uniós jogalkotó nem volt köteles megvárni, hogy e szám növekedjen, ahhoz hogy az ilyen okmányok használatához fűződő kockázatok megelőzésére irányuló intézkedéseket fogadjon el, hanem – különösen a kockázatkezelés érdekében – előre feltételezhette e fejlődést, feltéve hogy az arányosság elvének tiszteletben tartására vonatkozó többi feltétel teljesül.
iii) Egymással szembeni mérlegelés
123 A fentiekre tekintettel meg kell állapítani, hogy a Charta 7. és 8. cikkében biztosított jogok gyakorlását érintő, a két ujjnyomatnak a személyazonosító igazolványok adathordozójába történő beillesztéséből eredő korlátozás a szóban forgó adatok jellegére, az adatkezelési műveletek jellegére és módjaira, valamint az előírt védelmi mechanizmusokra tekintettel nem tűnik olyan súlyosnak, hogy az aránytalan lenne az ezen intézkedés által elérni kívánt különböző célok jelentőségéhez képest. Így az ilyen intézkedést úgy kell tekinteni, mint amely egyrészről e célkitűzések, másrészről pedig a szóban forgó alapvető jogok közötti kiegyensúlyozott mérlegelésen alapul.
124 Következésképpen a Charta 7. és 8. cikkében biztosított jogok gyakorlásának korlátozása nem sérti az arányosság elvét, így a harmadik ok nem vonhatja maga után a 2019/1157 rendelet érvénytelenségét.
125 A fenti megfontolások összességéből az következik, hogy a 2019/1157 rendelet kizárólag annyiban érvénytelen, amennyiben azt az EUMSZ 21. cikk (2) bekezdése alapján fogadták el.
IV. A 2019/1157 rendelet joghatásainak ideiglenes fenntartásáról
126 A jogbiztonsággal kapcsolatos okokból az érvénytelennek nyilvánított jogi aktus joghatásai fenntarthatók, különösen, ha az érvénytelenséget megállapító ítélet azonnali hatásai súlyosan hátrányos következményeket idéznének elő az érintett személyek számára (lásd ebben az értelemben: 2016. március 17‑i Parlament kontra Bizottság ítélet, C‑286/14, EU:2016:183, 67. pont).
127 A jelen ügyben a 2019/1157 rendelet azonnali hatállyal történő érvénytelenítése súlyosan hátrányos következményekkel járhat jelentős számú uniós polgárra, különösen pedig a szabadságon, a biztonságon és a jog érvényesülésén alapuló térségen belüli biztonságukra nézve.
128 E körülmények között a Bíróság úgy határoz, hogy e rendelet joghatásait fenn kell tartani az EUMSZ 77. cikk (3) bekezdésén alapuló, a jelenlegi rendeletet felváltani hivatott új rendeletnek a jelen ítélet kihirdetését követő év január 1‑jétől számított két évet meg nem haladó, észszerű határidőn belül történő hatálybalépéséig.
V. A költségekről
129 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott:
1) Az uniós polgárok személyazonosító igazolványai és a szabad mozgás jogával élő uniós polgárok és azok családtagjai részére kiállított tartózkodási okmányok biztonságának megerősítéséről szóló, 2019. június 20‑i (EU) 2019/1157 európai parlamenti és tanácsi rendelet érvénytelen.
2) A 2019/1157 rendelet joghatásai az EUMSZ 77. cikk (3) bekezdésén alapuló, a jelenlegi rendeletet felváltani hivatott új rendeletnek a jelen ítélet kihirdetését követő év január 1‑jétől számított két évet meg nem haladó, észszerű határidőn belül történő hatálybalépéséig fennmaradnak.
Aláírások