CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:483

PRIIT PIKAMÄE

FŐTANÁCSNOK INDÍTVÁNYA

Az ismertetés napja: 2023. június 15.(1)

C‑118/22. sz. ügy

közigazgatási eljárás

a Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia ellen;

a Varhovna administrativna prokuratura

részvételével

(a Varhoven administrativen sad [legfelsőbb közigazgatási bíróság, Bulgária] által benyújtott előzetes döntéshozatal iránti kérelem)

„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/680 irányelv – 4., 5., 8., 10. és 16. cikk – Szándékos bűncselekmény miatt elítélt természetes személy adatainak a haláláig történő tárolása – Jogerős ítélettel elítélt, majd mentesítésben részesült természetes személy – Törlés iránti kérelem elutasítása – Az Európai Unió Alapjogi Chartájának 7. és 8. cikkében foglalt alapvető jogokba való beavatkozás szükségessége és arányossága”

1. Aggódnunk kell‑e a személyes adatoknak a rendőrségi nyilvántartási rendszerben való tárolása miatt, ami a nyilvántartott személyt – esetleg egy életre – a társadalmi szempontból deviáns státuszba zárja, mint aki életfogytig tartóan veszélyes? Nem kellene‑e éppen ellenkezőleg, üdvözölnünk e rendőrségi adatbázist, tekintve, hogy a nyomozók régi megoldatlan, ma inkább „cold cases”‑nek nevezett ügyeket oldottak meg, az áldozatok családjainak nagy megkönnyebbülésére?

2. A jelen ügy éppen ennek az antagonisztikus kérdésfelvetésnek a része, amely a bűnözés elleni küzdelemhez kapcsolódó közérdek, valamint az egyén személyes adatainak védelméhez és a magánélet tiszteletben tartásához fűződő érdekének összeegyeztetésére vonatkozik. Lehetőséget ad a Bíróságnak arra, hogy az (EU) 2016/680 irányelv(2) vonatkozó rendelkezéseinek fényében az ilyen adatok bűnüldözési célú kezelésének kérdésében, annak időbeli dimenziójában határozzon.

I. Jogi háttér

A. Az uniós jog

3. A jelen ügy szempontjából a 2016/680 irányelv 4., 5., 8., 10. és 16. cikke, valamint az Európai Unió Alapjogi Chartája (a továbbiakban: Charta) 52. cikkének (1) bekezdése releváns.

B. A bolgár jog

4. A Zakon za Ministerstvoto na vatreshnite reboti (a belügyminisztériumról szóló törvény, a továbbiakban: ZMVR) 26. cikkének (1) és (2) bekezdése a következőképpen rendelkezik:

„(1) A személyes adatoknak a nemzetbiztonság védelmével, a bűnözés elleni küzdelemmel, a közrend fenntartásával és a büntetőeljárás lefolytatásával kapcsolatos kezelése során a Belügyminisztérium hatóságai:

[…]

3. a személyes adatok valamennyi szükséges kategóriáját kezelhetik;

(2) Az (1) bekezdésben említett adatok tárolásának, illetve a tárolás szükségességének időszakos felülvizsgálatára vonatkozó határidőket a belügyminiszter határozza meg. Az ilyen adatokat bírósági aktus vagy a Személyes adatok védelmével foglalkozó bizottság határozata alapján is törölni kell”.

5. A ZMVR 27. cikke a következőket mondja ki:

„A 68. cikk alapján a személyek rendőrségi nyilvántartásba történő bejegyzéséből származó adatokat kizárólag a nemzetbiztonság védelme, a bűnözés elleni küzdelem és a közrend fenntartása céljából lehet felhasználni.”

6. A ZMVR 68. cikke a következőket írja elő:

„(1) A rendőrhatóságok rendőrségi nyilvántartásba veszik azokat a személyeket, akiket szándékosan elkövetett, közvádra üldözendő bűncselekmény elkövetésével gyanúsítanak. A nyomozó hatóságok kötelesek megtenni a szükséges lépéseket annak érdekében, hogy a rendőrhatóságok nyilvántartásba vegyék az adatokat.

(2) A rendőrségi nyilvántartás az (1) bekezdés szerinti személyek személyes adatai kezelésének egyik kategóriáját képezi, amely a jelen törvény feltételei szerint történik.

(3) A rendőri hatóságok a rendőrségi nyilvántartásba vétel céljából:

1. rögzítik a bolgár személyazonosító okmányokról szóló törvény 18. cikkében megjelölt személyes adatokat;

2. leveszik a személyek ujjlenyomatait, és fényképeket készítenek róluk;

3. mintákat vesznek a személyek DNS‑profiljának rögzítése érdekében.

[…]

(6) A rendőrségi nyilvántartásba vételt a személyes adatok kezelője vagy az általa felhatalmazott tisztviselő hivatalból vagy a nyilvántartásba vett személy indokolt írásbeli kérelmére megszünteti, ha:

1. a nyilvántartásba vételre a törvény megsértésével került sor;

2. a büntetőeljárást a (nakazatelno‑protsesualen kodeks [büntetőeljárásról szóló törvény]) 24. cikkének (3) bekezdésében említett esetek kivételével megszüntették;

3. a büntetőeljárás felmentő ítélettel zárult;

4. a személyt mentesítették a büntetőjogi felelősség alól, és közigazgatási szankciót szabtak ki vele szemben;

5. a személy elhunyt, amely esetben a kérelmet az örökösei terjeszthetik elő.

(7) A rendőrségi nyilvántartásba vétel végrehajtásának és megszüntetésének részletes szabályait minisztertanácsi rendelet határozza meg.”

II. A tényállás, az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdés

7. NG‑t egy hamis tanúzás miatt folytatott nyomozás során vették rendőrségi nyilvántartásba, amely cselekmény a Nakazatelen kodeks (büntető törvénykönyv) 290. cikkének (1) bekezdése szerint bűncselekmény. Ezen eljárás eredményeként 2015. július 2‑án vádirat készült ellene, és a 2016. június 28‑i ítélettel – amelyet fellebbezés folytán a 2016. december 2‑i ítélettel helybenhagytak –, megállapították a bűnösségét és egy év próbaidőre felfüggesztett szabadságvesztésre ítélték. A büntetést 2018. március 14‑én töltötte le.

8. 2020. július 15‑én NG a Ministerstvo na vatreshnite raboti (belügyminisztérium, Bulgária) illetékes területi hivatalához fordult e bejegyzés törlése iránt, és bemutatta a bűnügyi nyilvántartásból származó kivonatot, amely igazolja büntetlen előéletét.

9. Az illetékes közigazgatási hatóság a 2020. szeptember 2‑i határozatával elutasította e kérelmet azzal az indokkal, hogy a jogerős ítélet nem tartozik a ZMVR 68. cikkének (6) bekezdésében kimerítően felsorolt, a rendőrségi nyilvántartási rendszerből való törlésének indokai közé, ideértve a büntető törvénykönyv 85. cikke szerinti rehabilitáció (mentesítés) esetét is. 2020. október 8‑án NG e határozattal szemben keresetet nyújtott be az Administrativen sad Sofia gradhoz (szófiai közigazgatási bíróság, Bulgária). 2021. február 2‑i határozatával e bíróság elutasította e keresetet.

10. NG az Administrativen sad Sofia grad (szófiai közigazgatási bíróság) határozatával szemben felülvizsgálati kérelmet nyújtott be a kérdést előterjesztő bírósághoz, a Varhoven administrativen sadhoz (legfelsőbb közigazgatósági bíróság, Bulgária). A felülvizsgálati kérelem elsődleges jogalapja a 2016/680 irányelv 5., 13. és 14. cikkéből levezethető azon elv megsértésén alapul, hogy a személyes adatok tárolás útján történő kezelése nem lehet korlátlan időtartamú. Ugyanakkor a rendőrségi nyilvántartási rendszerből való törlés indokainak hiányában az elítélt személy a büntetett előélethez fűződő hátrányos jogkövetkezmények alóli mentesítést követően nem kérhette azon adatainak törlését, amelyeket a letöltött büntetés alapjául szolgáló bűncselekmény kapcsán gyűjtöttek, így ezen adatok tárolásának időtartama korlátlan volt.

11. Mivel a kérdést előterjesztő bíróságnak kételyei voltak a szóban forgó rendőrségi nyilvántartási rendszerre vonatkozó nemzeti szabályozásnak az uniós joggal való összeegyeztethetőségét illetően, úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdést terjeszti a Bíróság elé:

„Lehetővé tesz‑e a [2016/680 irányelv] 13. cikke (2) bekezdésének b) pontjával és (3) bekezdésével összefüggésben értelmezett 5. cikkének értelmezése olyan nemzeti jogalkotási intézkedéseket, amelyek eredményeként gyakorlatilag korlátlan jog keletkezik a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelésére, és/vagy megszűnik az érintettnek az adatai kezelésének korlátozásához, valamint adatainak törléséhez, illetve megsemmisítéséhez való joga?”

III. A Bíróság előtti eljárás

12. A bolgár, a cseh, az ír, a spanyol és a lengyel kormány, valamint az Európai Bizottság írásbeli észrevételeket nyújtott be. A 2023. február 7‑én tartott tárgyaláson az alapeljárás felperesét, a bolgár, az ír, a spanyol, a holland, a lengyel kormány, valamint a Bizottság szóbeli észrevételeit is meghallgatták.

IV. Elemzés

A. A 2016/680 irányelv alkalmazhatóságáról

13. Az előzetes döntéshozatal iránti kérelemből kitűnik, hogy a kérdést előterjesztő bíróság nyilvánvalóan elfogadottnak tekinti, hogy a vitatott nemzeti szabályozás a 2016/680 irányelv hatálya alá tartozik, ezen álláspont véleményem szerint néhány észrevételt tesz szükségessé.

14. A 2016/680 irányelv 1. cikkének (1) bekezdésével összefüggésben értelmezett 2. cikkének (1) bekezdésével összhangban az irányelv szabályokat állapít meg a természetes személyek védelmére a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – így többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végzett kezelése tekintetében. A 2016/680 irányelv 2. cikke (3) bekezdésének a) pontja kizárja a hatálya alól „a személyes adatoknak az uniós jog hatályán kívül eső tevékenységek során végzett kezelésé[t]”. Ezen irányelv (12) és (14) preambulumbekezdése pontosítja az alkalmazhatóság alóli kivétel tartalmát, utalva arra, hogy az többek között a nemzetbiztonsággal kapcsolatos tevékenységekre terjed ki, eltérően a közrend fenntartásával kapcsolatos tevékenységektől, amelyek a rendőrségre és egyéb bűnüldöző szervekre ruházott feladatként a közrend és közbiztonság fenntartása annak érdekében, hogy adott esetben védelmet biztosítsanak a közbiztonságot és a jog által védett alapvető társadalmi érdekeket fenyegető – esetleg bűncselekmény elkövetéséhez is vezető – veszélyekkel szemben, és megelőzzék e veszélyeket.

15. Az (EU) 2016/679 rendelet(3) 2. cikke (2) bekezdésének a) pontját értelmezve – amely a 2016/680 irányelv 2. cikke (3) bekezdésének a) pontjával azonos megfogalmazásban kivételt ír elő e rendelet alkalmazhatósága alól –, a Bíróság megállapította, hogy ezen előbbi rendelkezésnek az említett rendelet (16) preambulumbekezdésével összefüggésben értelmezett a) pontját úgy kell tekinteni, hogy annak egyedüli célja az, hogy kizárja az említett rendelet hatálya alól a személyes adatok olyan kezelését, amelyet az állami hatóságok a nemzetbiztonság megóvására irányuló vagy ugyanezen kategóriába tartozónak tekinthető tevékenység keretében végeznek, így önmagában az, hogy egy tevékenység az állam vagy valamely közhatalmi szerv sajátos tevékenysége, nem elegendő ahhoz, hogy ezt a kivételt automatikusan alkalmazni lehessen erre a tevékenységre. A Bíróság rámutatott, hogy a nemzetbiztonság védelmére irányuló tevékenységek különösen azokat a tevékenységeket foglalják magukba, amelyek célja az alapvető állami funkcióknak és a társadalom alapvető érdekeinek a védelme.(4)

16. Márpedig ebben az esetben a rendőrség által a ZMVR 68. cikke alapján rögzített és tárolt adatok rögzítésére és tárolására a nemzetbiztonság védelme, a bűnözés elleni küzdelem és a közrend fenntartása céljából kerül sor, e törvény 27. cikkével összhangban. Úgy tűnik tehát, hogy a szóban forgó rendőrségi nyilvántartási rendszer egyetlen hibrid adatbázisnak minősül, mivel olyan információkat tartalmaz, amelyek eltérő célokból, többek között a nemzetbiztonság védelmének céljából is kezelhetők, ami nem tartozik a 2016/680 irányelv tárgyi hatálya alá. E körülmények között az ilyen nyilvántartási rendszerben szereplő adatok tárolásának jogszerűsége nem vizsgálható ezen irányelv követelményei alapján, amennyiben ezen adatokat kizárólag az említett irányelv 1. cikkének (1) bekezdésében említett célokra használják fel, aminek ellenőrzése a nemzeti bíróság feladata.(5) A Bírósághoz benyújtott iratok alapján nem tűnik úgy, hogy az NG rendőrségi irataiban szereplő, általa törölni kért adatok tárolását a 2016/680 irányelv tárgyi hatályán kívüli adatkezelésnek lehetne tekinteni.

17. E szakaszban emlékeztetni kell arra, hogy az alapügy tárgyát képező nemzeti szabályozásról a Bíróság már hozott ítéletet egy bolgár bíróság kérdése nyomán, amelynek feladata annak értékelése volt, hogy egy adócsalás bűncselekményével gyanúsított személy megtagadta az adatainak gyűjtését. A Bíróság különösen az adatgyűjtés jogszerűségéről határozott a 2016/680 irányelv 10. cikkében foglalt követelményekkel összefüggésben, megállapítva, hogy az utóbbit ezen irányelv 4. cikke (1) bekezdésének a)–c) pontjával, valamint 8. cikkének (1) és (2) bekezdésével összefüggésben úgy kell értelmezni, hogy azzal ellentétes az a nemzeti szabályozás, amely előírja a közvádra üldözendő szándékos bűncselekménnyel gyanúsított személy biometrikus és genetikai adatainak nyilvántartásba vételük céljából történő rendszeres gyűjtését, anélkül hogy rendelkezne az illetékes hatóság azon kötelezettségéről, hogy ellenőrizze és bizonyítsa egyrészt azt, hogy ezen adatgyűjtés feltétlenül szükséges a kitűzött konkrét célok eléréséhez, másrészt azt, hogy e célok nem érhetők el az érintett személy jogaiba és szabadságaiba való, kevésbé súlyos beavatkozást megvalósító intézkedésekkel.(6) A jelen ügyben a Bíróságnak egy másfajta beavatkozás jogszerűségét kell vizsgálnia, nevezetesen a szóban forgó rendőrségi nyilvántartási rendszerben az utónevükkel és vezetéknevükkel azonosított, büntetőítélettel elítélt természetes személyekre vonatkozó információk tárolását, amely a személyes adatoknak a 2016/680 irányelv 3. cikkének 1. és 2. pontja, valamint 7. pontjának a) alpontja értelmében vett, a bűncselekmények megelőzése és felderítése céljából az illetékes hatóság, nevezetesen a bolgár belügyminisztérium által végzett kezelését jelenti.

B. Az előzetes döntéshozatalra előterjesztett kérdés átfogalmazásáról

18. Elöljáróban emlékeztetni kell arra, hogy a nemzeti bíróságok és a Bíróság között az EUMSZ 267. cikkel bevezetett együttműködési eljárás keretében a Bíróság feladata, hogy a nemzeti bíróságnak az előtte folyamatban lévő ügy eldöntéséhez hasznos választ adjon. Erre tekintettel a Bíróságnak adott esetben át kell fogalmaznia az elé terjesztett kérdéseket. A Bíróság feladata ugyanis az uniós jog minden olyan rendelkezésének értelmezése, amelyre a nemzeti bíróságoknak az eléjük terjesztett jogviták eldöntése érdekében szükségük van, még akkor is, ha e bíróságok az általuk feltett kérdésekben nem jelölik meg kifejezetten ezeket a rendelkezéseket.(7)

19. Az alapeljárás tényállása egy olyan természetes személynek a személyes adatok rendőrségi nyilvántartási rendszerből való törlése iránti kérelmére vonatkozik, akit hamis tanúzásért elítéltek, a büntetését letöltötte és 2020. március 14‑én, azaz csaknem öt évvel a fent említett nyilvántartásba vétel után mentesült a büntetett előélethez fűződő hátrányos jogkövetkezmények alól. E kérelmet az illetékes közigazgatási hatóság határozatával elutasította, amelyet első fokon az Administrativen sad Sofia grad (szófiai közigazgatási bíróság) határozata megerősített, és amellyel szemben felülvizsgálati kérelmet terjesztettek a kérdést előterjesztő bíróság elé, amelynek kétségei támadtak a nemzeti szabályozásnak a 2016/680 irányelvvel való összeegyeztethetőségét illetően a rendőrségi nyilvántartási rendszerben történő adattárolás kérdésében. Az alapeljárásban tehát egyértelműen a személyes adatok mielőbbi törléséhez való, a 2016/680 irányelv 16. cikkének (2) bekezdésében előírt jogról van szó, amennyiben az adatkezelés az említett irányelv 4., 8. vagy 10. cikke alapján elfogadott rendelkezések megsértését jelenti, vagy amennyiben az adatkezelőre vonatkozó jogi kötelezettség teljesítése érdekében kell törölni ezen adatokat.

20. A 2016/680 irányelv 4. cikke (1) bekezdésének c) és e) pontja akként rendelkezik, hogy a tagállamoknak biztosítaniuk kell, hogy a személyes adatok az adattakarékosság és az adattárolás korlátozása elvének megfelelően az adatkezelés céljai szempontjából megfelelőek és relevánsak legyenek, és a szükségesre korlátozódjanak, illetve tárolásuk olyan formában történjen, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.(8) Ezen irányelv 8. cikke az adatkezelés jogszerűségével foglalkozik, amelynek feltétele, hogy az adatkezelésre az irányelv 1. cikkének (1) bekezdésében meghatározott célokból valamely illetékes hatóság által végzett feladat ellátásához van szükség, valamint uniós vagy nemzeti jog alapján történik, és ez utóbbinak rendelkeznie kell legalább az adatkezelés célkitűzéseiről, a kezelendő személyes adatokról és az adatkezelés céljairól. Végül, a 2016/680 irányelv 10. cikke meghatározza a személyes adatok különleges kategóriáinak, így a rendőrségi nyilvántartási rendszerben a természetes személy egyedi azonosítása céljából használt biometrikus és genetikai adatok kezelésének jogi szabályozását.

21. Meg kell állapítani, hogy az előző pontban említett rendelkezéseket nem említi az előzetes döntéshozatalra előterjesztett kérdés, noha nyilvánvalóan relevánsak a Bíróság által a jelen ügyben adandó válasz szempontjából. A kérdést előterjesztő bíróság a 2016/680 irányelv 5. cikkének, valamint 13. cikke (2) bekezdése b) pontjának és (3) bekezdésének értelmezését kérte, amelyek nem tartoznak az ezen irányelv 16. cikkének (2) bekezdésében kifejezetten említett azon rendelkezések közé, amelyeknek a nemzeti szabályozás általi megsértése igazolja az érintett személynek biztosított törléshez való jog érvényesítését. Mindazonáltal e jogot akkor is elismerik, ha az adatok törlésére az adatkezelőre vonatkozó jogi kötelezettség betartása érdekében van szükség, ami megfelelhet az említett irányelv 5. cikkében és 13. cikke (2) bekezdésének b) pontjában foglalt helyzeteknek, nevezetesen: az adatok tárolására vonatkozó leghosszabb határidők meghatározása vagy az ilyen tárolás szükségességének időszakos felülvizsgálata,(9) valamint egyedi esetekben az adatkezelő által az érintett személynek a 13. cikk (1) bekezdésében említetteken túl további információk nyújtása a jogai gyakorlásának lehetővé tétele érdekében. A 13. cikk (3) bekezdése ellenben a tagállamok azon lehetőségére vonatkozik, hogy bizonyos feltételek mellett jogalkotási intézkedéseket fogadjanak el az érintettnek a (2) bekezdés szerinti tájékoztatás késleltetésére vagy korlátozására, vagy akár annak mellőzésére, ami nem lehet az adatkezelőre rótt jogi kötelezettség.

22. Mindenesetre az előzetes döntéshozatalra utaló határozatból nem tűnik ki, hogy az alapeljárásban felmerült volna a kérdés, hogy NG‑t tájékoztatták‑e a jogairól, mivel az érintett nyilvánvalóan gyakorolhatta azokat, amint azt bizonyítja, hogy az adatai tárolása miatt jogorvoslattal fordult a közigazgatási hatóságokhoz, majd bírósághoz. A Bíróság elé terjesztett kérdés tehát vélhetően nem kéri a 2016/680 irányelv 13. cikke (2) bekezdése b) pontjának és (3) bekezdésének értelmezését. Következésképpen az alapeljárásban különösen a 2016/680 irányelv 16. cikkének (2) bekezdése, valamint 4., 5., 8. és 10. cikke kérdéses.

23. Egyébiránt, amint azt a 2016/680 irányelv (104) preambulumbekezdése kimondja, az irányelv tiszteletben tartja az alapvető jogokat és betartja a Charta által elismert, az EUMSZ‑ben rögzített elveket, különösen a magán‑ és a családi élet tiszteletben tartásához való jogot, a személyes adatok védelméhez való jogot. Ezen irányelv (46) preambulumbekezdése szerint bármely, az érintett jogaira vonatkozó korlátozásnak meg kell felelnie a Chartának, valamint az emberi jogok és alapvető szabadságok védelméről szóló, Rómában 1950. november 4‑én aláírt európai egyezménynek (kihirdette: az1993. évi XXXI. törvény, a továbbiakban: EEJE), a Bíróság, illetve az Emberi Jogok Európai Bíróságának (a továbbiakban: EJEB) ítélkezési gyakorlata szerinti értelmezésnek megfelelően, és mindenekelőtt tiszteletben kell tartania az említett jogok és szabadságok lényeges tartalmát. Emlékeztetni kell arra, hogy a magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő, a Charta 7. és 8. cikkében biztosított alapvető jogok nem korlátlan jogosultságokat jelentenek, hanem azokat a társadalomban betöltött szerepük alapján kell figyelembe venni, és más alapvető jogokkal együtt kell mérlegelni. E jogok tehát korlátozhatók, feltéve, hogy – a Charta 52. cikkének (1) bekezdésével összhangban – e korlátozásokat törvény írja elő, és tiszteletben tartják e jogok és szabadságok lényeges tartalmát, valamint az arányosság elvét. Ezen utóbbi elv értelmében a korlátozásukra csak akkor és annyiban kerülhet sor, ha és amennyiben az elengedhetetlen és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja. A korlátozásoknak a feltétlenül szükséges mérték határain belül kell maradniuk, és a beavatkozást tartalmazó szabályozásnak egyértelmű és pontos szabályokat kell tartalmaznia a szóban forgó intézkedés hatálya és alkalmazása tekintetében.(10)

24. E körülmények között úgy kell tekinteni, hogy a kérdést előterjesztő bíróság lényegében arra kér választ, hogy a 2016/680 irányelv 4., 5., 8. és 10. cikkét, valamint 16. cikkének (2) bekezdését a Charta 52. cikkének (1) bekezdésével együttesen és annak fényében úgy kell‑e értelmezni, hogy azokkal ellentétes a személyes adatok – beleértve az érintett személy biometrikus és genetikai adatait is – rendőrségi nyilvántartási rendszerben az érintett személy haláláig való tárolását előíró olyan nemzeti szabályozás, amely nem teszi lehetővé, hogy az a büntetőjogi elítélését követően a büntetett előélethez fűződő hátrányos jogkövetkezmények alóli mentesülésben részesített, érintett személy kérje ezen adatok törlését.(11)

C. A bűnüldözési célból tárolt személyes adatokról

25. Mielőtt megvizsgálnám a szóban forgó rendőrségi nyilvántartási rendszerre vonatkozó nemzeti szabályozás uniós joggal való összeegyeztethetőségét, szükségesnek tartom a bűnüldözési célú adattárolás kérdésének vizsgálatát a 2016/680 irányelv egyes rendelkezéseinek, valamint a Bíróság és az EJEB ítélkezési gyakorlatának fényében.

26. Először is meg kell jegyezni, hogy a 2016/680 irányelv célja, hogy hozzájáruljon a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség Unión belüli megteremtéséhez azáltal, hogy – a természetes személyek számára a személyes adataik kezelése vonatkozásában a Charta 8. cikkének (1) bekezdésében és az EUMSZ 16. cikk (1) bekezdésében elismert, a Charta 7. cikkében rögzített, a magánélet tiszteletben tartásához való joghoz szorosan kacsolódó alapvető jog tiszteletben tartásának biztosítása érdekében – a személyes adatok védelmének szilárd és koherens keretét hozza létre.(12) E célból a 2016/680 rendelet II. és III. fejezete tartalmazza a személyes adatok kezelését szabályozó elveket, valamint az érintett azon jogait, amelyeket minden személyesadat‑kezelésnek tiszteletben kell tartania. Közelebbről, a személyes adatok bármilyen kezelésének meg kell felelnie ezen irányelv 4. és 8. cikkében foglalt, az adatkezelésre vonatkozó elveknek és az adatkezelés jogszerűségére vonatkozó feltételeknek. Mivel ezen utóbbi rendelkezésben foglalt követelmények a Charta 52. cikkének (1) bekezdéséből eredő követelmények kifejeződései, azokat e cikk fényében kell értelmezni.(13)

27. A kérdést előterjesztő bíróságnak adandó válaszban tehát figyelembe kell venni a 2016/680 irányelv 4. cikke (1) bekezdésének c) pontjában kimondott „adattakarékosság” elvét is, amely az arányosság elvének kifejeződése.(14) Ugyanez vonatkozik ezen irányelv 4. cikke (1) bekezdésének e) pontjában foglalt, a tárolás korlátozásának elvére is, amely az adatkezelés célhoz viszonyított arányosságának értékelését jelenti az idő múlására tekintettel. Sérti ezen elvet, ha az adatokat a szükséges mértéket meghaladó ideig tárolják, tehát az adattárolás céljának eléréséhez szükséges időtartamnál tovább.(15) Ebből következik, hogy idővel még az eredetileg jogszerű adatkezelés is összeegyeztethetetlenné válhat a 2016/679 rendelettel, ha ezek az adatok már nem szükségesek e célok eléréséhez, és hogy az adatokat törölni kell, ha e célok megvalósulnak.(16)

28. Az adattárolás időbeliségének kérdését a 2016/680 irányelv 5. cikke is érinti, az irányelv 4. cikkében foglalt követelmények kiegészítése és pontosítása formájában.(17) Amint azt az említett irányelv (26) preambulumbekezdése említi, annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelőnek törlési vagy rendszeres felülvizsgálati határidőket kell megállapítania. Meg kell állapítani, hogy a 2016/680 irányelv 5. cikke egyrészről a tagállamokra bízza a releváns tárolási időszak értékelését és meghatározását, másrészről a maximális tárolási időszak a priori megállapításának alternatívájaként az adattárolás szükségességének rendszeres felülvizsgálatát irányozza elő. E második észrevétel véleményem szerint fontos a jelen ügyben, mivel tükrözi, hogy az uniós jogalkotó elismerte az adatok bűnüldözési célú, határozatlan idejű tárolásának lehetőségét.(18) E megállapítást össze kell kapcsolni a 2016/680 irányelv 16. cikkének (3) bekezdésével, amely az adatok törlésének alternatívájaként az adatkezelés korlátozásának lehetőségét irányozza elő, különösen annak b) pontjában, amely szerint a személyes adatokat „bizonyítás céljából” meg kell őrizni, ami azt mutatja, hogy a törléshez való jog nem abszolút.(19)

29. Az adattárolás jogszerűségének kérdése szükségszerűen magában foglalja az adatok jellegének kérdését, amely a jelen esetben a bűncselekmény elkövetésével gyanúsított vagy bűncselekmény miatt elítélt személy ujjlenyomatát, fényképét és DNS‑mintáját tartalmazza, mivel az ilyen típusú adatok a 2016/680 irányelv 10. cikkének hatálya alá vonják az adatkezelést. Fontos hangsúlyozni, hogy noha az e rendelkezés által meghatározott jogi rendszer – az általános adatvédelmi rendelet 9. cikkében foglaltaktól eltérően – nem tartalmazza az ilyen adatok kezelésének elvi tilalmát, az ilyen adatkezelés „csak feltétlenül szükséges esetben” megengedett, feltéve, hogy az érintettek jogaira és szabadságaira megfelelő garanciákat alkalmaznak, és ha azt többek között az uniós jog vagy valamely tagállam joga lehetővé teszi.

30. Az ítélkezési gyakorlat szerint a 2016/680 irányelv 10. cikkének célja, hogy fokozott védelmet biztosítson az olyan adatkezelésekkel szemben, amelyek a szóban forgó adatok különleges érzékenysége és az adatkezelés körülményei miatt – amint az az irányelv (37) preambulumbekezdéséből kitűnik – jelentős kockázatot hordozhatnak az olyan alapvető jogokra és szabadságokra nézve, mint a magánélet tiszteletben tartásához való jog és a személyes adatok védelméhez való jog, amelyeket a Charta 7. és 8. cikke garantál. Amint az magából a 2016/680 irányelv 10. cikkének szövegéből is kitűnik, azt a követelményt, amely szerint az ilyen adatok kezelése csak akkor megengedett, „ha arra feltétlenül szükség van”, úgy kell értelmezni, mint amely az érzékeny adatok kezelése jogszerűségének szigorúbb feltételeit határozza meg ezen irányelv 4. cikke (1) bekezdésének b) és c) pontjából, valamint 8. cikkének (1) bekezdéséből eredő azon feltételekhez képest, amelyek csupán az említett irányelv általános hatálya alá tartozó adatok kezelésének „szükségességére” utalnak. Így egyrészről a „csak” határozószónak a „feltétlenül szükség van” kifejezés előtti használata kiemeli, hogy a 2016/680 irányelv 10. cikke értelmében vett különleges adatkategóriák kezelése csak korlátozott számú esetben tekinthető szükségesnek. Másrészről az ilyen adatok kezelése szükségességének „feltétlen” jellege azt jelenti, hogy e szükségességet különösen szigorúan kell értékelni.(20)

31. Másodszor, megjegyzem, hogy noha a Bíróság már többször határozott a bűnüldözési célú adattárolás jogszerűségének kérdésében, ezt a jelen ügytől egyedülállóan eltérő normatív és ténybeli összefüggésekben tette. Így a Bíróság megállapította,(21) hogy a 2002/58/EK irányelvből(22) eredő uniós joggal – amelyből következik, hogy az elektronikus hírközlési eszközök felhasználói főszabály szerint joggal számíthatnak arra, hogy a közléseik és az azokhoz kapcsolódó adatok hozzájárulásuk hiányában anonimek maradnak, és nem rögzíthetők –, ellentétes, ha a súlyos bűncselekmények elleni küzdelem céljából, megelőző jelleggel írják elő a forgalmi és helymeghatározó adatok általános és különbségtétel nélküli megőrzését, függetlenül a bűncselekmény súlyosságától, ezen adattárolás csak bizonyos feltételek mellett, a nemzetbiztonság súlyos, valós és jelenlegi vagy előrelátható fenyegetettsége esetén elfogadott. A Bíróság hozzátette, hogy az uniós joggal ugyanakkor nem ellentétes a súlyos bűncselekmények elleni küzdelem céljából a felhasználók személyazonosságára vonatkozó adatok általános és különbségtétel nélküli megőrzése, az IP‑címüknek a feltétlenül szükséges mértékre korlátozott időtartamú célzott megőrzése, objektív és hátrányos megkülönböztetéstől mentes tényezők alapján, az érintett személyek kategóriái szerint vagy földrajzi kritérium segítségével, a feltétlenül szükséges mértékű, de meghosszabbítható időtartamra korlátozva, a szolgáltatóknak határozott ideig történő, gyors megőrzésére való kötelezése, ezen intézkedéseknek egyértelmű és pontos szabályok révén biztosítani kell, hogy a szóban forgó adatok megőrzésére az erre vonatkozó anyagi jogi és eljárásjogi feltételek betartása mellett kerül sor, és hogy az érintett személyeket a visszaélések veszélyével szemben tényleges biztosítékok illetik meg.

32. A Bíróság a személyes adatok kezeléséhez feltétlenül szükséges korlátoknak való megfelelés kritériumát alkalmazta a légi fuvarozók által az EU‑n kívüli járatok utasairól vezetett nyilvántartásokban szereplő adatok (a továbbiakban: PNR‑adatok) továbbításával, tárolásával és felhasználásával összefüggésben is a terrorista bűncselekmények és más súlyos bűncselekmények megelőzése és felderítése céljából.(23) A Bíróságnak volt alkalma hangsúlyozni, hogy mivel az EU‑Kanada PNR‑megállapodás lehetővé teszi a PNR‑adatoknak akár öt évig történő megőrzését, e megállapodás lehetővé teszi, hogy a légi utasok magánéletével kapcsolatos információkkal különösen hosszú időn át rendelkezzenek, és hogy azon légi utasokat illetően, akikkel összefüggésben a Kanadába érkezésük idején és az e harmadik országból való távozásukig nem azonosítottak ilyen kockázatot, nem tűnik úgy, hogy az elutazásukat követően olyan – akár közvetett – összefüggés állna fenn a PNR‑adataik és a tervezett megállapodással elérni kívánt cél között, amely igazolná ezen adatok megőrzését. Ezért arra a következtetésre jutott, hogy nem igazolt, hogy az összes légi utas PNR‑adatait a Kanadából való távozásuk után is folyamatosan tárolják az említett adatokhoz való esetleges hozzáférés érdekében, a terrorizmus és a súlyos nemzetközi bűncselekmények elleni küzdelemmel fennálló bármilyen kapcsolattól függetlenül.(24)

33. A Bíróság előzetes döntéshozatal keretében határozott az (EU) 2016/681 irányelv(25) érvényességéről és értelmezéséről, amely irányelv arra kötelezi a légi fuvarozókat, hogy a terrorizmus és a súlyos bűncselekmények elleni küzdelem érdekében továbbítsák az Unión kívüli harmadik ország és az Európai Unió között közlekedő járatok utasainak adatait az érintett járat célállomása vagy indulási helye szerinti tagállam utas‑nyilvántartó hatóságának (a továbbiakban: utas‑adat információs egység). Az így továbbított PNR‑adatokat az utas‑adat információs egység hat hónapig előzetesen értékeli, majd öt évig megőrzi a tagállamok illetékes hatóságai által végzett esetleges későbbi értékelés céljából, ami jelentős ideig, vagy akár határozatlan ideig tartó elemzések elvégzéséhez vezethet azon személyek esetében, akik ötévente többször utaznak repülővel. A Bíróság úgy ítélte meg, hogy ezen irányelv egyértelműen súlyos beavatkozásokat tartalmaz a Charta 7. és 8. cikkében biztosított jogokba, többek között mivel olyan folyamatos, nem célzott és szisztematikus ellenőrzési rendszer létrehozására irányul, amely magában foglalja a légi közlekedési szolgáltatásokat igénybe vevő valamennyi személy személyes adatainak automatizált értékelését, a Charta 7., 8. és 21. cikkével, valamint 52. cikkének (1) bekezdésével összhangban értelmezve. A Bíróság rámutatott, hogy a kezdeti hat hónapos megőrzési időszak lejártát követően a PNR‑adatok megőrzése nem tűnik úgy, hogy a feltétlenül szükséges mértékre korlátozódna azon légi utasok tekintetében, akik esetében sem az előzetes értékelés, sem a hat hónapos kezdeti időszak során végzett esetleges ellenőrzések, sem pedig bármely más körülmény nem tárt fel olyan objektív elemeket, amelyek alkalmasak lennének terrorista bűncselekmények vagy olyan súlyos bűncselekmények kockázatának megállapítására, amelyek legalább közvetett módon objektív kapcsolatban állnak ezen utasok által tett légi utazással. Ellenben a Bíróság úgy vélte, hogy az ezen irányelv által létrehozott rendszer hatálya alá tartozó valamennyi légi utas PNR‑adatainak a kezdeti hat hónapos időszakon át való megőrzése főszabály szerint nem tűnik úgy, hogy meghaladná a feltétlenül szükséges mértéket.

34. A fentiekben felidézett ítélkezési gyakorlattal szemben egyrészről fontos hangsúlyozni, hogy a 2002/58 irányelvben az adatkezeléssel kapcsolatban megállapítottakkal ellentétben(26) az érintett hozzájárulása nem szolgálhat jogalapul a személyes adatoknak az illetékes hatóságok által a 2016/680 irányelv 1. cikkének (1) bekezdésében meghatározott célokból végzett kezeléséhez. A (35) preambulumbekezdés pontosítja, hogy mivel a bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása feladatának ellátását a jog intézményesen ruházza az illetékes hatóságokra, azok elrendelhetik vagy megkövetelhetik a természetes személyektől kérésük teljesítését. Másrészről a jelen ügy nem az elektronikus hírközlési vagy légi közlekedési ágazatban keletkezett, magánszolgáltatók által tárolt és a nyomozószolgálatoknak továbbított „adattenger”(27) automatizált tárolásáról és elemzéséről szól, hanem egyetlen, az illetékes hatóság kizárólagos ellenőrzése alatt álló, szigorúan bizalmas rendőrségi nyilvántartási rendszerről, amely olyan személyek adatait tartalmazza, akikről alapos okkal feltételezhető, hogy bűncselekményt követtek el, akiket bűncselekmény elkövetésével gyanúsítottak és elítéltek.

35. A fent hivatkozott ítélkezési gyakorlat jogi és ténybeli összefüggésének sajátossága véleményem szerint nem teszi lehetővé az ott elfogadott megoldások puszta és egyszerű átültetését az előzetes döntéshozatalra előterjesztett jelen kérdés megválaszolása érdekében, különösen ami az adattárolás céljai (nemzetbiztonság védelme, súlyos bűncselekmények vagy ez utóbbi körébe nem tartozó bűncselekmények elleni küzdelem) közötti különbséget, valamint az e célok jelentősége és az alapvető jogokba való beavatkozás súlyosságának mértéke közötti szükséges összefüggést illeti.(28) Másképp megfogalmazva annak kimondása, hogy a bűncselekményekkel szemben általánosságban folytatott küzdelem kizárólag a nem súlyos beavatkozásokat igazolhatja(29) a jelen esetben nem fogadható el, ellenkező esetben a 2016/680 irányelv és az e norma hatálya alá tartozó olyan nemzeti nyomozati/közbiztonsági eszközök, mint a szóban forgó rendőrségi nyilvántartási rendszer – amelyek célja pontosan kifejezi annak szükségességét, hogy az adatokat rendőrségi célokból arányos módon kezelhessék –, hasznossága nagymértékben csökkenne. Meg kell jegyezni, hogy – amint az a 2016/680 irányelv (10) és (11) preambulumbekezdéséből kitűnik – az uniós jogalkotó olyan szabályokat kívánt elfogadni, amelyek figyelembe veszik az ezen irányelv hatálya alá tartozó terület sajátos jellegét. E tekintetben a (12) preambulumbekezdés kimondja, hogy a rendőrség vagy egyéb bűnüldöző szervek által végzett tevékenységek középpontjában elsősorban a bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása áll, ideértve az annak előzetes ismerete nélkül végzett rendőri tevékenységeket is, hogy egy adott eset bűncselekménynek minősül‑e.(30)

36. Harmadszor, meg kell jegyezni, hogy a Chartának a magán‑ és a családi élet tiszteletben tartásához való jogra vonatkozó 7. cikke olyan jogokat tartalmaz, amelyek megfelelnek az EJEE 8. cikkének (1) bekezdésében biztosított jogoknak, és hogy a személyes adatok védelme alapvető szerepet játszik az EJEE 8. cikkében biztosított, magán‑ és családi élet tiszteletben tartásához való jog gyakorlásában. A Charta 52. cikke (3) bekezdésének megfelelően tehát az említett 7. cikk tartalmát és terjedelmét azonosnak kell tekinteni azzal, amellyel az EJEE 8. cikkének az EJEB ítélkezési gyakorlata által értelmezett (1) bekezdése rendelkezik.(31)

37. Az EJEB úgy véli, hogy a személyes adatok védelme alapvető szerepet játszik az EJEE 8. cikkében foglalt, a magánélet tiszteletben tartásához való jog gyakorlásában, és hogy az egyén magánéletére vonatkozó adatok puszta tárolása a 8. cikk értelmében vett beavatkozásnak minősül, függetlenül attól, hogy a tárolt információt később felhasználják‑e vagy sem. E bíróság szerint a nemzeti jognak többek között biztosítania kell, hogy ezen adatok relevánsak legyenek, és ne legyenek túlzott mértékűek a rögzítés céljához képest, valamint hogy azokat olyan formában tárolják, amely lehetővé teszi az érintettek azonosítását, legfeljebb annyi ideig, amennyire a rögzítés céljai szempontjából szükség van. A nemzeti jognak is kell olyan biztosítékokat tartalmaznia, amelyek alkalmasak a tárolt személyes adatok hatékony védelmére a nem megfelelő és visszaélésszerű felhasználással szemben, ugyanakkor konkrét lehetőséget kell biztosítani a tárolt adatok törlésére irányuló kérelem benyújtására. Az EJEB azonban ügyelt annak pontosítására, hogy teljes mértékben tudatában van annak, hogy a nemzeti hatóságoknak a lakosságuk védelme érdekében – minthogy ez kötelességük – olyan nyilvántartási rendszereket kell létrehozniuk, amelyek hatékonyan hozzájárulnak bizonyos, különösen a legsúlyosabb bűncselekmények üldözéséhez és megelőzéséhez. Mindazonáltal az ilyen eszközöket nem lehet azzal a túlzott céllal bevezetni, hogy maximalizálják a tárolt információk mennyiségét és a megőrzésük időtartamát.(32) Ez utóbbival kapcsolatban az EJEB úgy véli, hogy az elítéltek személyes adatainak tárolására vonatkozó maximális időtartam hiánya nem feltétlenül összeegyeztethetetlen az EJEE 8. cikkével, azonban bizonyos eljárási biztosítékok megléte és működése annál inkább szükséges ebben az esetben.(33)

D. A Charta 7. és 8. cikkében biztosított alapvető jogokba történő beavatkozásról

38. Amint az a ZMVR 68. cikkéből és a bolgár kormány által a tárgyaláson előadott észrevételekből kitűnik, a nemzeti szabályozás által említett adatok közé tartozik többek között az érintett személy családi állapota, azon bűncselekmény, amelynek elkövetésével gyanúsítják, vagy amelynek elkövetése miatt elítélték, az ujjlenyomatai, fényképek, a profilalkotás céljából vett DNS‑minták. Mivel ezen adatok így azonosított természetes személyekre vonatkozó információkat tartalmaznak, a különböző adatkezelések, amelyeknek ezek az adatok alávethetők, érintik a Charta 7. cikkében biztosított magánélet tiszteletben tartásához való alapvető jogot. Ezenkívül ezen adatok kezelése, mint amelyekről a nemzeti szabályozás rendelkezik, a Charta 8. cikkének hatálya alá is tartoznak amiatt, hogy azok az e cikk értelmében vett személyesadat‑kezeléseknek minősülnek, ennek következtében pedig szükségképpen meg kell felelniük az említett cikkben meghatározott adatvédelmi követelményeknek.(34)

39. Az EJEB‑hez hasonlóan, amely úgy ítélte meg, hogy az egyén magánéletére vonatkozó adatok puszta tárolása az EJEE 8. cikke értelmében vett beavatkozásnak minősül,(35) a Bíróság úgy véli, hogy az adatok tárolása önmagában beavatkozást jelent a Charta 7. és 8. cikkében kimondott, magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető jogokba, és nincs jelentősége annak, hogy a magánéletre vonatkozó kérdéses információk érzékeny jellegűek‑e vagy sem, vagy hogy az érintettek e beavatkozás következtében hátrányt szenvedtek‑e vagy sem, vagy hogy a tárolt adatokat a későbbiekben felhasználják‑e vagy sem.(36)

40. Ami a tárolás által jelentett beavatkozás súlyosságát illeti, ez bizonyos adatok, különösen a rendőrségi nyilvántartási rendszerben szereplő biometrikus és genetikai adatok jellegére tekintettel állapítható meg, mivel a Bíróság jelentősnek minősítette azon kockázatokat, amelyekkel a különleges adatok kezelése az érintettek jogaira és szabadságaira nézve, különösen az illetékes hatóságoknak a 2016/680 irányelv 1. cikkének (1) bekezdésében meghatározott célok érdekében végzendő feladataival összefüggésben jár.(37) E tekintetben ezen irányelv (23) preambulumbekezdése pontosítja, hogy a genetikai információk összetettségére és érzékenységére figyelemmel jelentős a kockázata annak, hogy az adatkezelő visszaél az ilyen információkkal, és különböző célokra újra felhasználja azokat. Az említett irányelv (51) preambulumbekezdése kimondja, hogy a természetes személyek jogait és szabadságait veszélyeztető kockázatok olyan adatkezelésből származhatnak, amely fizikai, vagyoni vagy nem vagyoni károkhoz vezethet, különösen a személy egyedi azonosítására alkalmas genetikai vagy biometrikus adatok kezelése esetén, vagy a büntetőítéletekre és bűncselekményekre vonatkozó adatok kezelése során.

41. A beavatkozás súlyosságának megállapításához hozzájárul az adatok rendőrségi nyilvántartási rendszerben való tárolásának időtartama is, mivel az adatokat az elítélt személy egész életében meg lehet őrizni. Végül a ZMVR 26. cikkének (6) bekezdéséből következik, hogy a személyes adatok továbbíthatók az uniós tagállamok illetékes hatóságai és címzettjei, uniós szervek és ügynökségek, harmadik országok vagy nemzetközi szervezetek részére. E tekintetben emlékeztetni kell arra, hogy a 2016/680 irányelv célja szerint elő kell segíteni az Unión belül az illetékes hatóságok között a személyes adatok szabad áramlását a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy a büntetőjogi szankciók végrehajtása – többek között az Unión belül a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából, valamint az ilyen személyes adatoknak a harmadik országok és nemzetközi szervezetek részére történő továbbítását, a büntetőügyekben folytatott hatékony igazságügyi együttműködés és a rendőrségi együttműködés biztosítása érdekében.(38) E tekintetben emlékeztetni kell arra, hogy a személyes adatok védelméhez való e jog megköveteli többek között, hogy a személyes adatoknak az Unióból valamely harmadik országba történő továbbítása esetén érvényesüljön az alapvető szabadságok és jogok tekintetében az uniós jog által biztosított magas szintű védelem folytonossága.(39)

42. A fenti megfontolásokra tekintettel úgy kell tekinteni, hogy az alapügy tárgyát képező nemzeti szabályozás súlyos beavatkozást jelent a Charta 7. és 8. cikkében biztosított jogokba, mivel többek között olyan tárolási eszközt kíván létrehozni, amely a bűncselekmény miatt elítélt személyek érzékeny, az érintett állam határait akár át is lépő adatainak folyamatos tárolására szolgál.

E. A beavatkozás igazolásáról

43. Amint az kifejtésre került, a Charta 7., 8. és 11. cikkében biztosított jogok nem korlátlan jogosultságként jelennek meg, és a Charta 52. cikkének (1) bekezdése lehetővé teszi e jogok gyakorlásának korlátozását, feltéve hogy a korlátozást törvény írja elő, hogy arra az említett jogok lényeges tartalmának és az arányosság elvének tiszteletben tartásával kerül sor, továbbá hogy a korlátozás elengedhetetlen, és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja.(40) A 2016/680 irányelv (26) preambulumbekezdése szerint a bűnüldöző szervek ilyen tevékenységeket végezhetnek a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása, többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése céljából, ha jogszabályon alapulnak és – kellő tekintettel az említett természetes személyek jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősülnek.

44. Ami az arányosság elvének betartását illeti, emlékeztetni kell arra, hogy a magánélet tiszteletben tartásához való alapvető jog védelme a Bíróság állandó ítélkezési gyakorlatával összhangban megköveteli, hogy a személyes adatok védelmétől való eltérések és korlátozások a feltétlenül szükséges mértékre korlátozódjanak, azzal, hogy amennyiben a kitűzött törvényes céloknak megfelelő több intézkedés közül lehet választani, a legkevésbé korlátozó jellegűt kell igénybe venni. Közérdekű célt nem lehet továbbá annak figyelembevétele nélkül megvalósítani, hogy azt össze kell egyeztetni az intézkedéssel érintett alapvető jogokkal, kiegyensúlyozottan mérlegelve az egyik oldalon a közérdekű célt, a másik oldalon pedig a szóban forgó jogokat, mivel el kell végezni egyrészről a közérdekű cél, másrészről pedig a szóban forgó jogok közötti kiegyensúlyozott mérlegelést annak biztosítása érdekében, hogy az ezen intézkedéssel okozott hátrányok ne legyenek aránytalanok az elérni kívánt célokhoz képest. A Charta 7. és 8. cikkében biztosított jogokat érintő korlátozás igazolásának lehetőségét tehát az ilyen korlátozással járó beavatkozás súlyosságának felmérésével, valamint annak ellenőrzésével kell értékelni, hogy az e korlátozás által elérni kívánt közérdekű cél jelentősége arányban áll‑e a beavatkozás súlyosságával.(41)

1. A jogszerűség elvének tiszteletben tartásáról

45. Az a követelmény, amely szerint az alapvető jogok gyakorlásának korlátozásáról törvényben kell rendelkezni, azt jelenti, hogy az e jogokba való beavatkozás jogalapjának magának kell meghatároznia az érintett jog gyakorlására vonatkozó korlátozás hatályát. E tekintetben a Bíróság ezenkívül megállapította, hogy az ilyen beavatkozást lehetővé tevő szabályozásnak a szóban forgó intézkedés hatályával és alkalmazásával kapcsolatban egyértelmű és pontos szabályokat kell tartalmaznia, valamint bizonyos minimumkövetelményeket kell előírnia annak érdekében, hogy a személyes adataik révén érintett személyek elegendő biztosítékkal rendelkezzenek ezen adatoknak a visszaélések veszélyeivel szembeni hatékony védelmére. Következésképpen a 2016/680 rendelet hatálya alá tartozó személyes adatok kezelése jogalapjának – amint azt az uniós jogalkotó a (33) preambulumbekezdésben hangsúlyozta – világosnak és pontosnak kell lennie, és alkalmazásának a jogalanyok számára előreláthatónak kell lennie. Konkrétabban, ez utóbbiaknak képesnek kell lenniük azon körülmények és feltételek azonosítására, amelyek mellett az említett rendelet által rájuk ruházott jogok hatálya korlátozható.(42)

46. A szóban forgó nemzeti szabályozásnak az előzetes döntéshozatalra utaló végzésben foglalt és a bolgár kormány észrevételeivel kiegészített vizsgálata véleményem szerint lehetővé teszi annak megállapítását, hogy a jogszabály „minőségére” vonatkozó követelmény teljesül, figyelemmel arra, hogy ez utóbbi nem zárja ki, hogy a szóban forgó korlátozást a különböző helyzetekhez és a változó körülményekhez való alkalmazkodáshoz kellően nyitott módon fogalmazzák meg.(43)

47. Úgy tűnik tehát, hogy az adatoknak a rendőrségi nyilvántartási rendszerben való rögzítése és tárolása a ZMVR 27. cikkében kimerítően felsorolt célokat, mégpedig a nemzetbiztonság védelmét, a bűnözés elleni küzdelmet és a közrend fenntartását szolgálja, mivel ezen adatkezelés az ezen törvény 8. cikkében részletesen leírt operatív nyomozási tevékenység elősegítésére irányul.(44) Az adatkezelés hatályát a vonatkozó bűncselekmények jellege, az érintett adatok, az adatgyűjtés feltételei, az adatállományok, amelyekben az adatokat kezelik, és a tárolásuk időtartama tekintetében a ZMVR 68. cikke és a Naredba za reda za izvarshvane i snemane na politseyska registratsia (a rendőrségi nyilvántartásba vételre és a nyilvántartásból való törlésre vonatkozó eljárásról szóló rendelet, a továbbiakban: NRISPR) 28. cikke kellő részletességgel határozza meg. A nemzeti szabályozás kifejezetten és a 2016/680 irányelv (26) preambulumbekezdésével összhangban rendelkezik a személyes adatok sértetlenségét és bizalmas jellegét, valamint az ilyen adatok megsemmisítését biztosító eljárásokról az érintettnek nyújtott tájékoztatáson keresztül, a Zakon za zashtita na lichnite danni (személyes adatok védelméről szóló törvény) 54. és 55. cikkével összhangban, különös tekintettel az érintettnek az adatkezelőtől az adatokhoz való hozzáférés, azok helyesbítésének vagy törlésének kérelmezésére vonatkozó jogaira. E tekintetben a nyilvántartásból való törlés indokait, az eljárást és ez utóbbi hatásait a ZMVR 68. cikke és az NRISPR 18. és azt követő cikkei határozzák meg. E rendelkezéseket kellő pontossággal és egyértelműséggel fogalmazták meg ahhoz, hogy a törvény címzettjei a törvényhez igazíthassák magatartásukat, és így e rendelkezések megfelelnek az EJEB ítélkezési gyakorlatában meghatározott előreláthatóság követelményének.(45)

2. A Charta 7. és 8. cikkében biztosított alapvető jogok lényeges tartalmának tiszteletben tartásáról

48. Ami a Charta 7. cikkében foglalt, a magánélet tiszteletben tartásához való alapvető jog lényeges tartalmát illeti, a rendőrségi nyilvántartási rendszerben szereplő információk jellege e magánélet egy konkrét aspektusára korlátozódik, amely az érintett személy büntetőjogi múltjára vonatkozik, és amely nem teszi lehetővé általános jellegű következtetések levonását az érintett személy magánéletére vonatkozóan – mint például mindennapi szokásai, állandó vagy ideiglenes tartózkodási helye, napi vagy egyéb mozgása, végzett tevékenységei, társadalmi kapcsolatai és az általa látogatott társadalmi körök –, és így a személy profiljának megállapítását. Ami a Charta 8. cikkében foglalt, a személyes adatok védelméhez való jog lényeges tartalmát illeti, a fenti elemzések azt mutatják, hogy a szóban forgó nemzeti szabályozás körülhatárolja az adatkezelés célját, és kimerítően felsorolja a tárolt adatokat, valamint előírja a hozzáférés, helyesbítés vagy törlés biztosítására szolgáló szabályokat. E körülmények között az e szabályozás által előírt adattárolással járó beavatkozás nem sérti a fent említett cikkekben foglalt alapvető jogok lényeges tartalmát.(46)

3. A közérdekű célról és a szóban forgó adatok kezelésének e célkitűzésre tekintettel fennálló alkalmasságáról

49. Amint az a jelen indítványban megállapításra került, a ZMVR 68. cikke alapján a személyek rendőrségi nyilvántartásba vételéből származó adatokat a nemzetbiztonság védelme, a bűnözés elleni küzdelem és a közrend fenntartása céljából használják fel. A bolgár kormány jelezte, hogy az adatokat azon büntetőeljárás céljából gyűjtik és dolgozzák fel, amelynek keretében az érintett személyt gyanúsítottá nyilvánították, valamint a más bűncselekmények nyomozása során gyűjtött adatokkal való összevetés céljából. E kormány szerint e cél a más tagállamokban gyűjtött adatokkal való összevetésre is vonatkozik.(47)

50. E kormány szerint ezen adatkezelés a ZMVR 8. cikkében leírt operatív nyomozati tevékenység körébe tartozik, amelynek céljait a következőképpen határozzák meg: a bűncselekmények, a nemzetbiztonságot fenyegető veszélyek és a közrend megsértésének megelőzése és felderítése; közvádas büntetőügyekben a büntetőjogi felelősségre vonás vagy a büntetés alól kibújó személyek felkutatása, valamint az eltűnt személyek felkutatása; a bűncselekmény elkövetési tárgyát vagy eszközét képező vagy bizonyítékként használható tárgyak felkutatása; a tárgyi bizonyítékok előkészítése és megőrzése, valamint az illetékes igazságügyi hatóságoknak történő bemutatása.

51. A Bíróság rámutatott, hogy a közbiztonság védelme az Unió olyan általános érdekű céljának minősül, amely igazolhatja a Charta 7. és 8. cikkében biztosított alapvető jogokba történő, akár súlyos beavatkozásokat is. Végeredményben az ilyen védelem hozzájárul mások jogainak és szabadságainak védelméhez is. E tekintetben a Charta 6. cikke kifejti, hogy mindenkinek joga van nemcsak a szabadsághoz, hanem a személyi biztonsághoz is, e rendelkezés az EJEE 5. cikkében foglaltaknak megfelelő jogokat garantál.(48) Az ugyanezen bolgár rendőrségi nyilvántartási rendszerben felsorolt adatok gyűjtésének összeegyeztethetőségével kapcsolatos ügyben a Bíróság egyértelműen megállapította, hogy a büntetőeljárás alá vont személyek adatainak nyilvántartásba vétel céljából történő ilyen kezelése a 2016/680 irányelv 1. cikkének (1) bekezdésében meghatározott célokat szolgálja, különösen a bűncselekmények megelőzésével, nyomozásával, felderítésével és üldözésével kapcsolatos célokat, amelyek az Unió által elismert általános érdekű céloknak minősülnek. A Bíróság hozzátette, hogy az ilyen adatgyűjtés hozzájárulhat a 2016/680 irányelv (27) preambulumbekezdésében meghatározott célkitűzéshez, amely szerint a bűncselekmények megelőzése, nyomozása és a vádeljárás lefolytatása érdekében szükséges, hogy az illetékes hatóságok azokat a személyes adatokat, amelyeket konkrét bűncselekmények megelőzésével, nyomozásával, felderítésével vagy a vádeljárás lefolytatásával összefüggésben gyűjtöttek, ennél szélesebb összefüggésben is kezeljék annak érdekében, hogy megértsék a bűnözői tevékenységeket és a különböző felderített bűncselekmények közötti összefüggéseket feltárják.(49) E megfontolások természetesen az adattárolási intézkedésre is érvényesek.

52. A tény, hogy az adatoknak a rendőrségi nyilvántartási rendszerben való megőrzése olyan adatkezelés, amely lehetővé teszi a bűncselekmények felderítésére és következésképpen a bűncselekmények megelőzésére irányuló közérdekű célok elérését, véleményem szerint nehezen vitatható. Nyilvánvaló, hogy a felsorolt személyek személyi azonosítóit, fényképeit, biometrikus és genetikai adatait, tehát a személy egyedi és hamisíthatatlan fizikai jellemzőit tartalmazó rendőrségi nyilvántartási rendszer a biztonsági szolgálatok számára a bűncselekmények felderítése és az elkövetők azonosítása céljából teljes mértékben releváns nyomozati eszközt jelent. Ebben az értelemben a szóban forgó nemzeti szabályozás olyan objektív szempontoknak felel meg, amelyek kapcsolatot teremtenek a megőrzendő személyes adatok és az elérni kívánt cél között.(50)

4. A szóban forgó beavatkozás alkalmasságáról, szükségességéről és arányosságáról

53. Noha az adatoknak a szóban forgó rendőrségi nyilvántartási rendszerben való tárolása nyilvánvalóan alkalmas az elérni kívánt közérdekű cél elérésére, vizsgálni kell, hogy a Charta 7. és 8. cikkében biztosított jogokba való, az ilyen adattárolásból eredő beavatkozás a feltétlenül szükséges mértékre korlátozódik‑e abban az értelemben, hogy a cél észszerűen nem érhető el más, az érintett személyek alapvető jogait kevésbé sértő eszközökkel, és hogy e beavatkozás nem aránytalan‑e e célhoz képest, ami különösen e cél jelentőségének és az említett beavatkozás súlyosságának egymással szembeni mérlegelését feltételezi.(51)

54. Ennek vizsgálata során a jelen esetben figyelembe kell venni a rendőrségi nyilvántartási rendszer célját, az érintett bűncselekmények jellegét és a nyilvántartásba veendő személyek valószínűsíthető számát, a gyűjtött személyes adatok különleges érzékenységét és tárolásuk időtartamát, a nemzeti szabályozás által az iratbetekintésre és a benne lévő adatok megőrzésének ellenőrzésére előírt jogi és/vagy technikai garanciákat.

a) A nyilvántartási rendszer célja

55. Írásbeli észrevételeiben az ír kormány lényegében azzal érvelt, hogy az adatok tárolása szükséges lehet a kapcsolódó ellenőrzési célokból, amely a bűnmegelőzéshez és a közbiztonság védelméhez fűződő közérdeket szolgálja. Így lehetővé kell tenni, hogy a rendőrségi nyilvántartási rendszerben szereplő információkba ne csak a bűncselekmények elkövetőinek felkutatása céljából lehessen betekinteni, hanem közigazgatási rendészeti célokból is, bizonyos állami vagy érzékeny munkakörökre vonatkozó felvételi vagy engedélyezési határozatokat megelőző vizsgálatok keretében, mivel vizsgálni kell, hogy az érintett személyek magatartása nem összeegyeztethetetlen‑e e funkciók gyakorlásával.

56. A tárgyaláson a bolgár kormány megerősítette azt, ami a ZMVR 27. cikkének kifejezett szövegéből levezethető, nevezetesen, hogy a szóban forgó rendőrségi nyilvántartási rendszer a bírósági és nem közigazgatási nyomozást segítő eszköz. E megállapítás bizonyos jelentőséggel bír valamely személy nyilvántartásba vételének következményeit illetően, mivel a nyilvántartási rendszerbe kerülés kellemetlensége nem jár együtt azzal, hogy az érintett bizonyos szakmai tevékenységeket nem végezhet.(52) A szóban forgó rendőrségi nyilvántartási rendszerbe történő bejegyzés nem büntetés vagy kiegészítő szankció, célja egyértelműen a nyomozásra korlátozódik, és felhasználása a titoktartási kötelezettség alá tartozó szolgálatok számára van fenntartva.

57. Tény, hogy egy rendkívül széles körű bűnügyi rendőrségi célokat szolgáló, egyetlen nyilvántartási rendszerről van szó, amely különböző információkat tartalmaz, az egyszerű családi állapotra vonatkozó információktól kezdve a biometrikus és genetikai adatokig, és amely eltérő eljárási jogállású személyeket sorol fel. Más rendeletekben az összes információra kiterjedő egyetlen adatkezelési művelet helyett előnyösebbnek tartották, ha több, meghatározott célú rendőrségi nyilvántartási rendszert írnak elő, amelyeknek egyetlen felhasználási módjuk van, és amelyek egyfajta adatot rögzítenek.

b) A bűncselekményekről és az érintett személyekről

58. A rendőrségi nyilvántartási rendszerben való adattárolás olyan személyekre vonatkozik, akiket közvádra – vagyis az ügyész vádemelése nyomán – üldözendő szándékos bűncselekmények elkövetésével gyanúsítottak és elítéltek. A bolgár kormány szerint nem tartoznak e kategóriába a nem szándékos bűncselekmények, a szabálysértések és a magánjogi jellegű bűncselekmények, valamint egyes olyan bűncselekmények, amelyekben közigazgatási szankciót szabtak ki. Említettem már, hogy a bolgár büntető törvénykönyvben előírt bűncselekmények nagy többsége szándékos bűncselekmény, és szinte valamennyi közvádra üldözendő.(53)

59. Meg kell állapítani, hogy a nemzeti szabályozás nem sorolja fel kimerítően a bűncselekményeket, nem tesz különbséget a bűncselekmények között azok jellege szerint, ami önmagában a cselekmények súlyához és az alkalmazandó büntetéshez kötődik, és nem határoz meg kritériumot a szabadságvesztés‑büntetés pontos mértékére vonatkozóan. A különböző bűncselekményeket ezért egyetlen, tág kategóriába sorolják, a szándékosság követelményéhez kapcsolódó fenntartással, a priori kizárva a kevésbé súlyos bűncselekményeket, amelyek esetében elegendő a bűncselekmény tényállási elemeinek puszta megvalósítása,(54) valamint az egyszerű gondatlansággal vagy hanyagsággal jellemzett bűncselekményeket. Amikor a tárgyaláson a bolgár kormányt felhívták, hogy pontosítsa a szóban forgó bűncselekmények kategóriájának tartalmát, sajnálatos módon arra szorítkozott, hogy nem csupán a legalább öt évig terjedő szabadságvesztéssel büntetendő bűncselekményekről van szó.

60. Az érintett személyek tekintetében meg kell jegyezni, hogy a szóban forgó adatkezelés az érintett személyek életkorára korlátozódik, mivel az NRISPR 4. cikkéből következik, hogy a fiatalkorúakat nem jegyzik be a rendőrségi nyilvántartásba, ami ennek megfelelően csökkenti az e nyilvántartásban szereplő személyek számát. A szóban forgó intézkedés a személyek két kategóriáját különbözteti meg, nevezetesen a gyanúsítottakat és a büntetőítélettel elítélt személyeket. Az így érintett személyek körébe tartozhatnak többek között azok, akiket az alkalmazandó nemzeti eljárások keretében objektív és hátrányos megkülönböztetéstől mentes körülmények alapján korábban olyan személyként azonosítottak, akik veszélyt jelentenek az érintett tagállam köz‑ vagy nemzetbiztonságára. A tagállamoknak így többek között lehetőségük van arra, hogy megőrzésre irányuló intézkedéseket hozzanak az olyan személyekkel szemben, akik ilyen azonosítás alapján folyamatban lévő nyomozás hatálya alá tartoznak, azaz a személyek olyan kategóriájába tartoznak, akikről okkal feltételezhető, hogy bűncselekményt követtek el, vagy akiket büntetőjogi felelősségre vonás tényét tükröző ítélet alapján büntetőjogi felelősségre vontak, olyan helyzetekben, amelyek a visszaesés magas kockázatával járhatnak.(55) A visszaesés – a tágabb értelemben vett ismételt bűnelkövetés – olyan jelenség, amelyet minden tagállam megkísérel mérni és megérteni a meghatározó tényezőket, ami kényes feladat, mivel a bűnözésre vonatkozó objektív és megbízható statisztikai adatok rendelkezésre állásától függ. Amennyiben ilyenek léteznek, ezek feltárhatják, hogy a bűnözői múlt fontos meghatározó tényezője a visszaesésnek.(56)

61. Kiemelendő továbbá, hogy a büntetőeljárás alá vont személyek és adataik „eltűnnek” a rendőrségi nyilvántartási rendszerből, amennyiben az ellenük folyó büntetőeljárás a ZMVR 68. cikke értelmében megszüntetésről vagy felmentésről szóló határozattal lezárul, ami nyilvánvalóan befolyásolja a nyilvántartási rendszerben szereplő személyek számát, amelyet a bolgár kormány nem tudott közölni.(57)

c) Az adatok jellege és az adattárolás időtartama

62. Az érintett adatokat illetően a Bíróság megállapította, hogy tekintettel a természetes személyeknek a különleges adatok kezelésével szembeni fokozott védelmére, az adatkezelőnek meg kell győződnie arról, hogy e cél nem érhető el a 2016/680 irányelv 10. cikkében felsorolt adatkategóriákon kívüli más adatkategóriák felhasználásával.(58) Amint azt kifejtettem, a tárolandó adatok egyértelműen olyan jellegűek, amelyek hozzájárulnak a bűnözés elleni küzdelem keretében a bűncselekmények megelőzéséhez, felderítéséhez vagy üldözéséhez, valamint a közrend fenntartásához. Ugyanígy, véleményem szerint nehéz úgy tekinteni, hogy e célok ugyanilyen hatékonyan érhetők el kizárólag az érintett személy családi állapotára vonatkozó információk vagy fényképfelvételek alapján, anélkül, hogy túlzottan korlátoznák a nyomozók azon lehetőségét, hogy a nyomozás során gyűjtött adatoknak a korábbi nyomozások során a nyilvántartási rendszerben rögzített adatokkal való összehasonlítása alapján bűncselekményeket derítsenek fel.(59) Szerencsére elmúlt az az idő, amikor a vallomást tekintették a bizonyítékok királynőjének, mivel a forenzikus technikai és kriminalisztikai szolgálatok által gyűjtött elemek előnyösen felváltották a megkérdőjelezhető bizonyítékokat a bizonyítékok hierarchiájában. Megállapítható tehát, hogy az érintett adatok az adatkezelés céljaihoz képest mind relevánsak, mind pedig nem túlzottak.

63. Egyébiránt meg kell jegyezni, hogy a szóban forgó nemzeti szabályozás nem határoz meg pontos maximális időtartamot a nyilvántartási rendszerben rögzített információk tárolására, mivel az adatokat csak az eljárás időtartamáig tárolják, amely az eljárás megszüntetéséről vagy egyes vádlottak felmentéséről szóló határozattal végződik, illetve a jogerősen elítélt személyek esetében életük végéig. A bolgár kormány által a tárgyaláson nyújtott tájékoztatás szerint, amelyet a bíróságnak kell ellenőriznie, a törlésre az érintett személy halála esetén hivatalból kerül sor, az örökösöknek ezenkívül joguk van a ZMVR 68. cikkének (6) bekezdése alapján kérni a bejegyzés törlését. Úgy kell‑e tekinteni, hogy e helyzet a 2016/680 irányelv 5. cikkével való kapcsolatot illetően megfelel a személyes adatok törlésére vonatkozó megfelelő határidők megállapítása elmulasztásának, abban az értelemben, hogy a határidő fogalmának szükségszerűen években, hónapokban vagy napokban kifejezett időtartamnak kell megfelelnie? Amennyiben igen, akkor ugyanezen rendelkezés azt jelentené, hogy a nemzeti jogszabályokban vagylagosan határidőket kell megállapítani ezen adattárolás szükségességének időszakos felülvizsgálatára.(60)

64. Ami a büntetőeljárás alá vont személyek adatait illeti, és tekintettel a bolgár jogalkotó azon döntésére, hogy ezeket nem tárolja, ha az előbbieket érintő eljárás végén nem születik büntetőjogi felelősséget megállapító ítélet, ezen eljárás szükségszerűen véletlenszerű időtartama nem enged más választási lehetőséget, mint az eljárás túlzott elhúzódásának megakadályozása érdekében egy határidő formális rögzítését. Ami az elítélt személyeket illeti, úgy vélem, hogy a halálra való hivatkozás valóban az érintett személy biológiai életéhez kapcsolódó időbeli korlátot jelent, kizárva az adatok tárolásának határozatlan vagy korlátlan időtartamúkénti minősítését.(61) A tárolási időszak lejárta előre meghatározott, még akkor is, ha annak pontos időpontja értelemszerűen meghatározatlan. Mindenesetre megjegyzem, hogy a bolgár kormány a tárgyaláson jelezte, hogy sor kerül a nyilvántartási rendszerben szereplő bejegyzések rendszeres belső felülvizsgálatára, ebben az esetben háromhavonta, ami megfelel a 2016/680 irányelv 5. cikkében foglalt követelményeknek.

65. Vitathatatlan, hogy attól függően, hogy az érintett személyt milyen életkorban vették nyilvántartásba, illetve milyen életkorban halt meg, az adattárolás nagyon hosszúnak bizonyulhat, hosszabbnak, mint amennyi a visszaesés megállapításához vagy a legsúlyosabb bűncselekmény esetében a büntethetőség elévüléséhez szükséges.(62) E tárolási időtartamot mindazonáltal az adatkezelés bűnügyi rendőrségi célja igazolja, amely a múltbeli vagy jövőbeli bűncselekmények elkövetőinek azonosítását célzó gyanújelek és bizonyítékok gyűjtése, tekintettel arra, hogy a bűncselekményekhez kapcsolódó veszély – függetlenül attól, hogy súlyosak vagy sem – általános és állandó jellegű.(63) Jól mutatja a nyomozóhatóságok előtt álló nagy nehézségeket, valamint a nyilvántartásokban gyűjtött biometrikus és genetikai adatok hosszú távú tárolásának fontosságát az, hogy a felderítetlen ügyek megoldására néha nagyon későn kerül sor.(64)

d) Az adattárolásra és az adathozzáférésre vonatkozó jogi és technikai biztosítékok meglétéről

66. A rendőrségi nyilvántartási rendszerben lévő adatok tárolásával járó beavatkozás arányossága nem vizsgálható a nyilvántartási rendszerhez való hozzáférésre vonatkozó szabályoktól és e nyilvántartási rendszerben lévő adatok megőrzése indokoltságának felülvizsgálatától függetlenül. Az EJEB szerint, amikor egy állam a legszélesebb körű, határozatlan idejű tárolási jogot biztosítja magának, döntő jelentőségűvé válik bizonyos hatékony biztosítékok megléte és működése. A nemzeti jognak tehát olyan biztosítékokat kell tartalmaznia, amelyek hatékonyan védik a tárolt személyes adatokat a nem megfelelő felhasználással és a visszaélésekkel szemben, és lehetővé teszik ezen adatok törlését, amint azok további tárolása aránytalanná válik, különösen a tárolt adatok törlésének kérésére vonatkozó konkrét lehetőség biztosításával.(65)

1) A nyilvántartási rendszerbe történő betekintés feltételeiről

67. A 2016/680 irányelv (28), (56) és (57) preambulumbekezdéséből, valamint 24., 25. és 29. cikkéből következik, hogy a tagállamoknak intézkedéseket kell hozniuk annak biztosítására, hogy a személyes adatokat oly módon kezeljék, hogy biztosított legyen a megfelelő szintű biztonság és bizalmas kezelés – többek között megakadályozva a személyes adatokhoz és a kezelésükhöz használt eszközökhöz való jogosulatlan hozzáférést, valamint az említett adatok és eszközök jogosulatlan felhasználását. Ezen intézkedések magukban foglalják az adatkezelő által vezetett nyilvántartásokat, amelyek alapján kérésre a felügyeleti hatóság rendelkezésére bocsátanak bizonyos mennyiségű információt az elvégzett adatkezelésről, valamint bizonyos kezelési műveletekre, például a betekintésre, továbbításra és törlésre vonatkozó naplókat. A 2016/680 irányelv (60) preambulumbekezdése szerint az adatkezelőnek intézkedéseket kell alkalmaznia az érintett adatkezeléssel járó, előzetesen felmért kockázatok – különösen az adatok jogosulatlan közlésével és az azokhoz való jogosulatlan hozzáféréssel kapcsolatos kockázatok – csökkentésére.

68. A tárgyaláson a bolgár kormány kijelentette, hogy a nemzeti szabályozás tiszteletben tartja e követelményeket, hivatkozva egy olyan szabályrendszer meglétére, amely előírja különösen az adatokhoz hozzáféréssel rendelkező személyek névjegyzékének összeállítását, azt, hogy minden felhasználónak meg kell jelölnie a hozzáférési jogának igazolását, személyazonosságát, a hozzáférés dátumát és időpontját.(66) Az iratbetekintésre jogosult személyek körére és az iratbetekintési eljárásokra vonatkozó garanciák alkalmasnak tűnnek arra, hogy megakadályozzák az iratokhoz való hozzáféréssel történő visszaélést vagy csalárd felhasználást, és ezáltal a Charta 7. és 8. cikkében foglalt alapvető jogok túlzott megsértését, amelynek vizsgálata a kérdést előterjesztő bíróság feladata lesz.

2) Az adattárolásnak a nyilvántartási rendszerben történő felülvizsgálatáról

69. Nem vitatott, hogy a ZMVR 68. cikkének (6) bekezdésében előírt, fent említett felülvizsgálat kettős jellegű, mivel azt az illetékes hatóságok hivatalból, önellenőrzés formájában, valamint az érintett személy vagy örököseinek indokolt kérelme alapján végzik el, és a bejegyzésnek a nyilvántartási rendszerből való törlésére vonatkozó indokokat a fent említett rendelkezés mindkét esetben kimerítően meghatározza. Ezen indokok nem terjednek ki a mentesítésben részesült személy helyzetére, amelynek következtében az érintett ítéletet törlik a bűnügyi nyilvántartásából, és csak a ZMVR 68. cikke (6) bekezdésének 1. pontjában említett, törvénysértő módon történő nyilvántartásba vételre vonatkozó indok képezheti a törlés iránti kérelem alapját, amelyet a bűncselekmény miatt elítélt személy – mint a jelen esetben – még életében, tehát a halála időpontjában meghatározott törvényes tárolási idő lejárta előtt nyújt be.

70. A tárgyaláson a ZMVR 68. cikke (6) bekezdésének az illetékes hatóságok és bíróságok által alkalmazott hatályára vonatkozó kérdésre válaszolva a bolgár kormány egyértelművé tette, hogy e rendelkezés lehetővé teszi valamely büntetőeljárás alá vont személyre vonatkozóan a bűncselekmény bíróság általi átminősítését követően tévessé vált bejegyzés módosítását. Kizárta annak lehetőségét, hogy az elítélt személy mentesítését követően töröljék a nyilvántartási rendszerből a bejegyzést. E tekintetben emlékeztetek arra, hogy a szóban forgó nyilvántartási rendszer a bűnügyi rendőrség operatív tevékenységének megkönnyítését célzó nyomozati eszköz, és szigorúan véve nem olyan, a büntetett előéletet tartalmazó nyilvántartási rendszer, mint a bűnügyi nyilvántartás. E két eszköz nem ugyanazt a célt szolgálja: az egyik a nyomozók kizárólagos használatára szolgáló memória, amely hosszú távon lehetővé teszi számukra a múltbeli vagy jövőbeli bűncselekmények felderítését, míg a másik a bíróságok munkájában szolgál iránymutatásul, amikor egy adott ügyben büntetőjogi szankciót szabnak ki. Így, mivel a mentesítés révén az érintett ítéletet törölték a bűnügyi nyilvántartásból, az illető adott esetben a bűncselekményt első alkalommal elkövető személy helyzetébe kerülhet, aki enyhébb büntetésben vagy enyhébb végrehajtási szabályok alkalmazásában részesülhet. Ugyanakkor az adatainak a nyilvántartási rendszerben való tárolása főszabály szerint továbbra is szükséges, tekintettel a nyilvántartási rendszernek a bűncselekmények felderítésére, tisztázására és megelőzésére vonatkozó tágabb céljára.

71. A bolgár kormány észrevételeiből azonban kitűnik, hogy a ZMVR 68. cikke (6) bekezdésének 1. pontjában említett indok nem terjed ki az adattárolás szükségességének időbeli szempontú értékelésére. Úgy tűnik, sem a nemzeti jogszabályokban, sem a közigazgatási vagy bírósági gyakorlatban nincs olyan rendelkezés, amely lehetővé teszi az illetékes hatóság számára, hogy a negyedéves felülvizsgálatok keretében törölje a nyilvántartási rendszerben szereplő bejegyzést, vagy az érintett személy kérje annak törlését, ha a személyes adatok tárolása a nyilvántartásba vétel óta eltelt időre tekintettel már nem tűnik szükségesnek. Úgy tűnik, hogy a törlési kérelmet elutasító határozat jogszerűségének elbírálására hivatott kérdést előterjesztő bíróság sincs abban a helyzetben, hogy ilyen értékelést végezzen.

F. Közbenső következtetés

72. Megállapítható‑e, hogy az adattárolásra vonatkozó, fentiekben ismertetett kritériumok kellően célzott, arányos és specifikus jellegűek, és hogy a szóban forgó személyes adatok kezelése tiszteletben tartja a szigorúan szükséges vagy feltétlenül szükséges korlátokat? A Bíróság a következő okok miatt nemleges választ adhat erre a kérdésre.

73. Először is fontos hangsúlyozni, hogy a személyes adatok tárolásának szükségességével kapcsolatos kérdéskör különösen égető, amennyiben ezen adatok kezelését – mint a jelen esetben – megelőző céllal engedélyezik. E tekintetben a szóban forgó rendőrségi nyilvántartási rendszerben való adatrögzítés és adattárolás valódi kritériuma az érintett személyek veszélyessége, ami kockázatértékelést feltételez. A jelen ügyben meg kell jegyezni, hogy ezen értékelés megáll pusztán a szándékos bűncselekmény gyanújának fennállása vagy bizonyított elkövetése megállapításánál, amely kritérium nem kellően konkrét, ha a bűncselekmények egyik alkotóelemét, sőt a büntetőjogi felelősség alapját képezi. Így a nemzeti adattárolási rendszer véleményem szerint figyelembe veszi a bűncselekmény minimális súlyossági fokát, és a közrend elleni bűncselekmények széles körére kiterjed, anélkül, hogy a priori szabadságvesztésből álló büntetést írna elő, így úgy tekinthető, hogy a bűncselekmény jellegétől és súlyosságától függetlenül alkalmazható.(67) Emlékeztetek arra, hogy a Bíróság megállapította, hogy az alapügy tárgyát képezőhöz hasonló bolgár jogszabály, amely előírja a közvádra üldözendő szándékos bűncselekménnyel gyanúsított személy biometrikus és genetikai adatainak nyilvántartásba vételük céljából történő rendszeres gyűjtését, főszabály szerint ellentétes a 2016/680 irányelv 10. cikkében foglalt követelménnyel, mivel az ilyen szabályozás különbségtétel nélkül és általánosan az ilyen adatok gyűjtéséhez vezethet, mivel a „közvádra üldözendő szándékos bűncselekmény” fogalma különösen általános jellegű, és nagyszámú bűncselekményre alkalmazható, azok jellegétől és súlyosságától függetlenül.(68)

74. Míg a statisztikai tanulmányok azt mutatják, hogy valamely személy büntetett előélete fontos meghatározója a bűnismétlésnek, rávilágítanak a bűnismétlés kockázatát növelő objektív tényezők meglétére is, amelyek különösen a nemhez, az életkorhoz és az eredeti bűncselekmény jellegéhez, a bűnismétléshez szükséges időhöz, valamint ahhoz a tényhez kapcsolódnak, hogy a bűnismétlés nagyon szorosan összefügg az őrizetbe vételhez vezető bűncselekmény jellegével.(69) Azzal azonban, hogy az adatoknak az érintett személy haláláig történő tárolása feltételeként minden szándékos bűncselekményért – beleértve az első bűncselekményt(70) is – hozott ítéletet figyelembe vesznek, úgy tűnik, hogy az ilyen adatok kezelésének alapvető indoka az, hogy az elkövető büntetett előéletét különösen széles körben vizsgálják, mind az elkövetett bűncselekmények jellege és/vagy súlya, mind az elkövető életkora tekintetében. Az EJEB‑hez hasonlóan felvetődhet a kérdés, hogy ez a fajta logika – bizonyos szélsőségekbe torkollva – a gyakorlatban nem vezet‑e az egész lakosságra és elhunyt rokonaikra vonatkozó információk tárolásának igazolásához, ami minden bizonnyal túlzott és irreleváns lenne.(71) Megjegyzem, hogy a Bíróság úgy vélte, hogy kizárólag az a tény, hogy valakit közvádra üldözendő szándékos bűncselekmény elkövetésével gyanúsítanak, nem tekinthető olyan tényezőnek, amely önmagában lehetővé teszi annak vélelmezését, hogy e biometrikus és genetikai adatok gyűjtése feltétlenül szükséges, tekintettel az adatgyűjtés céljaira.(72)

75. Másodszor, úgy tűnik, hogy az adatokat az érintett haláláig tárolják, tekintet nélkül annak szükségességére. A ZMVR 68. cikke (6) bekezdésének megfogalmazása és fenti értelmezése alapján az illetékes hatóságok csak kivételes körülmények között jogosultak az adatok törlésére, amelyek nem függnek össze a személy helyzetének a nyilvántartási rendszerben való rögzítés óta bekövetkezett változásával. Ugyanez igaz az ugyanebben a szövegben előírt törlési jogorvoslatra, amely nem elég hatékony, mivel nem teszi lehetővé annak ellenőrzését, hogy az adattárolás időtartama arányos‑e a szóban forgó beavatkozás céljával. Ennek az értékelésnek különböző szempontokat kell figyelembe vennie, mint például a megállapított tényállás jellege és súlyossága, a tényállás elkövetése óta eltelt idő, a fennmaradó törvényes tárolási idő vagy a jelen esetben a kérelmező életkora, mégpedig a tényállás elkövetésekor betöltött életkorát illető személyes helyzetére tekintettel, az azóta tanúsított magatartására (társadalmi beilleszkedés, a sértettek kártalanítása), a személyiségére, a mentesítésben részesülésre, amely ebben az összefüggésben az átfogó értékelés egyik elemét képezheti. Ilyen körülmények között különösen a nyilvántartásba vett személy rendelkezésére álló felülvizsgálat olyannyira korlátozottnak tűnik, hogy szinte hipotetikus.(73)

76. A fenti megállapításokat annak fényében kell vizsgálni, hogy az érzékeny adatokat nagyon hosszú ideig lehet tárolni, és hogy a szóban forgó nyilvántartási rendszer alkalmas arra, hogy a felhasználói számára az ilyen adatok felhasználásához, különösen az azonosításhoz, elemzéshez és összevetéshez igen intruzív funkciókat kínáljon. Megjegyzendő, hogy a ZMVR 68. cikkének (3) bekezdése értelmében a rendőrhatóságok a rendőrségi nyilvántartási rendszerbe történő bejegyzés céljából kötelesek a személyek „DNS‑profiljának” elkészítése céljából mintát venni, és fényképeket készíteni róluk, amelyeken adott esetben arcfelismerő technikákat alkalmazhatnak.

V. Végkövetkeztetés

77. A fenti megfontolásokra tekintettel azt javasolom a Bíróságnak, hogy a Varhoven administrativen sad (legfelsőbb közigazgatási bíróság, Bulgária) részére a következő választ adja:

A személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/680 európai parlamenti és tanácsi irányelv 4, 5, 8., 10. cikkét és 16. cikkének (2) bekezdését az Európai Unió Alapjogi Chartája 52. cikkének (1) bekezdésével együttesen és azzal összefüggésben

a következőképpen kell értelmezni:

azokkal ellentétes az a nemzeti szabályozás, amely előírja, hogy a szándékos bűncselekmény elkövetése miatt elítélt személyek személyes adatait – beleértve a biometrikus és genetikai adatokat is – a bűncselekmény jellege vagy súlya szerinti további különbségtétel nélkül, az érintett személy haláláig tárolják a rendőrségi nyilvántartási rendszerben, anélkül, hogy lehetőség lenne az adatoknak a nyilvántartási rendszerben való tárolását a rögzítésük óta eltelt idő fényében felülvizsgálni, és adott esetben ezt követően azokat töröltetni.

Az adatkezelés céljából történő adattárolás időtartama arányosságának az elítélt személy helyzetére tekintettel való felülvizsgálata magában foglalhatja az elítélnek a büntetett előélethez fűződő hátrányok alóli mentesítését is.

1 Eredeti nyelv: francia.

2 A személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/680 európai parlamenti és tanácsi irányelv (HL 2016. L 119., 89. o.; helyesbítések: HL 2018. L 127., 7. o.; HL 2021. L 74., 39. o.)

3 A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: általános adatvédelmi rendelet).

4 Lásd ebben az értelemben: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet (C‑439/19, EU:C:2021:504, 61–67. pont). A 2022. április 5‑i Commissioner of An Garda Síochána és társai ítéletben (C‑140/20, EU:C:2022:258, 61. pont) a Bíróság már megállapította, hogy a nemzetbiztonság fenntartásának célja az állam alapvető funkcióinak és a társadalom alapvető érdekeinek a védelméhez fűződő elsődleges érdeknek felel meg, és magában foglalja az olyan tevékenységek megelőzését és elfojtását, amelyek komolyan destabilizálhatják az ország alapvető alkotmányos, politikai, gazdasági vagy társadalmi szerkezetét, és közvetlenül fenyegethetik a társadalmat, a lakosságot vagy magát az államot, mint például a terrorcselekmények.

5 Igaz, hogy egy ilyen ellenőrzés a gyakorlatban kényesnek tűnhet egyetlen „catch‑all” rendőrségi nyilvántartási rendszer esetében, mivel az adatok rögzítése és tárolása egyszerre visszamenőleges és jövőre vonatkozó logikának is engedelmeskedik, és nem feltétlenül teszi lehetővé a szóban forgó adatkezelési műveletek közötti objektív különbségtételt egy nagyon pontos cél alapján.

6 2023. január 26‑i Ministerstvo na vatreshnite raboti (A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele) ítélet (C‑205/21, EU:C:2023:49, 135. pont). Megjegyzem, hogy a Bíróság korábban már határozott a Charta 52. cikke (1) bekezdésének a bolgár jogszabályokkal való összeegyeztethetőségének kérdésében, amelynek sajátossága, hogy az általános adatvédelmi rendeletre és a 2016/680 irányelv 10. cikkét átültető belső jogi rendelkezésre hivatkozott, anélkül, hogy ez utóbbit hivatalosan említette volna. A Bíróság megállapította, hogy a biometrikus és genetikai adatoknak a rendőri hatóságok által nyomozási tevékenységük keretében, „a bűnözés elleni küzdelem és a közrend fenntartása céljából” történő kezelését az említett irányelv 10. cikkének a) pontja értelmében véve tagállami jog teszi lehetővé, amennyiben az adott tagállam joga az említett adatkezelés engedélyezésére vonatkozóan kellően világos és pontos jogalapot tartalmaz, a fent említett kettős hivatkozás önmagában nem kérdőjelezi meg ezt az engedélyezést, feltéve, hogy valamennyi alkalmazandó nemzeti jogi rendelkezés értelmezéséből kellően világosan, pontosan és egyértelműen kitűnik, hogy a biometrikus és genetikai adatok szóban forgó kezelése a fenti irányelv, nem pedig az általános adatvédelmi rendelet hatálya alá tartozik.

7 2019. május 8‑i PI ítélet (C‑230/18, EU:C:2023:383, 42. pont).

8 A 2016/680 irányelv 4. cikke (1) bekezdése b) pontjának betartása, amely szerint az adatokat csak meghatározott, egyértelmű és jogszerű célból gyűjtik, és nem kezelik e célokkal össze nem egyeztethető módon, a jelen ügyben nem vitatott, mivel az adatgyűjtést követő adatkezelés célja, azaz ezen adatok tárolása, azonos az adatgyűjtés céljával.

9 A ZMVR 26. cikke kimondja, hogy a személyes adatok tárolásának vagy a tárolás szükségessége időszakos felülvizsgálatának határidejét a belügyminiszter határozza meg. A tárgyaláson a bolgár kormány jelezte, hogy ilyen felülvizsgálatra háromhavonta kerül sor.

10 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet (C‑439/19, EU:C:2023:504, 105. pont).

11 Megjegyzem, hogy a 2016/680 irányelv 18. cikke, amely szerint a tagállamok előírhatják, hogy a 13., 14. és 16. cikkben említett jogokat a tagállami joggal összhangban kell gyakorolni, ha a személyes adatokat bűnügyi nyomozás vagy büntetőeljárás során kezelt bírósági határozat, vagy bűnügyi nyilvántartás vagy ügyirat tartalmazza, véleményem szerint nem releváns, mivel a szóban forgó nyilvántartási rendszer a nyomozó hatóságok operatív tevékenységét megkönnyítő eszköz, amelyért a belügyminiszter felelős, és nem a fent említett típusú igazságügyi eszköz.

12 Lásd ebben az értelemben: 2021. február 25‑i Bizottság kontra Spanyolország (Adatvédelmi irányelv – A büntetőjog területe) ítélet (C‑658/19, EU:C:2009:138, 75. pont); 2022. augusztus 1‑jei Vyriausioji tarnybinės etikos komisija ítélet (C‑184/20, EU:C:2014:601, 61. pont).

13 Lásd analógia útján: 2022. augusztus 1‑jei Vyriausioji tarnybinės etikos komisija ítélet (C‑184/20, EU:C:2022:601, 62. és 69. pont).

14 Lásd analógia útján: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet (C‑439/19, EU:C:2021:504, 98. pont)

15 Lásd ebben az értelemben: 2009. május 7‑i Rijkeboer ítélet (C‑553/07, EU:C:2009:293, 33. pont); 2014. május 13‑i Google Spain és Google ítélet (C‑131/12, EU:C:2014:317, 92. pont).

16 Lásd analógia útján: 2022. október 20‑i Digi ítélet (C‑77/21, EU:C:2021:805, 54. pont).

17 E kérdéskörrel a 2016/680 irányelv (26) preambulumbekezdése és 4. cikkének (3) bekezdése is foglalkozik, amelyből kitűnik, hogy az uniós jogalkotó számításba vette az adatok hosszú távú tárolásának lehetőségét ugyanezen irányelv 1. cikk (1) bekezdésében meghatározott célból történő közérdekű archiválás, tudományos, statisztikai vagy történelmi felhasználás érdekében, feltéve, hogy az érintettek jogaira és szabadságaira megfelelő garanciákat alkalmaznak. A jelen ügyben nem ez a helyzet, mivel a rendőrségi nyilvántartási rendszerben lévő adatok tárolásának tisztán operatív célja van, nevezetesen a nyomozó hatóságok tevékenységének megkönnyítése a bűncselekmények felderítése érdekében.

18 Felvethető a kérdés, hogy a 2016/680 irányelv 5. cikke nem tartalmaz‑e egyfajta belső logikai ellentmondást. E rendelkezéssel összhangban valóban lehetnek olyan, a bűnüldöző hatóságok által feldolgozott személyes adatok, amelyek esetében nem lenne helyénvaló határidőt előírni a törlésük érdekében, azonban ilyen határozatlan idejű tárolás esetén rendelkezni kell arról, hogy az illetékes hatóságok rendszeresen felülvizsgálják az ilyen adatok tárolásának szükségességét és a törlés lehetőségét, ha a tárolás az adatkezelés céljára tekintettel már nem indokolt. Érthető és elfogadható azonban, hogy a jogos cél abban áll, hogy egy korrekciós mechanizmust biztosítsanak a beavatkozást jelentő rendelkezés végrehajtásával megvalósuló visszaélések megelőzésére.

19 A jelen ügyben a törlés teljes megtagadásáról van szó, amelyet a 2016/680 irányelv 16. cikkének (4) bekezdésével összhangban meg kell indokolni a kérelmezőnek, amely azonban úgy rendelkezik, hogy a tagállamok jogalkotási intézkedéseket fogadhatnak el az ilyen kötelezettség teljes vagy részleges korlátozására, különösen ahhoz, hogy ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása.

20 2023. január 26‑i Ministerstvo na vatreshnite raboti (A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele) ítélet (C‑205/21, EU:C:2023:49, 116–118. pont). E megfontolásokra tekintettel úgy kell‑e érteni, hogy a Bíróság az érzékeny adatok 2016/680 irányelv szerinti kezelésének jogszerűségét egy olyan feltétel betartásához köti, amely túlmutat azon, amelyet a Bíróság a személyes adatok védelmére vonatkozó ítélkezési gyakorlatában általában bármely adattípusra vonatkozóan elfogadott, nevezetesen ahhoz, hogy a szóban forgó adatkezelés betartsa a „szigorúan szükséges” korlátokat? A francia kormánynak azon észrevételére, hogy a 2016/680 irányelv 10. cikkének egyes nyelvi változataiban e cikk azokra az esetekre utal, amikor az adatkezelés „szigorúan szükséges”, a Bíróság ezen ítélet 119. pontjában azt válaszolta, hogy e terminológiai eltérés nem módosítja az így megnevezett kritérium jellegét és az előírt követelményszintet, mivel e nyelvi változatok szintén egy szigorúbb feltételt határoznak meg a különleges adatok kezelésének, amely az adatkezelés szükségességének szigorúbb értékelését követeli meg, mint abban az esetben, ha a kezelt adatok nem tartoznak az említett cikk hatálya alá. Az adatkezelés szükségességének mértéke és a végrehajtás nehézsége közötti e fogalmi különbségtétel azonban egy adott esetben megkérdőjelezhető.

21 Lásd különösen: 2020. október 6‑i La Quadrature du Net és társai ítéletet (C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791); 2022. április 5‑i An Garda Síochána biztos és társai ítélet (C‑140/20, EU:C:2022:258).

22 Az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv) (HL 2002. 201., 37. o.; magyar nyelvű különkiadás 13. fejezet, 29. kötet, 514. o.).

23 2017. július 26‑i 1/15 (EU–Kanada PNR‑megállapodás) vélemény, EU:C:2017:592); 2022. június 21‑i Ligue des droits humains ítélet (C‑817/19, EU:C:2022:491).

24 2017. július 26‑i 1/15 (EU–Kanada PNR‑megállapodás) vélemény (EU:C:2017:592, 132., 204. és 205. pont).

25 Az utas‑nyilvántartási adatállománynak (PNR) a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és a vádeljárás lefolytatása érdekében történő felhasználásáról szóló, 2016. április 27‑i (EU) 2016/681 európai parlamenti és tanácsi irányelv (HL 2016. L 119., 132. o.).

26 2022. április 22‑i Commissioner of An Garda Síochána és társai ítélet (C‑140/20, EU:C:2023:258, 35–37. pont). Ugyanez vonatkozik az általános adatvédelmi rendelet szerinti jogi szabályozással való összehasonlításra is.

27 Tinière, R., Jurisprudence de la CJUE 2020: décisions et commentaires, Bruylant, Brüsszel, 2021, 130–139. o.

28 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet (C‑140/20, EU:C:2022:258, 56–59. pont); 2022. június 21‑i Ligue des droits humains ítélet (C‑817/19, EU:C:2022:491, 148. pont).

29 2022. június 21‑i Ligue des droits humains ítélet (C‑817/19, EU:C:2022:491, 148. pont).

30 Lásd ebben az értelemben: 2022. december 8‑i Inspektor v Inspektorata kam Visshia sadeben savet (A személyes adatok kezelésének céljai – nyomozás) ítélet (C‑180/21, EU:C:2022:967, 57. és 58. pont).

31 2022. december 8‑i Google (Állítólagosan valótlan tartalomra mutató linkek törlése) ítélet (C‑460/20, EU:C:2023:962, 59. pont).

32 EJEB, 2017. június 22., Aycaguer kontra Franciaország (CE:ECHR:2017:0622JUD000880612, 33., 34. és 38. §); EJEB, 2014. szeptember 18., Brunet kontra Franciaország (CE:ECHR:2014:0918JUD002101010, 35. §).

33 EJEB, 2013. június 4., Perruzo és Martens kontra Németország (CE:ECHR:2013:0604DEC000784108, 46. §); EJEB, 2020. február 13., Gaughran kontra Egyesült Királyság (CE:ECHR:2020:0213JUD004524515, 88. §).

34 Lásd analógia útján: 2017. július 26‑i 1/15 (EU‑Kanada PNR‑megállapodás) vélemény (EU:C:2017:592); 2022. június 21‑i Ligue des droits humains ítélet (C‑817/19, EU:C:2022:491, 94. és 95. pont).

35 EJEB, 2017. június 22., Aycaguer kontra Franciaország (CE:ECHR:2017:0622JUD000880612, 33. §).

36 Lásd analógia útján: 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet (C‑140/20, EU:C:2021:258, 44. pont).

37 2023. január 26‑i Ministerstvo na vatreshnite raboti (A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele) ítélet (C‑205/21, EU:C:2023:49, 127. pont).

38 Lásd a 2016/680 irányelv (4) és (7) preambulumbekezdését.

39 2017. július 26‑i 1/15 (EU‑Kanada PNR‑megállapodás) vélemény (EU:C:2017:592, 134. pont).

40 2020. október 6‑i Privacy International ítélet (C‑623/17, EU:C:2023:790, 63. és 64. pont).

41 Lásd ebben az értelemben: 2020. október 6‑i Privacy International ítélet (C‑623/17, EU:C:2020:790, 67. pont); 2022. november 22‑i Luxemburg Business Registers ítélet (C‑37/20 és C‑601/20, EU:C:2022:912, 64. pont).

42 2020. október 6‑i a Privacy International ítélet (C‑623/17, EU:C:2020:790, 65. pont); 2022. február 24‑i Valsts ieņēmumu dienests (Személyes adatok adóügyi célból történő kezelése) ítélet (C‑175/20, EU:C:2022:124, 54–56. pont). Igaz, hogy az ilyen vizsgálat a Bíróság ítéleteiben a korlátozás arányosságának részletes elemzése keretében találta meg a helyét, amikor azt nem együttesen, a jogszerűség és az arányosság elvének betartásához kapcsolódó két szempontból vizsgálta (2022. június 21‑i Ligue des droits humains ítélet (C‑‑817/19, EU:C:2022:491, 114. és 117. pont). A jelen indítvány e részében a szigorúan vett előreláthatósági követelmény vizsgálatára fogok összpontosítani.

43 2022. június 21‑i Ligue des droits humains ítélet (C‑817/19, EU:C:2023:491, 114. pont).

44 Lásd a bolgár kormány írásbeli észrevételeinek 33–35. pontját.

45 Lásd ebben az értelemben: 2003. május 20‑i Österreichischer Rundfunk és társai ítélet (C‑465/00, C‑138/01 és C‑139/01, EU:C:2003:294, 77. pont).

46 Lásd analógia útján: 2017. július 26‑i 1/15 (EU‑Kanada PNR‑megállapodás) vélemény (EU:C:2017:592, 150. pont) és a contrario: 2022. november 22‑i Luxemburg Business Registers ítélet (C‑37/20 és C‑601/20, EU:C:2022:912, 51. pont).

47 2023. január 26‑i Ministerstvo na vatreshnite raboti (A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele) ítélet (C‑205/21, EU:C:2023:49, 99. pont).

48 2017. július 26‑i 1/15 (EU‑Kanada PNR‑megállapodás) vélemény (EU:C:2017:592, 149. pont); 2020. október 6‑i La Quadrature du Net és társai ítélet (C‑511/18, EU:C:2022:791, 123. pont).

49 2023. január 26‑i Ministerstvo na vatreshnite raboti (A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele) ítélet (C‑205/21, EU:C:2023:49, 97. és 98. pont). Az EJEB az EJEE 2. cikke szerinti pozitív kötelezettséggel összefüggésben megjegyezte, hogy határozottan elismeri, hogy közérdek fűződik a jogellenes cselekmények elkövetőinek kivizsgálásához és esetleges büntetőeljárás alá vonásához és elítéléséhez, akár több évvel a cselekmény elkövetése után is (EJEB, 2014. június 12., Jelić kontra Horvátország, EC:ECHR:2014:0612JUD005785611, 52. §).

50 Lásd ebben az értelemben: 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet (C‑140/20, EU:C:2022:258, 55. pont).

51 2022. november 22‑i Luxemburg Business Registers ítélet (C‑37/20 és C‑601/20, EU:C:2022:912, 66. pont).

52 Általánosságban elmondható, hogy a nyilvántartásba vétel nem jelent pozitív kötelezettséget az érintett számára.

53 2023. január 26‑i Ministerstvo na vatreshnite raboti (A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele) ítélet (C‑205/21, EU:C:2023:49, 78. pont).

54 Gyakori a közúti bűncselekmények területén.

55 Lásd analógia útján: 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet (C‑140/20, EU:C:2021:258, 77. és 78. pont). Megjegyzem, hogy a 2022. június 21‑i Ligue des droits humains ítéletben (C‑‑817/19, EU:C:2022:491, 198. pont) a Bíróság megállapította, hogy a 2016/681 irányelvből az következik, hogy az utasok előzetes értékelése céljából alkalmazott kritériumokat úgy kell meghatározni, hogy azok konkrétan azokra az egyénekre irányuljanak, akik tekintetében fennállhat a terrorista bűncselekményekben vagy az ezen irányelvben említett súlyos bűncselekményekben való részvétel észszerű gyanúja.

56 A francia igazságügyi minisztérium 2021. július 2‑i 183. sz. „Mesurer et comprendre les déterminants de la récidive des sortants de prison ” című Infostat Justice bulletinje szerint 2016‑ban a börtönből szabadultak 86%‑a már a fogva tartásukhoz vezető elítélést megelőzően büntetett előéletű volt. A visszaesés aránya a korábbi büntetőítéletek számával együtt nő: azon szabadulóknak, akik nem követtek el a börtönbe kerülésüket megelőző öt évben bűncselekményt, csupán 14%‑a követ el ismét egy éven belül bűncselekményt, szemben a szabadulók 23%‑ával, akiket egyszer ítéltek el és a szabadulók 63%‑ával, akiket legalább tíz alkalommal ítélték el.

57 E megállapítás végső soron tükrözi, hogy e rendelkezés megfelel a 2016/680 irányelv 6. cikkének, amely előírja az adatkezelő számára, hogy adott esetben és amennyire lehetséges, tegyen világos különbséget az érintettek különböző kategóriáinak személyes adatai között oly módon, hogy a személyes adataik védelméhez való alapvető jogukba való beavatkozás azonos fokát ne alkalmazzák rájuk különbségtétel nélkül, függetlenül attól, hogy azok milyen kategóriába tartoznak (2023. január 26‑i Ministerstvo na vatreshnite raboti [A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele] ítélet, C‑205/21, EU:C:2023:49, 83. pont).

58 2023. január 26‑i Ministerstvo na vatreshnite raboti (A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele) ítélet (C‑205/21, EU:C:2023:49, 126. pont).

59 Lásd analógia útján: 2023. január 26‑i Ministerstvo na vatreshnite raboti (A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele) ítélet (C‑205/21, EU:C:2023:49, 100. pont). Meg kell jegyezni továbbá, hogy az idő múlása elkerülhetetlenül akadályozza a tanúk felkutatását és ez utóbbiak azon képességét, hogy helyesen emlékezzenek vissza az eseményekre.

60 A Bűnüldözési Együttműködés Európai Uniós Ügynökségéről (Europol), valamint a 2009/371/IB, 2009/934/IB, 2009/935/IB, 2009/936/IB és 2009/968/IB tanácsi határozat felváltásáról és hatályon kívül helyezéséről szóló, 2016. május 11‑i (EU) 2016/794 európai parlamenti és tanácsi rendelet (HL L 135., 53. o.) 31. cikke előírja, hogy az Europol az általa kezelt személyes adatokat csak a kezelésük céljához szükséges és azzal arányos ideig tárolhatja. Az Europol a személyes adat kezelésének megkezdésétől számított három éven belül minden esetben felülvizsgálja a további tárolás szükségességét. Az Europol dönthet úgy, hogy amennyiben feladatainak ellátásához még szüksége van a személyes adatokra, azokat tovább tárolja a következő – egy újabb hároméves időszak után elvégzendő – felülvizsgálatig. Ha nem döntenek a személyes adatok további tárolásáról, akkor azokat három év után automatikusan törölni kell.

61 A Gaughran kontra Egyesült Királyság ügyben 2020. február 13‑án hozott ítéletében (EC:ECHR:2020:0213JUD004524515, 79–81. §), amely az érintett személy halálával végződő adattárolást előíró szabályozásról szólt, az EJEB különbséget tett egyrészről a DNS, másrészről az ujjlenyomatok és fényképek között. Az EJEB úgy ítélte meg, hogy csak az utóbbi adatokra vonatkozik olyan tárolási idő, amely a határozatlan idejű megőrzéshez hasonlítható. Megjegyzem, hogy a jelen esetben az érintett személy halála után ezen adatok egyike sem használható fel, mivel a DNS halál utáni tárolása technikailag lehetővé tette volna az érintett személy legközelebbi hozzátartozójának felkutatását.

62 Azon bűncselekményektől eltekintve, amelyek büntethetősége nem évül el, az adattárolási időszak és az elévülés közötti kapcsolat kérdését egyes jogrendszerekben az elévülés felfüggesztésére vagy megszakítására, illetve az elévülési idő kezdetének elhalasztására vonatkozó mechanizmusok miatt kell perspektívába helyezni, amelyek az úgynevezett folyamatos, folytatólagos vagy rejtett bűncselekmények, valamint a kiskorúakkal szemben elkövetett egyes bűncselekmények esetében (az elévülés elhalasztása a sértett nagykorúságának eléréséig) alkalmazandók. Figyelembe kell venni azt is, hogy a szexuális erőszak az a bűncselekmény, amely a legkésőbb jut a nyomozóhatóságok tudomására.

63 Lásd ebben az értelemben: 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet (C‑140/20, EU:C:2022:258, 62. pont).

64 Emlékeztetek arra, hogy az EJEB az EJEE 2. cikke szerinti pozitív kötelezettséggel összefüggésben határozottan elismerte, hogy közérdek fűződik a jogellenes cselekmények elkövetőinek kivizsgálásához és esetleges büntetőeljárás alá vonásához és elítéléséhez, akár több évvel a tényállás után is (EJEB, 2014. június 12., Jelić kontra Horvátország, EC:ECHR:2014:0612JUD005785611, 52. §), és utalt arra, hogy a „cold cases” kivizsgálása is közérdek, a bűnözés elleni küzdelem általános értelmében (EJEB, 2020. február 13., Gaughran kontra Egyesült Királyság, EC:ECHR:2020:0213JUD004524515, 93. §).

65 EJEB, 2017. június 22., Aycaguer kontra Franciaország (CE:ECHR:2017:0622JUD000880612, 38. §); EJEB, 2020. február 13., Gaughran kontra Egyesült Királyság (CE:ECHR:2020:0213JUD004524515, 88. §).

66 Nem határozták meg, hogy az iratbetekintésről készült feljegyzéseket mennyi ideig kell megőrizni.

67 EJEB, 2020. február 13., Gaughran kontra Egyesült Királyság (CE:ECHR:2020:0213JUD004524515, 83. §).

68 2023. január 26‑i Ministerstvo na vatreshnite raboti (A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele) ítélet (C‑205/21, EU:C:2023:49, 128. és 129. pont).

69 A francia igazságügyi minisztérium 2021. július 2‑i 183. sz. „Mesurer et comprendre les déterminants de la récidive des sortants de prison” című, 2021. július 2‑án kiadott Infostat Justice Bulletinje.

70 A nyilvántartásba vétel és az adatok későbbi, nyilvántartási rendszerben történő tárolása a bűncselekményt első alkalommal elkövető valamennyi személyre vonatkozik, és nem olyan személyre, akit már egy vagy több alkalommal elítéltek.

71 EJEB, 2020. február 13., Gaughran kontra Egyesült Királyság (CE:ECHR:2020:0213JUD004524515, 89. §).

72 2023. január 26‑i Ministerstvo na vatreshnite raboti (A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele) ítélet (C‑205/21, EU:C:2023:49, 130. pont). A Bíróság hozzáteszi, hogy a nemzeti bíróság feladata annak vizsgálata, hogy a nemzeti jog lehetővé teszi‑e az érintett személy biometrikus és genetikai adatai nyilvántartásba vétele céljából történő gyűjtése „feltétlen szükségességének” értékelését, figyelembe véve a gyanúsítás tárgyát képező bűncselekmény jellegét és súlyosságát, de egyéb releváns tényezőt is, így különösen e bűncselekmény különleges körülményeit, a bűncselekmény és más folyamatban lévő eljárások közötti esetleges kapcsolatot, a büntetett előéletet vagy az érintett személy egyéni profilját. Kérdéses, hogy a további individualizálás e követelménye összeegyeztethető‑e az olyan jogalkotási jellegű rendelkezésekkel, illetve az általuk megkövetelt szisztematikus jelleggel, absztrakciós és általános jelleggel, amelyek célja a személyes adatok nyilvántartási rendszerben történő tárolására vonatkozó általános rendszer létrehozása.

73 EJEB, 2020. február 13., Gaughran kontra Egyesült Királyság (CE:ECHR:2020:0213JUD004524515, 94. §).