Ideiglenes változat
MANUEL CAMPOS SÁNCHEZ‑BORDONA
FŐTANÁCSNOK INDÍTVÁNYA
Az ismertetés napja: 2023. április 20.(1)
C‑548/21. sz. ügy
C. G.
kontra
Bezirkshauptmannschaft Landeck
(a Landesverwaltungsgericht Tirol [tiroli regionális közigazgatási bíróság, Ausztria] által benyújtott előzetes döntéshozatal iránti kérelem)
„Előzetes döntéshozatal – Távközlés – Személyes adatok védelme – (EU) 2016/680 irányelv – Büntetőeljárás – A hatóságoknak a mobiltelefonon tárolt adatokhoz bíróság vagy független közigazgatási szerv engedélye nélkül való hozzáférésre tett kísérlete”
1. Az előzetes döntéshozatal iránti kérelem lényegében arra vonatkozik, hogy a rendőrségnek milyen feltételeknek kell megfelelnie ahhoz, hogy hozzáférjen egy olyan személy mobiltelefonján tárolt adatokhoz, akivel szemben bűnügyi nyomozás folyik.
2. Amint azt a továbbiakban igyekszem kifejteni, elfogadhatóságát illetően az előzetes döntéshozatal iránti kérelem jelentős hiányosságokat mutat. Ha a Bíróság mindezek ellenére úgy döntene, hogy érdemben foglalkozik az üggyel, akkor határoznia kell a 2002/58/EK irányelv(2) és az (EU) 2016/680 irányelv(3) hatályáról.
I. Jogi keret
A. Az uniós jog
1. Az (EU) 2016/679 rendelet(4)
3. A 2. cikk („Tárgyi hatály”) (2) bekezdése kimondja:
„E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:
[…]
d) az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.”
2. A 2016/680 irányelv
4. A (2) preambulumbekezdés rögzíti:
„A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelméhez kapcsolódó alapelvek és szabályok a természetes személyek állampolgárságától és lakóhelyétől függetlenül tiszteletben tartják e természetes személyek alapvető jogait és szabadságait, különösen ami a személyes adataik védelméhez való jogukat illeti. Ez az irányelv szándékoltan hozzájárul a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség megteremtéséhez.”
5. A (46) preambulumbekezdés így rendelkezik:
„Bármely, az érintett jogaira vonatkozó korlátozásnak meg kell felelnie a Chartának, valamint az EEJE‑nek, a Bíróság, illetve az Emberi Jogok Európai Bíróságának[(5)] ítélkezési gyakorlata szerinti értelmezésnek megfelelően, és mindenekelőtt tiszteletben kell tartania az említett jogok és szabadságok lényeges tartalmát.”
6. A (49) preambulumbekezdés a következőképpen szól:
„Ha a személyes adatokat bűnügyi nyomozás és büntetőügyben folytatott bírósági eljárás során kezelik, a tagállamok számára lehetővé kell tenni, hogy a tájékoztatáshoz, a hozzáféréshez, a helyesbítéshez, a törléshez és az adatkezelés korlátozásához való jogot a bírósági eljárásokra vonatkozó nemzeti szabályokkal összhangban gyakorolják.”
7. Az 1. cikk („Tárgy és célok”) a következőket határozza meg:
„(1) Ez az irányelv szabályokat állapít meg a természetes személyek védelmére a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – így többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végzett kezelése tekintetében.
(2) A tagállamok ezen irányelvvel összhangban:
a) védik a természetes személyek alapvető jogait és szabadságait, különösen a személyes adatok védelméhez való jogukat, és
[…]
(3) Ez az irányelv nem akadályozza meg a tagállamokat abban, hogy az érintettek jogainak és szabadságainak védelme érdekében a személyes adatok illetékes hatóságok által végzett kezelésére az ezen irányelvben megállapítottnál magasabb védelmi szintet biztosító garanciákról rendelkezzenek.”
8. A 2. cikk („Hatály”) (1) bekezdése meghatározza:
„Ez az irányelv a személyes adatoknak az illetékes hatóságok által az 1. cikk (1) bekezdésében meghatározott célokból végzett kezelésére alkalmazandó.”
9. A 3. cikk („Fogalommeghatározások”) a következőkről rendelkezik:
„Ezen irányelv alkalmazásában:
[…]
2. »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, a közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, az összehangolás vagy összekapcsolás, korlátozás, a törlés, illetve a megsemmisítés;
[…]
7. »illetékes hatóság«:
a) olyan közhatalmi szerv, amely a bűncselekmények megelőzését, nyomozását, felderítését vagy üldözését, illetve büntetőjogi szankciók végrehajtását illetően eljárni jogosult beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését; vagy
[…].”
10. A 4. cikk („A személyes adatok kezelésére vonatkozó elvek”) (1) bekezdése előírja:
„A tagállamok előírják, hogy a személyes adatok:
a) kezelését jogszerűen és tisztességesen kell végezni;
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon;
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és szükségesre kell korlátozódniuk;
[…]
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé;
f) kezelését oly módon kell végezni, hogy a megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.”
11. A 8. cikk („Az adatkezelés jogszerűsége”) megállapítja:
„(1) A tagállamok biztosítják, hogy az adatkezelés csak akkor és kizárólag annyiban legyen jogszerű, ha és amennyiben olyan feladat ellátásához szükséges, amelyet valamely illetékes hatóság az 1. cikk (1) bekezdésében meghatározott célokból végez, és uniós vagy tagállami jog alapján történik.
(2) Az ezen irányelv hatálya alá tartozó adatkezelést szabályozó tagállami jogban rendelkezni kell legalább az adatkezelés célkitűzéseiről, a kezelendő személyes adatokról és az adatkezelés céljairól.”
12. A 13. cikk („Az érintett rendelkezésére bocsátandó vagy számára nyújtandó információk”) előírja:
„(1) A tagállamok előírják, hogy az adatkezelőnek az érintett rendelkezésére kell bocsátania legalább az alábbi információkat:
[…]
d) panaszbenyújtási jog a felügyeleti hatóságnál és a felügyeleti hatóság elérhetőségei;
[…]
(3) A tagállamok jogalkotási intézkedéseket fogadhatnak el az érintett (2) bekezdés szerinti tájékoztatásának annyiban és addig történő késleltetésére, korlátozására vagy mellőzésére, amennyiben és ameddig az említett intézkedés – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:
a) ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;
b) ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;
c) biztosított legyen a közbiztonság védelme;
d) biztosított legyen a nemzetbiztonság védelme;
e) biztosított legyen mások jogainak és szabadságainak védelme.
[…]”
13. A 15. cikk („A hozzáférési jog korlátozása”) (1) bekezdése szerint:
„A tagállamok jogalkotási intézkedéseket fogadhatnak el az érintettek hozzáférési jogának annyiban és addig történő teljes vagy részleges korlátozására, amennyiben és ameddig e részleges vagy teljes korlátozás – kellő tekintettel az érintett természetes személy alapvető jogaira és jogos érdekeire – egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül annak érdekében, hogy:
a) ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé;
b) ne szenvedjen sérelmet a bűncselekmények megelőzése, felderítése, nyomozása vagy a vádeljárás lefolytatása, illetve a büntetőjogi szankciók végrehajtása;
c) biztosított legyen a közbiztonság védelme;
d) biztosított legyen a nemzetbiztonság védelme;
e) biztosított legyen mások jogainak és szabadságainak védelme.”
14. A 27. cikk („Adatvédelmi hatásvizsgálat”) értelmében:
„(1) Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményeire és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor a tagállamok előírják, hogy az adatkezelőnek az adatkezelést megelőzően hatásvizsgálatot kell végeznie arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.
(2) Az (1) bekezdésben említett vizsgálat kiterjed legalább a tervezett adatkezelési műveletek általános leírására, az érintettek jogait és szabadságait érintő kockázatok vizsgálatára, a kockázatok kezelése céljából tervezett intézkedésekre, a személyes adatok védelmét és az ezen irányelvben foglalt rendelkezésekkel való összhang igazolására szolgáló garanciákra, biztonsági intézkedésekre és mechanizmusokra, figyelembe véve az érintettek és más személyek jogait és jogos érdekeit.”
15. A 28. cikk („Előzetes konzultáció a felügyeleti hatósággal”) kimondja:
„(1) A tagállamok előírják, hogy az adatkezelőnek vagy az adatfeldolgozónak konzultálnia kell a felügyeleti hatósággal az olyan adatkezelést megelőzően, amely egy létrehozandó új nyilvántartási rendszer részévé fog válni, ha:
a) a 27. cikkben előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés magas kockázattal járna, ha az adatkezelő nem tesz intézkedéseket a kockázat mérséklése céljából; vagy
b) az adatkezelés típusa, különösen új technológiák, mechanizmusok vagy eljárások alkalmazása esetén magas kockázatot jelent az érintettek jogaira és szabadságaira nézve.
[…]”
16. Az 54. cikk („Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog”) előírja:
„A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 52. cikk szerinti jog – sérelme nélkül, a tagállamok előírják, hogy az érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint, a személyes adatainak az ezen irányelv alapján elfogadott rendelkezésekkel ellentétes kezelése következtében megsértették az e rendelkezések szerinti jogait.”
B. A nemzeti jog
17. A Strafprozessordnung(6) 18. §‑a a bűnügyi rendőrségre ruházza a büntető igazságszolgáltatás szolgálatában végzett feladatokat ((1) bekezdés). A bűnügyi rendőrség által végzett nyomozások a biztonsági hatóságok hatáskörébe tartoznak ((2) bekezdés). A rendvédelmi szervek látják el a bűnügyi rendőrség bűncselekmények kivizsgálásából és üldözéséből álló végrehajtási feladatait ((3) bekezdés).
18. Az StPO 99. §‑a értelmében a bűnügyi rendőrség hivatalból vagy feljelentés alapján nyomoz, és köteles eleget tenni az ügyészség és a bíróságok utasításainak ((1) bekezdés). Ha egy nyomozási cselekményhez az ügyészség utasítására van szükség, a bűnügyi rendőrség közvetlen veszély esetén hatáskörét ilyen utasítás nélkül is gyakorolhatja. Ilyen esetben haladéktalanul engedélyt kell kérnie ((2) bekezdés).
19. Az StPO 111. §‑ának (2) bekezdése szerint, ha az adathordozón tárolt információ adatgyűjtés célját képezi, bármely személy köteles az ilyen információhoz való hozzáférést lehetővé tenni, és az ezen információt általánosan használt fájlformátumban tartalmazó elektronikus adathordozót kérésre átadni vagy annak elkészítését lehetővé tenni. Ezen túlmenően lehetővé kell tennie az adathordozón tárolt információkról biztonsági másolat készítését.
II. Tények, jogvita és előzetes döntéshozatalra előterjesztett kérdések
20. C. G. német állampolgár, aki Ausztriában dolgozik és lakik.
21. 2021. február 23‑án az innsbrucki (Ausztria) vámhivatal tisztviselői kábítószer‑ellenőrzés során lefoglaltak egy C. G.‑nek címzett csomagot, amely 85 gramm kannabiszt tartalmazott.
22. 2021. március 6‑án két rendőrtisztviselő kihallgatta C. G.‑t a csomag feladójáról, és átkutatta lakását. E házkutatás során lefoglalták a mobiltelefonját (beleértve egy SIM‑kártyát és egy SD‑kártyát), és átadták neki a lefoglalásról készült jegyzőkönyvet.
23. C. G.‑t felszólították, hogy biztosítson hozzáférést a mobiltelefonjának csatlakozási adataihoz, amit ő megtagadott, a hozzáférési kódjának megadására vonatkozó felszólításnak pedig szintén nem tett eleget.
24. A landecki kerületi rendőrkapitányság (Ausztria) nem tudta feloldani a mobiltelefon zárolását, így azt elküldték a Bundeskriminalamtnak (szövetségi bűnügyi rendőrségi hivatal) Bécsbe (Ausztria), ahol ismét megpróbálták a telefont feloldani, és az azon tárolt adatokat kinyerni, sikertelenül.
25. Az intézkedések rendőrség általi alkalmazásakor azokat illetően sem ügyészségi utasítás, sem bírósági végzés nem állt rendelkezésre.
26. C. G. 2021. március 31‑én keresetet nyújtott be a Landesverwaltungsgericht Tirolhoz (tiroli regionális közigazgatási bíróság, Ausztria) a vele szemben alkalmazott kényszerintézkedés ellen, és megtámadta a mobiltelefonja lefoglalását. A mobiltelefont 2021. április 20‑án visszaadták neki.
27. A mobiltelefonon tárolt adatok kiértékelésére tett kísérletekről C. G.‑t nem tájékoztatták; erről csak azért szerzett tudomást, mert a rendőrtisztviselőt, aki a lefoglalást, majd a digitális elemzést kezdeményezte, igazmondási kötelezettség mellett tanúként meghallgatták. Az említett kísérleteteket szintén nem dokumentálták a bűnügyi aktában.
28. E körülmények között a Landesverwaltungsgericht Tirol (tiroli regionális közigazgatási bíróság, Ausztria) az alábbi kérdéseket terjesztette előzetes döntéshozatal céljából a Bíróság elé:
„1) Úgy kell‑e értelmezni a 2009/136/EK irányelvvel módosított 2002/58 irányelv (adott esetben az 5. cikkével összefüggésben értelmezett) 15. cikkének (1) bekezdését [a] […] Charta 7. és 8. cikkével összefüggésben, hogy a hatóságoknak a mobiltelefonokon tárolt adatokhoz való hozzáférése olyan súlyos beavatkozást jelent a Charta említett cikkeiben foglalt alapvető jogokba, hogy e hozzáférést a bűncselekmények megelőzése, kivizsgálása, felderítése és üldözése területén a súlyos bűncselekmények elleni küzdelemre kellene korlátozni?
2) Úgy kell‑e értelmezni a 2009/136 irányelvvel módosított 2002/58 irányelv 15. cikkének (1) bekezdését a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben, hogy azzal ellentétes a [StPO] 99. §‑ának (1) bekezdésével összefüggésben értelmezett 18. §‑ához hasonló olyan nemzeti szabályozás, amelynek eredményeként a bűnügyi nyomozás keretében a biztonsági hatóságok bíróság vagy független közigazgatási szerv engedélye nélkül, átfogó és felülvizsgálatot nélkülöző módon hozzáférést biztosíthatnak maguknak a mobiltelefonon tárolt valamennyi digitális adathoz?
3) A fegyveregyenlőség és a hatékony jogorvoslat elvének figyelembevételével úgy kell‑e értelmezni a Charta 47. cikkét a 41. és 52. cikkével összefüggésben, hogy azzal ellentétes az olyan tagállami szabályozás, amely – a [StPO] 99. §‑ának (1) bekezdésével összefüggésben értelmezett 18. §‑ához hasonlóan – lehetővé teszi, hogy a mobiltelefon digitális elemzésére anélkül kerüljön sor, hogy az érintettet arról előzetesen vagy legalább az intézkedés megtételét követően tájékoztatták volna?”
III. A Bíróság előtti eljárás
29. Az előzetes döntéshozatal iránti kérelmet 2021. szeptember 6‑án vették nyilvántartásba a Bíróságnál.
30. A Bíróság 2021. október 20‑án felhívta a kérdést előterjesztő bíróságot, hogy nyilatkozzon arról, hogy a 2016/680 irányelv releváns lehet‑e az ügyben.
31. A kérdést előterjesztő bíróság 2021. november 11‑én azt válaszolta, hogy a 2016/680 irányelvet az alapeljárásban alkalmazni kell.
32. A német, az osztrák, a ciprusi, a dán, az észt, a francia, a magyar, az ír, a holland, a norvég, a lengyel és a svéd kormány, valamint az Európai Bizottság írásbeli észrevételeket nyújtott be.
33. A 2023. január 16‑i nyilvános tárgyaláson a német, a magyar és a lengyel kormány – amelyek írásbeli észrevételeket nyújtottak be –, valamint a finn kormány kivételével valamennyien megjelentek. A Bíróság mindannyiukat felkérte, hogy érveiket a 2016/680 irányelvre összpontosítsák, és szóban válaszoljanak az ezen irányelvvel kapcsolatos egyes kérdésekre.
IV. Elemzés
A. Elfogadhatatlanság
34. A kérdést előterjesztő bíróság kezdetben kizárólag a 2002/58 irányelv értelmezésére irányulóan fogalmazta meg kérdéseit. Az eljárásban részt vevő felek gyakorlatilag mindegyike egyetért azonban abban, hogy az irányelv nem alkalmazható a jelen ügyre, és hogy következésképpen annak értelmezése nem szükséges a jogvita eldöntéséhez.
35. Az említett irányelv 3. cikke szerint a 2002/58 irányelvet „[…] [az Unióban] a nyilvánosan elérhető hírközlési szolgáltatások nyilvános hírközlő hálózaton – az adatgyűjtést és az azonosító eszközöket támogató nyilvános hírközlő hálózatokat is beleértve – történő nyújtásával összefüggő személyes adatok kezelésére kell alkalmazni”.
36. A Bíróság kimondta, hogy „ha a tagállamok közvetlenül hajtanak végre az elektronikus közlések titkosságának elve alól eltérő intézkedéseket, és nem írnak elő az elektronikus hírközlési szolgáltatások nyújtóira vonatkozó kezelési kötelezettségeket, akkor az érintett személyek adatainak védelme nem a 2002/58 irányelv hatálya alá, hanem – a […] [2016/680 irányelv] alkalmazására is figyelemmel – kizárólag a nemzeti jog hatálya alá tartozik”.(7)
37. A jelen ügyben az adatokhoz való hozzáférésre közvetlenül a rendőrség tett kísérletet egy bűnügyi nyomozás keretében. Az elektronikus hírközlési szolgáltatók – akiket nem szólítottak fel a személyes adatok közlésére – az eljárásban nem vettek részt. A 2002/58 irányelv ezért nem alkalmazható.
38. A tényállásra irányadó uniós jogi szabály a 2016/680 irányelv, amely ezen irányelv 2. cikkének (1) bekezdése szerint a személyes adatoknak az illetékes hatóságok által a „bűncselekmények […] nyomozása […] céljából” végzett kezelésére alkalmazandó.
39. A fentiek elegendőek lennének a nemzeti bíróság által ekként megfogalmazott előzetes döntéshozatal iránti kérelem elfogadhatatlanságához, mivel az uniós jog értelmezni kívánt szabálya nem alkalmazható az ügyre.
40. Másfelől igaz, hogy az EUMSZ 267. cikk lehetővé teszi a Bíróság számára, hogy az előzetes döntéshozatalra előterjesztett kérdéseket átfogalmazza, vagy jelezze az uniós jog más olyan szabályainak meglétét, amelyek relevánsak lehetnek annak érdekében, hogy a nemzeti bíróság számára hasznos választ adjon.(8)
41. A Bíróság azzal fordult a kérdést előterjesztő bírósághoz, hogy nyilatkozzon a 2016/680 irányelv esetleges alkalmazhatóságáról. Lehetőséget adott tehát a kérdést előterjesztő bíróságnak arra, hogy kiegészítse vagy átfogalmazza kérdéseit. Ehelyett a kérdést előterjesztő bíróság csupán azt közölte, hogy „a jelen ügyben a 2016/680 irányelvben foglaltakat mindenesetre figyelembe kell venni”, anélkül azonban, hogy megjelölte volna az említett irányelv azon rendelkezéseit, amelyekkel kapcsolatban kétségei vannak, vagy hogy további érdemi megállapításokat tett volna.(9)
42. A Bíróság következetesen úgy ítélte meg, hogy „az eljárási szabályzat 94. cikkének c) pontjában foglaltakkal összhangban nélkülözhetetlen, hogy az előzetes döntéshozatalra utaló határozat tartalmazza azon okok ismertetését, amelyek miatt a kérdést előterjesztő bíróságban kérdés merült fel egyes uniós jogi rendelkezések értelmezésére vagy érvényességére vonatkozóan, valamint azt a kapcsolatot, amelyet az említett bíróság e rendelkezések és az alapeljárásban alkalmazandó nemzeti jog között felállít”.(10)
43. A fentiekből kitűnik, hogy az eljárási szabályzat 94. cikkében foglalt követelmények a jelen előzetes döntéshozatalra utaló határozat esetében nyilvánvalóan nem teljesülnek. Még ha a Bíróság e tekintetben bizonyos rugalmasságot is tanúsít, a kérdést előterjesztő bírósággal való együttműködésnek kölcsönösnek kell lennie: a kérdést előterjesztő bíróság részéről az általa alkalmazandónak tekintett uniós jog (jelen esetben a 2016/680 irányelv) értelmezésével kapcsolatos kételyeinek kifejtésére irányuló együttműködés indokolatlan hiánya miatt logikusnak tűnik számomra, hogy az előzetes döntéshozatal iránti kérelmet mint elfogadhatatlant el kell elutasítani.(11)
44. A fentieken túlmenően az említett bíróság:
– Nem határozta meg a rendőrség által megkísérelt adatkezelés, illetve a konkrétan keresett személyes adatok jellegét. Először úgy tűnik, hogy az a csatlakozási (azaz forgalmi és helymeghatározó) adatokra korlátozódott, de aztán nem zárja ki, hogy a telefon feloldása hozzáférést eredményezett a „[mobiltelefonon] tárolt valamennyi digitális adathoz”(12), sőt a telefonon keresztül folytatott kommunikáció és elektronikus üzenetek tartalmához is.(13)
– Egyaránt utal a telefon lefoglalására és az azon található adatokhoz való hozzáférésre, illetve a hozzáférés megkísérlésére, valamint az adatok későbbi „hasznosítására” (Auswertung), azaz kiértékelésére és leolvasására. Ez utóbbi – teszi hozzá – „az érdekelt teljes digitális kommunikációjához való, teljes mértékben ellenőrizhetetlen hozzáférést jelent”, ami „igen részletes és alapos képet adhat a magánélet szinte valamennyi területéről”.
45. Ilyen körülmények között a Bíróság a kérdést előterjesztő bíróság kérdéseinek átfogalmazása helyett az előzetes döntéshozatal iránti kérelem valódi átalakítását végezné el, ráadásul megállapított tények helyett részben hipotetikus megfontolásokra támaszkodva. Mindezt, ismétlem, azt követően, hogy a bíróság lehetőséget kapott arra, hogy ő maga kiegészítse vagy átfogalmazza a kérdéseit.
46. Ezért azt javaslom, hogy a Bíróság az előzetes döntéshozatal iránti kérelmet nyilvánítsa elfogadhatatlannak, amint azt több beavatkozó állam is kérte.
47. Elfogadhatatlanná nyilvánítást kell eredményeznie annak a – tárgyaláson hangsúlyozott – körülménynek is, hogy az alapügyben eljáró bíróság előtt már nem áll fenn az uniós jog szabályainak értelmezését igénylő, valódi jogvita.
48. Az osztrák kormány (amelynek a nyomozásban részt vevő rendőrség az irányítása alatt áll) ugyanis elismeri, hogy e hatóság eljárása jogellenes volt, és megsértette az érintett jogait. Mivel az előzetes döntéshozatalra utaló határozat szerint a felperesnek a közigazgatási bíróság előtti keresete éppen az alperes hatóság által jogellenesnek tartott rendőri intézkedések ellen irányult, megszűnt a kérdést előterjesztő bíróság előtti jogvita.
49. Mindenesetre, ha a Bíróság nem osztaná az álláspontomat, a következőkben másodlagosan az előzetes döntéshozatalra előterjesztett kérdések alapjául szolgáló érdemi problémákkal foglalkozom.
50. Először azonban szükségesnek tartom kizárni az eljárásban egyes beavatkozók által felhozott másik elfogadhatatlansági ok fennállását.(14) Az ő álláspontjuk szerint, mivel a 2016/680 irányelv a természetes személyeknek az adataik kezelése tekintetében történő védelméről szól, ezen irányelv nem vonatkozik a jelen ügyhöz hasonló olyan esetekre, ahol nem végeztek adatkezelést, hanem csupán olyan adatokhoz való hozzáférésre tettek kísérletet, amelyeket végül nem sikerült megszerezni.
51. A Bizottság szerint ezzel szemben a 2016/680 irányelv hatékony érvényesülése az említett irányelv tárgyának olyan értelmezését kell, hogy előnyben részesítse, amely nem korlátozódik a szoros értelemben vett adatkezelésre, hanem olyan kérdésekre is kiterjed, amelyek ahhoz közvetlenül kapcsolódnak. Ez utóbbiak közé tartozik például a kezelni kívánt adatokhoz való hozzáférésre tett kísérlet.(15)
52. Véleményem szerint – anélkül, hogy a 2016/680 irányelv hatályának határait feszegetni kellene(16) – az irányelv ezen ügyre történő alkalmazása nem a mobiltelefon lefoglalása,(17) hanem a rendőrségnek az érintett személy bizonyos személyes adatainak a mobiltelefonból történő megszerzése érdekében ezt követően végzett, a mobiltelefon feloldását és a tartalmának hozzáférhetővé tételét megkísérlő cselekményei miatt indokolt.
53. A 2016/680 irányelv 3. cikkének 2. pontja által „adatkezelés[ként]” meghatározott műveletek között szerepel a személyes adatok „egyéb módon történő hozzáférhetővé tétel[e]”, amelyre a bűnügyi nyomozás során kerül sor. Úgy vélem, hogy amikor a rendőrség lefoglal egy olyan telefont, amelyen ilyen adatokat tárolnak, és manipulálja a telefont annak érdekében, hogy az adatokat abból lekérdezze, akkor adatkezelési „műveletet” indít el, még akkor is, ha ez a kriptográfiai biztonsággal kapcsolatos technikai okok miatt meghiúsul.
54. A mobiltelefonon tárolt személyes adatokhoz való hozzáférés bűnügyi nyomozás során történő sikertelen megkísérlésére a 2016/680 irányelv irányadó, hasonló okokból, mint amelyek miatt a Bíróság a 2002/58 irányelvet alkalmazandónak nyilvánította a nyomozás alá vont személy egyes, elektronikus hírközlési szolgáltató által tárolt adataihoz való hozzáférésre vonatkozó bírósági engedély megszerzésére irányuló (szintén sikertelen) kísérletre.(18)
55. Ebben az összefüggésben, ha a kérdést előterjesztő bíróságnak a rendőri intézkedés jogellenességéről (amit – amint arra már rámutattam – az osztrák kormány elismer) kellene határoznia, értékelése a tervezett cél jogszerűségétől függene, akár sikeres volt az intézkedés, akár annak végrehajtását csupán – sikertelenül – megkezdték.
B. Az ügy érdeméről
1. Az előzetes döntéshozatalra előterjesztett első kérdés
56. Az alapügyben eljáró bíróság azt szeretné megtudni, hogy a 2002/58 irányelvnek a Charta 7. és 8. cikkével (adott esetben az említett irányelv 5. cikkével) összefüggésben értelmezett 15. cikkének (1) bekezdése alapján „a hatóságoknak a mobiltelefonokon tárolt adatokhoz való hozzáférése olyan súlyos beavatkozást jelent[‑e] a Charta említett cikkeiben foglalt alapvető jogokba, hogy e hozzáférést a bűncselekmények megelőzése, kivizsgálása, felderítése és üldözése területén a súlyos bűncselekmények elleni küzdelemre kellene korlátozni”.
57. Amennyiben az előzetes döntéshozatal iránti kérelem elfogadható lenne, a 2002/58 irányelv alkalmazhatatlansága miatt az első kérdést úgy kellene átfogalmazni, hogy a Bíróság válasza a 2016/680 irányelv értelmezésére irányuljon.
58. Ennek a válasznak viszont tisztáznia kellene, hogy a jelen ügyhöz hasonló esetekben lehet‑e szó beavatkozás fennállásáról, és ha igen, akkor a 2016/680 irányelv előírja‑e, hogy az adatokhoz való hozzáférést a súlyos bűncselekmények elleni küzdelem eseteire kell korlátozni.
59. Az adatkezelési műveletek meghatározásuknál fogva alkalmasak arra, hogy veszélyeztessék a magánélet tiszteletben tartásához (a Charta 7. cikke) és a személyes adatok védelméhez (a Charta 8. cikke) való jogot. A hatóságoknak ezért meg kell felelniük a Charta 52. cikkének (1) bekezdésében meghatározott feltételeknek ahhoz, hogy igazolják az ezen alapvető jogok gyakorlásába való beavatkozásukat.
60. A Charta 7. és 8. cikke által védett jogokba való beavatkozás súlyosabb, ha általa a) olyan érzékeny jellegű adatokhoz kívánnak hozzáférni, amelyeket általában mobiltelefonokon rögzítenek, és amelyek megismerése a birtokosuk életének olyan aspektusait tárhatja fel, amelyeket harmadik személyektől védeni kell; és b) lehetővé válik a kommunikáció tartalmához való hozzáférés.
61. A 2016/680 irányelv azonban általánosságban és tartalmára tekintettel nem értelmezhető úgy, hogy az általa említett adatkezelés kizárólag a súlyos bűncselekmények elleni küzdelem eseteire korlátozódik.
62. A 2016/680 irányelv tárgya a személyes adatoknak az illetékes hatóságok általi, a bűncselekmények valamennyi típusának megelőzése, nyomozása, felderítése vagy üldözése céljából történő bármilyen kezelése.(19)
63. A 2016/680 irányelv által a személyes adatok ilyen célú kezelésére vonatkozóan megállapított elvekből (4. cikk), illetve az adatkezelés jogszerűségének feltételeiből (8. cikk) nem következik az, hogy az adatkezelés főszabály szerint csak súlyos bűncselekmények esetén lehetséges.
64. A súlyos bűncselekmények elleni küzdelem eseteire szűkítő korlátozást a Bíróság 2002/58 irányelvvel kapcsolatos ítélkezési gyakorlatának(20) a jelen ügyhöz hasonló esetekre – minden további nélkül – történő alkalmazása sem támasztja alá.
65. Véleményem szerint azért nem, mert – független attól, amit az alábbiakban kifejtek – ez az ítélkezési gyakorlat egy általános és meghatározatlan csoportba tartozó személyek személyes adatainak általános és megkülönböztetés nélküli tárolására vonatkozik, amit az elektronikus hírközlési szolgáltatók rendszeresen végeznek. Az ilyen típusú, a társadalom egészét érintő tárolás jelentette beavatkozás nagyságával magyarázható, hogy a Bíróság miért volt különösen szigorú e tárolás tiltását és a tilalom alóli kivételek előírását illetően.
66. Más a helyzet akkor, amikor a kívánt hozzáférés nem a lakosság egészére vagy nagyobb csoportjaira vonatkozik (vagyis egy általános és meghatározhatatlan csoportba tartozó személyek személyes adataira), hanem egy konkrét mobiltelefonon tárolt információkra, egy ugyancsak konkrét bűnügyi nyomozás keretében, amelyre kifejezetten a 2016/680 irányelv irányadó.
67. A 2016/680 irányelv tárgya nem más, mint az adatoknak az illetékes hatóságok általi, bűncselekmények megelőzése, nyomozása, felderítése vagy üldözése céljából történő kezelése. Mindenféle – és nem csak súlyos – bűncselekmények esetén.
68. Egyebekben – amint arra az előzetes döntéshozatali eljárásba beavatkozók közül néhányan rámutattak – a 2016/680 irányelvben a bűncselekmények súlyára vonatkozó bármilyen utalás hiányában ezen irányelv nem lenne egységesen alkalmazható a tagállamokban, mivel az egyes nemzeti jogoknak a büntetendő cselekmények nagyobb vagy kisebb súlyára vonatkozó értékelései jelentősen eltérnek egymástól.(21)
69. Röviden, a 2016/680 irányelv nem írja elő a jogszerűség feltételeként, hogy a személyes adatok általa szabályozott kezelésére kizárólag a súlyos bűncselekmények elleni küzdelem céljából kerülhet sor.
70. Ennek nem mond ellent, hogy az illetékes hatóságok által a 2016/680 irányelv alapján – az arányosság elvét alkalmazva és eseti alapon – végezni kívánt adatkezelésnek igazodnia kell: a) az üldözendő bűncselekmények jellegéhez; és b) az adatkezelés tárgyát képező személyes adatok minőségéhez.
71. Ebben az összefüggésben egyetértek a német kormánynak a lefoglalt telefonok adataihoz való hozzáférés korlátozásával kapcsolatos egyes kijelentéseivel, amennyiben ezek az adatok a mobiltelefon digitális tartalmára tekintettel lehetővé teszik a birtokosuk személyére vonatkozó teljes profil létrehozását. A német kormány szerint az ilyen hozzáférést azokra az adatokra kell korlátozni, amelyek egy adott ügyben bizonyítékként szükségesek, és előfordulhat, hogy az ilyen hozzáférés nem felel meg olyan tényezők esetén, mint „a nyomozás alatt álló bűncselekmény csekély jellege vagy a megszerezhető adatok gyenge bizonyító ereje”.(22)
72. Elméletileg tehát a 2016/680 irányelvből nem következik, hogy a mobiltelefonon tárolt személyes adatokhoz az általános vagy köztörvényes bűncselekmények körébe tartozó magatartások nyomozásának megkönnyítése céljából történő hozzáférés szükségszerűen jogellenes. A konkrét hozzáférést adott esetben az illetékes hatóságnak kell eseti alapon értékelnie, figyelembe véve annak szükségességét és az – általam imént hivatkozott – arányosság követelményét.
73. Véleményem szerint ez következik a 2016/680 irányelv személyes adatok bűnözés elleni küzdelem keretében történő kezelésének érvényességi feltételeit meghatározó rendelkezéseiből:
– a 4. cikk (1) bekezdésének a) pontja, amely szerint az adatok „kezelését jogszerűen és tisztességesen kell végezni”.
– A 8. cikk (1) bekezdése, amely hangsúlyozza, hogy az adatkezelésnek szükségesnek kell lennie, és uniós vagy tagállami jog alapján kell történnie.
2. Az előzetes döntéshozatalra előterjesztett második kérdés
74. Az előzetes döntéshozatalra előterjesztett második kérdésével a kérdést előterjesztő bíróság azt kívánja megtudni, hogy a 2002/58 irányelvnek a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett 15. cikke (1) bekezdésével „ellentétes[‑e] a [StPO] 99. §‑ának (1) bekezdésével összefüggésben értelmezett 18. §‑ához hasonló olyan nemzeti szabályozás, amelynek eredményeként a bűnügyi nyomozás keretében a biztonsági hatóságok bíróság vagy független közigazgatási szerv engedélye nélkül, átfogó és felülvizsgálatot nélkülöző módon hozzáférést biztosíthatnak maguknak a mobiltelefonon tárolt valamennyi digitális adathoz”.
75. A kérdés megfogalmazása némileg kétértelmű. A kérdést előterjesztő bíróság:
– elismeri, hogy az StPO 110. §‑ának (2) bekezdése előírja, hogy a lefoglaláshoz főszabály szerint az ügyészség engedélye szükséges. A rendőrség csak az említett paragrafus (3) bekezdésében foglalt rendkívüli esetben (amely – úgy tűnik – a jelen ügyben nem áll fenn) végezhet ilyen, engedély nélküli lefoglalást.
– Hozzáteszi azonban, hogy a mobiltelefonokon tárolt információk elemzése „nincs egyértelműen szabályozva [az StPO‑ban]”, és azt a biztonsági hatóságok saját kezdeményezésükre, előzetes engedély nélkül is elvégezhetik.
76. Az osztrák kormány a nemzeti szabályozást az előzetes döntéshozatalra utaló határozatban foglaltaktól eltérő módon mutatja be. Többek között azt állítja, hogy a nemzeti jog szerint a telefon lefoglalása (a sürgős esetek kivételével), és a rajta tárolt adatok elemzése egyaránt csak ügyészségi engedéllyel lehetséges.(23) A telefonon tárolt adatok rendőrség általi felhasználása ügyészségi utasítás nélkül jogellenes.
77. A nemzeti szabályozás feltételeinek vizsgálata a kérdést előterjesztő bíróság feladata. Az EUMSZ 267. cikk szerinti eljárás keretében a Bíróságnak nincs hatásköre a nemzeti jog értelmezésére, és kizárólag a nemzeti bíróságnak kell meghatároznia a nemzeti törvényi, rendeleti és közigazgatási rendelkezések konkrét hatályát.(24)
78. Anélkül, hogy bele kívánnék bocsátkozni az osztrák jog értelmezésével kapcsolatos vitába, a pusztán a kérdést előterjesztő bíróság által megjelölt szabályokból (az StPO 99. §‑ának (1) bekezdésével összefüggésben értelmezett 18. §‑a) számomra nehéz az e bíróság által levezetett következtetésekre jutni. Erről azonban, ismétlem, csak az említett bíróság határozhat.
79. A kérdést előterjesztő bíróság mindenesetre úgy véli, hogy a Prokuratuur ítéletnek a tárolt adatokhoz való hozzáférés bíróság vagy független hatóság általi előzetes felülvizsgálatára vonatkozó doktrínája(25) átültethető a jelen ügyhöz hasonló esetre.
80. Ezzel szemben a holland kormány szerint ezt a doktrínát az illetékes hatóságoknak a valamennyi tárolt forgalmi és helymeghatározó adathoz való általános hozzáférést biztosító nemzeti szabályozással összefüggésben kell értelmeznie. Ez megmagyarázná az előzetes bírósági engedély követelményét, amely azonban nem feltétlenül lenne indokolt az egyetlen mobiltelefon adataihoz való hozzáférés esetében.
81. Ezzel összhangban a norvég kormány úgy érvel, hogy a 2016/680 irányelvben meghatározott számos biztosíték(26) között nem szerepel kifejezetten a bírósági vagy független közigazgatási szerv előzetes engedélyének szükségessége.
82. A Bizottság – abból kiindulva, hogy a 2016/680 irányelv rendelkezéseit a Chartára tekintettel kell értelmezni – úgy érvel, hogy a tagállamokra az említett irányelv 8. cikkének (1) bekezdésében rótt kötelezettség (az adatkezelés jogszerűségének feltételei) magában foglalja a Charta 7. és 8. cikkében biztosított alapvető jogok tiszteletben tartásának szükségességét.
83. Egyetértek a Bizottsággal abban, hogy a Charta e rendelkezéseinek tiszteletben tartása révén a nemzeti jogalkotók kötelesek meghatározni a szükséges szabályokat annak biztosítására, hogy az adatokhoz való hozzáférés minden egyes esetben indokolt legyen, és a feltétlenül szükséges és arányos mértékre korlátozódjon.
84. Az ilyen nemzeti szabályoknak azonban nem feltétlenül kell kifejezetten – mint a jelen ügyben – a mobiltelefonon tárolt személyes adatokhoz való hozzáférésre irányulniuk, hanem lehetnek a nemzeti jogban általánosságban a bizonyításfelvételre vonatkozóan előírtak is.
85. E tekintetben már szó szerint idéztem a La Quadrature du Net ítélet 103. pontját, amely az elektronikus közlések titkosságának elvét érintő olyan tagállami intézkedésekre vonatkozik, amelyek nem írnak elő az ilyen hírközlési szolgáltatások nyújtóira vonatkozó kezelési kötelezettségeket.(27)
86. Anélkül tehát, hogy a 2016/680 irányelvből kifejezetten eljárási jellegű szabályokat kellene levezetni a mobiltelefonon tárolt adatokhoz való hozzáférés jogszerűségének biztosítása érdekében,(28) a bűnügyi nyomozás keretében végzett házkutatási és lefoglalási hatáskörök gyakorlására vonatkozó nemzeti szabályok alkalmazandók.(29)
87. A nemzeti jogi rendelkezésekre a hozzáférés 2016/680 irányelv szerinti jogszerűségének biztosítása érdekében való hivatkozás egyébként összhangban van az EJEB ítélkezési gyakorlatával. Az EJEB az EJEE 8. cikkével (a magán‑ és családi élet, a lakás és a levelezés tiszteletben tartásához való jog) összefüggésben az Osztrák Köztársaságot érintő ügyben megállapította, hogy a tárgyak, különösen az iratok lefoglalására vonatkozó osztrák jog alkalmazandó a számítógépes adathordozókon tárolt adatok átvizsgálására és lefoglalására.(30)
88. Ha – amint azt az osztrák kormány az Oberster Gerichtshof (legfelsőbb bíróság, Ausztria) ítélkezési gyakorlatára hivatkozva állítja – a rendőrség ügyészségi engedély nélkül nem jogosult hozzáférni egy adott mobiltelefonon tárolt adatokhoz, akkor az előzetes döntéshozatalra előterjesztett második kérdés jelentős mértékben értelmét veszti.
89. Mindenesetre az e kérdésre adott válasz nem zárhatja ki annak lehetőségét, hogy a lefoglalt telefonon található személyes adatokhoz való hozzáférés az érintettre vonatkozóan „igen részletes és alapos képet adhat a magánélet szinte valamennyi területéről”.(31) Ilyen esetben a rendőrség nem járhat el a Prokuratuur ítéletben hivatkozott előzetes engedély nélkül.
90. Első pillantásra ez a kijelentés ellentétesnek látszik a (Prokuratuur ítéletben értelmezett) 2002/58 irányelv jelen ügyre történő alkalmazásának – általam fentebb megindokolt – mellőzésével. Úgy vélem azonban, hogy ezen ítélet indokolása ugyanezt a megoldást támasztja alá.
91. A Prokuratuur ítélet alapjául szolgáló jogvita – jóllehet a hozzáférés az elektronikus hírközlési szolgáltatók adatainak (metaadatok) megszerzésével történt – a jelen ügyhöz hasonlóan egy meghatározott személy ellen irányuló konkrét bűnügyi nyomozásra vonatkozott. A cél „[…] több telefonszám[…]ra és különböző IMEI‑szám[ok]ra vonatkoz[ó]”(32) adatok megszerzése volt.
92. A Prokuratuur ítéletnek véleményem szerint két vetülete különböztethető meg: a) valamely tagállamnak a szolgáltatók által tárolt adatok általános és differenciálatlan tárolására és az azokhoz való későbbi hozzáférésre vonatkozó általános szabályainak megkérdőjelezése; és b) az említett – valamely személy magánéletére vonatkozó pontos profil megalkotását lehetővé tevő – metaadatokhoz való hozzáférés konkrét esetben történő előzetes felülvizsgálata.
93. Az a körülmény, hogy a magánéletről árulkodó adatok a jelen ügyben nem a szolgáltatók birtokában vannak, és azokat egyetlen lefoglalt telefonról szerzik meg (vagy próbálják megszerezni), másodlagos jelentőségűnek tűnik számomra az előzetes felülvizsgálat követelményének a Prokuratuur ítélet által hivatkozott értelméhez képest.
94. Ennek az előzetes felülvizsgálatnak végső soron a Charta 7. és 8. cikke által garantált védelem az alapja. Az említett felülvizsgálatot elvégző hatóság „alkalmas [kell, hogy] legyen arra, hogy megfelelő egyensúlyt teremtsen egyrészt a bűnözés elleni küzdelem keretében a felderítés szükségleteihez fűződő érdekek, másrészt az azon személyek magánéletének tiszteletben tartásához és személyes adatainak védelméhez fűződő alapvető jogok között, akiknek az adatait a hozzáférés érinti”.(33)
3. Az előzetes döntéshozatalra előterjesztett harmadik kérdés
95. A harmadik kérdéssel a kérdést előterjesztő bíróság azt kívánja megtudni, hogy a Charta (adott esetben 41. és 52. cikkével összefüggésben értelmezett) 47. cikkével ellentétes‑e az olyan – osztrákhoz(34) hasonló – szabályozás, amely „lehetővé teszi, hogy a mobiltelefon digitális elemzésére anélkül kerüljön sor, hogy az érintettet arról előzetesen vagy legalább az intézkedés megtételét követően tájékoztatták volna”.
96. Véleményem szerint az ekként megfogalmazott kérdés szükségtelen a jogvita eldöntéséhez, mivel az érintett élhetett a Charta 47. cikkében biztosított jogával, és a kérdést előterjesztő bíróságtól a lefoglalt telefonra irányuló – az azon tárolt adatok későbbi (és sikertelen) hasznosítását is magában foglaló – rendőri intézkedés semmissé nyilvánítását kérte.
97. A rendőri intézkedés e két mozzanatával kapcsolatban különbséget kell tenni az alábbiak között:
– Ami a telefon lefoglalását illeti, a jelen ügy irataiból kiderül, hogy az érintett tudott róla, és hogy a telefon lefoglalásakor megtagadta a rendőrségtől a feloldó kód rendelkezésre bocsátását.
– Ami az adatok elemzésére tett kísérletet illeti, minden jel arra utal, hogy az adatkezelő nem tájékoztatta az érintettet erről a műveletről, bár az osztrák kormány azt állítja, hogy az érintettnek tudomása volt egy jelentésről, amely a bűnügyi rendőrség telefonnal kapcsolatos intézkedéseit rögzítette.(35)
98. Az adatok hasznosításával és az érintett erre vonatkozó tudomásával kapcsolatban tehát továbbra is fennáll némi bizonytalanság, amelyet – amint arra már rámutattam – az alapügyben eljáró bíróságnak az előzetes döntéshozatalra utaló határozatában kellett volna tisztáznia, és amely megakadályozza, hogy az előzetes döntéshozatalra előterjesztett harmadik kérdésre hasznos választ lehessen adni.
99. Mindazonáltal arra az esetre, ha a Bíróság nem tekintené elfogadhatatlannak ezt a kérdést, állást foglalok róla. Ebben az esetben – mivel a 2002/58 irányelv alkalmazhatatlan – a 2016/680 irányelvre tekintettel át kellene fogalmazni a kérdést, amelynek megválaszolásához ez utóbbi irányelv 13., 15. és 54. cikke ad támpontokat.
100. A 2016/680 irányelv szerint az érintettnek az adatai kezeléséről olyan tájékoztatást kell nyújtani, amely szükséges többek között a) panasz benyújtásához a felügyeleti hatóságnál (a 13. cikk (1) bekezdésének d) pontja); és b) a hatékony bírósági jogorvoslathoz a 2016/680 irányelv által biztosított jogok megsértésével szemben, a rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül (54. cikk).
101. Nem szabad azonban elfelejteni, hogy a 2016/680 irányelv 13. cikkének (3) bekezdése és 15. cikkének (1) bekezdése egyaránt felhatalmazza a tagállamokat arra, hogy jogalkotási intézkedéseket fogadjanak el:
– az érintett (2) bekezdés szerinti tájékoztatásának késleltetésére, korlátozására vagy mellőzésére.
– Az érintett kezelt adataihoz való hozzáférési jogának annyiban és addig történő teljes vagy részleges korlátozására, amennyiben és ameddig e korlátozás szükséges és arányos intézkedésnek minősül annak érdekében, hogy többek között ne gördüljenek akadályok a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások elé, vagy ne szenvedjen sérelmet a bűncselekmények nyomozása.(36)
102. Az adatkezelés jogszerűsége mindenesetre nem az illetékes hatóságokra a 2016/680 irányelv 13. cikkében előírt (későbbi) kötelezettségek teljesítésétől, hanem az adatkezelést igazoló cél jogszerű voltától függ, vagyis, hogy e közigazgatási hatóságok jogosultak voltak‑e a személyes adatok kezelésére.
103. Ebből a szempontból az, hogy az érintettet tájékoztatták a tőle lefoglalt telefonon tárolt adatokhoz való hozzáférésre tett kísérletekről, önmagában a rendőri intézkedés anyagi jogi jogszerűségén kívüli tényező. Az adatkezelőnek a rá a 2016/680 irányelv 13. cikke által előírt kötelezettségekkel esetlegesen ellentétes magatartása egyéb következményekkel járhat, de – ismétlem – önmagában nem érinti magának az adatkezelésnek a jogszerűségét vagy jogellenességét.
104. A kérdést előterjesztő bíróság feladata annak vizsgálata, hogy a nemzeti szabályozás lehetővé teszi‑e az érintett személy számára e jogok hatékony gyakorlását.
V. Végkövetkeztetés
105. A fentiekre tekintettel azt javaslom, hogy a Bíróság nyilvánítsa elfogadhatatlannak a Landesverwaltungsgericht Tirol (tiroli regionális közigazgatási bíróság, Ausztria) által benyújtott előzetes döntéshozatal iránti kérelmet.
Másodlagosan azt javaslom, hogy a Bíróság e kérelemre a következő választ adja:
„1) A személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/680 európai parlamenti és tanácsi irányelv 4. cikke (1) bekezdésének a) pontját és 8. cikkének (1) bekezdését az Európai Unió Alapjogi Chartájának 7., 8. és 52. cikkével összefüggésben
a következőképpen kell értelmezni:
a hatóságoknak a mobiltelefonon tárolt személyes adatokhoz a bűnügyi nyomozás keretében, ezen adatok kezelése céljából való hozzáférése nem korlátozódik a súlyos bűncselekmények elleni küzdelem eseteire.
Az ilyen hozzáférésnek az üldözendő bűncselekmények és a hozzáférni kívánt személyes adatok jellegétől függően minden egyes esetben indokoltnak kell lennie, és a szigorúan szükséges és arányos mértékre kell korlátozódnia.
A bűnügyi nyomozás keretében a rendőrség bíróság engedélye nélkül, átfogó és felülvizsgálatot nélkülöző módon nem biztosíthat magának hozzáférést a mobiltelefonon tárolt valamennyi adathoz, ha azokból pontos képet lehet kapni valamely személy magánéletéről.
2) A 2016/680 irányelv 13., 15. és 54. cikkét a Charta 47. és 52. cikkével összefüggésben
a következőképpen kell értelmezni:
a 2016/680 irányelv 15. cikkének (1) bekezdése által engedélyezett korlátozások, valamint a rendelkezésre álló egyéb, közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül a mobiltelefon tulajdonosát – a 2016/680 irányelvben biztosított jogok esetleges megsértésével szembeni bírósági jogorvoslathoz való joga hatékony gyakorlásának biztosításához szükséges időben és mértékben – tájékoztatni kell a mobiltelefonon tárolt személyes adatok illetékes hatóságok általi kezeléséről.”