CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:811

A BÍRÓSÁG ÍTÉLETE (első tanács)

2023. október 26.(*)

„Előzetes döntéshozatal – Személyes adatok kezelése – (EU) 2016/679 rendelet – 12., 15. és 23. cikk – Az érintettnek az adatkezelés tárgyát képező adataihoz való hozzáférési joga – Az ezen adatok első másolatának díjmentes megszerzéséhez való jog – A beteg adatainak az orvos általi kezelése – Egészségügyi dokumentáció – A hozzáférés iránti kérelem indokai – Az adatok felhasználása a kezelőorvos felelősségének megállapítása céljából – A »másolat« fogalma”

A C‑307/22. sz. ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Bundesgerichtshof (szövetségi legfelsőbb bíróság, Németország) a Bírósághoz 2022. május 10‑én érkezett, 2022. március 29‑i határozatával terjesztett elő az

és

között folyamatban lévő eljárásban,

A BÍRÓSÁG (első tanács),

tagjai: A. Arabadjiev tanácselnök, T. von Danwitz, P. G. Xuereb, A. Kumin és I. Ziemele (előadó) bírák,

főtanácsnok: N. Emiliou,

hivatalvezető: A. Calot Escobar,

tekintettel az írásbeli szakaszra,

figyelembe véve a következők által előterjesztett észrevételeket:

– a lett kormány képviseletében K. Pommere, meghatalmazotti minőségben,

– az Európai Bizottság képviseletében A. Bouchagiar, F. Erlbacher és H. Kranenborg, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2023. április 20‑i tárgyaláson történt meghallgatását követően,

meghozta a következő

Ítéletet

1 Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: általános adatvédelmi rendelet) 12. cikke (5) bekezdésének, 15. cikke (3) bekezdésének és 23. cikke (1) bekezdése i) pontjának értelmezésére vonatkozik.

2 E kérelmet az FT és DW között annak tárgyában folyamatban lévő jogvita keretében terjesztették elő, hogy a fogorvosként tevékenykedő FT megtagadta, hogy betegének díjmentesen átadja egészségügyi dokumentációjának első másolatát.

Jogi háttér

Az uniós jog

3 Az általános adatvédelmi rendelet 4. cikke szerint:

„[…] A személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban, a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyensúlyban más alapvető jogokkal. Ez a rendelet minden alapvető jogot tiszteletben tart, és szem előtt tartja [az Európai Unió Alapjogi Chartájában] elismert és a Szerződésekben rögzített szabadságokat és elveket, különösen ami […] a vállalkozás szabadságához […] jogot illeti.”

4 Az általános adatvédelmi rendelet (10) és (11) preambulumbekezdése a következőképpen szól:

„(10) A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. […]

(11) Ahhoz, hogy a személyes adatok az Unió egész területén hatékony védelemben részesüljenek, az érintettek jogait, valamint a személyes adatokat kezelő, illetve az adatkezelést meghatározó személyek kötelezettségeit megerősíteni és részletesen meghatározni szükséges, […]”

5 Az általános adatvédelmi rendelet (13) preambulumbekezdése értelmében:

„[…] Emellett, e rendelet alkalmazása során az uniós intézményeket és szerveket, és a tagállamokat és azok felügyeleti hatóságait ösztönözni kell, hogy vegyék figyelembe a mikro‑, kis‑ és középvállalkozások sajátos szükségleteit […]”

6 Az általános adatvédelmi rendelet (58) preambulumbekezdése kifejti:

„Az átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt világos és közérthető nyelven fogalmazzák meg, illetve – ezen túlmenően – szükség esetén vizuálisan is megjelenítsék. Az ilyen tájékoztatás nyújtható elektronikus formátumban is, így például a nyilvánosságnak szánt tájékoztatás közölhető valamely honlapon keresztül. Ez különösen olyan helyzetekben lehet fontos, amikor a szereplők nagy száma és a gyakorlat technológiai összetettsége megnehezíti az érintett számára annak megismerését és megértését, hogy gyűjtenek‑e róla személyes adatokat, és ha igen, ki és milyen célból, ilyen például az online reklámozás esete. Mivel a gyermekek különös védelmet igényelnek, a kifejezetten gyermekekre vonatkozó adatkezelés vonatkozásában minden információt és kommunikációt olyan világos és közérthető nyelven kell megfogalmazni, amelyet a gyermek könnyen megért”.

7 Amint azt az általános adatvédelmi rendelet (59) preambulumbekezdése előírja:

„Az érintettek e rendeletben biztosított jogainak gyakorlását megkönnyítő intézkedéseket kell biztosítani, ideértve olyan mechanizmusok biztosítását, amely által többek között az érintettnek lehetősége van díjmentesen kérelmezni, illetve adott esetben megkapni különösen a személyes adatokhoz való hozzáférést, azok helyesbítését és törlését, valamint gyakorolja a tiltakozáshoz való jogát […]”

8 Az általános adatvédelmi rendelet (63) preambulumbekezdésének szövege a következő:

„Az érintett jogosult arra, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz, valamint arra, hogy egyszerűen és észszerű időközönként, az adatkezelés jogszerűségének megállapítása és ellenőrzése érdekében gyakorolja e jogát. Ez magában foglalja az érintett jogát arra, hogy az egészségi állapotára vonatkozó személyes adatokhoz – mint például a diagnózis, a vizsgálati leletek, a kezelőorvosok véleményei, valamint a kezeléseket és a beavatkozásokat tartalmazó egészségügyi dokumentációk [helyesen: a diagnózisra, a vizsgálati leletekre, a kezelőorvosok véleményeire, valamint a kezelésekre és a beavatkozásokra vonatkozó információkat tartalmazó egészségügyi dokumentációk adataihoz] – hozzáférjen […]”

9 Az általános adatvédelmi rendelet 4. cikke előírja:

„E rendelet alkalmazásában:

1. »személyes adat« azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

2. »adatkezelés« a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

[…]”

10 Az általános adatvédelmi rendelet 12. cikke az alábbiak szerint rendelkezik:

„(1) Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

(2) Az adatkezelő elősegíti az érintett 15–22. cikk szerinti jogainak a gyakorlását. […]

[…]

(5) A 13. és 14. cikk szerinti információkat és a 15–22. és 34. cikk szerinti tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

a) a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségek figyelembevételével észszerű összegű díjat számíthat fel, vagy

b) megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.

[…]”

11 Az általános adatvédelmi rendelet 15. cikke kimondja:

„(1) Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‑e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

a) az adatkezelés céljai;

b) az érintett személyes adatok kategóriái;

c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;

f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;

g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;

h) a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

(2) Ha személyes adatoknak harmadik országba vagy nemzetközi szervezet részére történő továbbítására kerül sor, az érintett jogosult arra, hogy tájékoztatást kapjon a továbbításra vonatkozóan a 46. cikk szerinti megfelelő garanciákról.

(3) Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.

(4) A (3) bekezdésben említett, másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait.”

12 Az említett rendelet 16. és 17. cikke rögzíti az érintettnek a pontatlan személyes adatok helyesbítéséhez való jogát (helyesbítéshez való jog), valamint bizonyos körülmények között a személyes adatok törléséhez való jogot (törléshez való jog vagy „az elfeledtetéshez való jog”).

13 Ugyanezen rendeletnek „Az adatkezelés korlátozásához való jog” című 18. cikke az (1) bekezdésében a következőket írja elő:

„Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:

a) az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;

b) az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

c) az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy

d) az érintett a 21. cikk (1) bekezdése szerint tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek‑e az érintett jogos indokaival szemben.”

14 Az általános adatvédelmi rendeletnek „A tiltakozáshoz való jog” című 21. cikke az (1) bekezdésében a következőket írja elő:

„Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.”

15 Az általános adatvédelmi rendelet 23. cikkének (1) bekezdése szerint:

„Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

[…]

i. az érintett védelme vagy mások jogainak és szabadságainak védelme;

[…]”

A német jog

16 A Bürgerliches Gesetzbuch (polgári törvénykönyv, a továbbiakban: BGB) 630f. §‑a szerint a kezelőorvos köteles a kezeléssel időben közvetlenül összefüggő dokumentálás céljából papír alapon vagy elektronikusan egészségügyi dokumentációt kezelni. A kezelőorvos köteles az egészségügyi dokumentációban rögzíteni a folyamatban lévő és a jövőbeni kezelésre vonatkozó, szakmai szempontból lényeges valamennyi intézkedést és azok eredményét, különösen a kórtörténetet, a diagnózisokat, a vizsgálatokat, a vizsgálati eredményeket, a leleteket, a gyógykezeléseket és azok hatásait, a beavatkozásokat és azok hatásait, a hozzájárulásokat és a felvilágosításokat. A kezelőorvos a kezelés befejezését követően tíz évig köteles megőrizni a beteg egészségügyi dokumentációját, amennyiben más rendelkezések nem írnak elő eltérő megőrzési időt.

17 A BGB 630 g §‑a (1) bekezdésének első mondata szerint a betegnek kérésre indokolatlan késedelem nélkül betekintést kell biztosítani a rá vonatkozó teljes egészségügyi dokumentációba, kivéve ha a betekintést komoly terápiás okok vagy harmadik személyek egyéb lényeges jogai kizárják. A BGB 630 g. §‑a (2) bekezdésének első mondata alapján a beteg az egészségügyi akta elektronikus másolatait is kérheti. A törvény indokolására tekintettel ezt úgy kell értelmezni, hogy a beteg választása szerint fizikai vagy elektronikus másolatok átadását kérheti. A BGB 630 g. §‑a (2) bekezdésének második mondata előírja, hogy a beteg köteles megtéríteni a kezelőorvos részére a felmerült költségeket.

Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

18 DW fogászati kezelésben részesült FT részéről. Mivel DW részéről felmerült a gyanú, hogy a neki nyújtott kezelés során hibákat követtek el, azt kérte FT‑től, hogy díjmentesen adja át egészségügyi dokumentációjának első másolatát. FT jelezte DW‑nek, hogy kérelmének csak azzal a feltétellel ad helyt, hogy viseli az egészségügyi dokumentáció másolatának rendelkezésre bocsátásával kapcsolatos költségeket, amint azt a nemzeti jog előírja.

19 DW keresetet indított FT ellen. Mind az elsőfokú eljárásban, mind a fellebbezési eljárásban helyt adtak DW arra irányuló kérelmének, hogy díjmentesen adják át számára az egészségügyi dokumentációjának első másolatát. E határozatok az alkalmazandó nemzeti jogszabályoknak az általános adatvédelmi rendelet 12. cikkének (5) bekezdésére, valamint 15. cikkének (1) és (3) bekezdésére tekintettel történő értelmezésén alapultak.

20 Az FT felülvizsgálati kérelme alapján eljáró Bundesgerichtshof (szövetségi legfelsőbb bíróság, Németország) úgy véli, hogy a jogvita eldöntése az általános adatvédelmi rendelet rendelkezéseinek értelmezésétől függ.

21 A kérdést előterjesztő bíróság megjegyzi, hogy a nemzeti jog értelmében a beteg akkor kaphatja meg az egészségügyi dokumentációjának másolatát, ha megtéríti a kezelőorvos részére az abból eredő költségeket.

22 Mindazonáltal az általános adatvédelmi rendelet 12. cikke (5) bekezdésének első mondatával összefüggésben értelmezett 15. cikke (3) bekezdésének első mondatából az következhet, hogy az adatkezelő, a jelen esetben a kezelőorvos, köteles díjmentesen átadni a beteg részére az egészségügyi dokumentációjának első másolatát.

23 Először is a kérdést előterjesztő bíróság megjegyzi, hogy DW az egészségügyi dokumentációjának első másolatát kéri FT felelősségének megállapítása érdekében. E cél idegen az általános adatvédelmi rendelet (63) preambulumbekezdésében említett céltól, amely a személyes adatokhoz való hozzáférés jogát annak érdekében írja elő, hogy tudomást szerezzenek ezen adatok kezeléséről, és ellenőrizzék annak jogszerűségét. Az általános adatvédelmi rendelet 15. cikkének szövege azonban nem teszi ilyen indokoktól függővé a hozzáférési jog gyakorlását. Ezenkívül e rendelkezés azt sem követeli meg az érintett személytől, hogy megindokolja a közlés iránti kérelmét.

24 Másodszor, a kérdést előterjesztő bíróság hangsúlyozza, hogy az általános adatvédelmi rendelet 23. cikkének (1) bekezdése lehetővé teszi olyan nemzeti jogszabályi intézkedések elfogadását, amelyek korlátozzák az e rendelet 12–22. cikkében előírt jogok és kötelezettségek hatályát a fenti rendelkezésben előírt célok valamelyikének biztosítása érdekében. A jelen ügyben FT a mások jogainak és szabadságainak védelmére irányuló, az általános adatvédelmi rendelet 23. cikke (1) bekezdésének i) pontjában szereplő célra hivatkozik, és előadja, hogy a BGB 630 g. §‑a (2) bekezdésének második mondatában foglalt díjszabás a kezelőorvosok jogos érdekeinek védelméhez szükséges és arányos intézkedés, amely főszabály szerint lehetővé teszi annak megelőzését, hogy az érintett betegek indokolás nélkül másolatokat kérjenek.

25 Egyrészt azonban a BGB 630 g. §‑a (2) bekezdésének második mondatát az általános adatvédelmi rendelet hatálybalépése előtt fogadták el.

26 Másrészt a BGB 630 g. §‑a (2) bekezdésének második mondata szerinti díjszabás elsősorban a kezelőorvosok gazdasági érdekeinek védelmére irányul. Meg kell tehát határozni, hogy ez utóbbiak ahhoz fűződő érdeke, hogy mentesüljenek az adatok másolatainak átadásával kapcsolatos költségek és terhek alól, az általános adatvédelmi rendelet 23. cikke (1) bekezdésének i) pontja értelmében véve mások jogainak és szabadságainak körébe tartozik‑e. Egyébiránt az orvosi dokumentációjuk másolataihoz kapcsolódó költségeknek a betegekre való rendszeres áthárítása túlzónak tűnhet, mivel nem veszi figyelembe sem a ténylegesen felmerült költségek összegét, sem az egyes kérelmek sajátos körülményeit.

27 Harmadszor, mivel DW az őt érintő valamennyi egészségügyi dokumentum, vagyis az egészségügyi dokumentációja másolatának átadását kéri, a kérdést előterjesztő bíróság arra keresi a választ, hogy milyen terjedelmű az adatkezelés tárgyát képező személyes adatok másolatának megszerzéséhez való, az általános adatvédelmi rendelet 15. cikkének (3) bekezdésében biztosított jog. E tekintetben e jog adott esetben az orvos által kezelt adatok összefoglalójának közlésével is biztosítható. Ugyanakkor úgy tűnik, hogy az általános adatvédelmi rendeletben említett, az átláthatóságra és a jogszerűség ellenőrzésére irányuló célkitűzések amellett szólnak, hogy a feldolgozatlan formában az adatkezelő rendelkezésére álló valamennyi adatról, vagyis a betegre vonatkozó valamennyi egészségügyi dokumentumról másolatot kell átadni, amennyiben e dokumentumok ilyen adatokat tartalmaznak.

28 Ilyen körülmények között a Bundesgerichtshof (szövetségi legfelsőbb bíróság) az eljárását felfüggesztette, és előzetes döntéshozatal céljából a következő kérdéseket terjesztette a Bíróság elé:

„(1) Úgy kell‑e értelmezni az általános adatvédelmi rendelet (GDPR) 15. cikke (3) bekezdésének a 12. cikkének (5) bekezdésével összhangban értelmezett első mondatát, hogy az adatkezelő (jelen esetben: a kezelőorvos) nem köteles az érintett (jelen esetben: a beteg) részére az adatkezelő által kezelt személyes adatainak első másolatát ingyenesen rendelkezésére bocsátani, ha az érintett nem az általános adatvédelmi rendelet (63) preambulumbekezdésének első mondatában említett azon cél elérése érdekében kéri a másolatot, hogy megállapítsa és ellenőrizze az adatkezelés jogszerűségét, hanem egy másik, adatvédelmen kívüli, azonban jogszerű célból (jelen esetben: az orvosi jogi felelősséggel kapcsolatos követelések fennállásának ellenőrzése)?

2) Amennyiben az első kérdésre adott válasz nemleges:

a) Figyelembe vehető‑e az általános adatvédelmi rendelet hatálybalépése előtt elfogadott tagállami nemzeti rendelkezés is az általános adatvédelmi rendelet 23. cikke (1) bekezdésének i) pontja alapján az adatkezelő által kezelt személyes adatok másolatának ingyenes rendelkezésre bocsátásához való – az általános adatvédelmi rendelet 15. cikke (3) bekezdésének a 12. cikkének (5) bekezdésével összefüggésben értelmezett első mondatából eredő – jognak a korlátozásaként?

b) Amennyiben a 2. kérdés a) pontjára adott válasz igenlő: úgy kell‑e értelmezni az általános adatvédelmi rendelet 23. cikke (1) bekezdésének i) pontját, hogy mások e rendelkezésben említett jogai és szabadságai magukban foglalják az adatok másolatának az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondata szerinti átadásával kapcsolatos költségek és a másolat rendelkezésre bocsátásával járó egyéb kiadások alóli mentességhez fűződő érdekét is?

c) Amennyiben a 2. kérdés b) pontjára adott válasz igenlő: figyelembe vehető‑e az általános adatvédelmi rendelet 23. cikke (1) bekezdésének i) pontja alapján az általános adatvédelmi rendelet 15. cikke (3) bekezdésének a 12. cikkének (5) bekezdésével összefüggésben értelmezett első mondatából eredő kötelezettségek és jogok korlátozásaként az a nemzeti szabályozás, amely az orvos és a beteg közötti kapcsolatban a beteg egészségügyi dokumentációban található személyes adatai másolatának orvos általi átadása során minden esetben és a konkrét eset körülményeitől független előírja az orvos költségek megtérítésére vonatkozó, beteggel szembeni jogát?

3) Amennyiben az 1. kérdésre adott válasz nemleges, és a 2. kérdés a), b) vagy c) pontjára adott válasz nemleges: magában foglalja‑e az orvos és a beteg közötti kapcsolatban az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondata szerinti jog az egészségügyi dokumentáció valamennyi, a beteg személyes adatait tartalmazó része másolatának átadására vonatkozó jogot, vagy csak önmagában a beteg személyes adatai másolatának átadására irányul, és az adatkezelő orvos dönti el, hogy az érintett beteg számára milyen módon állítja össze az adatokat?”

Az előzetes döntéshozatalra előterjesztett kérdésekről

Az első kérdésről

29 Első kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 12. cikkének (5) bekezdését, valamint 15. cikkének (1) és (3) bekezdését úgy kell‑e értelmezni, hogy az adatkezelőt akkor is terheli az a kötelezettség, hogy az adatkezelés tárgyát képező személyes adatainak első másolatát ingyenesen az érintett rendelkezésére kell bocsátania, ha e kérelmet az e rendelet (63) preambulumbekezdésének első mondatában említettektől eltérő céllal indokolták.

30 Elöljáróban emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint valamely uniós jogi rendelkezés értelmezéséhez nemcsak annak kifejezéseit, hanem szövegkörnyezetét, és annak a szabályozásnak a célkitűzéseit is figyelembe kell venni, amelynek az részét képezi (lásd ebben az értelemben: 2023. január 12‑i Österreichische Post [A személyes adatok címzettjeire vonatkozó információk] ítélet, C‑154/21, EU:C:2023:3, 29. pont).

31 Ami először is a releváns rendelkezések szövegét illeti, rá kell mutatni egyrészt arra, hogy az általános adatvédelmi rendelet 12. cikkének (5) bekezdése rögzíti azt az elvet, amely szerint az érintett azon jogának gyakorlása, hogy hozzáférjen az adatkezelés tárgyát képező adataihoz és az azokra vonatkozó információkhoz, semmilyen költséggel nem járhat az érintett számára. Egyébiránt e rendelkezés két olyan okot említ, amelyek miatt az adatkezelő az adminisztratív költségeket figyelembe vevő, észszerű összegű díjakat számíthat fel, vagy pedig elutasíthatja a kérés teljesítését. Ezek az okok a joggal való visszaélés eseteire vonatkoznak, amikor az érintett kérelmei „egyértelműen megalapozatlan[ok] vagy – különösen ismétlődő jelleg[ük] miatt – túlzó[ak]”.

32 E tekintetben a kérdést előterjesztő bíróság kifejezetten rámutatott arra, hogy az érintett kérelme nem volt visszaélésszerű.

33 Másrészt az érintett azon jogát, hogy hozzáférjen az adatkezelés tárgyát képező adataihoz és az azokhoz kapcsolódó információkhoz, amely a személyes adatok védelméhez való jog szerves részét képezi, az általános adatvédelmi rendelet 15. cikkének (1) bekezdése biztosítja. E rendelkezés szövege értelmében az érintettek jogosultak hozzáférni az adatkezelés tárgyát képező személyes adataikhoz.

34 Ezenkívül az általános adatvédelmi rendelet 15. cikkének (3) bekezdéséből kitűnik, hogy az adatkezelő rendelkezésre bocsátja az adatkezelés tárgyát képező személyes adatok másolatát, és észszerű összegű díjat számíthat fel az érintett által kért minden további másolatért. E tekintetben e cikk (4) bekezdése pontosítja, hogy az említett cikk (3) bekezdése e személynek „jogot” biztosít. Az adatkezelő tehát csak akkor követelhet ilyen díjfizetést, ha az érintett már díjmentesen megkapta az adatainak első másolatát, és ezt követően ismét erre irányuló kérelmet nyújtott be.

35 Amint azt a Bíróság már megállapította, az általános adatvédelmi rendelet 15. cikke (3) bekezdése első mondatának szó szerinti elemzéséből az következik, hogy ez a rendelkezés feljogosítja az érintettet arra, hogy másolatot igényeljen a tág értelemben vett személyes adatairól, amelyek az „adatkezelő által végzett adatkezelésnek minősítendő” műveletek tárgyát képezik (lásd ebben az értelemben: 2023. május 4‑i Österreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 28. pont).

36 Következésképpen az általános adatvédelmi rendelet 12. cikke (5) bekezdésének és 15. cikke (1) és (3) bekezdésének együttes olvasatából következik egyrészt az érintett azon joga, hogy az adatkezelés tárgyát képező személyes adatairól díjmentesen első másolatot kapjon, másrészt pedig az adatkezelő számára biztosított azon lehetőség, hogy bizonyos feltételek mellett az adminisztratív költségeket figyelembe vevő észszerű összegű költségeket számítson fel, vagy megtagadja a kérelem teljesítését, ha az nyilvánvalóan megalapozatlan vagy túlzó.

37 A jelen ügyben meg kell állapítani, hogy az általános adatvédelmi rendelet 4. cikkének 2. pontjában említett, a betegeinek adatait érintő adatkezelési műveleteket végző orvost e rendelet 4. cikkének 7. pontja értelmében vett „adatkezelőnek” kell tekinteni, akire vonatkoznak az e minőségéből eredő kötelezettségek, különösen akkor, ha az érintettek kérésére biztosítja a személyes adatokhoz való hozzáférést.

38 Meg kell állapítani, hogy sem az általános adatvédelmi rendelet 12. cikke (5) bekezdésének, sem e rendelet 15. cikke (1) és (3) bekezdésének szövege nem teszi függővé a személyes adatok első másolatának díjmentes rendelkezésre bocsátását attól a feltételtől, hogy e személyek a kérelmük igazolására irányuló indokra hivatkozzanak. E rendelkezések tehát nem teszik lehetővé az adatkezelő számára, hogy az érintettől a hozzáférés iránti kérelmének indokolását kérje.

39 Másodszor, ami azon szövegkörnyezetet illeti, amelybe a fent hivatkozott rendelkezések illeszkednek, hangsúlyozni kell, hogy az általános adatvédelmi rendelet 12. cikke a III. fejezetének 1. szakaszában található, amely többek között az e rendelet 5. cikke (1) bekezdésének a) pontjában kimondott átláthatóság elvére vonatkozik.

40 Az általános adatvédelmi rendelet 12. cikke tehát meghatározza az adatkezelő általános kötelezettségeit a tájékoztatás és a közlések átláthatósága, valamint az érintett jogainak gyakorlására vonatkozó szabályok tekintetében.

41 Az általános adatvédelmi rendelet 15. cikke, amely a III. fejezetének a tájékoztatásról és a személyes adatokhoz való hozzáférésről szóló 2. szakaszában található, kiegészíti az általános adatvédelmi rendelet átláthatósági keretét azzal, hogy az érintettnek biztosítja a személyes adataihoz való hozzáférés jogát és az ezen adatok kezelésével kapcsolatos tájékoztatáshoz való jogot.

42 Ezenkívül rá kell mutatni, hogy az általános adatvédelmi rendelet (59) preambulumbekezdése szerint „[a]z érintettek e rendeletben biztosított jogainak gyakorlását megkönnyítő intézkedéseket kell biztosítani, ideértve olyan mechanizmusok biztosítását, amely által többek között az érintettnek lehetősége van díjmentesen kérelmezni, illetve adott esetben megkapni különösen a személyes adatokhoz való hozzáférést, azok helyesbítését és törlését, valamint gyakorolja a tiltakozáshoz való jogát”.

43 Mivel – amint az a jelen ítélet 38. pontjából következik – az érintett nem köteles megindokolni az adatokhoz való hozzáférés iránti kérelmét, a (63) preambulumbekezdés első mondata nem értelmezhető úgy, hogy e kérelmet el kell utasítani, ha az az adatkezelésről való tudomásszerzéstől és az adatkezelés jogszerűségének ellenőrzésétől eltérő célra irányul. E preambulumbekezdés ugyanis nem korlátozhatja az általános adatvédelmi rendelet 15. cikke (3) bekezdésének a jelen ítélet 35. pontjában felidézett hatályát.

44 E tekintetben emlékeztetni kell arra, hogy az uniós jogi aktusok preambulumának nincs kötelező hatálya, és arra nem lehet hivatkozni sem az adott jogi aktus rendelkezéseitől való eltérés, sem az e rendelkezések szövegétől nyilvánvalóan eltérő értelmezés céljából (2018. szeptember 13‑i Česká pojišťovna ítélet, C‑287/17, EU:C:2018:707, 33. pont).

45 Végezetül a (63) preambulumbekezdés második mondata kimondja, hogy a személyes adatokhoz való hozzáférés érintettek számára elismert joga az egészségi adatok tekintetében magában foglalja „az érintett jogát arra, hogy az egészségi állapotára vonatkozó személyes adatokhoz – mint például a diagnózisra, a vizsgálati leletekre, a kezelőorvosok véleményeire, valamint a kezelésekre és a beavatkozásokra vonatkozó információkat tartalmazó egészségügyi dokumentációk adataihoz – hozzáférjen”.

46 Ilyen körülmények között az általános adatvédelmi rendelet 15. cikkének (1) bekezdése által biztosított, egészségügyi adatokhoz való hozzáférés joga nem korlátozható – a hozzáférés megtagadása vagy ellenszolgáltatás előírása révén – a (63) preambulumbekezdés első mondatában említett indokokra. Ugyanez vonatkozik az e rendelet 12. cikkének (5) bekezdésében és 15. cikkének (3) bekezdésében előírt, az első másolat díjmentes megszerzéséhez való jogra is.

47 Harmadszor, ami az általános adatvédelmi rendelet által követett célokat illeti, meg kell állapítani, hogy e rendelet célja – amint az a (10) és (11) preambulumbekezdéséből kitűnik – az Unión belül a természetes személyek következetes és magas szintű védelmének biztosítása, valamint az érintettek jogainak megerősítése és pontosítása.

48 Éppen e cél elérése érdekében biztosítja a 15. cikk (1) bekezdése az érintett számára a személyes adataihoz való hozzáférés jogát (lásd ebben az értelemben: 2023. június 22‑i Pankki S ítélet, C‑579/21, EU:C:2023:501, 57. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

49 Következésképpen az általános adatvédelmi rendelet 12. cikkének (5) bekezdése, valamint 15. cikkének (1) és (3) bekezdése azon rendelkezések közé tartozik, amelyek célja e hozzáférési jog, valamint a személyes adatok kezelésére vonatkozó eljárások átláthatóságának biztosítása az érintett számára (lásd ebben az értelemben: 2023. január 12‑i Österreichische Post [A személyes adatok címzettjeire vonatkozó információk] ítélet, C‑154/21, EU:C:2023:3, 42. pont).

50 Márpedig az adatok első másolata díjmentességének elve, valamint az, hogy nem kell a hozzáférés iránti kérelmet igazoló konkrét indokra hivatkozni, szükségképpen hozzájárul az érintett számára az általános adatvédelmi rendelet által biztosított jogok gyakorlásának megkönnyítéséhez.

51 Következésképpen, tekintettel arra a jelentőségre, amelyet az általános adatvédelmi rendelet a 15. cikkének (1) bekezdésében biztosított, az adatkezelés tárgyát képező személyes adatokhoz való hozzáféréshez való jognak tulajdonít, e célok elérése érdekében a fenti jog gyakorlása nem függhet az uniós jogalkotó által kifejezetten elő nem írt olyan feltételektől, mint például az általános adatvédelmi rendelet (63) preambulumbekezdésének első mondatában említett indokok valamelyikére való hivatkozás kötelezettsége.

52 A fenti megfontolások összességére tekintettel az első kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 12. cikkének (5) bekezdését, valamint 15. cikkének (1) és (3) bekezdését úgy kell értelmezni, hogy az adatkezelőt akkor is terheli az a kötelezettség, hogy az adatkezelés tárgyát képező személyes adatainak első másolatát díjmentesen az érintett rendelkezésére kell bocsátania, ha e kérelmet az e rendelet (63) preambulumbekezdésének első mondatában említettektől eltérő céllal indokolták.

A második kérdésről

53 Második kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 23. cikke (1) bekezdésének i) pontját úgy kell‑e értelmezni, hogy az lehetővé teszi az e rendelet hatálybalépése előtt elfogadott olyan nemzeti jogszabály alkalmazását, amely az adatkezelő gazdasági érdekeinek védelme érdekében az érintettre hárítja az adatkezelés tárgyát képező személyes adatai első másolatának költségeit.

54 Először is, ami azt a kérdést illeti, hogy kizárólag az általános adatvédelmi rendelet hatálybalépését követően elfogadott nemzeti intézkedések tartozhatnak‑e az általános adatvédelmi rendelet 23. cikke (1) bekezdésének hatálya alá, hangsúlyozni kell, hogy az utóbbi rendelkezés szövege e tekintetben semmilyen utalást nem tartalmaz.

55 Az általános adatvédelmi rendelet 23. cikkének (1) bekezdése ugyanis annak kimondására szorítkozik, hogy valamely tagállami jogszabályi intézkedés korlátozhatja az e rendelet 12–22. cikkében foglalt jogok és kötelezettségek hatályát, amennyiben az megfelel az említett rendelet 12–22. cikkében foglalt jogoknak és kötelezettségeknek, ha az ilyen korlátozás tiszteletben tartja az alapvető szabadságok és jogok lényegét, továbbá szükséges és arányos intézkedésnek tekinthető különösen mások jogai és szabadságai védelmének biztosítása érdekében.

56 Következésképpen az általános adatvédelmi rendelet 23. cikkének (1) bekezdése nem zárja ki a hatálya alól az általános adatvédelmi rendelet hatálybalépését megelőzően elfogadott nemzeti jogalkotási intézkedéseket, amennyiben azok megfelelnek az általános adatvédelmi rendeletben előírt feltételeknek.

57 Másodszor, ami azt a kérdést illeti, hogy az általános adatvédelmi rendelet 23. cikke (1) bekezdése i) pontjának hatálya alá tartozik‑e az olyan nemzeti szabályozás, amely a kezelőorvosok gazdasági érdekeinek védelme érdekében a betegre hárítja az egészségügyi dokumentáció beteg által kért első másolatának rendelkezésre bocsátásával kapcsolatos költségeket, emlékeztetni kell arra, hogy először is, amint az a jelen ítélet 31. és 33–36. pontjából kitűnik, e rendelet 12. cikkének (5) bekezdése, valamint 15. cikkének (1) és (3) bekezdése értelmében az érintettnek joga van ahhoz, hogy díjmentesen megkapja az adatkezelés tárgyát képező személyes adatainak első másolatát.

58 Az általános adatvédelmi rendelet 15. cikke (3) bekezdésének második mondata ugyanakkor lehetővé teszi az adatkezelő számára, hogy adminisztratív költségeken alapuló, észszerű összegű díjat számítson fel minden további másolatért. Egyébiránt az általános adatvédelmi rendelet 12. cikkének az e rendelet 15. cikkének (1) és (3) bekezdésével összefüggésben értelmezett (5) bekezdése lehetővé teszi az adatkezelő számára, hogy a nyilvánvalóan megalapozatlan vagy túlzó kérelem esetén észszerű összegű díjfizetés követelésével védekezzen a hozzáférési jog visszaélésszerű gyakorlásával szemben.

59 Másodszor, e rendelet (4) preambulumbekezdése értelmében a személyes adatok védelméhez való jog nem abszolút jog, és azt az arányosság elvének megfelelően más alapvető jogokkal egyensúlyba kell hozni. Így az általános adatvédelmi rendelet minden alapvető jogot tiszteletben tart, és szem előtt tartja az Alapjogi Chartában elismert és a Szerződésekben rögzített szabadságokat és elveket (2022. február 24‑i Valsts ieņēmumu dienests [Személyes adatok adóügyi célból történő kezelése] ítélet, C‑175/20, EU:C:2022:124, 53. pont).

60 Az általános adatvédelmi rendelet 15. cikkének (4) bekezdése ugyanis úgy rendelkezik, hogy „a másolat igénylésére vonatkozó jog nem érintheti hátrányosan mások jogait és szabadságait”.

61 Hasonlóképpen, az általános adatvédelmi rendelet 23. cikke (1) bekezdésének i) pontja emlékeztet arra, hogy a többek között az általános adatvédelmi rendelet 15. cikkében előírt kötelezettségek és jogok hatályának korlátozására akkor kerülhet sor, „ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint […] mások jogainak és szabadságainak […] védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban”.

62 Következésképpen a jelen ítélet 59–61. pontjából az következik, hogy az érintett azon joga, hogy díjmentesen megkapja az adatkezelés alatt álló személyes adatainak első másolatát, nem abszolút jog.

63 Harmadszor, kizárólag többek között a mások jogainak és szabadságainak védelmével kapcsolatos megfontolások igazolhatják e jog korlátozását, amennyiben e korlátozás tiszteletben tartja annak lényeges tartalmát, és e védelem biztosításához szükséges és arányos intézkedésnek minősül, amint azt az általános adatvédelmi rendelet 23. cikke (1) bekezdésének i) pontja előírja.

64 Márpedig, amint az az előzetes döntéshozatalra utaló határozatból kitűnik, a BGB 630 g. §‑a (2) bekezdésének második mondatában előírt díjszabás lehetővé teszi a kezelőorvos számára, hogy a betegre hárítsa az egészségügyi dokumentációja első másolatának rendelkezésre bocsátásával kapcsolatos költségeket. A kérdést előterjesztő bíróság hangsúlyozza, hogy e rendszer elsősorban a kezelőorvosok gazdasági érdekeinek védelmére irányul, amely visszatartja a betegeket attól, hogy szükségtelenül igényeljék az egészségügyi dokumentációjuk másolatát. Amennyiben tehát az alapügyben szóban forgó nemzeti jogszabály tényleges célja a kezelőorvosok gazdasági érdekeinek védelme, aminek vizsgálata a kérdést előterjesztő bíróság feladata, az ilyen megfontolások nem tartozhatnak az általános adatvédelmi rendelet 23. cikke (1) bekezdésének i) pontjában említett „mások jogainak és szabadságainak” körébe.

65 Először is az ilyen szabályozás ahhoz vezet, hogy nemcsak a szükségtelen kérelmektől, hanem a kezelt személyes adatok első, díjmentes másolatának jogszerű okból történő megszerzésére irányuló kérelmektől is visszatartja az érintettet. Következésképpen szükségszerűen sérti az első példány díjmentességének elvét, és ezáltal meghiúsítja az általános adatvédelmi rendelet 15. cikkének (1) bekezdésében előírt hozzáférési jog hatékony érvényesülését, valamint ezáltal az e rendelet által biztosított védelmet.

66 Másodszor, az előzetes döntéshozatalra utaló határozatból nem tűnik ki, hogy a nemzeti jogszabályok által védett érdekek túlmennének a tisztán adminisztratív vagy gazdasági megfontolásokon.

67 E tekintetben hangsúlyozni kell, hogy az uniós jogalkotó figyelembe vette az adatkezelők gazdasági érdekeit az általános adatvédelmi rendelet 12. cikkének (5) bekezdése és 15. cikke (3) bekezdésének második mondatában, amely rendelkezés – amint arra a jelen ítélet 58. pontja emlékeztet – meghatározza azokat a körülményeket, amelyek esetén az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatának rendelkezésre bocsátásával kapcsolatos költségek megfizetését követelheti.

68 E körülmények között az orvosok gazdasági érdekeinek védelméhez kapcsolódó cél követése nem igazolhat olyan intézkedést, amely meghiúsítja az első másolat díjmentes igényléséhez való jog gyakorlását, és ezáltal az érintett személynek az adatkezelés tárgyát képező személyes adataihoz való hozzáféréshez való jogának hatékony érvényesülését.

69 A fenti megfontolások összességére tekintettel a második kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 23. cikke (1) bekezdésének i) pontját úgy kell értelmezni, hogy e rendelkezés hatálya alá tartozhat az e rendelet hatálybalépése előtt elfogadott nemzeti jogszabály. Mindazonáltal e lehetőség nem teszi lehetővé olyan nemzeti jogszabály elfogadását, amely az adatkezelő gazdasági érdekeinek védelme céljából az érintettre hárítja az adatkezelés tárgyát képező személyes adatai első másolatának költségeit.

A harmadik kérdésről

70 Harmadik kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondatát úgy kell‑e értelmezni, hogy az orvos és a beteg közötti kapcsolat keretében az adatkezelés tárgyát képező személyes adatok másolatának igényléséhez való jog azt foglalja magában, hogy az érintettnek az egészségügyi dokumentációjában szereplő, a személyes adatait tartalmazó dokumentumok teljes másolatát, vagy csak ezen adatok másolatát kell a rendelkezésére bocsátani.

71 Először is a Bíróság megállapította, hogy az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondata a szövege alapján feljogosítja az érintettet arra, hogy másolatot igényeljen azon tág értelemben vett személyes adatairól, amelyek az adatkezelő által „adatkezelésnek” minősített műveletek tárgyát képezik (lásd ebben az értelemben: 2023. május 4‑i Österreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 28. pont).

72 Ezt követően kimondta, hogy az általános adatvédelmi rendelet 15. cikkét nem lehet akként értelmezni, mint amely a (3) bekezdésének első mondatában különálló jogosultságot biztosít az (1) bekezdésében szabályozott joghoz képest. Másfelől, a Bíróság pontosítja, hogy a „másolat” kifejezés nem önmagában valamilyen dokumentumra utal, hanem azokra a személyes adatokra, amelyeket e dokumentum tartalmaz, és amelyeknek teljes körűeknek kell lenniük. A másolatnak tehát tartalmaznia kell az adatkezelés tárgyát képező összes személyes adatot (2023. május 4‑i Österreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 32. pont).

73 Végül, ami az általános adatvédelmi rendelet 15. cikke által követett célokat illeti, e rendelet célja az érintettek jogainak megerősítése és pontosítása. Így az e rendelkezésben előírt hozzáférési jognak lehetővé kell tennie az érintett számára, hogy megbizonyosodjon arról, hogy a rá vonatkozó személyes adatok pontosak, és azokat jogszerűen kezelik. Egyébiránt az adatkezelés tárgyát képező személyes adatok másolatának, amelyet az adatkezelőnek az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondata értelmében rendelkezésre kell bocsátania, rendelkeznie kell minden olyan jellemzővel, amely lehetővé teszi az érintett számára az e rendelet szerinti jogainak tényleges gyakorlását, következésképpen e másolatnak teljes egészében és változatlanul kell reprodukálnia ezen adatokat (2023. május 4‑i Österreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 33., 34. és 39. pont).

74 Közelebbről, annak biztosítása érdekében, hogy az adatkezelő által adott tájékoztatás könnyen érthető legyen, amint azt az általános adatvédelmi rendelet 12. cikkének az e rendelet (58) preambulumbekezdésével összefüggésben értelmezett (1) bekezdése előírja, elengedhetetlennek bizonyulhat olyan dokumentumkivonatok, sőt egész dokumentumok reprodukciója, amelyek többek között az adatkezelés tárgyát képező személyes adatokat tartalmazzák, amennyiben a kezelt adatok kontextualizásálása szükséges azok érthetőségének biztosításához (2023. május 4‑i Österreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 41. pont).

75 Következésképpen, az a jog, hogy az adatkezelőtől másolatot igényeljenek az adatkezelés tárgyát képező személyes adatokról, magában foglalja, hogy az érintett változatlan és érthető reprodukciót kapjon az összes ilyen adatról. E jog feltételezi azt a jogot, hogy olyan dokumentumkivonatokról, sőt egész dokumentumokról is másolatot igényeljenek, amelyek többek között az említett adatokat tartalmazzák, amennyiben e másolat rendelkezésre bocsátása elengedhetetlen ahhoz, hogy az érintettnek lehetővé tegyék az e rendelet által részére biztosított jogok tényleges gyakorlását (2023. május 4‑i Österreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 45. pont).

76 Az alapügyben szóban forgó információkat illetően meg kell állapítani, hogy az általános adatvédelmi rendelet meghatározza azokat az információkat, amelyek másolatának igénylésére az alapeljárás felperesének jogosultnak kell lennie. Így az egészségre vonatkozó személyes adatokat illetően e rendelet (63) preambulumbekezdése pontosítja, hogy az érintettek hozzáférési joga kiterjed a „például a diagnózisra, a vizsgálati leletekre, a kezelőorvosok véleményeire, valamint a kezelésekre és a beavatkozásokra vonatkozó információkat tartalmazó egészségügyi dokumentációk adatai[ra]”.

77 E tekintetben, amint arra a főtanácsnok az indítványának 78–80. pontjában lényegében rámutatott, az uniós jogalkotó a természetes személyek egészségére vonatkozó személyes adatok érzékenysége miatt hangsúlyozta annak jelentőségét, hogy ez utóbbiaknak az egészségügyi dokumentációjukban szereplő adatokhoz való hozzáférése a lehető legteljesebb és legpontosabb, de emellett érthető is legyen.

78 Márpedig a vizsgálati leleteket, a kezelőorvosi véleményeket és a betegen végzett kezelésekre vagy beavatkozásokra vonatkozó dokumentumokat illetően, amelyek főszabály szerint számos technikai adatot, sőt képeket is magukban foglalnak, az a tény, hogy az orvosok ezen adatokról csupán összefoglalást vagy összeállítást készítenek annak érdekében, hogy azokat összesített formában bocsássák rendelkezésre, azzal a kockázattal járhat, hogy bizonyos releváns adatok kimaradnak, vagy azokat helytelenül közlik, vagy mindenesetre megnehezítheti a betegek számára azok pontosságának és teljességének ellenőrzését, valamint azok megértését.

79 A fenti megfontolások összességére tekintettel a harmadik kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondatát úgy kell értelmezni, hogy az orvos és a beteg közötti kapcsolat keretében az adatkezelés tárgyát képező személyes adatok másolatának igényléséhez való jog azt foglalja magában, hogy az érintettnek ezen adatok összességének eredetihez hű és érthető reprodukcióját kell átadni. E jog feltételezi annak jogát, hogy az érintett az egészségügyi dokumentációban szereplő, többek között a fenti adatokat is tartalmazó dokumentumokról teljes másolatot kapjon, amennyiben e másolat rendelkezésre bocsátása elengedhetetlen ahhoz, hogy az érintett ellenőrizhesse azok pontosságát és teljességét, valamint azok érthetőségének biztosítása céljából. Ami az érintett egészségügyi adatait illeti, e jog mindenképpen magában foglalja az egészségügyi dokumentáció olyan információkat tartalmazó adatainak másolatát, mint a diagnózis, a vizsgálati leletek, a kezelőorvosok véleményei, valamint az érintetten végzett bármely kezelés vagy beavatkozás.

A költségekről

80 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (első tanács) a következőképpen határozott:

1) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 12. cikkének (5) bekezdését, valamint 15. cikkének (1) és (3) bekezdését

a következőképpen kell értelmezni:

az adatkezelőt akkor is terheli az a kötelezettség, hogy az adatkezelés tárgyát képező személyes adatainak első másolatát díjmentesen az érintett rendelkezésére kell bocsátania, ha e kérelmet az e rendelet (63) preambulumbekezdésének első mondatában említettektől eltérő céllal indokolták.

2) A 2016/679 rendelet 23. cikke (1) bekezdésének i. pontját

a következőképpen kell értelmezni:

e rendelkezés hatálya alá tartozhat az e rendelet hatálybalépése előtt elfogadott nemzeti jogszabály. Mindazonáltal ez a lehetőség nem teszi lehetővé olyan nemzeti jogszabály elfogadását, amely az adatkezelő gazdasági érdekeinek védelme céljából az érintettre hárítja az adatkezelés tárgyát képező személyes adatai első másolatának költségeit.

3) A 2016/679 rendelet 15. cikke (3) bekezdésének első mondatát

a következőképpen kell értelmezni:

az orvos és a beteg közötti kapcsolat keretében az adatkezelés tárgyát képező személyes adatok másolatának igényléséhez való jog azt foglalja magában, hogy az érintettnek ezen adatok összességének eredetihez hű és érthető reprodukcióját kell átadni. E jog feltételezi annak jogát, hogy az érintett az egészségügyi dokumentációban szereplő, többek között a fenti adatokat is tartalmazó dokumentumokról teljes másolatot kapjon, amennyiben e másolat rendelkezésre bocsátása elengedhetetlen ahhoz, hogy az érintett ellenőrizhesse azok pontosságát és teljességét, valamint azok érthetőségének biztosítása céljából. Ami az érintett egészségügyi adatait illeti, e jog mindenképpen magában foglalja az egészségügyi dokumentáció olyan információkat tartalmazó adatainak másolatát, mint a diagnózis, a vizsgálati leletek, a kezelőorvosok véleményei, valamint az érintetten végzett bármely kezelés vagy beavatkozás.

Aláírások

* Az eljárás nyelve: német.