CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:1000

GIOVANNI PITRUZZELLA

FŐTANÁCSNOK INDÍTVÁNYA

Az ismertetés napja: 2022. december 15.(1)

C‑487/21. sz. ügy

F. F.;

az Österreichische Datenschutzbehörde,

a CRIF GmbH

részvételével

(a Bundesverwaltungsgericht [szövetségi közigazgatási bíróság, Ausztria] által benyújtott előzetes döntéshozatal iránti kérelem)

„Előzetes döntéshozatal – A személyes adatok védelme – (EU) 2016/679 rendelet – A 15. cikk (3) bekezdése – Az érintettnek az adatkezelés tárgyát képező személyes adatokhoz való hozzáférési joga – A személyes adatok másolatának igényléséhez való jog – A »másolat« fogalma – Az »információ« fogalma”

1. Milyen tartalommal és terjedelemmel bír az adatkezelés tárgyát képező személyes adataihoz hozzáférést kapó érintett azon joga, hogy másolatot kapjon ezen adatokról, amint azt a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet(2) (a továbbiakban: általános adatvédelmi rendelet) 15. cikkének (3) bekezdése előírja. Mit jelent a „másolat” kifejezés, és hogyan függ össze az adatkezelés tárgyát képező személyes adatok másolatának igényléséhez való jog az ugyanezen cikk (1) bekezdésében foglalt hozzáférési joggal?

2. Lényegében ezek a fő kérdések merülnek fel a jelen indítvány tárgyát képező ügyben, amely a Bunsdesverwaltungsgericht (szövetségi közigazgatási bíróság, Ausztria) által az általános adatvédelmi rendelet 15. cikke (3) bekezdésének értelmezésére vonatkozóan benyújtott előzetes döntéshozatal iránti kérelemmel kapcsolatos.

3. E kérelem az F. F. és az Österreichische Datenschutzbehörde (osztrák adatvédelmi hatóság) közötti jogvita keretébe illeszkedik, amelynek tárgyát annak jogszerűsége képezi, hogy az utóbbi elutasította az F. F. által benyújtott, az F. F. személyes adatait kezelő üzleti tanácsadó társaság arra való kötelezése iránti kérelmet, hogy az e személyes adatokat tartalmazó adatbázisból származó dokumentumokat és kivonatokat bocsássa rendelkezésére.

4. A jelen ügy lehetőséget ad a Bíróságnak arra, hogy első alkalommal értelmezze az általános adatvédelmi rendelet 15. cikkének (3) bekezdésében foglalt rendelkezést, és tisztázza, hogy az egyének hogyan gyakorolhatják az adatkezelés tárgyát képező személyes adataikhoz való hozzáférési jogukat az általános adatvédelmi rendelet 15. cikkében előírtak szerint.

I. Jogi háttér

5. Az általános adatvédelmi rendelet (63) preambulumbekezdése kimondja:

„Az érintett jogosult arra, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz, valamint arra, hogy egyszerűen és észszerű időközönként, az adatkezelés jogszerűségének megállapítása és ellenőrzése érdekében gyakorolja e jogát. Ez magában foglalja az érintett jogát arra, hogy az egészségi állapotára vonatkozó személyes adatokhoz – mint például a diagnózis, a vizsgálati leletek, a kezelőorvosok véleményei, valamint a kezeléseket és a beavatkozásokat tartalmazó egészségügyi dokumentációk – hozzáférjen. Ezért minden érintett számára biztosítani kell a jogot arra, hogy megismerje különösen a személyes adatok kezelésének céljait, továbbá ha lehetséges, azt, hogy a személyes adatok kezelése milyen időtartamra vonatkozik, a személyes adatok címzettjeit, azt, hogy a személyes adatok automatizált kezelése milyen logika alapján történt, valamint azt, hogy az adatkezelés – legalább abban az esetben, amikor az profilalkotásra épül – milyen következményekkel járhat, továbbá hogy minderről tájékoztatást kapjon. Ha lehetséges, az adatkezelő távoli hozzáférést biztosíthat egy biztonságos rendszerhez, amelyen keresztül az érintett a saját személyes adataihoz közvetlenül hozzáférhet. Ez a jog nem érintheti hátrányosan mások jogait és szabadságait, beleértve az üzleti titkokat vagy a szellemi tulajdont, és különösen a szoftverek védelmét biztosító szerzői jogokat. Ezek a megfontolások mindazonáltal nem eredményezhetik azt, hogy az érintettől minden információt megtagadnak […].”

6. Az általános adatvédelmi rendelet 4. cikkének 1. és 2. pontja a következőképpen rendelkezik:

„E rendelet alkalmazásában:

1. »személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

2. »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.”

7. Az általános adatvédelmi rendelet „Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések” címet viselő 12. cikkének (1) bekezdése előírja, hogy:

„Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.”

8. Az általános adatvédelmi rendeletnek „Az érintett hozzáférési joga” címet viselő 15. cikke a következőképpen rendelkezik:

„(1) Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‑e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

a) az adatkezelés céljai;

b) az érintett személyes adatok kategóriái;

c) azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;

d) adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

e) az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;

f) a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;

g) ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ;

h) a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

[…]

(3) Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel.

(4) Ha az érintett elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.”

II. A tényállás, az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

9. A CRIF GmbH egy üzleti tanácsadó társaság, amely ügyfelei kérésére információkat nyújt harmadik felek fizetőképességéről. A társaság ennek érdekében a kérdést előterjesztő bíróság előtti alapeljárás felperesének személyes adatait is kezelte.

10. Ez utóbbi 2018. december 20‑án kérelemmel fordult az említett társasághoz, amelyben többek között az általános adatvédelmi rendelet 15. cikke alapján személyes adatokhoz való hozzáférést kért, valamint azt, hogy szokásos technikai formátumban másolatot kapjon ezekről az adatokról.

11. E kérelmet követően a társaság részben összesített formában biztosította a kért hozzáférést, és a kérdést előterjesztő társaság előtti eljárás felperesének személyére vonatkozóan tárolt adatokat egyrészt név, születési dátum, utca, postai irányítószám és település szerint tagolt táblázatban, másrészt pedig egy vállalkozási funkciókra és képviseleti jogkörökre vonatkozó kimutatásban adta meg. Ezenkívül más dokumentumat, például e‑maileket vagy adatbázis‑kivonatokat nem küldtek meg.

12. 2019. január 16‑án a kérdést előterjesztő bíróság előtti eljárás felperese panaszt nyújtott be az adatvédelmi hatósághoz arra hivatkozva, hogy a kérelmére adott válasz hiányos volt, és különösen hogy az adatkezelőnek meg kellett volna küldenie neki az összes dokumentum másolatát, beleértve a személyes adatait tartalmazó e‑maileket és adatbázis‑kivonatokat is.

13. A fent említett hatóság 2019. szeptember 11‑i határozatával elutasította a panaszt, megállapítva, hogy az adatkezelő nem sértette meg az érintett személyes adatokhoz való hozzáférési jogát.

14. Az e határozat elleni keresetet elbíráló, kérdést előterjesztő bíróságnak kétségei vannak az érintettnek az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondata által biztosított, az adatkezelés tárgyát képező személyes adatok másolatának igényléséhez való jog terjedelmével kapcsolatban.

15. E bíróságnak arról kell döntenie, hogy az előtte folyamatban lévő eljárás felperese személyes adatainak a társaság hozzáférési kérelemre adott válaszában szereplő táblázat és kimutatás formájában történő továbbítása megfelel‑e az általános adatvédelmi rendelet 15. cikkének (3) bekezdésében foglalt követelményeknek, vagyis az említett rendelkezés értelmében az előtte folyamatban lévő eljárás felperese jogosult‑e arra, hogy a kezelt személyes adatairól készített másolatot ne elkülönített formában, hanem az esetleges levelezés és adatbázis-tartalmak vagy hasonló dokumentáció másolatainak vagy kivonatainak formájában kapja meg.

16. Ebben az összefüggésben az említett bíróság először is annak tisztázását kéri, hogy mit jelent pontosan az adatkezelés tárgyát képező személyes adatoknak az általános adatvédelmi rendelet 15. cikke (3) bekezdése első mondatában említett „másolatának” fogalma.

17. Másodszor, az említett bíróság azt kérdezi, hogy az általános adatvédelmi rendelet 15. cikkének (3) bekezdésében foglalt rendelkezés az említett cikk (1) bekezdésében foglalt általános hozzáférési jog olyan pontosításának minősül‑e, amely meghatározza, hogy az érintett részére milyen módon kell biztosítani az adatkezelés tárgyát képező személyes adataihoz való hozzáférést, vagy hogy ez a rendelkezés az (1) bekezdésben említett hozzáférési jogon túlmutató, fénymásolathoz, fakszimiléhez vagy adatbázis‑kivonathoz, illetve az érintett személyes adatait tartalmazó teljes dokumentumok és okiratok másolatához való, saját és önálló jogot állapít‑e meg.

18. Harmadszor, az általános adatvédelmi rendelet 15. cikke (3) bekezdése első mondatának azon megszorító értelmezése esetén, amely szerint a „másolat” fogalma nem feltételezi a fénymásolatok, teljes dokumentumok vagy adatbázis‑kivonatok megküldéséhez való jog fennállását, a bíróság azt kérdezi, hogy mindazonáltal nem lehetséges‑e a kezelhető adatok különböző lehetséges típusaira és az átláthatóságnak az általános adatvédelmi rendelet 12. cikkének (1) bekezdésében foglalt elvére tekintettel, hogy bizonyos esetekben, a kezelt adatok típusától függően fennállhat az adatkezelőre vonatkozó azon kötelezettség, hogy egyes szövegrészeket vagy dokumentum-másolatokat is rendelkezésre bocsásson.

19. Negyedszer és végül a kérdést előterjesztő bíróság azt kérdezi, hogy az „információ” fogalma, amely az általános adatvédelmi rendelet 15. cikke (3) bekezdésének harmadik mondatában szerepel, kizárólag az e rendelkezés első mondatában említett, „az adatkezelés tárgyát képező személyes adatokra” vonatkozik‑e, vagy túlmutat ezen, és magában foglalja a 15. cikk (1) bekezdésének a)–h) pontja szerinti információkat is, vagy még ezen is túlmegy, és például az adatokhoz tartozó metaadatokra is vonatkozik.

20. E körülmények között határozott úgy a Bundesverwaltungsgericht (szövetségi közigazgatási bíróság, Ausztria), hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1) Úgy kell‑e értelmezni [az általános adatvédelmi rendelet] 15. cikkének (3) bekezdésében szereplő »másolat« fogalmát, hogy az egy (elektronikus) adat fénymásolatát, illetve fakszimiléjét vagy elektronikus másolatát jelenti, vagy a német, francia és angol szótárak fogalomértelmezését követve az »Abschrift«, a »double« (»duplicata«) vagy a »transcript« is e fogalom alá tartozik?

2) Úgy kell‑e értelmezni az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondatát, amely szerint »[az] adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát« rendelkezésre bocsátja, hogy ez magában foglalja az érintett ahhoz való általános jogát, hogy másolatot kapjon – akár – olyan teljes dokumentumokról, amelyekben az érintett személyes adatait kezelik, illetve hogy személyes adatok adatbázisban történő kezelése esetén az adatbázis kivonatáról, vagy pedig azt jelenti, hogy az érintettnek – kizárólag – az általános adatvédelmi rendelet 15. cikkének (1) bekezdése alapján rendelkezésre bocsátandó személyes adatok változatlan reprodukciójához való joga áll fenn?

3) Abban az esetben, ha a második kérdésre azt a választ kell adni, hogy az érintett személynek csak az általános adatvédelmi rendelet 15. cikkének (1) bekezdése alapján rendelkezésre bocsátandó személyes adatok változatlan reprodukciójához való joga áll fenn, úgy kell‑e értelmezni az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondatát, hogy a kezelt adatok típusára például (a[z általános adatvédelmi rendelet] (63) preambulumbekezdés[é]ben szereplő diagnózisok, vizsgálati leletek, vélemények vagy az Európai Unió Bíróságának [Nowak ítélete(3)] értelmében vett, vizsgával összefüggő dokumentumok vonatkozásában) és az átláthatóságnak az általános adatvédelmi rendelet 12. cikkének (1) bekezdésében előírt követelményére tekintettel konkrét esetekben mégis szükséges lehet, hogy szövegrészeket vagy teljes dokumentumokat is az érintett rendelkezésére bocsássanak?

4) Úgy kell‑e értelmezni azon »információ« fogalmát, amelyet az általános adatvédelmi rendelet 15. cikke (3) bekezdésének harmadik mondata alapján – amennyiben az érintett a kérelmet elektronikus úton nyújtotta be – »széles körben használt elektronikus formátumban kell [az érintett] [rendelkezésére] bocsátani, kivéve, ha az érintett másként kéri«, hogy az kizárólag a 15. cikk (3) bekezdésének első mondatában említett, »az adatkezelés tárgyát képező személyes adatokra« vonatkozik?

a. A negyedik kérdésre adandó nemleges válasz esetén: Úgy kell‑e értelmezni azon »információ« fogalmát, amelyet az általános adatvédelmi rendelet 15. cikke (3) bekezdésének harmadik mondata alapján – amennyiben az érintett a kérelmet elektronikus úton nyújtotta be – »széles körben használt elektronikus formátumban kell [az érintett] [rendelkezésére] bocsátani, kivéve, ha az érintett másként kéri«, hogy az ezen kívül az általános adatvédelmi rendelet 15. cikke (1) bekezdésének a)–h) pontja szerinti információkra is vonatkozik?

b. A 4.a. kérdésre adandó szintén nemleges válasz esetén: Úgy kell‑e értelmezni azon »információ« fogalmát, amelyet az általános adatvédelmi rendelet 15. cikke (3) bekezdésének harmadik mondata alapján – amennyiben az érintett a kérelmet elektronikus úton nyújtotta be – »széles körben használt elektronikus formátumban kell [az érintett] [rendelkezésére] bocsátani, kivéve, ha az érintett másként kéri«, hogy ez »az adatkezelés tárgyát képező személyes adatokon«, valamint az általános adatvédelmi rendelet 15. cikke (1) bekezdésének a)–h) pontjában említett információkon kívül például az ezekhez kapcsolódó metaadatokra is vonatkozik?”

III. Jogi értékelés

A. Az előzetes döntéshozatalra előterjesztett első, második és harmadik kérdésről

21. Az előzetes döntéshozatalra előterjesztett első három kérdésével, amelyeket véleményem szerint együttesen kell kezelni, a kérdést előterjesztő bíróság három kérdést tesz fel a Bíróságnak, amelyek célja az általános adatvédelmi rendelet 15. cikke (3) bekezdése első mondatában foglalt azon rendelkezés hatályának meghatározása, amelynek értelmében „[a]z adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja”.

22. Az első kérdés az e rendelkezésben szereplő „másolat” fogalma pontos jelentésének meghatározására irányul. A második kérdés célja az érintett részére az említett rendelkezés által biztosított jog terjedelmének tisztázása. A kérdést előterjesztő bíróság különösen azt kérdezi, hogy ez a rendelkezés biztosítja‑e az azon dokumentumok – vagy adatbázis‑kivonatok – másolatának igényléséhez való jogot is, amelyekben személyes adatokat kezelnek, vagy csak az adatkezelés tárgyát képező személyes adatok változatlan reprodukciójához való jogot biztosítja. Ez utóbbi esetben a harmadik kérdés arra irányul, hogy a kezelt adatok típusától függően és az átláthatóság elve alapján bizonyos esetekben szükséges lehet‑e, hogy szövegrészeket vagy teljes dokumentumokat is rendelkezésére bocsássanak.

23. Az előzetes döntéshozatalra utaló végzésből kitűnik, hogy az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondatában említett rendelkezés hatálya mind a jogirodalom, mind a nemzeti bíróságok ítélkezési gyakorlata szempontjából vitatott, legalábbis Ausztriában és Németországban.(4) Az említett határozatból kitűnik, hogy e tekintetben két ellentétes elmélet létezik: egyrészt a szóban forgó rendelkezés megszorító értelmezése, amely szerint az a hozzáférési jog feltételeinek meghatározására korlátozódik, és nem jelent önálló jogot a dokumentumok vagy hasonló iratok igénylésére, másrészt pedig egy kiterjesztő értelmezés, amely szerint e rendelkezés – éppen ellenkezőleg – jogot biztosít arra, hogy másolatot kapjanak azon dokumentumokról vagy más adathordozókról, amelyekben személyes adatokat kezelnek. Az utóbbi értelmezés szerint a dokumentumok másolatának igényléséhez való jog az általános adatvédelmi rendelet 15. cikkének (1) bekezdésében biztosított hozzáférési jogtól független jog. A szóban forgó rendelkezés hatályának ellentmondásos jellegét megerősíti az a tény, hogy a Bírósághoz észrevételeket benyújtó felek is eltérő álláspontokat képviselnek e tekintetben.(5)

24. Ahhoz, hogy választ tudjunk adni a kérdést előterjesztő bíróság által feltett első három kérdésre, ebben az összefüggésben kell az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondatát értelmezni.

25. E tekintetben emlékeztetek arra, hogy az állandó ítélkezési gyakorlat szerint egy uniós jogi rendelkezés értelmezésénél nemcsak a rendelkezés szövegét, hanem a szövegkörnyezetét, és annak a szabályozásnak a célkitűzéseit is figyelembe kell venni, amelynek a részét képezi.(6)

26. Emellett, mivel az általános adatvédelmi rendeletnek a személyes adatok kezelését szabályozó rendelkezései alkalmasak az alapvető szabadságok és különösen a magánélet tiszteletben tartásához való jog megsértésére, azokat szükségszerűen a Chartában biztosított alapvető jogok fényében kell értelmezni.(7)

1. Szó szerinti elemzés

27. Ami először is az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondatában foglalt rendelkezés megfogalmazását illeti, meg kell jegyezni, hogy az lehetővé teszi, hogy az érintett az adatkezelőtől „az adatkezelés tárgyát képező személyes adatok másolatát” igényelje. Szó szerint ez a megfogalmazás három különálló fogalomra utal, nevezetesen: a „másolat”, a „személyes adatok” és az „adatkezelés tárgya” fogalmára.

28. Először is, ami a „másolat” fogalmát illeti, amelynek terjedelme képezi kifejezetten az előzetes döntéshozatalra előterjesztett első kérdés tárgyát, meg kell említeni, hogy – amint azt a Bíróság elé észrevételeket előterjesztő érdekeltek közül többen is megjegyezték – az általános adatvédelmi rendelet nem tartalmazza ennek a fogalomnak a konkrét meghatározását.

29. Ezzel összefüggésben az állandó ítélkezési gyakorlat szerint azon kifejezések jelentését és tartalmát, amelyekre az uniós jog nem ad meghatározást, az általános nyelvhasználatban elfogadott szokásos értelmük szerint kell meghatározni, figyelembe véve azon szövegkörnyezetet, amelyben a kifejezéseket használják, és azon szabályozás célkitűzéseit, amelynek részét képezik.(8)

30. Pusztán terminológiai szempontból az általános nyelvhasználatban a másolat kifejezés az eredeti változatlan reprodukcióját vagy szöveghű átírását jelöli.(9) Ezenkívül az általános adatvédelmi rendelet különböző nyelvi változatainak elemzése azt mutatja, hogy az Unió legtöbb hivatalos nyelvén az olasz „copia” kifejezésnek megfelelő kifejezést használják, például angolul a „copy”, németül a „Kopie”, franciául a „copie” vagy spanyolul a „copia” szót.(10)

31. A szóban forgó rendelkezés azt is kifejezetten kimondja, hogy az a másolat, amelyet az adatkezelő köteles az érintett rendelkezésére bocsátani, az adatkezelés tárgyát képező „személyes adatok” másolata.

32. E tekintetben és másodsorban meg kell jegyezni, hogy a „másolat” fogalmával ellentétben az általános adatvédelmi rendelet 4. cikkének 1. pontja kifejezetten meghatározza a „személyes adat” fogalmát, amely szerint a személyes adat az „azonosított vagy azonosítható természetes személyre […] vonatkozó bármely információ”.

33. A „személyes adat” e meghatározásból következő fogalmának terjedelme nagyon tág. Amint az a Bíróság ítélkezési gyakorlatából kitűnik, a „bármely információ” kifejezés e meghatározás keretében történő alkalmazása az uniós jogalkotó azon célját tükrözi, hogy tág jelentést adjon e fogalomnak.(11)

34. Az ítélkezési gyakorlatból kitűnik továbbá, hogy a személyes adatok fogalma nem korlátozódik az érzékeny vagy magánjellegű információkra, hanem potenciálisan magában foglal minden típusú információt, függetlenül attól, hogy azok objektív vagy például vélemény vagy értékelés formájában szubjektív jellegűek, feltéve hogy az adott személyre „vonatkoznak”. Az utóbbi feltétel akkor teljesül, ha az információ tartalmánál, céljánál vagy hatásánál fogva egy meghatározott személyhez kapcsolódik.(12)

35. Egyébiránt a személyes adat fogalmának kiterjesztő értelmezése tűnik szükségesnek, figyelembe véve az adott személyre vonatkozó információk védelemre érdemes különféle típusait és formáit, valamint az ilyen információkat tartalmazó különféle hordozókat.

36. Az ítélkezési gyakorlat elemzése azt mutatja, hogy a Bíróság úgy ítélte meg, hogy a „személyes adatoknak” az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett fogalmába az azonosított vagy azonosítható természetes személyre vonatkozó különféle típusú információk tartoznak. Azokon az adatokon kívül, amelyeket a Bizottság észrevételeiben „szokásos adatként” határozott meg, azaz a személyek személyazonosságával kapcsolatos adatok, mint például a keresztnév és a vezetéknév,(13) a születési idő, az állampolgárság, a nem, az etnikai hovatartozás, a vallás és a valamely személy által beszélt, a neve alapján beazonosítható nyelv,(14) a Bíróság a személyes adatok körébe tartozónak ítélt más jellegű információkat is, mint például az eladásra kínált gépjárműre vonatkozó információ, valamint az eladó telefonszáma,(15) vagy a munkaidő‑nyilvántartásban található, az egyes munkavállalók napi munkaidejére és pihenőidejére vonatkozó adatok,(16) a személyekről videokamerával felvett kép, amennyiben lehetővé teszi az érintett azonosítását,(17) a vizsgázó által egy szakmai vizsga során adott írásbeli válaszok és a vizsgáztató e válaszokra vonatkozó esetleges megjegyzései,(18) vagy az azonosított természetes személy büntetőpontjaira vonatkozó információk.(19)

37. A személyes adatok fogalmának az általános adatvédelmi rendelet 4. cikkének 1. pontjában szereplő meghatározásból következő, az ítélkezési gyakorlatban elismert és az általános adatvédelmi rendelet által követett, a természetes személyek magas szintű védelmének biztosítására irányuló célhoz(20) kapcsolódó kiterjesztő értelmezése azt jelenti, hogy ez a fogalom és így az ilyen adatokhoz való hozzáférés és az ezekről készített másolat igénylésének joga nem korlátozódik kizárólag az adatkezelő által megszerzett, tárolt és kezelt adatokra, hanem magában kell foglalnia minden további, az ezen adatkezelő által az adatkezelés eredményeként esetlegesen létrehozott adatot is, ha azok is az adatkezelés tárgyát képezik.

38. Ennélfogva, ha több személyes adat kezelésének eredményeként ezen adatkezelésből egy azonosított vagy azonosítható személyre vonatkozóan olyan új információk keletkeznek, amelyek az általános adatvédelmi rendelet 4. cikkének (1) bekezdése értelmében személyes adatnak minősülnek, az általános adatvédelmi rendelet 15. cikkének (1) bekezdésében, illetve (3) bekezdésének első mondatában előírt, a személyes adatokhoz való hozzáférési és az azok másolatának igényléséhez való jognak véleményem szerint vonatkoznia kell az így keletkezett adatokra is, amennyiben ezek az adatok maguk is az adatkezelés tárgyat képezik. Valójában az adatokhoz való hozzáférési és az azokról készült másolat megszerzéséhez való jog vonatkozik az érintett minden olyan személyes adatára, amely adatkezelés tárgyát képezi.

39. Ezek a megfontolások relevánsak a kérdést előterjesztő bíróság előtt folyamatban lévőhöz hasonló ügyben, ahol úgy tűnik, hogy az üzleti tanácsadó társaság a különböző forrásokból gyűjtött adatok alapján tett ajánlást az érintett fizetőképességére és fizetési hajlandóságára vonatkozóan a tényezők sorozatához kapcsolódó statisztikai valószínűség függvényében. Az ilyen jellegű ajánlás véleményem szerint azonosított személyre vonatkozó információnak minősül, amely tehát a „személyes adatnak” az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett tág fogalmába tartozik, és így az általános adatvédelmi rendelet 15. cikkének (1) bekezdése és (3) bekezdésének első mondata szerinti hozzáférési jog alá tartozik.(21)

40. Harmadszor, az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondatában szereplő „adatkezelés tárgya” kifejezéssel kapcsolatban meg kell jegyezni, hogy az általános adatvédelmi rendelet 4. cikkének 2. pontja az „adatkezelés” fogalmát is kifejezetten meghatározza.

41. E rendelkezés szerint a személyes adatok gyűjtése, az azokba való betekintés, azok továbbítás vagy egyéb módon történő hozzáférhetővé tétel útján történő közlése e rendelet értelmében „adatkezelésnek” minősül. Az ítélkezési gyakorlat szerint az említett rendelkezés szövegéből, különösen a „bármely művelet” kifejezésből kitűnik, hogy az uniós jogalkotó az „adatkezelés” fogalmának tág értelmet kívánt tulajdonítani. Ezt az értelmezést megerősíti az e rendelkezésben említett ügyletek nem kimerítő jellege, amelyet az „így” szó fejez ki.(22)

42. Ebben az összefüggésben az adatkezelés fogalmának tág terjedelméből az következik, hogy a 15. cikk (3) bekezdésének első mondata lehetővé teszi, hogy az érintett másolatot igényeljen azokról a személyes adatairól, amelyek bármely, „adatkezelésnek” minősíthető művelet tárgyát képezik. Amint az az alábbi 52. pontban részletesebben kifejtésre kerül, e rendelkezés azonban önmagában nem biztosítja a személyes adatok kezelésével kapcsolatos, az általános adatvédelmi rendelet 15. cikkének (1) bekezdésében foglaltakon túli konkrét információk igényléséhez való jogot.

43. Összefoglalva, az általános adatvédelmi rendelet 15. cikke (3) bekezdése első mondatának szó szerinti elemzéséből az következik, hogy ez a rendelkezés feljogosítja az érintettet arra, hogy másolatot igényeljen a tág értelemben vett személyes adatairól, amelyek az adatkezelő által adatkezelésnek minősített műveletek tárgyát képezik.

44. Ez a szó szerinti elemzés lehetővé teszi annak megállapítását, hogy a „személyes adatok másolatának” az adatok változatlan reprodukciójának kell lennie. A kezelhető adattípusok sokfélesége azonban azt jelenti, hogy a kezelt adatok típusától és az adatkezelés típusától függően az ilyen adatok másolata különböző formátumokat vehet fel, mint például papír formátum, hang‑ vagy videofelvétel, elektronikus, illetve egyéb formátumok. Fontos, hogy ezen adatok másolata az eredetihez hű legyen, és lehetővé tegye az érintett számára, hogy teljes körűen megismerje az adatkezelés tárgyát képező valamennyi adatot. Az adatkezelés tárgyát képező személyes adatok bármely összeállításának az eredetihez hűen és érthetően kell reprodukálnia ezeket az adatokat, és semmilyen módon nem befolyásolhatja a szolgáltatandó adatok tartalmát. Az adatkezelő azon döntése tehát, hogy ha lehetséges, akkor az adatkezelés tárgyát képező személyes adatokról összeállítást ad át, nem indokolhatja, hogy bizonyos adatokat kihagyjon vagy hiányosan adjon meg, vagy hogy azok ne tükrözzék az adatkezelés valóságát.

45. A szóban forgó rendelkezés továbbá lehetővé teszi, hogy az érintett másolatot kapjon az adatkezelés tárgyát képező, valamennyi személyes adatáról, így nem csak a megszerzett adatokról, hanem az adatkezelő által előállított azon személyes adatokról is, amelyek adatkezelés tárgyát képezik. Mindazonáltal, amennyiben ez a rendelkezés kizárólag a személyes adatok másolatára vonatkozik, egyrészt nem képezheti alapját az ennek nem minősülő információkhoz való hozzáférési jognak, másrészt nem teszi lehetővé – szükségszerűen –, hogy az érintett a személyes adatokat tartalmazó dokumentumokról vagy egyéb adathordozókról másolatot kapjon.

46. Ezeket a megfontolásokat ki kell egészíteni annak a rendelkezést körülvevő kontextus elemzésével, valamint az általános adatvédelmi rendelet 15. cikkében biztosított hozzáférési jog által követett célkitűzésekkel.

2. Rendszertani és teleologikus elemzés

47. A szóban forgó rendelkezés kontextusát illetően mindenekelőtt meg kell jegyezni, hogy azt az általános adatvédelmi rendelet 15. cikke tartalmazza, amely az érintettnek az adatkezelővel szembeni azon jogát szabályozza, hogy hozzáférhet a rá vonatkozó, az adatkezelés tárgyát képező személyes adatokhoz. Ez a cikk konkretizálja és pontosítja az általános adatvédelmi rendeletben az Európai Unió Alapjogi Chartája 8. cikke (2) bekezdésének második mondatában foglalt, minden személyt megillető azon jogot, hogy a róla gyűjtött adatokat megismerhesse.(23)

48. Ami az általános adatvédelmi rendelet 15. cikkének szerkezetét illeti, annak (1) bekezdése rendelkezik az érintett azon jogáról, hogy az adatkezelőtől visszaigazolást kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‑e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és az a)–h) pontokban megjelölt információkhoz hozzáférést kapjon. Ez a rendelkezés tehát konkretizálja a személyes adatokhoz és a kapcsolódó információkhoz való hozzáférés jogát, meghatározva a hozzáférési jog pontos tárgyát és alkalmazási körét.

49. Ezzel szemben az általános adatvédelmi rendelet 15. cikkének (3) bekezdése e jog gyakorlásának módját pontosítja, meghatározva különösen azt, hogy az adatkezelő milyen formában köteles a személyes adatokat az érintettnek átadni, azaz másolat formájában, és így tehát az adatok eredetihez hű reprodukciója útján.

50. Az általános adatvédelmi rendelet 15. cikkének imént vázolt szerkezetéből, valamint abból a követelményből, hogy az (1) és (3) bekezdés rendelkezéseit egymással összhangban kell értelmezni, az következik, hogy a (3) bekezdés nem határozza meg – és ezért nem is módosíthatja vagy terjesztheti ki – az (1) bekezdésében foglalt rendelkezéssel konkretizált hozzáférési jog tárgyát és terjedelmét. A fent említett (3) bekezdés tehát nem terjesztheti ki az adatkezelőre háruló, az információhoz való hozzáférés biztosítására vonatkozó kötelezettség terjedelmét. A szóban forgó cikk szerkezete tehát megerősíti, hogy a (3) bekezdésben említett rendelkezés nem alapozhatja meg az érintett önálló, a rendelkezés (1) bekezdésében foglaltakon túlmutató információk igényléséhez való jogát.

51. Ebben a tekintetben egyetértek az osztrák adatvédelmi hatósággal, amikor az amellett érvel, hogy az általános adatvédelmi rendelet 15. cikke (3) bekezdése első mondatának olyan értelmezése, hogy ez a rendelkezés lehetővé teszi az érintett által hozzáférhető információk körének a személyes adatain túlmutató kiterjesztését, ellentétes a Charta 8. cikkének (2) bekezdésével.

52. A fenti elemzés egyrészt megerősíti a fenti 44. pontban megfogalmazott megfontolást, amely szerint az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondata nem biztosít önálló jogot a személyes adatokat tartalmazó dokumentumok vagy egyéb adathordozók másolatának igényléséhez. Másrészt megerősíti a fenti 42. pontban végzett elemzést is, amely szerint ez a rendelkezés nem teszi lehetővé, hogy az érintett az általános adatvédelmi rendelet 15. cikkének (1) bekezdésében foglaltaktól eltérő olyan információkat igényeljen(24) magának a személyes adatoknak a kezelése tekintetében, mint például a személyes adatok kezeléséhez használt kritériumokra, modellekre, szabályokra vagy belső (számítási vagy más) eljárásokra vonatkozó információk. Ezek az információk egyébként gyakran szellemi tulajdonjogok hatálya alá tartoznak, amelyeket ebben az összefüggésben oltalmazni kell, amint azt a (63) preambulumbekezdés ötödik mondata kifejezetten kimondja. Mindazonáltal, amint az az általános adatvédelmi rendelet (60) preambulumbekezdéséből kitűnik, az adatkezelőnek minden olyan további információt is az érintett rendelkezésére kell bocsátania, amelyek a tisztességes és átlátható adatkezelés biztosításához szükségesek, figyelembe véve a személyes adatok kezelésének konkrét körülményeit és kontextusát. Emlékeztetni kell továbbá arra is, hogy az automatizált döntéshozatal eseteire – ideértve a profilalkotást is – külön szabályok vonatkoznak(25).

53. Szintén rendszertani szempontból az általános adatvédelmi rendelet 15. cikke (3) bekezdése első mondatának rendelkezését az általános adatvédelmi rendelet egyéb vonatkozó rendelkezéseinek fényében kell értelmezni. Az általános adatvédelmi rendelet 4. cikkének 1. és 2. pontjában szereplő, a fenti 32–41. pontban elemzett meghatározásokon kívül különösen releváns az általános adatvédelmi rendelet 12. cikkének (1) bekezdése, amelyre a kérdést előterjesztő bíróság az előzetes döntéshozatalra előterjesztett harmadik kérdésében hivatkozik.

54. Ebből a rendelkezésből az következik, hogy az adatkezelő köteles megfelelő intézkedéseket hozni annak érdekében, hogy az érintett részére – többek között az általános adatvédelmi rendelet 15. cikkében említett – valamennyi információt tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, és hogy az információt írásban vagy más módon kell megadni, ideértve adott esetben az elektronikus utat is, kivéve, ha az érdekelt fél szóban kéri a tájékoztatást.

55. Ez a rendelkezés, amely az átláthatóság elvének kifejeződése(26), annak biztosítására irányul, hogy az érintett olyan helyzetben legyen, hogy teljes mértékben megértse a részére megküldött információkat. Az említett információk teljes érthetősége szükséges ugyanis egyrészt ahhoz, hogy az általános adatvédelmi rendelet 15. cikke által biztosított hozzáférési jogok gyakorlása hatékony legyen, másrészt az általános adatvédelmi rendelet által az érintett részére biztosított, a jelen indítvány 64. és 65. pontjában említett és a hozzáférési jog gyakorlását követő egyéb jogok teljes mértékben történő gyakorlásának előfeltételét képezi.(27) Az általános adatvédelmi rendelet (63) preambulumbekezdéséből egyébként az következik, hogy az érintettnek rendelkeznie kell azzal a joggal, hogy egyszerűen és nehézség nélkül gyakorolhassa a személyes adataihoz való hozzáférés jogát.

56. Az adatok közlése érthetőségének szükségességét, amely lehetővé teszi az érintett számára ezen adatok teljes körű megismerését, valamint ezek pontosságának és az uniós jognak megfelelő kezelésének ellenőrzését annak érdekében, hogy e személy gyakorolhassa az uniós jog által biztosított jogait, a Bíróság már kiemelte a 95/46 irányelvre vonatkozó ítélkezési gyakorlatában.(28)

57. Az általános adatvédelmi rendelet 15. cikke (1) bekezdésének a)–h) pontjában megjelölt adatok és információk érthetőségének fent említett szükséglete azt jelenti, hogy bizonyos esetekben annak érdekében, hogy az érintett részére biztosítsák a részére megküldött információk teljes érthetőségét, nem kizárt, hogy dokumentumrészleteket vagy akár teljes dokumentumokat, illetve adatbázis‑kivonatokat is a rendelkezésére kell bocsátani. A dokumentumoknak vagy kivonatoknak az elküldött információk érthetőségének biztosítása érdekében történő rendelkezésre bocsátásának szükségességével kapcsolatos elemzést azonban elkerülhetetlenül eseti alapon kell elvégezni, a kérelem tárgyát képező adatoknak és magának a kérelemnek a típusától függően.

58. E tekintetben azonban hangsúlyozni kell, hogy a dokumentumok vagy azok kivonatainak esetleges közlése nem jelenti a hozzáférési jog tekintetében az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondata által biztosított önálló jog gyakorlását, hanem csak a személyes adatok másolata elküldésének módját, amelynek célja azok teljes érthetőségének biztosítása. E tekintetben megjegyzem, hogy természetesen, amint azt egyes érdekeltek a Bírósághoz benyújtott észrevételeikben megjegyezték, bizonyos esetekben a szóban forgó személyes adatok teljes megértése érdekében ismerni kell azt a szövegkörnyezetet is, amelyben ezen adatokat kezelik. Ez a megfontolás azonban még nem biztosít a szóban forgó rendelkezés alapján az érintettnek általános jogot a dokumentumok másolatai vagy az adatbázisok kivonatai tekintetében.

59. Emellett a személyes adatok másolatának igényléséhez való jogot korlátozza az általános adatvédelmi rendelet 15. cikkének (4) bekezdésében kifejezetten előírt azon követelmény, hogy [e jog] „nem érintheti hátrányosan mások jogait és szabadságait”. Ebből a rendelkezésből az következik, hogy annak szükségessége, hogy az érintetteknek a személyes adataik másolatának átadásával biztosítsák az azokhoz való teljes körű hozzáférést, nem terjedhet ki arra, hogy lehetővé tegye mások jogainak és szabadságainak megsértését.

60. E tekintetben megjegyzem, hogy a fent említett (4) bekezdés nagyon általánosan fogalmazott, és nyitva hagyja a „mások” olyan jogainak és szabadságainak felsorolását, amelyek ellensúlyozhatják a hozzáférési jognak a személyes adatok másolatának kézhezvételével történő teljes körű gyakorlását. Figyelembe kell azonban venni, hogy ezek a jogok – amint az az általános adatvédelmi rendelet (63) preambulumbekezdéséből kifejezetten kitűnik – egyértelműen magukban foglalják „az üzleti titkokat vagy a szellemi tulajdont, és különösen a szoftverek védelmét biztosító szerzői jogokat”, valamint a harmadik személyek személyes adatainak védelméhez való jogot, mint abban az esetben, ha az érintett személyes adatait tartalmazó adathordozó harmadik fél személyes jellegű adatait is tartalmazza.

61. Abban az esetben, ha egyrészt a személyes adatokhoz való teljes körű hozzáférés jogának gyakorlása, másrészt mások jogai vagy szabadságai között ellentét áll fenn, egyensúlyt kell teremteni a szóban forgó jogok között. Ahol lehetséges, a személyes adatok közlésének olyan módját kell választani, amely nem sérti mások jogait vagy szabadságait, de szem előtt kell tartani, hogy amint az az általános adatvédelmi rendelet (63) preambulumbekezdéséből kitűnik, ezek a megfontolások nem „eredményezhetik azt, hogy az érintettől minden információt megtagadnak”.

62. Ismét rendszertani szempontból azt is meg kell jegyezni, hogy az általános adatvédelmi rendelet 15. cikke (3) bekezdése első mondatának azon értelmezését, amely szerint ez a rendelkezés nem biztosít általános jogot a dokumentumok másolataihoz vagy az adatbázis‑kivonatokhoz való hozzáféréshez, hacsak az nem szükséges a közölt adatok és információk érthetőségének biztosításához, az a tény is megerősíti, hogy a dokumentumokhoz, különösen a közigazgatási dokumentumokhoz való hozzáférés jogát kifejezetten szabályozzák más uniós(29) vagy nemzeti jogi aktusok, amelyek a személyes adatok védelmének biztosítására irányuló céloktól eltérő célokat szolgálnak.(30)

63. Az általános adatvédelmi rendelet 15. cikke (3) bekezdése első mondatának az előző pontban említett értelmezését e rendelkezés céljának az érintett személynek az általános adatvédelmi rendelet 15. cikke által biztosított hozzáférési jogával összefüggésben történő elemzése is megerősíti.

64. Amint az az általános adatvédelmi rendelet (63) preambulumbekezdéséből és különösen annak első mondatából is kitűnik, a saját személyes adatokhoz és az általános adatvédelmi rendelet 15. cikke (1) bekezdésének a)–h) pontjában megjelölt egyéb információkhoz való hozzáférés joga mindenekelőtt arra irányul, hogy az érintett tudomást szerezzen adatai kezeléséről és ellenőrizhesse annak jogszerűségét.(31)

65. Az említett hozzáférési jog szükséges ahhoz, amint azt a Bíróság egyébiránt már megállapította, hogy az érintett gyakorolhassa a helyesbítéshez való jogát, a törléshez való jogát („az elfeledtetéshez való jog”) és az adatkezelés korlátozásához való jogát, amely jogokat az általános adatvédelmi rendelet 16., 17., illetve 18. cikke biztosít számára.(32) A Bíróság pontosította továbbá, hogy a hozzáféréshez való jog szükséges annak lehetővé tételéhez is, hogy az érintett gyakorolja az általános adatvédelmi rendelet 21. cikkében szereplő, az adatok feldolgozása elleni tiltakozáshoz való jogát, vagy hogy az általános adatvédelmi rendelet 79. és 82. cikke alapján érvényesítse kártérítési igényét, ha őt kár érte, és kártérítésre legyen jogosult.(33)

66. A személyes adatokhoz és egyéb információkhoz való hozzáférés jogára vonatkozó célkitűzésekkel összefüggésben kell értelmezni a személyes adatok másolatának igényléséhez való jogot biztosító szabály alapjául szolgáló indokot. Célja, hogy az érintett számára kifejezetten biztosítsa e jog hatékony gyakorlásának formáját annak érdekében, hogy megbizonyosodhasson az adatkezelés helyességéről és jogszerűségéről, ha szükséges, a 65. pontban említett további jogok gyakorlása céljából. A cél annak biztosítása, hogy a személyes adatok a lehető legpontosabb és legérthetőbb formában álljanak az érintett rendelkezésére ahhoz, hogy e jogait gyakorolhassa, azaz az adatok másolata, tehát változatlan reprodukciója formájában.

67. Ebből a szempontból az ilyen adatokat tartalmazó dokumentum másolatának vagy az adatbázisból származó kivonatnak a kiadása nem mindig és minden esetben tűnik elengedhetetlennek a jogalkotó által követett cél eléréséhez.

68. Az érintett a fenti 58–61. pontban megjelölt korlátok között csak abban az esetben igényelheti a dokumentumok egyes részeit vagy esetleg a teljes dokumentumokat vagy adatbázis‑kivonatokat, ha az ilyen másolat kiadása elengedhetetlen az adatkezelés tárgyát képező személyes adatok teljes érthetőségének biztosításához.

69. Ezzel összefüggésben azt is megjegyzem, hogy az általános adatvédelmi rendelet a 95/46 irányelvben foglalt szabályozástól eltérően az adatok másolatának igényléséhez való valós és tényleges jog biztosításával kívánta erősíteni az érintett helyzetét.(34) Ez valóban jelentős eltérés a korábban hatályos szabályozáshoz képest, amely a fent említett irányelv 12. cikke a) pontjának második franciabekezdésében csupán „az adatfeldolgozás [helyesen: adatkezelés] alatt álló adatokról érthető formában kapott tájékoztatásra” szorítkozott, így a tagállamokra bízva a személyes adatokra vonatkozó tájékoztatás konkrét anyagi formáját, amennyiben az érthető.(35) Az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondata által az adatkezelők részére előírt, az adatok „másolatának” rendelkezésre bocsátására vonatkozó kötelezettség útján ezzel szemben kötelező módon meghatározzák a tájékoztatás formáját, azaz az adatok „másolatának” formáját.

3. Az előzetes döntéshozatalra előterjesztett első három kérdésre vonatkozó következtetés

70. A fenti megfontolások összességére tekintettel úgy vélem, hogy a kérdést előterjesztő bíróság első három kérdésére azt a választ kell adni, hogy az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondatát úgy kell értelmezni, hogy:

– az e rendelkezésben szereplő „másolat” fogalmán az érintett által kért személyes adatok érthető formában történő, eredetihez hű reprodukcióját kell érteni, olyan rögzített és állandó formátumban, amely lehetővé teszi az érintett számára, hogy hatékonyan gyakorolhassa a személyes adataihoz való hozzáférési jogát, az adatkezelés tárgyát képező valamennyi személyes adatának – ideértve az adatkezelés eredményeként esetlegesen keletkezett további adatokat is, ha azok is az adatkezelés tárgyát képezik – teljes ismeretében, annak érdekében, hogy ellenőrizhesse azok pontosságát és meggyőződhessen az adatkezelés helyességéről és jogszerűségéről annak érdekében, hogy szükség esetén gyakorolhassa az általános adatvédelmi rendelet által részére biztosított további jogokat; a másolat pontos formáját az adott eset sajátosságai és különösen a hozzáférési kérelemmel érintett személyes adatok típusa és az érintett szükségletei alapján határozzák meg;

– e rendelkezés nem biztosít általános jogot az érintettnek arra, hogy a személyes adatait tartalmazó dokumentumról részleges vagy teljes másolatot, vagy ha a személyes adatokat adatbázisban kezelik, ezen adatbázisból kivonatot igényeljen;

– ez a rendelkezés azonban nem zárja ki, hogy dokumentumok egy részét vagy akár teljes dokumentumokat vagy adatbázisokból származó kivonatokat is az érintett rendelkezésére kelljen bocsátani, ha ez szükséges az adatkezelés tárgyát képező azon személyes adatok teljes érthetőségének biztosításához, amelyekhez hozzáférést kérnek.

B. Az előzetes döntéshozatalra előterjesztett negyedik kérdésről

71. Az előzetes döntéshozatalra előterjesztett negyedik kérdésével a kérdést előterjesztő bíróság azt kérdezi a Bíróságtól, hogy az általános adatvédelmi rendelet 15. cikke (3) bekezdésének harmadik mondatában szereplő „információ” fogalma csak az ugyanazon bekezdés első mondatában említett, „az adatkezelés tárgyát képező személyes adatokra” vonatkozik‑e, vagy az ezen kívül a 15. cikk (1) bekezdésének a)–h) pontja szerinti információkra is vonatkozik (a 4. kérdés a) pontja), vagy más információkra, például az ezen adatokhoz kapcsolódó metaadatokra is vonatkozik (a 4. kérdés b) pontja).

72. A kérdés megválaszolásához az általános adatvédelmi rendelet 15. cikke (3) bekezdésének harmadik mondatában említett „információ” fogalmának értelmezése szükséges a fenti 25. pontban említett ítélkezési gyakorlatból eredő módszertan alkalmazásával.

73. Ebből a nézőpontból a szó szerinti értelmezés alapján az „információ” kifejezés túl általánosnak tűnik annak tisztázásához, hogy kizárólag az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondatában megjelölt személyes adatokra vonatkozik‑e, vagy más típusú információkra is vonatkozik.

74. Rendszertani szempontból azonban meg kell jegyezni, hogy a fent említett harmadik mondat az általános adatvédelmi rendelet 15. cikkének (3) bekezdésében szerepel, amely rendelkezés az adatkezelő azon kötelezettségére vonatkozik, hogy az érintett kérésére „az adatkezelés tárgyát képező személyes adatok másolatát” az érintett rendelkezésére bocsátja. A (3) bekezdés szerkezete tehát arra enged következtetni, hogy az „információ” kifejezés az ugyanazon bekezdés első mondata szerint teljesítendő kérelem tárgyát képező információkra és így az adatkezelés tárgyát képező személyes adatokra vonatkozik.

75. Úgy tűnik, hogy ez az értelmezés összhangban van magának a (3) bekezdésnek a céljával is, amely – amint az a fenti 61. és azt követő pontokból és különösen a fenti 69. pontból kitűnik – annak meghatározása, hogy az adatkezelés tárgyát képező személyes adatokról adott tájékoztatásnak milyen formában kell történnie, azaz az adatok „másolatának” formájában. Ebből a szempontból ugyanezen bekezdés harmadik mondata azt a konkrét esetet hivatott szabályozni, amikor az ezen adatok másolatának igénylése iránti kérelmet elektronikus úton nyújtják be.

76. Mindezek mellett véleményem szerint azt is meg kell jegyezni, hogy az általános adatvédelmi rendelet 12. cikkének (1) bekezdéséből eredő, a fenti 54. és 55. pontban említett átláthatósági követelmény, amelynek célja annak biztosítása, hogy az érintett képes legyen teljes mértékben megérteni a többek között az általános adatvédelmi rendelet 15. cikke alapján részére megküldött információkat, teljességében vizsgálva megköveteli, hogy amennyiben az általános adatvédelmi rendelet 15. cikkének (1) bekezdése szerinti, hozzáférés iránti kérelmet elektronikus úton nyújtják be, az a)–h) pontban említett információkat is a széles körben használt elektronikus formátumban kell rendelkezésre bocsátani, ami lehetővé teszi az érintett számára, hogy arról teljes körűen, egyszerűen és nehézség nélkül tudomást szerezzen. Abban az esetben, ha az említett információkat tartalmazó elektronikus formátum nem széles körben használt, valóban rendkívül megnehezítheti vagy terhessé teheti az információk megismerését, megsértve ezzel az átláthatóság követelményét.

77. Végül, ami konkrétan a b) kérdést illeti, abból a körülményből, hogy az általános adatvédelmi rendelet 15. cikke (3) bekezdésének harmadik mondata az érintett „kérelmére” utal, az következik, hogy az e rendelkezésben szereplő „információ” fogalma nem lépheti túl a kérelem tárgyát, azaz az adatkezelés tárgyát képező személyes adatok másolatát. Ebből az következik, hogy az itt használt információ kifejezés kizárólag ezen adatokra vonatkozik, és nem tartalmazhat ezeken kívül más információkat, és semmiképpen az általános adatvédelmi rendelet 15. cikke (1) bekezdésének a)–h) pontjában említett információkon túli további információkat. Ellenkező esetben ugyanis kiszélesedne a hozzáférési jog terjedelme, aminek – amint azt a fenti 48–51. pontban már említettem – nincs alapja az általános adatvédelmi irányelvben.

78. A fentiek összességéből az következik, hogy véleményem szerint a kérdést előterjesztő bíróság negyedik kérdésére azt a választ kell adni, hogy az általános adatvédelmi rendelet 15. cikke (3) bekezdésének harmadik mondatában szereplő „információ” fogalmát úgy kell értelmezni, hogy az kizárólag az ugyanazon bekezdés első mondatában említett „adatkezelés tárgyát képező személyes adatok másolatára” vonatkozik.

IV. Végkövetkeztetés

79. A fenti megfontolások alapján azt javaslom a Bíróságnak, hogy a Bunsdesverwaltungsgericht (szövetségi közigazgatási bíróság, Ausztria) által előzetes döntéshozatalra előterjesztett kérdésekre az alábbi választ adja:

„A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet) 15. cikkének (3) bekezdését

a következőképpen kell értelmezni:

az e rendelkezésben szereplő »másolat« fogalmán az érintett által kért személyes adatok érthető formában történő, eredetihez hű reprodukcióját kell érteni, olyan rögzített és állandó formátumban, amely lehetővé teszi az érintett számára, hogy hatékonyan gyakorolhassa a személyes adataihoz való hozzáférési jogát, az adatkezelés tárgyát képező valamennyi személyes adatának teljes ismeretében – ideértve az adatkezelés eredményeként esetlegesen keletkezett további adatokat is, ha azok is az adatkezelés tárgyát képezik –, hogy ellenőrizhesse azok pontosságát és meggyőződhessen az adatkezelés helyességéről és jogszerűségéről annak érdekében, hogy szükség esetén gyakorolhassa az általános adatvédelmi rendelet által részére biztosított további jogokat; a másolat pontos formáját az adott eset sajátosságai és különösen a hozzáférési kérelemmel érintett személyes adatok típusa és az érintett szükségletei alapján kell meghatározni;

ez a rendelkezés nem biztosít általános jogot az érintettnek arra, hogy a személyes adatait tartalmazó dokumentumról részleges vagy teljes másolatot, vagy ha a személyes adatokat adatbázisban kezelik, ezen adatbázisból kivonatot igényeljen;

ez a rendelkezés azonban nem zárja ki, hogy dokumentumok egy részét, vagy akár teljes dokumentumokat vagy adatbázisokból származó kivonatokat is az érintett rendelkezésére kelljen bocsátani, ha ez szükséges az adatkezelés tárgyát képező azon személyes adatok teljes érthetőségének biztosításához, amelyekhez hozzáférést kérnek.

A 2016/679 rendelet 15. cikke (3) bekezdésének harmadik mondatában szereplő »információ« fogalmát

a következőképpen kell értelmezni:

az kizárólag a 15. cikk (3) bekezdésének első mondatában említett „adatkezelés tárgyát képező személyes adatok másolatára” vonatkozik.”

1 Eredeti nyelv: olasz.

2 HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.

3 2017. december 20‑i Nowak ítélet (C‑434/16, EU:C:2017:994).

4 Lásd az előzetes döntéshozatalra utaló végzés 1. és 2. pontjában az osztrák és a német jogirodalomra és ítélkezési gyakorlatra való hivatkozásokat.

5 Az osztrák adatvédelmi hatóság, a CRIF GmbH, az olasz és a cseh kormány, valamint az Európai Bizottság lényegében a megszorító értelmezés mellett, míg az osztrák kormány és F. F. inkább a rendelkezés kiterjesztő értelmezése mellett foglal állást.

6 Lásd többek között: 2022. augusztus 1‑jei Vyriausioji tarnybinės etikos komisija ítélet (C‑184/20, EU:C:2022:601, 121. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

7 Lásd a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) vonatkozásában: 2017. március 9‑i Manni ítélet (C‑398/15, EU:C:2017:197, 39. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

8 Lásd többek között: 2022. augusztus 1‑jei Navitours ítélet (C‑294/21, EU:C:2022:608, 25. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

9 Lásd a Treccani szótárat a https://www.treccani.it oldalon.

10 A teljesség igénye nélkül azonban megjegyzem, hogy a következő nyelvi változatok az olasz kifejezésnek megfelelő kifejezést használják: „cópia” portugálul, „kopie” hollandul, „kopi” dánul, „kopiją” litvánul, „kopiju” lettül és horvátul, „koopia” észtül, „kopię” lengyelül, „kopii” csehül, „kopja” máltaiul, „copie” románul, „kópiu” szlovákul, „kopijo” szlovénul, „kopia” svédül.

11 Lásd a 95/46 irányelv tekintetében: 2017. december 20‑i Nowak ítélet (C‑434/16, EU:C:2017:994, 34. pont). Ezzel kapcsolatban azt is megjegyzem, hogy a C‑579/21. sz. Pankki S ügy, amely a személyes adatoknak az általános adatvédelmi rendelet 4. cikkének (1) bekezdése értelmében vett fogalmának terjedelmét érinti, jelenleg folyamatban van.

12 Lásd: 2017. december 20‑i Nowak ítélet (C‑434/16, EU:C:2017:994, 34. és 35. pont).

13 Lásd többek között: 2017. március 9‑i Manni ítélet (C‑398/15, EU:C:2017:197, 34. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

14 2014. július 17‑i Y S és Minister voor Immigratie, Integratie en Asiel ítélet (C‑141/12 és C‑372/12, EU:C:2014:2081, 38. pont).

15 Lásd: 2022. február 24‑i Valsts ieņēmumu dienests (Személyes adatok adóügyi célból történő kezelése) ítélet (C‑175/20, EU:C:2022:124, 18. és 34. pont).

16 Lásd: 2013. május 30‑i Worten ítélet (C‑342/12, EU:C:2013:355, 19. pont).

17 2019. február 14‑i Buivids ítélet (C‑345/17, EU:C:2019:122, 31. pont); 2014. december 11‑i Ryneš ítélet (C‑212/13, EU:C:2014:2428, 22, pont).

18 Lásd: 2017. december 20‑i Nowak ítélet (C‑434/16, EU:C:2017:994, 36. és 42. pont).

19 Lásd: 2021. június 22‑i B (Büntetőpontok) ítélet (C‑439/19, EU:C:2021:504, 60. pont).

20 Lásd az általános adatvédelmi rendelet (10) és (11) preambulumbekezdését.

21 Ezenkívül a CRIF GmbH észrevételeiből kitűnik, hogy az érintett megkapta a 100%‑os „fizetőképességi mutatóját” (lásd különösen ezen észrevételek 8. pontját). Ezen túlmenően a kérdést előterjesztő bíróság feladata annak konkrét és pontos meghatározása, hogy az érintett számára milyen információkat adtak át, és hogy a számára biztosított hozzáférés megfelel‑e az általános adatvédelmi rendelet 15. cikkének.

22 Lásd: 2022. február 24‑i Valsts ieņēmumu dienests (Személyes adatok adóügyi célból történő kezelése) ítélet (C‑175/20, EU:C:2022:124, 35. pont).

23 E tekintetben lásd a közelmúltban ismertetett, az Österreichische Post (A személyes adatok címzettjeire vonatkozó információk) ügyre vonatkozó indítványom (C‑154/21, EU:C:2022:452) 14. pontját, valamint az ott hivatkozott ítélkezési gyakorlatot.

24 Nem érintve az általános adatvédelmi rendelet egyéb rendelkezéseit, például a 13. vagy a 14. cikket.

25 Lásd különösen az általános adatvédelmi rendelet 22. cikkével összefüggésben értelmezett 15. cikke (1) bekezdésének h) pontját. Lásd még a jelenleg a Bíróság előtt folyamatban lévő C‑634/21. sz. SCHUFA Holding és társai (Scoring) ügyet.

26 E tekintetben lásd az általános adatvédelmi rendelet (58) preambulumbekezdését, amelynek értelmében „[a]z átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt világos és közérthető nyelven fogalmazzák meg, illetve – ezen túlmenően – szükség esetén vizuálisan is megjelenítsék”.

27 Lásd ebben az értelemben az általános adatvédelmi rendelet (59) preambulumbekezdését, valamint a lenti 64. és 65. pontban hivatkozott ítélkezési gyakorlatot.

28 Lásd: 2014. július 17‑i Y S és Minister voor Immigratie, Integratie en Asiel ítélet (C‑141/12 és C‑372/12, EU:C:2014:2081, 57. és 60. pont).

29 A dokumentumokhoz való hozzáférést az Európai Parlament, a Tanács és a Bizottság dokumentumaihoz való nyilvános hozzáférésről szóló, 2001. május 30‑i 1049/2001/EK európai parlamenti és tanácsi rendelet (HL 2001. L 145., 43. o.; magyar nyelvű különkiadás 1. fejezet, 3. kötet, 331. o.), míg a személyes adatok intézmények általi kezelését a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018. október 23‑i (EU) 2018/1725 európai parlamenti és tanácsi rendelet (HL 2018. L 295., 39. o., helyesbítés: HL 2019. L 290., 42. o.) szabályozza.

30 E tekintetben lásd a 95/46 irányelv vonatkozásában: 2014. július 17‑i Y S és Minister voor Immigratie, Integratie en Asiel ítélet (C‑141/12 és C‑372/12, EU:C:2014:2081, 46. pont és 47. pont utolsó mondata).

31 E tekintetben lásd a 95/46 irányelvet illetően: 2014. július 17‑i Y S és Minister voor Immigratie, Integratie en Asiel ítélet (C‑141/12 és C‑372/12, EU:C:2014:2081, 44. pont); 2017. december 20‑i Nowak ítélet (C‑434/16, EU:C:2017:994, 57. pont). Lásd még e tekintetben: az Österreichische Post (A személyes adatok címzettjeire vonatkozó információk) ügyre vonatkozó indítványom (C‑154/21, EU:C:2022:452, 26. és 28. pont). Az a kérdés, hogy az adatokhoz való hozzáférés joga, és különösen a személyes adatok másolatának megszerzéséhez való jog az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondata alapján akkor is gyakorolható-e, ha az érintett olyan jogos célt követ, amely nem kapcsolódik az adatvédelemhez, a C-307/22. sz. FT ügyben (az orvosi felelősségből eredő jogok fennállásának vizsgálatával összefüggésben) és a C-672/22. sz. DKV ügyben (a magán-egészségbiztosítási járulékemelések érvényességének vizsgálatával összefüggésben) feltett előzetes kérdések tárgya.

32 Lásd a 95/46 irányelv megfelelő rendelkezései tekintetében: 2009. május 7‑i Rijkeboer ítélet (C‑553/07, EU:C:2009:293, 51. és 52. pont); 2014. július 17‑ Y S és Minister voor Immigratie, Integratie en Asiel ítélet (C‑141/12 és C‑372/12, EU:C:2014:2081, 44. pont); 2017. december 20‑i Nowak ítélet (C‑434/16, EU:C:2017:994, 57. pont).

33 Lásd ebben az értelemben a 95/46 irányelv megfelelő rendelkezéseit illetően: 2009. május 7‑i Rijkeboer ítélet (C‑553/07, EU:C:2009:293, 52. pont).

34 Az érintettek jogainak megerősítésére és pontosítására vonatkozó célkitűzésének keretében. E tekintetben lásd az általános adatvédelmi rendelet (11) preambulumbekezdését.

35 Lásd: 2014. július 17‑i Y S és Minister voor Immigratie, Integratie en Asiel ítélet (C‑141/12 és C‑372/12, EU:C:2014:2081, 57. pont).