A BÍRÓSÁG ÍTÉLETE (teljes ülés)

2024. április 30.(*)

Tartalomjegyzék

Jogi háttér

Az uniós jog

A személyes adatok védelmére vonatkozó általános szabályozás

– A 95/46/EK irányelv

– Az általános adatvédelmi rendelet

A személyes adatok védelmére vonatkozó ágazati szabályozás

– A 2002/58 irányelv

– Az (EU) 2016/680 irányelv

A szellemi tulajdonjogok védelmére vonatkozó szabályozás

A francia jog

A CPI

A 2010 236. sz. rendelet

A postáról és az elektronikus hírközlésről szóló törvénykönyv

Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

Az előzetes döntéshozatalra előterjesztett kérdésekről

Előzetes észrevételek

Az online elkövetett hamisítás elleni küzdelem céljából valamely hatóságnak az elektronikus hírközlési szolgáltatók által megőrzött IP címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hozzáférésének a 2002/58 irányelv 15. cikkének (1) bekezdése alapján történő igazolhatóságáról

A személyazonosságra vonatkozó adatoknak és a kapcsolódó IP címeknek az elektronikus hírközlési szolgáltatók általi megőrzésére vonatkozó követelményekről

Az elektronikus hírközlési szolgáltatók által megőrzött IP címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hozzáférést övező követelményekről

A valamely IP címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hatósági hozzáférést megelőző, bíróság vagy független közigazgatási szerv általi előzetes felülvizsgálat követelményéről

Az IP címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hatósági hozzáférés tekintetében az anyagi jogi és eljárásjogi feltételekre, valamint a visszaélések veszélyével, illetve az ezen adatokhoz való bármely hozzáféréssel és azok jogellenes felhasználásával szembeni biztosítékokra vonatkozó követelményekről

A költségekről

„Előzetes döntéshozatal – Az elektronikus hírközlési ágazatban a személyes adatok kezelése és a magánélet védelme – 2002/58/EK irányelv – Az elektronikus hírközlés titkossága – Védelem – Az 5. cikk és a 15. cikk (1) bekezdése – Az Európai Unió Alapjogi Chartája – A 7., 8. és 11. cikk, valamint az 52. cikk (1) bekezdése – Az interneten elkövetett hamisítások elleni, hatósági fellépés útján történő küzdelemre irányuló nemzeti szabályozás – Úgynevezett »fokozatos válaszadási« eljárás – A szerzői vagy szomszédos jogokat sértő tevékenységekhez használt IP‑címeknek a jogtulajdonosok szervezetei általi előzetes gyűjtése – A szerzői és szomszédos jogok védelméért felelős hatóságnak az ezen IP‑címeknek megfelelő, személyazonosságára vonatkozó, az elektronikus hírközlési szolgáltatók által megőrzött adatokhoz való későbbi hozzáférése – Automatizált kezelés – Bíróság vagy független közigazgatási szerv általi előzetes felülvizsgálatra vonatkozó követelmény – Anyagi jogi és eljárásjogi feltételek – A visszaélések kockázatával, valamint az ilyen adatokhoz való bármely hozzáféréssel és azok jogellenes felhasználásával szembeni garanciák”

A C‑470/21. sz. ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Conseil d’État (államtanács, Franciaország) a Bírósághoz 2021. július 30‑án érkezett, 2021. július 5‑i határozatával terjesztett elő

a La Quadrature du Net,

a Fédération des fournisseurs d’accès à Internet associatifs,

a Franciliens.net,

a French Data Network

és

a Premier ministre,

a Ministre de la Culture

között folyamatban lévő eljárásban,

A BÍRÓSÁG (teljes ülés),

tagjai: K. Lenaerts elnök, L. Bay Larsen elnökhelyettes, A. Arabadjiev, A. Prechal (előadó), K. Jürimäe, C. Lycourgos, E. Regan, T. von Danwitz, F. Biltgen, N. Piçarra és Csehi Z. tanácselnökök, M. Ilešič, J.‑C. Bonichot, S. Rodin, P. G. Xuereb, L. S. Rossi, I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl, I. Ziemele, J. Passer, D. Gratsias, M. L. Arastey Sahún és M. Gavalec bírák,

főtanácsnok: M. Szpunar,

hivatalvezető: V. Giacobbo és M. Krausenböck tanácsosok,

tekintettel az írásbeli szakaszra és a 2022. július 5‑i tárgyalásra,

figyelembe véve a következők által előterjesztett észrevételeket:

–        a La Quadrature du Net, a Fédération des fournisseurs d’accès à Internet associatifs, a Franciliens.net és a French Data Network képviseletében A. Fitzjean Ó Cobhthaigh avocat,

–        a francia kormány képviseletében A. Daniel, A.‑L. Desjonquères és J. Illouz, meghatalmazotti minőségben,

–        a dán kormány képviseletében J. F. Kronborg és V. Pasternak Jørgensen, meghatalmazotti minőségben,

–        az észt kormány képviseletében M. Kriisa, meghatalmazotti minőségben,

–        a finn kormány képviseletében H. Leppo, meghatalmazotti minőségben,

–        a svéd kormány képviseletében H. Shev, meghatalmazotti minőségben,

–        a norvég kormány képviseletében F. Bergsjø, S.‑E. Dahl, J. T. Kaasin és P. Wennerås, meghatalmazotti minőségben,

–        az Európai Bizottság képviseletében S. L. Kalėda, H. Kranenborg, P.‑J. Loewenthal és F. Wilman, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2022. október 27‑i tárgyaláson történt meghallgatását követően,

tekintettel a szóbeli szakasz újbóli megnyitását elrendelő, 2023. március 23‑i végzésre és a 2023. május 15‑i tárgyalásra,

figyelembe véve a következők által előterjesztett észrevételeket:

–        a La Quadrature du Net, a Fédération des fournisseurs d’accès à Internet associatifs, a Franciliens.net és a French Data Network képviseletében A. Fitzjean Ó Cobhthaigh avocat,

–        a francia kormány képviseletében R. Bénard, J. Illouz és T. Stéhelin, meghatalmazotti minőségben,

–        a cseh kormány képviseletében T. Suchá és J. Vláčil, meghatalmazotti minőségben,

–        a dán kormány képviseletében J. F. Kronborg és C. A.‑S. Maertens, meghatalmazotti minőségben,

–        az észt kormány képviseletében M. Kriisa, meghatalmazotti minőségben,

–        Írország képviseletében M. Browne Chief State Solicitor, valamint A. Joyce és D. O’Reilly, meghatalmazotti minőségben, segítőjük: D. Fenelly BL,

–        a spanyol kormány képviseletében A. Gavela Llopis, meghatalmazotti minőségben,

–        a ciprusi kormány képviseletében I. Neophytou, meghatalmazotti minőségben,

–        a lett kormány képviseletében J. Davidoviča és K. Pommere, meghatalmazotti minőségben,

–        a holland kormány képviseletében E. M. M. Besselink, M. K. Bultermann és A. Hanje, meghatalmazotti minőségben,

–        a finn kormány képviseletében A. Laine és H. Leppo, meghatalmazotti minőségben,

–        a svéd kormány képviseletében F.‑D. Göransson és H. Shev, meghatalmazotti minőségben,

–        a norvég kormány képviseletében S.‑E. Dahl és P. Wennerås, meghatalmazotti minőségben,

–        az Európai Bizottság képviseletében S. L. Kalėda, H. Kranenborg, P.‑J. Loewenthal és F. Wilman, meghatalmazotti minőségben,

–        az európai adatvédelmi biztos képviseletében V. Bernardo, C.‑A. Marnier, D. Nardi és M. Pollmann, meghatalmazotti minőségben,

–        az Európai Uniós Kiberbiztonsági Ügynökség képviseletében A. Bourka, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2023. szeptember 28‑i tárgyaláson történt meghallgatását követően,

meghozta a következő

Ítéletet

1        Az előzetes döntéshozatal iránti kérelem a 2009. november 25‑i 2009/136/EK európai parlamenti és tanácsi irányelvvel (HL 2009. L 337., 11. o.; helyesbítés: HL 2013. L 241., 9. o.) módosított, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelvnek (elektronikus hírközlési adatvédelmi irányelv) (HL 2002. L 201., 37. o.; magyar nyelvű különkiadás 13. fejezet, 29. kötet, 514. o.; a továbbiakban: 2002/58 irányelv) az Európai Unió Alapjogi Chartája (a továbbiakban: Charta) fényében történő értelmezésére irányul.

2        E kérelmet a La Quadrature du Net, a Fédération des fournisseurs d’accès à Internet associatifs, a Franciliens.net, valamint a French Data Network egyesületek és a Premier ministre (miniszterelnök, Franciaország), illetve a ministre de la Culture (kulturális miniszter, Franciaország) között a décret n^o 2017‑924, du 6 mai 2017, relatif à la gestion des droits d’auteur et des droits voisins par un organisme de gestion de droits et modifiant le code de la propriété intellectuelle (a szerzői és szomszédos jogok jogkezelő szervezet általi kezeléséről és a szellemi tulajdonjogi törvénykönyv módosításáról szóló, 2017. május 6‑i 2017‑924. számú rendelet, a JORF 2017. május 10‑i 109. száma, 176. sz. szöveg) által módosított décret n^o 2010‑236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331‑29 du code de la propriété intellectuelle dénommé «Système de gestion des mesures pour la protection des œuvres sur internet» (a szellemi tulajdonról szóló törvénykönyv L. 331‑29. cikke által engedélyezett, „Az internetes művek védelmét szolgáló intézkedések irányítási rendszere” néven ismert, a személyes adatok automatizált kezeléséről szóló, 2010. március 5‑i 2010‑236. sz. rendelet, a JORF 2010. március 7‑i 56. száma, 19. sz. szöveg; a továbbiakban: 2010‑236. sz. rendelet) jogszerűsége tárgyában folyamatban lévő eljárásban terjesztették elő.

 Jogi háttér

 Az uniós jog

 A személyes adatok védelmére vonatkozó általános szabályozás

–       A 95/46/EK irányelv

3        A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) II. fejezetének „Az adatfeldolgozás [helyesen: adatkezelés] jogszerűvé tételére vonatkozó kritériumok” című II. szakaszában található 7. cikke a következőképpen szólt:

„A tagállamok rendelkeznek arról, hogy a személyes adatok csak abban az esetben dolgozhatók fel [helyesen: kezelhetők], ha:

[…]

f)      az adatfeldolgozás [helyesen: adatkezelés] az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges [helyesen: vagy azon harmadik fél vagy felek jogos érdekének érvényesítéséhez szükséges, akivel vagy akikkel az adatokat közölték], kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek az 1. cikk (1) bekezdése értelmében védelmet élvező érdekei az alapvető jogok és szabadságok tekintetében.”

4        Az említett irányelv 13. cikkének (1) bekezdése így rendelkezett:

„A tagállamok jogszabályokat fogadhatnak el a 6. cikk (1) bekezdésében, a 10. cikkben, a 11. cikk (1) bekezdésében, valamint a 12. és a 21. cikkben foglalt jogok és kötelezettségek körének [helyesen: hatályának] korlátozására, amennyiben a korlátozás az alábbiak biztosításához szükséges:

[…]

g)      az érintett, vagy mások jogainak és szabadságainak védelme.”

–       Az általános adatvédelmi rendelet

5        A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: általános adatvédelmi rendelet) „Tárgyi hatály” című 2. cikkének (1) és (2) bekezdése a következőképpen rendelkezik:

„(1)      E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(2)      E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:

[…]

d)      az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.”

6        Az általános adatvédelmi rendelet „Fogalommeghatározások” című 4. cikke szerint:

„E rendelet alkalmazásában:

1.      »személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; […]

2.      »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közléstovábbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

[…]”

7        E rendeletnek „Az adatkezelés jogszerűsége”című 6. cikkének (1) bekezdése a következőket írja elő:

„A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

[…]

f)      az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé […]

Az első albekezdés f) pontja nem alkalmazandó a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.”

8        Az említett rendeletnek „A személyes adatok különleges kategóriáinak kezelése” című 9. cikke (2) bekezdésének e) és f) pontja előírja, hogy a személyes adatok bizonyos típusai – többek között a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok – kezelésének tilalma nem alkalmazandó, ha az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott, vagy többek között jogi igények megállapításához, érvényesítéséhez, illetve védelméhez szükséges.

9        Az általános adatvédelmi rendelet „Korlátozások” című 23. cikkének (1) bekezdése a következőképpen rendelkezik:

„Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

[…]

i)      az érintett védelme vagy mások jogainak és szabadságainak védelme;

j)      polgári jogi követelések érvényesítése.”

 A személyes adatok védelmére vonatkozó ágazati szabályozás

–       A 2002/58 irányelv

10      A 2002/58 irányelv (2), (6), (7), (11), (26) és (30) preambulumbekezdése a következőket mondja ki:

„(2)      Ennek az irányelvnek a célja az alapvető jogok tiszteletben tartása, és ez az irányelv figyelembe veszi különösen [a Chartában] elismert elveket. Ennek az irányelvnek célja különösen az említett [C]harta 7. és 8. cikkében megállapított jogok teljes tiszteletben tartásának biztosítása.

[…]

(6)      Az Internet felborítja a hagyományos piaci struktúrákat azáltal, hogy közös, világméretű infrastruktúrát biztosít az elektronikus hírközlési szolgáltatások széles körének szolgáltatásához. Az Interneten keresztül nyilvánosan elérhető elektronikus hírközlési szolgáltatások új lehetőségeket jelentenek a felhasználók számára, de egyben új veszélyeket is rejtenek személyes adataik és a magánélet tiszteletben tartásához való joguk vonatkozásában.

(7)      A nyilvános hírközlő hálózatok esetében különös törvényi, rendeleti és műszaki rendelkezéseket kell megállapítani a természetes személyek alapvető jogainak és szabadságainak, valamint a jogi személyek jogos érdekeinek védelme érdekében, különösen az előfizetői és felhasználói adatok automatikus tárolását és feldolgozását [helyesen: kezelését] szolgáló növekvő kapacitásra tekintettel.

[…]

(11)      A [95/46] irányelvhez hasonlóan, ez az irányelv nem szól a közösségi jog által nem szabályozott tevékenységekkel kapcsolatos alapvető jogok és szabadságok védelmének kérdéseiről. Ezáltal nem borítja fel a meglévő egyensúlyt az egyén magánélet tiszteletben tartásához való joga és a tagállamok azon lehetősége között, hogy a közbiztonság védelme, a nemzetvédelem, a nemzetbiztonság (beleértve a nemzetbiztonsági ügyekkel kapcsolatos tevékenységek tekintetében az állam gazdasági prosperitását), valamint a büntetőjogi szankciók végrehajtásának érdekében szükséges, az ezen irányelv 15. cikkének (1) bekezdésében említett intézkedéseket meghozzák. Következésképpen ez az irányelv nem érinti a tagállamok azon lehetőségét, hogy jogszerűen megfigyeljék az elektronikus közléseket, vagy – ha bármely említett cél érdekében szükséges – olyan egyéb intézkedéseket hozzanak, amelyek összhangban vannak az [1950. november 4‑én Rómában aláírt] emberi jogok és alapvető szabadságok védelméről szóló európai egyezménynek [(kihirdette: az 1993. évi XXXI. törvény)] az Emberi Jogok Európai Bírósága által hozott határozatok szerint értelmezett szövegével. Az ilyen intézkedéseknek megfelelőnek, a tervezett céllal szigorúan arányosnak és egy demokratikus társadalomban szükségesnek kell lenniük, továbbá az ilyen intézkedésekre az Emberi jogok és alapvető szabadságok védelméről szóló európai egyezménnyel összhangban megfelelő garanciáknak kell vonatkozniuk.

[…]

(26)      Az elektronikus hírközlő hálózatokon kezelt, a csatlakozás létrejöttéhez és az adattovábbításhoz szükséges, előfizetőkre vonatkozó adatok természetes személyek magánéletére vonatkozó információkat tartalmaznak, és érintik azoknak a levéltitokhoz való jogát, illetve a jogi személyek jogos érdekeit. Az ilyen adatokat kizárólag a szolgáltatásnyújtáshoz szükséges mértékig lehet tárolni, a számlázás és az összekapcsolási díjak megfizetése céljából, és a tárolás csak korlátozott ideig tarthat. [Ezen adatok bármely további kezelése] kizárólag akkor engedélyezhető, ha a nyilvánosan elérhető elektronikus hírközlési szolgáltatások szolgáltatója az előfizetőt pontosan és teljeskörűen tájékoztatta arról, hogy milyen további adatfeldolgozást [helyesen: adatkezelést] kíván végezni, valamint arról, hogy az előfizetőnek joga van az ilyen adatfeldolgozáshoz [helyesen: adatkezeléshez] való hozzájárulást megtagadni és a hozzájárulását visszavonni, továbbá e tájékoztatás alapján az előfizető az adatfeldolgozáshoz [helyesen: adatkezeléshez] hozzájárult. […]

[…]

(30)      Az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások rendszereit úgy kell megtervezni, hogy a szükséges személyes adatok mennyisége szigorúan a minimálisra korlátozott legyen. […]”

11      A 2002/58 irányelv „Fogalom‑meghatározások” című 2. cikke értelmében:

„[…]

Szintén alkalmazni kell a következő fogalom‑meghatározásokat:

a)      »felhasználó«: a nyilvánosan elérhető elektronikus hírközlési szolgáltatást magáncéllal vagy üzleti céllal használó minden természetes személy, aki nem feltétlenül előfizetője az adott szolgáltatásnak;

b)      »forgalmi adat«: egy közlésnek az elektronikus hírközlő hálózaton keresztül történő továbbítása vagy erre vonatkozó számlázás céljából kezelt minden adat;

c)      »helymeghatározó adat«: egy nyilvánosan elérhető elektronikus hírközlési szolgáltatás felhasználója végberendezésének földrajzi helyzetét jelző, az elektronikus hírközlő hálózatban vagy elektronikus hírközlési szolgáltatás keretében kezelt minden adat;

[…]”

12      Az irányelvnek „Az érintett szolgáltatások” című 3. cikke az alábbiak szerint rendelkezik:

„Ezt az irányelvet a Közösségben a nyilvánosan elérhető hírközlési szolgáltatások nyilvános hírközlő hálózaton – az adatgyűjtést és az azonosító eszközöket támogató nyilvános hírközlő hálózatokat is beleértve – történő nyújtásával összefüggő személyes adatok kezelésére kell alkalmazni.”

13      Az említett irányelvnek „A közlések titkossága” című 5. cikke értelmében:

„(1)      A tagállamok nemzeti jogszabályok révén biztosítják a nyilvános hírközlő hálózatok és a nyilvánosan elérhető elektronikus hírközlési szolgáltatások segítségével történő közlések és az azokra vonatkozó forgalmi adatok titkosságát. Különösen megtiltják a közlések és az azokra vonatkozó forgalmi adatok felhasználókon kívüli személyek által történő, az érintett felhasználó hozzájárulása nélküli meghallgatását, lehallgatását, tárolását vagy más módon történő elfogását vagy megfigyelését, kivéve, ha az ilyen személy a 15. cikk (1) bekezdésével összhangban jogszerűen jár el. Ez a bekezdés nem akadályozza a közlés továbbításához szükséges műszaki tárolást, a bizalmas adatkezelés elvének sérelme nélkül.

[…]

(3)      A tagállamok gondoskodnak arról, hogy egy előfizető vagy felhasználó végberendezésében történő adattárolás, illetve az ott tárolt adatokhoz való hozzáférés csak azzal a feltétellel legyen megengedett, ha az érintett előfizető vagy felhasználó a [95/46] irányelvvel összhangban történő – többek között az adatkezelés céljairól szóló – egyértelmű és teljes körű tájékoztatás alapján ehhez előzetes hozzájárulását adta. […]”

14      Ugyanezen irányelv „Forgalmi adatok” című 6. cikke a következőképpen rendelkezik:

„(1)      E cikk (2), (3) és (5) bekezdésének, valamint a 15. cikk (1) bekezdésének sérelme nélkül, az előfizetőkre és felhasználókra vonatkozó, a nyilvános hírközlő hálózat vagy nyilvánosan elérhető elektronikus hírközlési szolgáltatás nyújtója által feldolgozott [helyesen: kezelt] és tárolt forgalmi adatokat törölni kell, vagy anonimmé kell tenni, ha a közlés továbbításához ezek már nem szükségesek.

(2)      Az előfizetői számlázás és az összekapcsolási díjak megállapítása céljából szükséges forgalmi adatok kezelhetők. Az ilyen adatkezelés kizárólag annak az időszaknak a végéig megengedett, ameddig a számla jogszerűen megtámadható, illetve a kifizetés követelhető.

(3)      Az elektronikus hírközlési szolgáltatások értékesítése vagy értéknövelt szolgáltatások nyújtása céljából, a nyilvánosan elérhető elektronikus hírközlési szolgáltatás nyújtója az ilyen szolgáltatásokhoz, illetve értékesítéshez szükséges mértékig és ideig feldolgozhatja [helyesen: kezelheti] az (1) bekezdésben említett adatokat, amennyiben az az előfizető vagy felhasználó, akire az adat vonatkozik, az adatfeldolgozáshoz [helyesen: adatkezeléshez] előzetesen hozzájárult. A felhasználó és az előfizető a forgalmi adatok feldolgozására [helyesen: kezelésére] vonatkozó hozzájárulását bármikor visszavonhatja.

[…]

(5)      A forgalmi adatoknak az (1), (2), (3), és (4) bekezdéssel összhangban történő feldolgozását [helyesen: kezelését] csak olyan személy végezheti, aki a nyilvános hírközlő hálózatokat és nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltató irányítása alatt számlakezeléssel vagy forgalomirányítással foglalkozik, vagy ügyfélszolgálatot lát el, vagy csalások felderítésével, az elektronikus hírközlési szolgáltatások értékesítésével vagy értéknövelt szolgáltatások nyújtásával foglalkozik; ezt az adatfeldolgozást [helyesen: adatkezelést] az említett tevékenységek céljának megfelelő mértékre kell korlátozni.”

15      A 2002/58 irányelvnek „A [95/46] irányelv egyes rendelkezéseinek alkalmazása” című 15. cikkének (1) bekezdése kimondja:

„(1)      A tagállamok jogszabályi intézkedéseket fogadhatnak el az ezen irányelv 5. és 6. cikkében, 8. cikkének (1), (2), (3) és (4) bekezdésében, valamint 9. cikkében előírt jogok és kötelezettségek hatályának korlátozására vonatkozóan, ha az ilyen jellegű korlátozás – a [95/46] irányelv 13. cikkének (1) bekezdésében említettek szerint – egy demokratikus társadalomban szükséges, megfelelő és arányos intézkedésnek minősül a nemzetbiztonság (vagyis az állam biztonsága), a nemzetvédelem és a közbiztonság védelme érdekében, valamint a bűncselekmények, illetve az elektronikus hírközlési rendszer jogosulatlan használata megelőzésének, kivizsgálásának, felderítésének és üldözésének a biztosítása érdekében. E célból a tagállamok többek között jogszabályi intézkedéseket fogadhatnak el az adatoknak az e bekezdésben megállapított indokok alapján korlátozott ideig történő visszatartására [helyesen: megőrzésére] vonatkozóan. Az e bekezdésben említett valamennyi intézkedésnek összhangban kell lennie a közösségi jog általános elveivel, beleértve az [EUSZ 6. cikk] (1) és (2) bekezdésében említetteket.

[…]

(2)      A [95/46] irányelv bírósági jogorvoslatról, felelősségről és szankciókról szóló III. fejezetének rendelkezéseit kell alkalmazni az ezen irányelv szerint elfogadott nemzeti rendelkezésekre és az ezen irányelvből eredő egyedi jogokra.

[…]”

–       Az (EU) 2016/680 irányelv

16      A személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/680 európai parlamenti és tanácsi irányelv (HL 2016. L 119., 89. o.; helyesbítések HL 2018. L 127., 7. o.; HL 2021. L 74., 39. o.) „Tárgy és célok” című 1. cikkének (1) bekezdése a következőket írja elő:

„Ez az irányelv szabályokat állapít meg a természetes személyek védelmére a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – így többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végzett kezelése tekintetében.”

17      Az említett irányelv „Fogalommeghatározások” című 3. cikke a következőképpen rendelkezik:

„Ezen irányelv alkalmazásában:

[…]

7.      »illetékes hatóság«:

a)      olyan közhatalmi szerv, amely a bűncselekmények megelőzését, nyomozását, felderítését vagy üldözését, illetve büntetőjogi szankciók végrehajtását illetően eljárni jogosult beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését; vagy

b)      bármely egyéb, olyan szerv vagy más jogalany, amely a tagállami jog alapján közfeladatokat lát el és közhatalmi jogosítványokat gyakorol a bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása céljából, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;

[…]”

 A szellemi tulajdonjogok védelmére vonatkozó szabályozás

18      A szellemi tulajdonjogok érvényesítéséről szóló, 2004. április 29‑i 2004/48/EK európai parlamenti és tanácsi irányelv (HL 2004. L 157., 45. o.; magyar nyelvű különkiadás 17. fejezet, 2. kötet, 32. o.) „Tájékoztatáshoz való jog” című 8. cikke ekként rendelkezik:

„(1)      A tagállamok biztosítják, hogy a szellemi tulajdonjog megsértése miatt indított eljárásokkal összefüggésben és a felperes indokolt és arányos kérelmére az illetékes bíróságok elrendelhessék, hogy a szellemi tulajdonjogot sértő áruk vagy szolgáltatások eredetéről és terjesztési hálózatairól a jogsértő és/vagy a következő személyek adjanak tájékoztatást […]

(2)      Az (1) bekezdésben említett tájékoztatás szükség szerint magában foglalja:

a)      az előállítók, gyártók, terjesztők, szállítók nevét és címét, az áruk vagy szolgáltatások egyéb korábbi birtokosainak nevét és címét, valamint a címzett nagykereskedők és kiskereskedők nevét és címét;

[…]

(3)      Az (1) és (2) bekezdés nem érinti azokat az egyéb törvényi rendelkezéseket, amelyek:

a)      a jogosult számára szélesebb körű tájékoztatáshoz való jogot biztosítanak;

b)      az e cikk szerint közölt információ polgári vagy büntetőeljárásban való felhasználását szabályozzák;

c)      a tájékoztatáshoz való joggal történő visszaélést szabályozzák; vagy

d)      lehetővé teszik az olyan tájékoztatás megtagadását, amely az (1) bekezdésben említett személyt arra kényszerítené, hogy magát vagy közeli hozzátartozóját a szellemi tulajdon megsértésében való részvétellel vádolja, vagy

e)      az információs források bizalmasságának védelmét vagy a személyes adatkezelést szabályozzák.”

 A francia jog

 A CPI

19      A code de la propriété intellectuelle (szellemi tulajdonról szóló törvénykönyv, a továbbiakban: CPI) L. 331‑12. cikkének az alapeljárás felperesei által vitatott határozat meghozatalának időpontjában hatályos szövege a következőképpen rendelkezik:

„Az Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet [(a művek internetes terjesztésével és a jogok védelmével foglalkozó főhatóság, Franciaország; a továbbiakban: Hadopi)] független hatóság. […]”

20      E törvénykönyv L. 331‑13. cikke a következőket írja elő:

„A [Hadopi] gondoskodik:

1°      a szerzői vagy szomszédos joggal védett műveknek és alkotásoknak a nyilvános hírközlési szolgáltatások nyújtására használt elektronikus hírközlő hálózatokon történő jogszerű kínálatának fejlesztésére való ösztönzésről, illetve a jogszerű és jogellenes felhasználás megfigyeléséről;

2°      e művek és alkotások védelméről az e jogokat érintő – a nyilvános online hírközlési szolgáltatások nyújtására használt elektronikus hírközlő hálózatokon – elkövetett jogsértésekkel szemben;

[…]”

21      Az említett törvénykönyv L. 331‑15. cikke értelmében:

„A [Hadopi] egy kollégiumból és egy jogvédő bizottságból áll. […]

[…]

A kollégium és a jogvédő bizottság tagjai hatáskörük gyakorlása során semmilyen hatóságtól nem kaphatnak utasítást.”

22      Ugyanezen törvénykönyv L. 331‑17. cikkének első bekezdése ekképp rendelkezik:

„A jogvédő bizottság feladata az L. 331‑25. cikkben előírt intézkedések megtétele.”

23      A CPI 331‑21. cikke értelmében:

„A jogvédő bizottság hatáskörének gyakorlása céljából a [Hadopi] rendelkezésére állnak a [Hadopi] elnök[e] által a Conseil d’État [(államtanács)] véleményének kikérését követően hozott rendeletben meghatározott feltételek szerint felhatalmazott, felesketett köztisztviselők. […]

A jogvédelmi bizottság tagjai és az előző bekezdésben említett tisztviselők megkapják az L. 331‑24. cikkben előírt feltételek mellett az említett bizottsághoz intézett megkereséseket. Elvégzik a tények vizsgálatát.

Az eljárás céljából bármilyen dokumentumot beszerezhetnek, adathordozótól függetlenül, beleértve a code des postes et des communications électroniques [(a postáról és az elektronikus hírközlésről szóló törvénykönyv)] L. 34‑1. cikke szerinti elektronikus hírközlési szolgáltatók és a loi n^o 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique [(a digitális gazdaságba vetett bizalomról szóló, 2004. június 21‑i 2004‑575. sz. törvény)] 6. cikke I. bekezdésének 1. és 2. pontjában említett szolgáltatók által megőrzött és kezelt adatokat.

Az előző bekezdésben említett dokumentumok másolatát is beszerezhetik.

Többek között az elektronikus hírközlési szolgáltatóktól beszerezhetik annak az előfizetőnek a személyazonosságát, postai címét, e‑mail‑címét és telefonszámát, akinek a nyilvános online hírközlési szolgáltatásokhoz való hozzáférését védett művek vagy alkotások többszörözése, megjelenítése, hozzáférhetővé tétele vagy nyilvánossághoz közvetítése céljából a jogosultak engedélye nélkül használták […], amennyiben ilyen engedély szükséges.”

24      E törvénykönyv L. 331‑24. cikke a következőképpen rendelkezik:

„A jogvédő bizottság az alábbi szervezetek által kijelölt, felesketett és felhatalmazott tisztviselők […] beadványai alapján jár el:

–        a szabályszerűen létrehozott hivatásos jogvédő szervezetek;

–        közös jogkezelő szervezetek;

–        Centre national du cinéma et de l’image animée [(nemzeti film‑ és mozgókép intézet, Franciaország)].

A jogvédő bizottság az ügyész által hozzá eljuttatott információk alapján is eljárhat.

Nem kezdeményezhető előtte eljárás hat hónapnál régebben felmerült tények alapján.”

25      Az említett törvénykönyvnek az úgynevezett „fokozatos válaszadási” eljárást szabályozó L. 331‑25. cikke szerint:

„Ha olyan tények jutnak a jogvédő bizottság tudomására, amelyek valószínűsíthetően a [CPI] L. 336‑3. cikkében meghatározott kötelezettség megszegését jelentik, […] ajánlást küldhet az előfizetőnek […], amelyben emlékezteti őt az L. 336‑3. cikk rendelkezéseire, felszólítja az ott meghatározott kötelezettség betartására, és figyelmezteti az L. 335‑7. és az L. 335‑7‑1. cikk alapján kiszabható szankciókra. Ez az ajánlás az előfizető számára egyben tájékoztatást nyújt az online kulturális tartalmak jogszerű szolgáltatásáról, az L. 336‑3. cikkben meghatározott kötelezettség megsértését megelőző biztonsági intézkedésekről, valamint a szerzői és szomszédos jogokat figyelmen kívül hagyó gyakorlatoknak a művészeti alkotótevékenység fennmaradását és a kulturális ágazat gazdasági helyzetét érintő veszélyeiről.

Amennyiben az első bekezdésben említett ajánlástól számított hat hónapon belül ismételten olyan tények merülnek fel, amelyek az L. 336‑3. cikkben meghatározott kötelezettség megsértését valószínűsítik, a bizottság elektronikus úton új ajánlást küldhet, amely az előző ajánlással megegyező információkat tartalmazza […]. Az ajánlást tértivevényes levéllel vagy bármely más, az ajánlás átadásának időpontját igazoló módon kell elküldeni.

Az e cikk alapján megfogalmazott ajánlásokban fel kell tüntetni azt a napot és időpontot, amikor az L. 336‑3. cikkben meghatározott kötelezettség megsértését valószínűsítő tényeket észlelték. Az ajánlások azonban nem tartalmazhatják a jogsértéssel érintett védett művek vagy alkotások tartalmát. Meg kell bennük jelölni azokat a telefonos, postai és elektronikus elérhetőségeket, amelyeken a címzett – ha kívánja – a jogvédő bizottságnál észrevételeket tehet, és – ha kifejezetten kéri – részleteket kaphat a feltételezett jogsértéssel érintett védett művek vagy alkotások tartalmáról.”

26      A CPI L. 331‑29. cikke a következőképpen rendelkezik:

„A [Hadopi] jogosult az ezen alszakasz szerinti eljárás tárgyát képező személyekre vonatkozó személyes adatok automatizált kezelésére.

Ezen adatkezelés célja az ebben az alszakaszban előírt intézkedéseknek, az összes kapcsolódó eljárási aktusnak, valamint a hivatásos jogvédő szervezetek és a közös jogkezelő szervek bírósági eljárás esetleges kezdeményezéséről való tájékoztatásával kapcsolatos eljárásoknak, valamint az L. 335‑7. cikk ötödik bekezdésében előírt értesítéseknek a jogvédő bizottság általi végrehajtása.

E cikk alkalmazásának részletes szabályait […] rendelet állapítja meg. A rendelet egyebek mellett a következőket határozza meg:

–        a rögzített adatok kategóriáit és megőrzésük időtartamát;

–        azon címzetteket, akik jogosultak arra, hogy ezeket az adatokat megkapják, így különösen a nyilvános online hírközlési szolgáltatásokhoz való hozzáférést nyújtó személyek;

–        azokat a feltételeket, amelyek mellett az érdekelt személyek gyakorolhatják a rájuk vonatkozó adatokhoz való hozzáférés jogát a [Hadopinál] […]”

27      E törvénykönyv L. 335‑2. cikkének első és második bekezdése pontosítja:

„Bármely írásmű, zenemű, rajz, festmény vagy bármely más – nyomtatott vagy gravírozott – alkotás egészének vagy részének a szerzői jogokra vonatkozó törvények és rendeletek megsértésével történő szerkesztése hamisításnak minősül, és mindennemű hamisítás vétség.

A Franciaországban vagy külföldön megjelent művek Franciaországban megvalósított hamisítása három év szabadságvesztéssel és 300 000 euró pénzbüntetéssel büntetendő.”

28      Az említett törvénykönyv L. 335‑4. cikkének első bekezdése a következőket mondja ki:

„Három év szabadságvesztéssel és 300 000 euró pénzbüntetéssel büntetendő valamely előadásnak, hangfelvételnek, videofelvételnek, műsorszámnak vagy sajtóterméknek az előadóművész, a hangfelvétel vagy videofelvétel készítője, az audiovizuális kommunikációs vállalkozás, a sajtókiadó vagy sajtóügynökség engedélye nélküli rögzítése, többszörözése, a nyilvánosság számára – térítés ellenében vagy díjmentesen – történő közvetítése, illetve hozzáférhetővé tétele, valamint sugárzása, amennyiben ehhez engedély szükséges.”

29      A CPI L. 335‑7. cikke a különösen az e törvénykönyv L. 335‑2. és L. 335‑4. cikkében említett bűncselekmények elkövetésében bűnösnek talált személyekkel szemben a nyilvános online hírközlési szolgáltatáshoz való hozzáférés legfeljebb egyéves időtartamra történő felfüggesztésének mellékbüntetését szabályozza.

30      Az említett törvénykönyv L. 335‑7‑1. cikkének első bekezdése a következőképpen szól:

„A jelen törvénykönyvben meghatározott ötödik osztályú szabálysértések esetében, az L. 335‑7. cikkben meghatározott mellékbüntetés – amennyiben azt a rendelet kilátásba helyezi – súlyos gondatlanság esetén azonos módon szabható ki az olyan online nyilvános hírközlési szolgáltatáshoz való hozzáférés jogosultjával szemben, akihez a jogvédő bizottság az L. 331‑25. cikk alapján tértivevényes levélben vagy a kézbesítés időpontjának bizonyítására alkalmas más módon előzetesen ajánlást intézett, amelyben felhívta a figyelmét az internethez való hozzáférés biztonságossá tételét szolgáló eszköz alkalmazására.”

31      Ugyanezen törvénykönyv L. 336‑3. cikke értelmében:

„A nyilvános online hírközlési szolgáltatásokhoz való hozzáférés jogosultja köteles biztosítani, hogy ezt a hozzáférést ne használják fel a szerzői vagy szomszédos jog által védett műveknek vagy alkotásoknak a jogosultak engedélye nélkül történő többszörözésére, megjelenítésére, hozzáférhetővé tételére vagy nyilvánossághoz közvetítésére […], amennyiben ilyen engedély szükséges.

Az első bekezdésben meghatározott kötelezettségnek a hozzáférés jogosultja részéről történő elmulasztása nem vonja maga után az érintett személy büntetőjogi felelősségét […]”

32      A CPI R. 331‑37. cikkének első bekezdése szerint:

„Az elektronikus hírközlési szolgáltatást végzők és a […] szolgáltatók […], amennyiben szükséges, kötelesek – az L. 331‑29. cikkben említett, személyes adatok automatizált kezelésére szolgáló összeköttetés útján vagy a személyes adatok integritását és biztonságát biztosító adathordozó használatával – a 2010‑236. sz. rendelet mellékletének 2. pontjában említett személyes adatokat és információkat […] attól számított nyolc napon belül közölni, hogy a jogvédő bizottság továbbította annak az előfizetőnek az azonosításához szükséges technikai adatokat, akinek a nyilvános online hírközlési szolgáltatásokhoz való hozzáférését a jogtulajdonosok engedélye nélkül a védett művek vagy alkotások többszörözésére, megjelenítésére, hozzáférhetővé tételére vagy nyilvánossághoz közvetítésére használták.”

33      Ezen törvénykönyv R. 331‑40. cikke értelmében:

„Ha az L. 335‑7‑1. cikk első bekezdésében említett ajánlás kézbesítését követő egy éven belül a jogvédő bizottság elé az R. 335‑5. cikkben meghatározott súlyos gondatlanságot valószínűsítő új tények kerülnek, tértivevényes levélben tájékoztatja az előfizetőt arról, hogy e tények alapján eljárás indulhat. E levélben felhívja az érintettet, hogy tizenöt napon belül nyújtsa be észrevételeit. Pontosítja, hogy ugyanezen határidőn belül kérheti az L. 331‑21‑1. cikk szerinti meghallgatást, és joga van ügyvédi segítséget igénybe venni. Felkéri továbbá, hogy pontosítsa családi kiadásait és pénzforrásait.

A bizottság saját kezdeményezésére meghallgatásra idézheti az érintettet. Az idézés pontosítja, hogy jogában áll ügyvédi segítséget igénybe venni.”

34      A CPI R. 335‑5. cikke a következőképpen rendelkezik:

„I. – Ötödik osztályú szabálysértések esetén előírt pénzbírsággal büntetendő súlyos gondatlanságnak minősül, ha a nyilvános online hírközlési szolgáltatásokhoz hozzáféréssel rendelkező személy jogos ok nélkül elköveti az alábbiakat, amennyiben a II. pontban meghatározott feltételek fennállnak:

1°      Vagy nem hozott létre olyan eszközt, amely biztonságossá teszi ezt a hozzáférést;

2°      Vagy nem járt el kellő gondossággal ezen eszközök alkalmazása során.

II. – Az I. pont rendelkezései csak akkor alkalmazhatók, ha a következő két feltétel teljesül:

1°      Az L. 331‑25. cikk értelmében és az e cikkben előírt módon a hozzáférés jogosultjának a jogvédő bizottság azt ajánlotta, hogy a hozzáférés biztonságossá tételére olyan eszközt alkalmazzon, amely megakadályozza a hozzáférésnek a szerzői jog vagy szomszédos jog által védett művek vagy alkotások többszörözése, megjelenítése, hozzáférhetővé tétele vagy nyilvánossághoz közvetítése céljából, a jogosultak engedélye nélkül történő ismételt használatát […], amennyiben ilyen engedély szükséges;

2°      A fenti ajánlás megtételét követő évben az ilyen hozzáférést ismét a II. pont 1. alpontjában említett célokra használják.”

35      2022. január 1‑jétől a loi n^o 2021‑1382, du 25 octobre 2021, relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique (a digitális korban a kulturális alkotásokhoz való hozzáférés szabályozásáról és védelméről szóló, 2021. október 25‑i 2021‑1382. sz. törvény, a JORF 2021. október 26‑i 250. száma, 2. sz. szöveg) alapján a Hadopi összeolvadt egy másik független állami hatósággal, a Conseil supérieur de l’audiovisuellel (CSA) (legfelsőbb audiovizuális tanács), melynek következtében létrejött az Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) (audiovizuális és digitális hírközlési szabályozó hatóság).

36      A jelen ítélet 25. pontjában említett fokozatos válaszadási eljárás azonban lényegében változatlan maradt, jóllehet azt ezentúl nem a Hadopi jogvédő bizottsága, amely a Conseil d’État (államtanács), a Cour des comptes (számvevőszék), illetve a Cour de cassation (semmítőszék) által kijelölt három tagból állt, hanem az ARCOM testületének két tagja folytatja le, akik közül az egyiket a Conseil d’État (államtanács), a másikat pedig a Cour de cassation (semmítőszék) jelöli.

 A 2010‑236. sz. rendelet

37      A többek között a CPI L. 331‑29. cikke alapján elfogadott 2010‑236. sz. rendelet 1. cikke a következőket írja elő:

„»Az internetes művek védelmét szolgáló intézkedések irányítási rendszere« megnevezésű adatkezelés célja az alábbiaknak a [Hadopi] jogvédő bizottsága által történő végrehajtása:

1°      A [CPI] törvényi részének III. könyvében (III. cím, I. fejezet, 3. szakasz, 3. alszakasz) és ugyanezen törvénykönyv rendeleti részének III. könyvében (III. cím, I. fejezet, 2. szakasz, 2. alszakasz) előírt intézkedések;

2°      Az ugyanezen törvénykönyv L. 335‑2., L. 335‑3., L. 335‑4. és R. 335‑5. cikke szerinti bűncselekményeknek minősíthető tények alapján az ügyészség előtti eljárások megindítása, valamint a hivatásos jogvédő szervezeteknek és a közös jogkezelő szerveknek ezen eljárásokról való tájékoztatása;

[…]”

38      E rendelet 4. cikke a következőképpen rendelkezik:

„I. – A [Hadopi] elnöke által a [CPI] L. 331‑21. cikke alapján felhatalmazott, felesketett köztisztviselők, és az 1. cikkben említett jogvédő bizottság tagjai közvetlen hozzáféréssel rendelkeznek az e rendelet mellékletében említett személyes adatokhoz és információkhoz.

II – A rendelet mellékletének 2. pontjában említett elektronikus hírközlési szolgáltatást végzők és szolgáltatók tájékoztatást kapnak:

–        az előfizető azonosításához szükséges műszaki adatokról;

–        a [CPI] L. 331‑25. cikkében előírt ajánlásokról azzal a céllal, hogy azokat elektronikus úton megküldjék előfizetőiknek;

–        az ügyész által a jogvédő bizottság tudomására hozott, a nyilvános online hírközlési szolgáltatáshoz való hozzáférés felfüggesztésére vonatkozó további szankciók végrehajtásához szükséges információkról.

III – A hivatásos jogvédő szervezetek és a közös jogkezelő szervek tájékoztatást kapnak arról, ha az ügyész előtt eljárást kezdeményeztek.

IV – Az igazságügyi hatóságok tájékoztatást kapnak a [CPI] L. 335‑2., L. 335‑3., L. 335‑4., L. 335‑7., R. 331‑37., R. 331‑38. és R. 335‑5. cikke szerinti szabálysértéseket valószínűleg megvalósító tényállásokat megállapító jegyzőkönyvekről.

A felfüggesztett büntetés végrehajtásáról tájékoztatni kell az automatizált bűnügyi nyilvántartást.”

39      Az említett rendelet melléklete előírja:

„»Az internetes művek védelmét szolgáló intézkedések irányítási rendszere« néven ismert adatkezelés során rögzített személyes adatok és információk a következők:

1°      A szabályszerűen létrehozott hivatásos jogvédő szervezetektől, a közös jogkezelő szervektől, a nemzeti film és animációs művészeti központtól és az ügyészségtől származó személyes adatok és információk:

A [CPI] L. 336‑3. cikkében meghatározott kötelezettség megsértését valószínűsítő tények vonatkozásában:

Az tények napja és időpontja;

Az érintett előfizetők IP‑címe;

A használt peer‑to‑peer protokoll;

Az előfizető által használt álnév;

A tények által érintett védett művekre vagy alkotásokra vonatkozó információk;

A fájl neve az előfizető számítógépén (ha van ilyen);

Az az internetszolgáltató, amelynél a hozzáférésre előfizettek, vagy amely az IP technikai erőforrását biztosította.

[…]

2°      Az előfizetőre vonatkozó azon személyes adatok és információk, amelyeket az elektronikus hírközlési szolgáltatók […] és szolgáltatók […] gyűjtöttek össze:

Családnév, utónevek;

Postacím és e‑mail‑címek;

Telefonos elérhetőségek;

Az előfizető telefonkészülékének helye;

Az internet‑hozzáférési szolgáltatást nyújtó szolgáltató, aki az 1. pontban említett, azon hozzáférést biztosító szolgáltató technikai erőforrásait használja, akivel az előfizető szerződést kötött;

a nyilvános online hírközlési szolgáltatáshoz való hozzáférés felfüggesztésének kezdete.

[…]”

 A postáról és az elektronikus hírközlésről szóló törvénykönyv

40      A code des postes et des communications électroniques (a postáról és az elektronikus hírközlésről szóló törvénykönyv) L. 34‑1. cikkének II bis bekezdése a következőképpen rendelkezik:

„Az elektronikus hírközlési szolgáltatók kötelesek megőrizni:

1°      Büntetőeljárás, a közbiztonságot fenyegető veszélyek megelőzése és a nemzetbiztonság védelme céljából a felhasználó személyazonosságára vonatkozó információkat, a szerződés érvényességének lejártától számított ötéves időtartam végéig;

2°      A jelen II bis bekezdés 1° pontjában meghatározott célokból a felhasználó által a szerződés megkötésekor vagy a fiók létrehozásakor megadott egyéb információkat, valamint a fizetéssel kapcsolatos információkat a szerződés érvényességének lejártától vagy a fiók megszüntetésétől számított egyéves időtartam végéig;

3°      A súlyos bűncselekmények és a bűnözés elleni küzdelem, a közbiztonságot fenyegető súlyos veszélyek megelőzése és a nemzetbiztonság védelme céljából a csatlakozás forrásának azonosítását lehetővé tévő műszaki adatokat vagy a használt végberendezéssel kapcsolatos adatokat a csatlakozástól vagy a végberendezés használatától számított egyéves időtartam végéig.”

 Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

41      Az alapeljárás felperesei, mivel a miniszterelnök hallgatólagosan elutasította a 2010‑236. sz. rendelet hatályon kívül helyezése iránti kérelmüket, 2019. augusztus 12‑i keresetlevelükkel keresetet nyújtottak be a Conseil d’État‑hoz (államtanács, Franciaország) e hallgatólagos elutasító határozat megsemmisítése iránt. Lényegében azzal érveltek, hogy az e rendelet jogalapjának részét képező CPI L. 331‑21. cikkének harmadik, negyedik és ötödik bekezdése egyrészt ellentétes a francia alkotmányban rögzített, a magánélet tiszteletben tartásához való joggal, másrészt pedig sérti az uniós jogot, különösen a 2002/58 irányelv 15. cikkét, valamint a Charta 7., 8., 11. és 52. cikkét.

42      A keresetnek az alkotmány állítólagos megsértésére vonatkozó vetületét illetően a Conseil d’État (államtanács) elsőbbségi alkotmányossági kérdéssel fordult a Conseil constitutionnelhez (alkotmánytanács, Franciaország).

43      A La Quadrature du Net és társai (A Hadopi közléshez való joga) 2020. május 20‑i 2020‑841 QPC. sz. határozatával a Conseil constitutionnel (alkotmánytanács) alkotmányellenesnek nyilvánította a CPI L. 331‑21. cikkének harmadik és negyedik bekezdését, ugyanakkor – az abban szereplő „többek között” kifejezés kivételével – az említett cikk ötödik bekezdését az alkotmánnyal összeegyeztethetőnek nyilvánította.

44      A keresetnek az uniós jog állítólagos megsértésére vonatkozó vetületét illetően az alapeljárás felperesei különösen azt állították, hogy a 2010‑236. sz. rendelet és az annak jogalapját képező rendelkezések aránytalan módon lehetővé teszik a csatlakozási adatokhoz való hozzáférést az interneten elkövetett, nem súlyos szerzői jogi jogsértések esetén, anélkül, hogy bíróság vagy a függetlenség és pártatlanság garanciáit biztosító hatóság előzetes felülvizsgálatot gyakorolna. Közelebbről, e jogsértések nem tartoznak a 2016. december 21‑i Tele2 Sverige és Watson és társai ítéletben (C‑203/15 és C‑698/15, EU:C:2016:970) említett „súlyos bűncselekmények” körébe.

45      E tekintetben a Conseil d’État (államtanács) emlékeztet egyrészt arra, hogy a 2020. október 6‑i La Quadrature du Net és társai ítéletben (C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791) a Bíróság többek között kimondta, hogy a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdésével nem ellentétesek az olyan jogszabályi intézkedések, amelyek a nemzetbiztonság védelme, a bűnözés elleni küzdelem és a közbiztonság védelme érdekében az elektronikus hírközlési eszközök felhasználóinak személyazonosságára vonatkozó adatok általános és különbségtétel nélküli megőrzését írják elő. Ennélfogva az elektronikus hírközlési eszközök felhasználóinak személyazonosságára vonatkozó adatok tekintetében az ilyen megőrzés általánosságban a bűncselekmények kivizsgálása, felderítése és üldözése érdekében külön határidő nélkül lehetséges. A 2002/58 irányelvvel nem ellentétes az ezen adatokhoz való ilyen célú hozzáférés sem.

46      A kérdést előterjesztő bíróság ebből azt a következtetést vonja le, hogy az elektronikus hírközlési eszközök felhasználóinak személyazonosságára vonatkozó adatokhoz való hozzáférést illetően el kell utasítani az alapeljárás felpereseinek arra alapított jogalapját, hogy a 2010‑236. sz. rendelet jogellenes, mivel azt a nem súlyos bűncselekmények elleni küzdelem keretében fogadták el.

47      Másrészt emlékeztet arra, hogy a 2016. december 21‑i Tele2 Sverige és Watson és társai ítéletben (C‑203/15 és C‑698/15, EU:C:2016:970) a Bíróság többek között kimondta, hogy a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdését úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely anélkül szabályozza a forgalmi és helymeghatározó adatok védelmét és biztonságát, különösen az illetékes nemzeti hatóságoknak a megőrzött adatokhoz való hozzáférését, hogy azt bíróság vagy független közigazgatási szerv előzetes felülvizsgálatához kötné.

48      A kérdést előterjesztő bíróság konkrétabban ezen ítélet 120. pontjára hivatkozik, amelyben a Bíróság pontosította, hogy alapvető fontosságú, hogy a megőrzött adatokhoz való ilyen hozzáférés főszabály szerint – a kellően indokolt sürgős esetek kivételével – valamely bíróság vagy független közigazgatási szerv által végzett előzetes felülvizsgálat tárgyát képezze, és hogy e bíróság vagy szerv különösen megelőzési, felderítési vagy bűnüldözési eljárások keretében az e hatóságok által előterjesztett indokolt kérelmet követően hozza meg határozatát.

49      A Bíróság emlékeztetett e követelményre a 2020. október 6‑i La Quadrature du Net és társai ítéletben (C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791), a csatlakozási adatoknak a hírszerző szolgálatok általi valós idejű gyűjtését illetően, valamint a 2021. március 2‑i Prokuratuur (Az elektronikus hírközlési adatokhoz való hozzáférés feltételei) ítéletben (C‑746/18, EU:C:2021:152) a nemzeti hatóságoknak a csatlakozási adatokhoz való hozzáférésével összefüggésben.

50      A kérdést előterjesztő bíróság megjegyzi továbbá, hogy a Hadopi a 2009‑ben történt létrehozása óta a CPI L. 331‑25. cikkében előírt fokozatos válaszadási eljárás keretében több mint 12,7 millió ajánlást intézett előfizetőkhöz, és ebből 827 791 ajánlást csupán 2019‑ben. Ezt azt jelenti, hogy a Hadopi jogvédő bizottsága tisztviselőinek szükségszerűen minden évben jelentős mennyiségű adatot kellett gyűjteniük az érintett felhasználók személyazonosságára vonatkozóan. Véleménye szerint az ajánlások mennyiségére tekintettel az adatgyűjtés előzetes felülvizsgálata ellehetetleníthetné az említett ajánlások végrehajtását.

51      E körülmények között a Conseil d’État (államtanács, Franciaország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)      Azon forgalmi és helymeghatározó adatok közé tartoznak‑e az IP‑címnek megfelelő, személyazonosságra vonatkozó adatok, amelyek főszabály szerint a bíróság vagy kötelező erejű hatáskörrel rendelkező, független közigazgatási szerv általi előzetes felülvizsgálatra vonatkozó kötelezettség hatálya alá tartoznak?

2)      Amennyiben az első kérdésre igenlő válasz adandó, valamint tekintettel a felhasználók személyazonosságára vonatkozó adatok, köztük az elérhetőségi adatok kevéssé érzékeny jellegére, úgy kell‑e értelmezni a [Chartára] tekintettel értelmezett [2002/58] irányelvet, hogy azzal ellentétes az olyan nemzeti szabályozás, amely a felhasználók IP‑címének megfelelő ezen adatok közigazgatási szerv általi gyűjtését bíróság vagy kötelező erejű hatáskörrel rendelkező, független közigazgatási szerv általi előzetes felülvizsgálat nélkül írja elő?

3)      Amennyiben a második kérdésre igenlő válasz adandó, valamint tekintettel a személyazonosságra vonatkozó adatok kevéssé érzékeny jellegére és arra, hogy csupán ezek az adatok gyűjthetők, kizárólag a nemzeti jog által pontosan, korlátozó és megszorító módon meghatározott kötelezettségszegések megelőzésének céljára, továbbá tekintettel arra, hogy a minden egyes felhasználó adataihoz való hozzáférés bíróság vagy kötelező erejű hatáskörrel rendelkező harmadik közigazgatási szerv általi szisztematikus felülvizsgálata veszélyeztetné a magára az ezen adatgyűjtést végző független közigazgatási szervre ruházott közszolgálati feladat ellátását, kizárja‑e a [2002/58] irányelv, hogy ezt a felülvizsgálatot módosított szabályok szerint, például automatizált felülvizsgálat útján végezzék el, adott esetben az ezen adatgyűjtéssel megbízott tisztviselők tekintetében a függetlenség és a pártatlanság biztosítékaival rendelkező szervezet egy belső szervezeti egységének felügyelete mellett?”

 Az előzetes döntéshozatalra előterjesztett kérdésekről

52      Előzetes döntéshozatalra előterjesztett három, együttesen vizsgálandó kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben úgy kell‑e értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a szerzői és szomszédos jogoknak az interneten elkövetett jogsértésekkel szembeni védelméért felelős hatóság számára a nyilvánosan elérhető elektronikus hírközlési szolgáltatás nyújtója által megőrzött, az IP‑címnek megfelelő, személyazonosságra vonatkozó, a jogtulajdonosok szervezetei által előzetesen gyűjtött adatokhoz való hozzáférést annak érdekében, hogy e hatóság azonosítani tudja a valószínűsíthetően jogsértésnek minősülő tevékenységekhez használt címek jogosultjait, és adott esetben velük szemben intézkedéseket hozhasson, anélkül hogy e hozzáférés bíróság vagy független közigazgatási szerv általi előzetes felülvizsgálatra vonatkozó követelményhez lenne kötve.

 Előzetes észrevételek

53      Az alapügyben két különálló és egymást követő személyesadat‑kezelésről van szó, amelyekre a Hadopi mint független hatóság tevékenységeinek keretében kerül sor, amelynek feladata a CPI L. 331‑13. cikkének megfelelően többek között a szerzői vagy szomszédos jog hatálya alá tartozó műveknek és alkotásoknak a nyilvános online hírközlési szolgáltatások nyújtására használt elektronikus hírközlő hálózatokon elkövetett jogsértésekkel szembeni védelme.

54      Az első, a jogtulajdonosok szervezeteinek felesketett és felhatalmazott tisztviselői által előzetesen végzett kezelésre két lépésben kerül sor. Első lépésként olyan IP‑címeket gyűjtenek a peer‑to‑peer hálózatokon, amelyeket valószínűsíthetően szerzői vagy szomszédos jogok megsértésének minősülő tevékenységekhez használtak. Második lépésként – jegyzőkönyv formájában – a személyes adatok és információk összességét a Hadopi rendelkezésére bocsátják. A 2010‑236. sz. rendelet mellékletének 1° pontjában szereplő felsorolás szerint ezek az adatok a következők: a tények napja és időpontja, az érintett előfizetők IP‑címe, a használt peer‑to‑peer protokoll, az előfizető által használt álnév, a tényekkel érintett védett művekre vagy alkotásokra vonatkozó információk, a fájl neve az előfizető számítógépén (ha van ilyen), és az az internetszolgáltató, amelynél a hozzáférésre előfizettek, vagy amely az IP technikai erőforrását biztosította.

55      A második, az internet‑hozzáférést nyújtó szolgáltatók által a Hadopi kérésére elvégzett adatkezelés szintén két lépésben zajlik. Első lépésként az előzetesen begyűjtött IP‑címeket összekapcsolják e címek jogosultjaival. Második lépésként az említett jogosultakra vonatkozó, lényegében a személyazonosságukkal kapcsolatos személyes adatok és információk összességét e hatóság rendelkezésére bocsátják. Ezek az adatok a 2010‑236. sz. rendelet mellékletének 2° pontjában szereplő felsorolás szerint lényegében a családi név és az utónevek, a postai cím és az e‑mail‑címek, a telefonos elérhetőségek, valamint az előfizető telefonkészülékének címe.

56      Ez utóbbi tekintetben a CPI L. 331‑21. cikke ötödik bekezdésének a Conseil constitutionnel (államtanács) jelen ítélet 43. pontjában említett határozatából következő változata előírja, hogy a Hadopi jogvédő bizottságának tagjai és az e hatóság elnöke által felhatalmazott, felesketett tisztviselők beszerezhetik az elektronikus hírközlési szolgáltatóktól azon előfizető személyazonosságát, postai címét, e‑mail‑címét és telefonszámát, akinek a nyilvános online hírközlési szolgáltatásokhoz való hozzáférését védett művek vagy alkotások többszörözése, megjelenítése, hozzáférhetővé tétele vagy nyilvánossághoz közvetítése céljából a jogosultak engedélye nélkül használták, amennyiben ilyen engedély szükséges.

57      A személyes adatok e különböző kezelései arra irányulnak, hogy lehetővé tegyék a Hadopi számára, hogy az így azonosított IP‑címek jogosultjaival szemben megtegye a CPI L. 331‑25. cikkében szabályozott, „fokozatos válaszadásnak” nevezett közigazgatási eljárás keretében előírt intézkedéseket. Ezek az intézkedések elsőként figyelmeztetésekhez hasonló „ajánlások” küldésében állnak, később, amennyiben egy második ajánlás küldésétől számított egy éven belül a Hadopi jogvédő bizottságához olyan tények miatt fordulnak, amelyek a megállapított jogsértés megismétlésének minősülhetnek, az előfizetőnek a CPI R. 331‑40. cikkében említett tájékoztatásában, mégpedig arról, hogy a tényállás a CPI R. 335‑5. cikkében meghatározott „súlyos gondatlanságnak” minősülhet, amely szabálysértés 1500 euró, visszaesés esetén pedig 3000 euró összegű pénzbírsággal büntetendő, végül pedig a határozathozatalt követően a valószínűsíthetően szabálysértésnek, vagy adott esetben a CPI L. 335‑2. cikke, illetve e törvénykönyv L. 335‑4. cikke szerinti hamisítás vétségének minősülő, három év szabadságvesztéssel és 300 000 euró pénzbüntetéssel büntetendő cselekmények ügyészség elé terjesztésében.

58      Mindemellett a kérdést előterjesztő bíróság által feltett kérdések kizárólag a jelen ítélet 55. pontjában leírt utólagos adatkezelésre vonatkoznak, nem pedig az olyan előzetes kezelésre, amelynek alapvető jellemzőit ugyanezen ítélet 54. pontja ismerteti.

59      Meg kell azonban állapítani, hogy amennyiben az IP‑címeknek az jogtulajdonosok érintett szervezetei általi előzetes gyűjtése ellentétes lenne az uniós joggal, ezen adatoknak az elektronikus hírközlési szolgáltatók által végzett, az említett címeknek az ugyanezen címek jogosultjainak személyazonosságára vonatkozó adatokkal való összekapcsolásában megnyilvánuló további adatkezelés keretében történő felhasználása szintén ellentétes lenne e joggal.

60      Ebben az összefüggésben mindenekelőtt emlékeztetni kell arra, hogy a Bíróság ítélkezési gyakorlata szerint az IP‑címek mind a 2002/58 irányelv szerinti forgalmi adatoknak, mind pedig az általános adatvédelmi rendelet szerinti személyes adatoknak minősülnek (lásd ebben az értelemben: 2021. június 17‑i M. I. C. M. ítélet, C‑579/19, EU:C:2021:492, 102. és 113. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

61      E tekintetben azonban meg kell állapítani, hogy nyilvános és mindenki számára látható IP‑címeknek a jogtulajdonosok szervezeteinek tisztviselői általi gyűjtése nem tartozik a 2002/58 irányelv hatálya alá, mivel az ilyen adatkezelésre nyilvánvalóan nem az ezen irányelv 3. cikke értelmében vett „[elektronikus] hírközlési szolgáltatások nyújtása” keretében kerül sor.

62      Ezzel szemben, az IP‑címeknek a Commission nationale de l’informatique et des libertés (CNIL) (az informatika és a szabadságjogok nemzeti bizottsága, Franciaország) által – amint az a Bírósághoz benyújtott iratokból kitűnik – bizonyos mennyiségi korlátok között és bizonyos feltételek mellett annak érdekében engedélyezett gyűjtése, hogy azokat továbbítsák a Hadopi részére a szerzői és szomszédos jogokat sértő tevékenységek elleni küzdelemre irányuló későbbi közigazgatási vagy bírósági eljárásokban való esetleges felhasználásuk céljából, az általános adatvédelmi rendelet 4. cikkének 2. pontja értelmében vett „adatkezelésnek” minősül, amelynek jogszerűsége az e rendeletnek a Bíróság ítélkezési gyakorlatában, többek között a 2021. június 17‑i M. I. C. M. ítéletben (C‑597/19, EU:C:2021:492, 102. és 103. pont), valamint a 2023. július 4‑i Meta Platforms és társai (Közösségi hálózat általános felhasználási feltételei) ítéletben (C‑252/21, EU:C:2023:537, 106–112. pont, valamint az ott hivatkozott ítélkezési gyakorlat) értelmezett 6. cikke (1) bekezdése első albekezdésének f) pontjában meghatározott feltételektől függ.

63      A jelen ítélet 55. pontjában ismertetett utólagos adatkezelés a 2002/58 irányelv hatálya alá tartozik, mivel az az ezen irányelv 3. cikke értelmében vett „[elektronikus] hírközlési szolgáltatások nyújtása” keretében történik, amennyiben a szóban forgó adatokat a CPI L. 331‑21. cikkének megfelelően az elektronikus hírközlési szolgáltatóktól szerzik be.

 Az online elkövetett hamisítás elleni küzdelem céljából valamely hatóságnak az elektronikus hírközlési szolgáltatók által megőrzött IP‑címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hozzáférésének a 2002/58 irányelv 15. cikkének (1) bekezdése alapján történő igazolhatóságáról

64      A fenti előzetes észrevételekre tekintettel felmerül a kérdés, hogy – amint azt a kérdést előterjesztő bíróság is kérdezi – igazolható‑e a 2002/58 irányelv 15. cikkének (1) bekezdése alapján a Charta 7., 8. és 11. cikkében biztosított alapvető jogoknak a Hadopihoz hasonló hatóságnak a már rendelkezésére álló IP‑címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hozzáférésével járó korlátozása.

65      Márpedig az ilyen személyes adatokhoz való hozzáférés csak akkor biztosítható, ha azokat a 2002/58 irányelvnek megfelelően őrizték meg (lásd ebben az értelemben: 2021. március 2‑i Prokuratuur [Az elektronikus hírközlési adatokhoz való hozzáférés feltételei] ítélet, C‑746/18, EU:C:2021:152, 29. pont).

 A személyazonosságra vonatkozó adatoknak és a kapcsolódó IP‑címeknek az elektronikus hírközlési szolgáltatók általi megőrzésére vonatkozó követelményekről

66      A 2002/58 irányelv 15. cikkének (1) bekezdése lehetővé teszi a tagállamok számára, hogy kivételeket állapítsanak meg a személyes adatok bizalmas kezelésének biztosítására vonatkozóan az irányelv 5. cikkének (1) bekezdésében előírt alapvető kötelezettség, valamint a többek között az említett irányelv 6. és 9. cikkében említett megfelelő kötelezettségek alól, amennyiben az ilyen jellegű korlátozás egy demokratikus társadalomban szükséges, megfelelő és arányos intézkedésnek minősül a nemzetbiztonság, a nemzetvédelem és a közbiztonság védelme érdekében, illetve a bűncselekmények, illetve az elektronikus hírközlési rendszer jogosulatlan használata megelőzésének, kivizsgálásának, felderítésének és üldözésének a biztosítása érdekében. E célból a tagállamok többek között jogszabályi intézkedéseket fogadhatnak el az adatoknak az e bekezdésben megállapított indokok alapján korlátozott ideig történő megőrzésére vonatkozóan. A 2002/58 irányelv 5., 6. és 9. cikkében előírt jogoktól és kötelezettségektől való eltérés lehetősége mindamellett nem igazolhatja azt, hogy az elektronikus közlések és az azokhoz kapcsolódó adatok titkosságának biztosítására vonatkozó alapvető kötelezettségtől, különösen pedig az ezen adatok tárolásának az irányelv 5. cikkében kifejezetten előírt tilalmától való eltérés váljon főszabállyá (2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 110. és 111. pont).

67      Mivel e célkitűzéseknek a 2002/58 irányelv 15. cikke (1) bekezdésének első mondatában szereplő felsorolása kimerítő jellegű, az e rendelkezés alapján elfogadott jogszabályi intézkedésnek tehát ténylegesen és szigorúan meg kell felelnie az előző pontban említett célok egyikének, és tiszteletben kell tartania az uniós jog általános elveit, köztük az arányosság elvét és a Charta által biztosított alapvető jogokat. E tekintetben a Bíróság korábban már kimondta, hogy az elektronikus hírközlési szolgáltatók számára nemzeti szabályozással előírt azon kötelezettség, hogy adott esetben az illetékes nemzeti hatóságok számára való hozzáférhetővé tétel céljából megőrizzék a forgalmi adatokat, nemcsak a Chartának a magánélet védelmére, illetve a személyes adatok védelmére vonatkozó 7. és 8. cikkével, hanem a véleménynyilvánítási szabadságra vonatkozó 11. cikkével kapcsolatos kérdéseket is felvet (lásd ebben az értelemben: 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 112. és 113. pont).

68      A 2002/58 irányelv 15. cikke (1) bekezdésének értelmezése során tehát figyelembe kell venni mind a Charta 7. cikkében biztosított, magánélet tiszteletben tartásához való jognak, mind pedig a Charta 8. cikkében biztosított, személyes adatok védelméhez való jognak a Bíróság ítélkezési gyakorlata szerint fennálló jelentőségét, valamint a véleménynyilvánítás szabadságához való jog jelentőségét, amely a Charta 11. cikkében biztosított alapvető jogként a demokratikus és pluralista társadalom egyik lényegi alapját képezi, és azon értékek közé tartozik, amelyen az EUSZ 2. cikk értelmében az Unió alapul (2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 114. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

69      E tekintetben hangsúlyozni kell, hogy a forgalmi és helymeghatározó adatok megőrzése önmagában egyrészt eltérésnek minősül a 2002/58 irányelv 5. cikkének (1) bekezdésében előírt tilalom alól, amely a felhasználókon kívül bármely más személy számára megtiltja ezen adatok tárolását, másrészt pedig a magánélet tiszteletben tartásához és a személyes adatok védelméhez való, a Charta 7. és 8. cikkében foglalt alapvető jogokba történő beavatkozásnak minősül, és ennek kapcsán nem bír jelentőséggel az, hogy a magánéletre vonatkozó, érintett információk különlegesnek minősülnek‑e, vagy hogy az érintetteknek ez a beavatkozás okozott‑e esetleges kellemetlenséget. Annak sincs jelentősége, hogy a tárolt adatokat a későbbiekben felhasználják‑e, mivel az ilyen adatokhoz való hozzáférés az adatok későbbi felhasználásától függetlenül különálló beavatkozást jelent az előző pontban említett alapvető jogokba (2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 115. és 116. pont).

70      Mindemellett, a 2002/58 irányelv 15. cikkének (1) bekezdése, amennyiben lehetővé teszi a tagállamok számára a jelen ítélet 34–37. pontjában említett eltérések bevezetését, azt a körülményt tükrözi, hogy a Charta 7., 8. és 11. cikkében foglalt jogok nem korlátlan jogosultságként jelennek meg, hanem a társadalomban betöltött szerepükre tekintettel kell őket figyelembe venni. Amint ugyanis az a Charta 52. cikkének (1) bekezdéséből kitűnik, e rendelkezés lehetővé teszi e jogok gyakorlásának korlátozását, feltéve hogy a korlátozást törvény írja elő, hogy arra az említett jogok lényeges tartalmának és az arányosság elvének tiszteletben tartásával kerül sor, továbbá hogy a korlátozás elengedhetetlen, és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja (2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 120. és 121. pont).

71      A jelen ügyben meg kell jegyezni, hogy bár a Hadopi formálisan csak az IP‑címnek megfelelő, személyazonosságra vonatkozó adatokhoz férhet hozzá, e hozzáférés azzal a sajátossággal bír, hogy az érintett elektronikus hírközlési szolgáltatást nyújtóknak előzetesen össze kell egyeztetniük az IP‑címet és a jogosultjának személyazonosító adatait. Az említett hozzáférés tehát szükségképpen azt feltételezi, hogy a szolgáltatók rendelkeznek az IP‑címekkel, valamint a jogosultjaik kilétére vonatkozó adatokkal.

72      Ezenkívül e hatóság kizárólag abból a célból kér hozzáférést ezekhez az adatokhoz, hogy azonosítsa a szerzői vagy szomszédos jogokat esetlegesen sértő tevékenységekhez használt IP‑cím jogosultját, amennyiben védett műveket jogellenesen tett hozzáférhetővé az interneten, hogy azokat más személyek letölthessék. E körülmények között a személyazonosságra vonatkozó adatokat úgy kell tekinteni, mint amelyek szorosan kapcsolódnak mind az IP‑címhez, mind pedig a Hadopi rendelkezésére álló, az interneten hozzáférhetővé tett művel kapcsolatos információkhoz.

73      Márpedig a személyes adatok megőrzésére vonatkozó intézkedésnek a 2002/58 irányelv Charta 7., 8. és 11. cikkével összefüggésben értelmezett 15. cikkének (1) bekezdése alapján történő igazolásának vizsgálata keretében nem lehet elvonatkoztatni e sajátos összefüggéstől (lásd analógia útján: EJEB, 2018. április 24., Benedik kontra Szlovénia, CE:ECHR:2018:0424JUD006235714, 109. §).

74      Következésképpen az IP‑címek megőrzése területén az említett 15. cikknek a Charta 7., 8. és 11. cikkével összefüggésben értelmezett (1) bekezdéséből eredő követelményekre tekintettel kell megvizsgálni a Charta ez utóbbi cikkeiben biztosított alapvető jogokba való, a Hadopi által hozzáférhető adatoknak a nyilvánosság számára elérhető elektronikus hírközlési szolgáltatások nyújtói által történő megőrzése jelentette beavatkozás esetleges igazolását.

75      Ebben az összefüggésben meg kell jegyezni, hogy a Bíróság ítélkezési gyakorlata szerint, noha – amint arra a jelen ítélet 60. pontja emlékeztet – az IP‑címek a 2002/58 irányelv alkalmazásában forgalmi adatoknak minősülnek, e címek különböznek a forgalmi adatok, valamint a helymeghatározó adatok más kategóriáitól.

76      E tekintetben a Bíróság megállapította, hogy az IP‑címek anélkül jönnek létre, hogy meghatározott közléshez kapcsolódnának, és elsősorban arra szolgálnak, hogy az elektronikus hírközlési szolgáltatók közvetítésével azonosítsák azon végberendezés tulajdonosát, amelyről internetes hírközlés megy végbe. Így az elektronikus levelezés és az internetes telefonálás területén, amennyiben csak a közlés forrásának IP‑címeit őrizték meg, a közlés címzettjének IP‑címeit pedig nem, önmagukban az IP‑címek nem tartalmaznak semmiféle információt azon harmadik személyekkel kapcsolatban, akik a közlés forrásának személyével kapcsolatban álltak. Ez az adatkategória tehát a többi forgalmi adatnál kevésbé érzékeny (lásd ebben az értelemben: 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 152. pont).

77      Kétségtelen, hogy a 2020. október 6‑i La Quadrature du Net és társai ítélet (C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791) 156. pontjában a Bíróság kimondta, hogy annak ellenére, hogy az IP‑címek kevésbé érzékenyek, amennyiben azok kizárólag az elektronikus hírközlési szolgáltatás felhasználójának azonosítására szolgálnak, a 2002/58 irányelv 15. cikkének (1) bekezdésével ellentétes az, ha a kizárólag a csatlakozási forráshoz hozzárendelt IP‑címek általános és különbségtétel nélküli megőrzését a súlyos bűncselekmények elleni küzdelemtől, a közbiztonságot fenyegető súlyos veszélyek megelőzésétől vagy a nemzetbiztonság védelmétől eltérő célokból végzik. A Bíróság azonban e következtetés levonásakor kifejezetten a Charta 7., 8. és 11. cikkében biztosított alapvető jogokba való olyan beavatkozás súlyos jellegére támaszkodott, amelyet az IP‑címek megőrzése jelenthet.

78      A Bíróság ugyanis ugyanezen ítélet 153. pontjában megállapította, hogy mivel az IP‑címek többek között „az internethasználó böngészési útvonalának, és ebből következően online tevékenységének kimerítő nyomon követésére is használhatók”, ezek az adatok lehetővé tehetik az internethasználó „részletes profiljának” megállapítását, így az említett IP‑címeknek az ilyen nyomon követéshez szükséges megőrzése és elemzése az érintett személynek a Charta 7. és 8. cikkében biztosított alapvető jogaiba történő olyan súlyos beavatkozásnak minősül, amely az elektronikus hírközlési eszközök felhasználói tekintetében visszatartó hatást gyakorolhat a Charta 11. cikkében biztosított véleménynyilvánítási szabadságuk gyakorlására.

79      Hangsúlyozni kell azonban, hogy az adott időszakban valamely személy által használt statikus és dinamikus IP‑címek – adott esetben széles – körének általános és különbségtétel nélküli megőrzése nem minősül szükségszerűen a Charta 7., 8. és 11. cikkében biztosított alapvető jogokba való súlyos beavatkozásnak.

80      E tekintetben mindenekelőtt a 2020. október 6‑i La Quadrature du Net és társai ítélet (C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791) alapjául szolgáló ügyek olyan nemzeti szabályozásokra vonatkoztak, amelyek a közlés napjának, időpontjának, időtartamának és típusának meghatározásához, az alkalmazott hírközlési eszközök azonosításához, valamint a végberendezések és a közlések helyének meghatározásához szükséges adatok – amelyek között szerepel többek között a felhasználó neve és címe, a hívó és a hívott fél telefonszáma, valamint az internetes szolgáltatásoknál használt IP‑cím – megőrzésére vonatkozó kötelezettséget tartalmaztak. Ráadásul ezen ügyek közül kettőben úgy tűnt, hogy a szóban forgó nemzeti szabályozások azáltal, hogy az elektronikus hírközlés hálózaton keresztül történő lebonyolítására vonatkozó adatokra is kiterjed, lehetővé teszi az online megtekintett információk jellegének azonosítását is (lásd ebben az értelemben: 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 82. és 83. pont).

81      Az IP‑címeknek az ilyen nemzeti szabályozások keretében végzett megőrzése tehát – az e szabályozás értelmében megőrzendő egyéb adatokra, és e különböző adatok összekapcsolásának lehetőségére tekintettel – lehetővé tette az adatok kapcsán érintett személyek magánéletére vonatkozó pontos következtetések levonását, és ennélfogva a Charta 7. és 8. cikkében foglalt, e személyek magánéletének és személyes adatainak védelmére vonatkozó, valamint a Charta 11. cikkében biztosított, e személyek véleménynyilvánítási szabadságára vonatkozó alapvető jogokba való súlyos beavatkozáshoz vezethetett.

82      Ezzel szemben az elektronikus hírközlési szolgáltatókkal szemben a 2002/58 irányelv 15. cikkének (1) bekezdése alapján jogszabályi intézkedéssel előírt azon kötelezettséget, hogy biztosítsák az IP‑címek általános és különbségtétel nélküli megőrzését, adott esetben igazolhatja az általánosságban a bűncselekmények elleni küzdelemre irányuló célkitűzés, amennyiben ténylegesen kizárt, hogy e megőrzés az érintett személy magánéletébe való súlyos beavatkozásokat eredményezzen azáltal, hogy ezen adatok segítségével – többek között ezen IP‑címeknek az e szolgáltatók által szintén megőrzött forgalmi vagy helymeghatározó adatok összességével való összekapcsolása révén – pontos következtetések vonhatók le az érintett személy magánéletére vonatkozóan.

83      Következésképpen annak a tagállamnak, amely az elektronikus hírközlési szolgáltatókkal szemben az IP‑címek általános és különbségtétel nélküli megőrzésére vonatkozó kötelezettséget kíván előírni általánosságban a bűncselekmények elleni küzdelemre irányuló cél elérése érdekében, meg kell győződnie arról, hogy ezen adatok megőrzésének módjai biztosítják, hogy az említett IP‑címek más megőrzött adatokkal való bármiféle olyan összekapcsolása – a 2002/58 irányelvet tiszteletben tartva – kizárt legyen, amely lehetővé tehetné az adatmegőrzés kapcsán érintett személyek magánéletére vonatkozó pontos következtetések levonását.

84      Annak biztosítása érdekében, hogy kizárt legyen az adatok olyan összekapcsolása, amely lehetővé tehetné a szóban forgó személy magánéletére vonatkozó pontos következtetések levonását, a megőrzésre vonatkozó részletszabályoknak magára a megőrzési rendszerre kell vonatkozniuk, amelyet lényegében úgy kell kialakítani, hogy biztosítsa a megőrzött adatok különböző kategóriáinak valóban teljes elkülönítését.

85      E tekintetben kétségtelen, hogy azon tagállam feladata, amely az IP‑címek általános és különbségtétel nélküli megőrzésére vonatkozó kötelezettséget kíván előírni az elektronikus hírközlési szolgáltatókkal szemben általánosságban a bűncselekmények elleni küzdelemre irányuló cél elérése érdekében, hogy jogszabályaiban egyértelmű és pontos szabályokat írjon elő az említett megőrzési módokra vonatkozóan, és e módoknak szigorú követelményeknek kell megfelelniük. A Bíróság azonban pontosításokkal szolgálhat e módokra vonatkozóan.

86      Először is, az előző pontban említett nemzeti szabályoknak biztosítaniuk kell, hogy minden adatkategóriát, beleértve a személyazonosságra és az IP‑címekre vonatkozó adatokat is, a megőrzött adatok egyéb kategóriáitól teljes mértékben elkülönítve tároljanak.

87      Másodszor, e szabályoknak biztosítaniuk kell, hogy a megőrzött adatok különböző kategóriáinak – többek között a személyazonosságra vonatkozó adatok, az IP‑címek, az IP‑címeken és a különböző helymeghatározó adatokon kívüli egyéb forgalmi adatok – elkülönítése technikai szempontból, egy biztonságos és megbízható informatikai eszköz segítségével valóban teljes legyen.

88      Harmadszor, amennyiben az említett szabályok lehetővé teszik a megőrzött IP‑címeknek az érintett személy személyazonosságával való összekapcsolását a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével összefüggésben értelmezett (1) bekezdéséből eredő követelmények tiszteletben tartása mellett, e szabályoknak csak olyan jól működő technikai eljárás alkalmazásával tehetik lehetővé az ilyen összekapcsolást, amely nem teszi kérdésessé ezen adatkategóriák teljes elkülönítésének hatékonyságát.

89      Negyedszer, e teljes elkülönítés megbízhatóságát rendszeresen felül kell vizsgálnia az elektronikus hírközlési szolgáltatók által megőrzött személyes adatokhoz való hozzáférést kérő hatóságtól eltérő hatóságnak.

90      Amennyiben az alkalmazandó nemzeti szabályozás ilyen szigorú követelményeket ír elő az IP‑címek és az elektronikus hírközlési szolgáltatók által megőrzött egyéb adatok általános és különbségtétel nélküli megőrzésének módjaira vonatkozóan, az IP‑címek ilyen megőrzésében rejlő beavatkozás – az említett megőrzés szerkezeténél fogva – nem minősülhet „súlyosnak”.

91      Ilyen jogszabályi rendelkezés bevezetése esetén ugyanis az IP‑címek ily módon meghatározott megőrzési módjai kizárják, hogy ezeket az adatokat más megőrzött adatokkal – a 2002/58 irányelv tiszteletben tartása mellett – oly módon összekapcsolják, amelyek lehetővé tehetné az érintett személy magánéletére vonatkozó pontos következtetések levonását.

92      Következésképpen a jelen ítélet 86–89. pontjában kifejtett követelményeknek megfelelő olyan jogszabályi rendelkezés esetén, amely biztosítja, hogy az adatok összekapcsolása ne tegye lehetővé az érintett személy magánéletére vonatkozó pontos következtetések levonását, a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével összefüggésben értelmezett (1) bekezdésével nem ellentétes, ha az érintett tagállam az IP‑címek általános és különbségtétel nélküli megőrzésére vonatkozó kötelezettséget ír elő általánosságban a bűncselekmények elleni küzdelemre irányuló célból.

93      Mindazonáltal az ilyen jogszabályi rendelkezésnek – amint az a 2020. október 6‑i La Quadrature du Net és társai ítélet (C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791) 168. pontjából kitűnik – a feltétlenül szükséges mértékre korlátozott megőrzési időtartamot kell előírnia, valamint egyértelmű és pontos szabályok révén biztosítania kell, hogy a szóban forgó adatok megőrzésére az erre vonatkozó anyagi jogi és eljárásjogi feltételek betartása mellett kerüljön sor, és hogy az érintett személyek hatékony biztosítékokkal rendelkezzenek a visszaélések veszélyeivel, valamint az ezen adatokhoz való bármilyen hozzáféréssel és azok jogellenes felhasználásával szemben.

94      A kérdést előterjesztő bíróság feladata annak vizsgálata, hogy az alapügyben szereplő nemzeti szabályozás megfelel‑e a jelen ítélet 85–93. pontjában kifejtett követelményeknek.

 Az elektronikus hírközlési szolgáltatók által megőrzött IP‑címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hozzáférést övező követelményekről

95      A Bíróság ítélkezési gyakorlatából következik, hogy a bűncselekmények elleni küzdelem területén kizárólag a súlyos bűncselekmények elleni küzdelem vagy a közbiztonságot érintő súlyos fenyegetések megelőzésének célja igazolhatja a Charta 7. és 8. cikkében biztosított alapvető jogokba történő azon súlyos beavatkozást, amelyet a hatóságok olyan forgalmi vagy helymeghatározó adatok összességéhez való hozzáférése jelent, amelyek információkat szolgáltathatnak az elektronikus hírközlési eszköz felhasználója által lebonyolított közlésekről vagy az általa használt végberendezések helyéről, és amelyek lehetővé teszik az érintett személyek magánéletére vonatkozó pontos következtetések levonását, anélkül hogy a hozzáférés iránti kérelem arányosságát érintő egyéb tényezők – így például azon időszak hossza, amelyre vonatkozóan az ilyen adatokhoz való hozzáférést igénylik – azzal a hatással járnának, hogy általában a bűncselekmények megelőzésére, kivizsgálására, felderítésére és üldözésére irányuló cél igazolhatná az ilyen hozzáférést (2021. március 2‑i Prokuratuur [Az elektronikus hírközlési adatokhoz való hozzáférés feltételei] ítélet, C‑746/18, EU:C:2021:152, 35. pont).

96      Ezzel szemben, amennyiben a Charta 7. és 8. cikkében biztosított alapvető jogokba való olyan beavatkozás, amelyet a hatóságoknak az elektronikus hírközlési szolgáltatók által megőrzött, személyazonosságra vonatkozó adatokhoz való, anélkül történő hozzáférése jelent, hogy ezek az adatok összekapcsolhatók lennének a lebonyolított közlésekre vonatkozó információkkal, nem súlyos, mivel ezen adatok összességükben véve nem teszik lehetővé azon személyek magánéletére vonatkozó pontos következtetések levonását, akiknek az adatairól szó van, az említett hozzáférést igazolhatja általában a bűncselekmények megelőzésére, kivizsgálására, felderítésére és üldözésére irányuló cél (lásd ebben az értelemben: 2018. október 2‑i Ministerio Fiscal ítélet, C‑207/16, EU:C:2018:788, 54., 57. és 60. pont).

97      Hozzá kell tenni továbbá, hogy a Bíróság állandó ítélkezési gyakorlatában rögzített elv szerint a forgalmi és helymeghatározó adatokhoz való hozzáférés a 2002/58 irányelv 15. cikkének (1) bekezdése alapján csak azon közérdekű céllal igazolható, amelynek érdekében az adatmegőrzést az elektronikus hírközlési szolgáltatókkal szemben előírták, kivéve ha e hozzáférés jelentősebb közérdekű céllal igazolható. Ebből az elvből többek között az következik, hogy a bűncselekmények elleni küzdelem céljából általában véve semmiképpen nem adható hozzáférés abban az esetben, ha az adatok megőrzését a súlyos bűncselekmények elleni küzdelemmel, vagy a fortiori a nemzetbiztonság védelmével indokolták (lásd ebben az értelemben: 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 166. pont).

98      Ezzel szemben általánosságban a bűncselekmények elleni küzdelemre irányuló céllal igazolható, hogy a szolgáltatások értékesítéséhez, a számlázáshoz és az értéknövelt szolgáltatások nyújtásához szükséges mértékben és ideig hozzáférést biztosítsanak a tárolt és így megőrzött forgalmi és helymeghatározó adatokhoz, amint azt a 2002/58 irányelv 6. cikke lehetővé teszi (lásd ebben az értelemben: 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 108. és 167. pont).

99      A jelen ügyben először is az alapügyben szóban forgó nemzeti szabályozásból kitűnik, hogy a Hadopi nem fér hozzá a jelen ítélet 95. pontjában felidézett ítélkezési gyakorlat értelmében vett „forgalmi vagy helymeghatározó adatok összességéhez”, így főszabály szerint nem vonhat le pontos következtetéseket az érintett személyek magánéletére vonatkozóan. Márpedig az olyan hozzáférés, amely nem teszi lehetővé ilyen következtetések levonását, nem minősül a Charta 7. és 8. cikkében biztosított alapvető jogokba való súlyos beavatkozásnak.

100    E szabályozás és a francia kormány által e tárgyban nyújtott magyarázatok szerint ugyanis az e hatóság számára biztosított hozzáférés szigorúan az IP‑cím jogosultjának személyazonosságára vonatkozó bizonyos adatokra korlátozódik, és kizárólag abból a célból engedélyezett, hogy azonosítani tudja a szerzői vagy szomszédos jogokat sértő tevékenység folytatásával gyanúsítható jogosultat, amennyiben védett műveket jogellenesen tett hozzáférhetővé az interneten, hogy azokat más személyek letölthessék. E hozzáférés célja adott esetben az, hogy e jogosulttal szemben a fokozatos válaszadási eljárás keretében előírt nevelési vagy megtorló intézkedések egyikét alkalmazhassák, nevezetesen az első és a második ajánlás megküldését, majd a jogosultat arról tájékoztató levél megküldését, hogy e tevékenység súlyos gondatlanság bűncselekményének minősülhet, végül pedig az ügyészséghez fordulást az e szabálysértés vagy a hamisítás vétsége miatti eljárás megindítása céljából.

101    Az is szükséges továbbá, hogy az említett nemzeti szabályozás olyan egyértelmű és pontos szabályokat írjon elő, amelyek biztosítják, hogy a 2002/58 irányelv tiszteletben tartása mellett megőrzött IP‑címeket kizárólag azon személy azonosítására lehessen használni, akinek a részére egy adott IP‑címet rendeltek, kizárva ugyanakkor minden olyan felhasználást, amely lehetővé teszi ezen személy online tevékenységének egy vagy több ilyen cím segítségével történő nyomon követését. Amennyiben az IP‑címet ily módon kizárólag arra használják, hogy egy olyan különleges közigazgatási eljárás keretében azonosítsák e cím jogosultját, amely vele szemben büntetőeljárást vonhat maga után, nem pedig – például – e jogosult kapcsolatainak felfedésére vagy helymeghatározására irányuló célból, az e címhez kizárólag e célból való hozzáférés az említett címre mint személyazonossággal kapcsolatos adatra, nem pedig forgalommal kapcsolatos adatra vonatkozik.

102    Ráadásul a jelen ítélet 97. pontjában felidézett állandó ítélkezési gyakorlatban rögzített elvből az következik, hogy az olyan hozzáférés, mint amellyel a Hadopi az alapügyben szóban forgó nemzeti szabályozás értelmében rendelkezik, mivel általánosságban a bűncselekmények elleni küzdelem célját követi, csak akkor igazolható, ha olyan IP‑címekre vonatkozik, amelyeket az elektronikus hírközlési szolgáltatóknak ugyanezen cél érdekében kell megőrizniük, nem pedig olyan jelentősebb cél érdekében, mint a súlyos bűncselekmények elleni küzdelem, ugyanakkor ez nem érinti az általánosságban a bűncselekmények elleni küzdelem céljával igazolható hozzáférést, amennyiben az a tárolt, vagyis a 2002/58 irányelv 6. cikkében előírt feltételek szerint megőrzött IP‑címekre vonatkozik.

103    Ezenkívül, amint az a jelen ítélet 85–92. pontjából kitűnik, az IP‑címeknek a 2002/58 irányelv 15. cikkének (1) bekezdése szerinti jogszabályi intézkedésen alapuló megőrzése az általánosságban a bűncselekmények elleni küzdelemre irányuló céllal igazolható, ha e megőrzésnek az érintett jogszabályi rendelkezés által bevezetett módjai megfelelnek a lényegében a megőrzött adatok különböző kategóriái valóban teljes elkülönítésének biztosítására irányuló követelmények összességének, és így a különböző kategóriákba tartozó adatok összekapcsolása ténylegesen kizárt. Abban az esetben ugyanis, ha az elektronikus hírközlési szolgáltatókkal szemben ilyen megőrzési feltételeket írnak elő, az IP‑címek általános és különbségtétel nélküli megőrzése nem minősül a jogosultjaik magánéletébe történő súlyos beavatkozásnak, mivel ezek az adatok nem teszik lehetővé a magánéletükre vonatkozó pontos következtetések levonását.

104    Következésképpen, tekintettel a jelen ítélet 95–97. pontjában felidézett ítélkezési gyakorlatra, az ilyen jogszabályi rendelkezés bevezetése esetén a megőrzött IP‑címekhez az általánosságban a bűncselekmények elleni küzdelemre irányuló célból való hozzáférés a 2002/58 irányelv 15. cikkének (1) bekezdése alapján akkor igazolható, ha e hozzáférés kizárólag az ilyen bűncselekményekben való részvétellel gyanúsítható személy azonosítása céljából engedélyezett.

105    Végezetül, annak lehetővé tétele, hogy egy, a Hadopihoz hasonló hatóság hozzáférjen a nyilvános IP‑címnek megfelelő, személyazonosságra vonatkozó adatokhoz, amelyet a jogtulajdonosok szervezetei kizárólag abból a célból továbbítottak a részére, hogy azonosítsa az interneten elkövetett és a szerzői vagy szomszédos jogokat esetlegesen sértő tevékenységekhez használt cím jogosultját annak érdekében, hogy vele szemben a fokozatos válaszadási eljárás keretében előírt intézkedések egyikét alkalmazzák, összhangban áll a Bíróságnak a 2004/48 irányelv 8. cikkében előírt, szellemi tulajdonjog megsértése miatt indított keresettel összefüggő „tájékoztatáshoz való joggal” kapcsolatos ítélkezési gyakorlatával (lásd ebben az értelemben: 2008. január 29‑i Promusicae ítélet, C‑275/06, EU:C:2008:54, 47. és azt követő pontok).

106    Ezen ítélkezési gyakorlat keretében ugyanis a Bíróság – hangsúlyozva, hogy a 2004/48 irányelvben előírt intézkedések alkalmazása nem érintheti sem az általános adatvédelmi rendeletet, sem pedig a 2002/58 irányelvet – úgy ítélte meg, hogy a 2004/48 irányelv 8. cikkének a 2002/58 irányelv 15. cikkének (1) bekezdésével és a 95/46 irányelv 7. cikkének f) pontjával összefüggésben értelmezett (3) bekezdésével nem ellentétes az, ha a tagállamok az elektronikus hírközlési szolgáltatókra nézve a személyes adatok magánszemélyekkel való közlésére vonatkozó kötelezettséget állapítanak meg a szerzői jogok megsértése miatti polgári peres eljárás indításának lehetővé tétele érdekében, azonban nem is ír elő ilyen kötelezettséget a tagállamok számára (lásd ebben az értelemben: 2021. június 17‑i M. I. C. M. ítélet, C‑579/19, EU:C:2021:492, 124. és 125. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

107    Mindemellett, másodszor, a magánéletbe való, valamely hatóság személyes adatokhoz való hozzáférésével járó beavatkozás mértékének konkrét értékelése céljából nem lehet elvonatkoztatni a hozzáférést övező kontextus sajátosságaitól, különösen pedig az alkalmazandó nemzeti szabályozás alapján az e hatósággal közölt adatok és információk – ideértve a már létező, tartalmat feltáró adatokat és információkat is – összességének sajátosságaitól (lásd analógia útján: EJEB, 2018. április 24., Benedik kontra Szlovénia, CE:ECHR:2018:0424JUD006235714, 109. §).

108    Így a jelen ügyben az említett értékelés céljából figyelembe kell venni azt a tényt, hogy a Hadopi az őt megillető, a szóban forgó, személyazonosságra vonatkozó adatokhoz való hozzáférést megelőzően a 2010‑236. sz. rendelet melléklete 1. pontjának megfelelően a jogtulajdonosok szervezeteitől többek között „a tényekkel érintett védett művekre vagy alkotásokra vonatkozó információkat”, és „ha van ilyen” „a fájl nevét az előfizető számítógépén” megkapja.

109    A Bíróság rendelkezésére álló iratokból – a kérdést előterjesztő bíróság által elvégzendő vizsgálat függvényében – az következik, hogy az érintett műre vonatkozó, a CNIL 2010. június 10‑i tanácskozása alkalmával tartalmilag átvett jegyzőkönyvben rögzített információk lényegében az érintett mű címére, valamint egy „chunk” elnevezésű, alfanumerikus sorozat, nem pedig a mű audio‑ vagy videofelvétel formájában megjelenő részletére korlátozódnak.

110    E tekintetben természetesen nem zárható ki általános jelleggel, hogy valamely hatóság korlátozott számú, az elektronikus hírközlési szolgáltató által vele közölt IP‑cím jogosultjának személyazonosságára vonatkozó adathoz való kizárólag e jogosult azonosítása céljából történő hozzáférése abban az esetben, ha e címet valószínűleg szerzői vagy szomszédos jogokat sértő tevékenységekhez használták, ha ezeket az adatokat az interneten jogellenesen hozzáférhetővé tett, a jogtulajdonosok szervezetei által számára továbbított, a mű tartalmára vonatkozó, akár korlátozott számú információ elemzésével kombinálják, az alkalmas lehet arra, hogy e hatóságot e jogosult magánéletének bizonyos vonatkozásairól tájékoztassa, akár olyan érzékeny információkról is, mint a szexuális irányultság, a politikai vélemény, a vallási, világnézeti, társadalmi vagy egyéb meggyőződés, valamint az egészségi állapot, holott az ilyen adatok az uniós jogban egyébként különleges védelmet élveznek.

111    A jelen ügyben azonban a Hadopi rendelkezésére álló korlátozott adatok és információk jellegére tekintettel azok csak atipikus helyzetekben fedhetnek fel a szóban forgó személy magánéletének egyes vetületeire vonatkozó olyan, adott esetben érzékeny információkat, amelyek együttesen lehetővé tehetik e hatóság számára, hogy e személy magánéletére vonatkozóan pontos következtetéseket vonjon le, például részletes profiljának megállapítása révén.

112    Ez lehet a helyzet többek között egy olyan személy esetében, akinek IP‑címét ismétlődően, sőt nagy számban szerzői vagy szomszédos jogokat sértő tevékenységekre használták a peer‑to‑peer hálózatokon olyan különleges típusú, védett művekkel kapcsolatban, amelyeket címük szerint olyan csoportokba lehet sorolni, amelyek akár érzékeny információkat is felfedhetnek a magánéletének egyes vonatkozásairól.

113    Mindemellett különböző tényezők alapján megállapítható, hogy a jelen ügyben a szerzői vagy szomszédos jogokat sértő tevékenységet folytató személy magánéletébe történő, az alapügy tárgyát képezőhöz hasonló szabályozás által lehetővé tett beavatkozás nem szükségszerűen súlyos. Mindenekelőtt e szabályozásnak megfelelően a Hadopi – amely szerv egyébként a CPI L. 331‑12. cikkének megfelelően független jogállással bír – a szóban forgó személyes adatokhoz csak korlátozott számú, felhatalmazott és felesketett tisztviselője révén fér hozzá. Továbbá e hozzáférés kizárólagos célja a szerzői vagy szomszédos jogokat sértő tevékenység folytatásával gyanúsítható személy azonosítása, amennyiben megállapítást nyer, hogy a védett művet jogellenesen tették hozzáférhetővé az internethozzáférésén keresztül. Végül a Hadopinak a szóban forgó személyes adatokhoz való hozzáférése szigorúan az e célból szükséges adatokra korlátozódik (lásd analógia útján: EJEB, 2019. október 17., López Ribalda és társai kontra Spanyolország, CE:ECHR:2019:1017JUD000187413, 126. és 127. §).

114    Egy másik olyan körülmény, amely tovább csökkentheti a Hadopi említett hozzáféréséből eredő, a magánélet védelméhez és a személyes adatok védelméhez való alapvető jogokba való beavatkozás mértékét, amely a Bíróság rendelkezésére álló iratokból kitűnni látszik, de amelynek vizsgálata a kérdést előterjesztő bíróság feladata, arra a tényre vonatkozik, hogy az alkalmazandó nemzeti szabályozás értelmében a Hadopinak az érintett adatokhoz és információkhoz hozzáféréssel rendelkező tisztviselőit titoktartási kötelezettség terheli, amely megtiltja számukra, hogy ezeket bármilyen formában – az ügyészséghez fordulást mint egyetlen célt kivéve – nyilvánosságra hozzák, és hogy ezen adatokat és információkat az IP‑cím szerzői vagy szomszédos jogot sértő tevékenység elkövetésével gyanúsítható tulajdonosának a vele szemben a fokozatos válaszadási eljárás keretében előírt intézkedések valamelyikének alkalmazásától eltérő célokra használják fel (lásd analógia útján: EJEB, 2009. december 17., Gardel kontra Franciaország, CE:ECHR:2009:1217JUD001642805, 70. §).

115    Így, amennyiben valamely nemzeti szabályozás megfelel a jelen ítélet 101. pontjában felidézett feltételeknek, a Hadopihoz hasonló hatósággal közölt IP‑címek nem teszik lehetővé a jogosult böngészési útvonalának nyomon követését, ami megerősíti azt a megállapítást, amely szerint az e hatóságnak az alapügyben szóban forgó, személyazonosságra vonatkozó adatokhoz való hozzáférése jelentette beavatkozás nem minősíthető súlyosnak.

116    Harmadszor emlékeztetni kell arra, hogy a szóban forgó jogoknak és érdekeknek a 2002/58 irányelv 15. cikke (1) bekezdésének első mondatában előírt arányossági követelménynek megfelelően szükséges összeegyeztetése érdekében, még ha a véleménynyilvánítás szabadsága és a személyes adatok bizalmas jellege kiemelkedően fontos is, és még ha a távközlési és internetes szolgáltatások felhasználói számára garantálni is kell, hogy a magánéletüket és a véleménynyilvánítási szabadságukat tiszteletben tartják, ezek az alapvető jogok nem abszolút jogok. A szóban forgó jogok és érdekek egymással szembeni mérlegelése keretében ugyanis azoknak néha háttérbe kell szorulniuk más alapvető jogokkal és olyan közérdeken alapuló nyomós okokkal szemben, mint a közrend védelme és a bűncselekmények megelőzése vagy mások jogainak és szabadságainak védelme. Igaz ez különösen akkor, ha az említett kiemelkedően fontos kérdéseknek tulajdonított jelentőség akadályozhatja a bűnügyi nyomozás hatékonyságát, különösen azáltal, hogy lehetetlenné vagy rendkívül nehézzé teszi a bűncselekmény elkövetőjének hatékony azonosítását, illetve vele szemben szankció kiszabását (lásd analógia útján: EJEB, 2009. március 2., K. U. kontra Finnország, CE:ECHR:2008:1202JUD000287202, 49. §).

117    Ebben az összefüggésben kellően figyelembe kell venni azt, amit a Bíróság az interneten elkövetett bűncselekményekkel kapcsolatban már kimondott, hogy az IP‑cím lehet az egyetlen olyan nyomozati eszköz, amely lehetővé teszi annak a személynek az azonosítását, akihez az IP‑címet a jogsértés elkövetésének időpontjában rendelték (lásd ebben az értelemben: 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 154. pont).

118    E körülmény annak megállapítását támasztja alá, amint azt lényegében a főtanácsnok is hangsúlyozta a 2023. szeptember 28‑i indítványának 59. pontjában, hogy e címeknek az online elkövetett, a szerzői vagy szomszédos jogokat sértőhöz hasonló bűncselekmények elleni küzdelemre irányuló megőrzése és az azokhoz való hozzáférés feltétlenül szükséges a kitűzött cél eléréséhez, és így megfelel a 2002/58 irányelv 15. cikkének az ezen irányelv (11) preambulumbekezdésével, valamint a Charta 52. cikkének (2) bekezdésével összefüggésben értelmezett (1) bekezdése szerinti arányosság követelményének.

119    Amint azt lényegében a főtanácsnok is hangsúlyozta a 2022. október 27‑i indítványának 78–80. pontjában, valamint a 2023. szeptember 28‑i indítványának 80. és 81. pontjában, az ilyen hozzáférés lehetőségének megtagadása nemcsak a szerzői vagy szomszédos jogokat sértő bűncselekmények, hanem az online elkövetett vagy az internet sajátos jellemzői által elkövetésében, illetve magvalósításában megkönnyített más típusú bűncselekmények esetében is a rendszerszintű büntetlenség valós kockázatával járna. Márpedig az ilyen kockázat fennállása releváns körülménynek minősül a szóban forgó különböző jogok és érdekek egymással szembeni mérlegelése keretében annak értékelése szempontjából, hogy a Charta 7., 8. és 11. cikkében biztosított jogokba való beavatkozás a bűncselekmények elleni küzdelem céljára tekintettel arányos intézkedésnek minősül‑e.

120    Igaz, hogy a Hadopihoz hasonló hatóságnak az online jogsértés elkövetéséhez használt IP‑címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hozzáférése nem feltétlenül az egyetlen olyan nyomozati eszköz, amely lehetővé teszi e cím jogosultjának azonosítását e bűncselekmény elkövetésének időpontjában. Az azonosítás ugyanis a priori az érintett személy valamennyi online tevékenységének vizsgálatával is lehetséges lehet, többek között az e személy által a közösségi hálózatokon hagyott „nyomok”, így például az e hálózatokon használt azonosító vagy elérhetőségek elemzésével.

121    Mindazonáltal, amint azt a főtanácsnok a 2023. szeptember 28‑i indítványának 83. pontjában megjegyezte, az ilyen nyomozati eszköz különösen beavatkozó jellegű lenne, mivel pontos információkat fedhet fel az érintett személyek magánéletére vonatkozóan. E személyek tekintetében ez a Charta 7., 8. és 11. cikkében biztosított jogokba való súlyosabb beavatkozást vonna maga után, mint az alapügyben szereplőhöz hasonló szabályozásból eredő beavatkozás.

122    A fentiekből következik, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben úgy kell értelmezni, hogy azzal főszabály szerint nem ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a szerzői és szomszédos jogoknak az interneten elkövetett jogsértésekkel szembeni védelméért felelős hatóság számára a nyilvánosan elérhető elektronikus hírközlési szolgáltatás nyújtója által valóban teljesen elkülönítetten megőrzött, az IP‑címnek megfelelő, személyazonosságra vonatkozó, a jogtulajdonosok szervezetei által előzetesen gyűjtött adatokhoz való hozzáférést kizárólag annak érdekében, hogy e hatóság azonosítani tudja e címek ezen jogsértések elkövetésével gyanúsítható jogosultjait, és adott esetben velük szemben intézkedéseket hozhasson. Ilyen esetben az alkalmazandó nemzeti szabályozásnak meg kell tiltania az ilyen hozzáféréssel rendelkező tisztviselők számára először is azt, hogy az általuk megtekintett fájlok tartalmára vonatkozó információkat bármilyen formában – az ügyészséghez fordulást mint egyetlen célt kivéve – nyilvánosságra hozzák, másodszor hogy e jogosultak böngészési útvonalát nyomon kövessék, harmadszor pedig, hogy ezen IP‑címeket az ezen intézkedések elfogadásától eltérő célokra használják fel.

 A valamely IP‑címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hatósági hozzáférést megelőző, bíróság vagy független közigazgatási szerv általi előzetes felülvizsgálat követelményéről

123    Felmerül azonban a kérdés, hogy a hatóságnak az IP‑címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hozzáférését ezenkívül bírósági vagy független közigazgatási szerv általi előzetes felülvizsgálattól kell‑e függővé tenni.

124    E tekintetben a Bíróság a tagállamok által a hozzáférés feltétlenül szükséges mértékre való korlátozása érdekében előírandó feltételek gyakorlatban történő, teljes körű betartásának biztosítása érdekében megállapította, hogy „alapvető fontosságú” az, hogy az illetékes nemzeti hatóságoknak a forgalmi és helymeghatározó adatokhoz való hozzáférését bíróság vagy független közigazgatási szerv előzetesen felülvizsgálja (lásd ebben az értelemben: 2016. december 21‑i Tele2 Sverige és Watson és társai ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 120. pont; 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 189. pont; 2021. március 2‑i Prokuratuur [Az elektronikus hírközlési adatokhoz való hozzáférés feltételei] ítélet, C‑746/18, EU:C:2021:152, 51. pont; 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 106. pont).

125    Ezen előzetes felülvizsgálathoz elsősorban az szükséges, hogy azon bíróság vagy szerv, amelynek feladata az említett előzetes felülvizsgálat elvégzése, minden ehhez szükséges hatáskörrel rendelkezzen, és minden szükséges garanciát megadjon a szóban forgó különböző érdekek és jogok összehangolásának biztosítása érdekében. Közelebbről a felderítést illetően az ilyen felülvizsgálat megköveteli, hogy az említett bíróság vagy szerv alkalmas legyen arra, hogy megfelelő egyensúlyt teremtsen egyrészt a bűnözés elleni küzdelem keretében a felderítés szükségleteihez fűződő érdekek, másrészt az azon személyek magánéletének tiszteletben tartásához és személyes adatainak védelméhez fűződő alapvető jogok között, akiknek az adatait a hozzáférés érinti (2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 107. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

126    Másodsorban, amennyiben e felülvizsgálatot nem bíróság, hanem független közigazgatási szerv végzi, e szervnek olyan jogállással kell rendelkeznie, amely lehetővé teszi számára, hogy feladatai ellátása során objektív és pártatlan módon járjon el, és e célból minden külső befolyástól mentesnek kell lennie. Így a függetlenség követelménye, amelynek az előzetes felülvizsgálat elvégzésére köteles hatóságnak meg kell felelnie, megköveteli, hogy e hatóság harmadik félnek minősüljön az adatokhoz való hozzáférést kérő hatósághoz képest oly módon, hogy az előbbi képes legyen e felülvizsgálatot minden külső befolyástól mentesen, objektíven és pártatlanul elvégezni. Közelebbről, a büntetőjog területén a függetlenség követelménye azt jelenti, hogy az ezen előzetes felülvizsgálat elvégzésére köteles hatóság egyrészt nem vesz részt a szóban forgó felderítés lefolytatásában, másrészt pedig eljárásjogi helyzete semleges a büntetőeljárás felei irányában (lásd ebben az értelemben: 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 108. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

127    Harmadsorban, a 2002/58 irányelv 15. cikkének (1) bekezdése által megkövetelt független felülvizsgálatnak bármely hozzáférést megelőzően kell sorra kerülnie, a kellően indokolt sürgős eseteket kivéve, amikor a felülvizsgálatot rövid határidőn belül el kell végezni. A későbbi felülvizsgálat ugyanis nem teszi lehetővé az előzetes felülvizsgálat céljának való megfelelést, amely annak megakadályozásában áll, hogy a szóban forgó adatokhoz olyan hozzáférést engedélyezzenek, amely túllépi a szigorúan szükséges mértéket (2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 110. pont).

128    Mindemellett, noha – amint az a jelen ítélet 124. pontjában felidézett ítélkezési gyakorlatból kitűnik – a Bíróság „alapvető jelentőségűnek” ítélte, hogy az illetékes nemzeti hatóságoknak a forgalmi és helymeghatározó adatokhoz való hozzáférését bíróság vagy független közigazgatási szerv előzetesen felülvizsgálja, ez az ítélkezési gyakorlat olyan nemzeti intézkedésekkel összefüggésben alakult ki, amelyek a súlyos bűncselekmények elleni küzdelemhez kapcsolódó cél érdekében általános, az elérni kívánt céllal fennálló bármilyen – akár közvetett – kapcsolattól független hozzáférést tesznek lehetővé valamennyi megőrzött forgalmi és helymeghatározó adathoz, és amelyek így az érintett alapvető jogokba való súlyos, sőt „különösen súlyos” beavatkozásokkal járnak.

129    Ezzel szemben, a személyazonosságra vonatkozó adatokhoz való hozzáférésnek a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével összefüggésben értelmezett (1) bekezdésére tekintettel történő igazolhatóságára vonatkozó feltételek kapcsán a Bíróság semmilyen kifejezett utalást nem tett az ilyen előzetes felülvizsgálat követelményére (lásd ebben az értelemben: 2018. október 2‑i Ministerio Fiscal ítélet, C‑207/16, EU:C:2018:788, 59., 60. és 62. pont; 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 157. és 158. pont; 2021. március 2‑i Prokuratuur [Az elektronikus hírközlési adatokhoz való hozzáférés feltételei] ítélet, C‑746/18, EU:C:2021:152, 34. pont).

130    Márpedig a Bíróságnak a 2002/58 irányelv 15. cikke (1) bekezdésének első mondatában megkövetelt arányosság elvére vonatkozó ítélkezési gyakorlatából, különösen pedig azon ítélkezési gyakorlatból, amely szerint a tagállamok azon lehetőségét, hogy a többek között az ezen irányelv 5., 6. és 9. cikkében előírt jogok és kötelezettségek korlátozását igazolják, a Charta 7., 8. és 11. cikkében biztosított alapvető jogokba történő, az ilyen korlátozással járó beavatkozás súlyosságának felmérésével, valamint annak ellenőrzésével kell értékelni, hogy a korlátozás által elérni kívánt közérdekű cél jelentősége összefügg‑e a beavatkozás súlyosságával (2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 131. pont), az következik, hogy az érintett alapvető jogokba való, a szóban forgó személyes adatokhoz való hozzáféréssel járó beavatkozás mértékének, valamint az adatok érzékenységi szintjének ki kell hatnia a hozzáféréssel kapcsolatos anyagi jogi és eljárásjogi garanciákra is, amelyek között a bíróság vagy független közigazgatási szerv általi előzetes felülvizsgálat követelménye is szerepel.

131    Következésképpen az arányosság elvére tekintettel meg kell állapítani, hogy a bíróság vagy független közigazgatási szerv általi előzetes felülvizsgálat követelménye kötelező akkor, ha a hatóság személyes adatokhoz való hozzáférését előíró nemzeti szabályozás összefüggésében e hozzáférés az érintett személy alapvető jogaiba való súlyos beavatkozás kockázatával jár abban az értelemben, hogy lehetővé teheti e hatóság számára, hogy pontos következtetéseket vonjon le e személy magánéletére vonatkozóan, és adott esetben meghatározza részletes profilját.

132    Ezzel szemben az előzetes felülvizsgálat e követelménye nem alkalmazandó, ha az érintett alapvető jogokba való, a hatóságnak a személyes adatokhoz való hozzáférése jelentette beavatkozás nem minősíthető súlyosnak.

133    Ez a helyzet áll fenn az elektronikus hírközlési eszközök felhasználóinak személyazonosságára vonatkozó adatokhoz kizárólag az érintett felhasználó azonosítása céljából való, anélkül történő hozzáférés esetén, hogy ezek az adatok összekapcsolhatók lennének a lebonyolított közlésekre vonatkozó információkkal, mivel a Bíróság ítélkezési gyakorlata szerint az említett adatok ilyen kezelésével járó beavatkozás főszabály szerint nem minősíthető súlyosnak (lásd ebben az értelemben: 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 157. és 158. pont).

134    Következésképpen, amennyiben egy, a jelen ítélet 86–89. pontjában leírt adatmegőrzési rendelkezést vezetnek be, a hatóságnak az így megőrzött IP‑címeknek megfelelő, személyazonosságra vonatkozó adatokhoz való hozzáférésére főszabály szerint nem vonatkozik a bíróság vagy független közigazgatási szerv általi előzetes felülvizsgálat követelménye.

135    Mindemellett, amint az a jelen ítélet 110. és 111. pontjában már megállapításra került, nem zárható ki, hogy atipikus helyzetekben az alapügyben szóban forgó fokozatos válaszadási eljáráshoz hasonló eljárás keretében a hatóság rendelkezésére bocsátott, korlátozott adatok és információk alkalmasak arra, hogy az érintett személy magánéletének egyes vonatkozásairól olyan, adott esetben érzékeny információkat tárjanak fel, amelyek összességükben véve lehetővé tehetik e hatóság számára, hogy pontos következtetéseket vonjon le e személy magánéletére vonatkozóan, és adott esetben megállapítsa a részletes profilját.

136    Amint az a jelen ítélet 112. pontjából kitűnik, a magánéletet fenyegető ilyen veszély többek között akkor merülhet fel, ha valamely személy a szerzői vagy szomszédos jogokat sértő tevékenységet ismétlődően, sőt nagy számban folytat a peer‑to‑peer hálózatokon olyan különleges típusú, védett művekkel kapcsolatban, amelyeket címük szerint olyan csoportokba lehet sorolni, amelyek akár érzékeny információkat is felfedhetnek a magánéletére vonatkozóan.

137    Így a jelen ügyben a fokozatos válaszadásra irányuló közigazgatási eljárás keretében az IP‑cím jogosultja különösen ki lehet téve a magánéletét fenyegető ilyen veszélynek, amint ez az eljárás abba a szakaszba ér, amikor a Hadopinak arról kell döntenie, hogy súlyos gondatlanság szabálysértésének vagy hamisítás vétségének minősíthető cselekmények miatt az ügyészséghez fordul‑e az e jogosult elleni eljárás lefolytatása céljából.

138    Az ügyészséghez fordulás előfeltétele az, hogy az IP‑cím jogosultja már két ajánlást és egy, őt arról tájékoztató levelet kapott, hogy tevékenysége büntetőeljárást vonhatnak maguk után, amely intézkedések azzal járnak, hogy a Hadopi minden alkalommal hozzáfért a szerzői vagy szomszédos jogokat sértő tevékenységekhez használt IP‑cím jogosultjának személyazonosságára vonatkozó adatokhoz, valamint az e műre vonatkozó, lényegében a címét tartalmazó fájlhoz.

139    Márpedig nem zárható ki, hogy a fokozatos válaszadásra irányuló közigazgatási eljárás során az eljárás különböző szakaszaiban folyamatosan szolgáltatott adatok összességükben véve egybevágó és adott esetben érzékeny információkat tárhatnak fel az érintett személy magánéletének egyes vonatkozásairól, amelyek adott esetben lehetővé teszik profiljának megállapítását.

140    Így a magánélet tiszteletben tartásához való jog megsértésének intenzitása a fokozatos válaszadási – lépcsőzetesen felépülő – eljárás egyes szakaszainak előrehaladtával egyre fokozódhat.

141    A jelen ügyben a Hadopinak az érintett személyre vonatkozó, az ezen eljárás különböző szakaszaiban összegyűjtött adatok összességéhez való hozzáférése – ezen adatok összekapcsolása révén – lehetővé teheti e személy magánéletére vonatkozó pontos következtetések levonását. Ennélfogva az alapügyben szóban forgóhoz hasonló fokozatos válaszadási eljárás keretében a nemzeti szabályozásnak elő kell írnia, hogy az említett eljárás egy bizonyos szakaszában valamely bíróságnak vagy független közigazgatási szervnek a jelen ítélet 125–127. pontjában felidézett feltételeknek megfelelő előzetes felülvizsgálatot kell lefolytatnia az érintett személy magánéletének és személyes adatainak védelméhez való alapvető jogaiba történő aránytalan beavatkozás kizárása érdekében. Ez gyakorlatilag azt jelenti, hogy az ilyen felülvizsgálatot azt megelőzően kell elvégezni, hogy a Hadopi össze tudná kapcsolni az elektronikus hírközlési szolgáltatótól kapott IP‑címnek megfelelő személy – aki már két ajánlást kapott – személyazonosságára vonatkozó adatokat, valamint az interneten annak érdekében hozzáférhetővé tett műre vonatkozó fájlt, hogy azt más személyek letölthessék. Következésképpen az említett felülvizsgálatot a CPI R. 331‑40. cikke szerinti, azt megállapító tájékoztató levél esetleges megküldése előtt kell elvégezni, hogy e személy olyan cselekményeket követett el, amelyek súlyos gondatlanságnak minősülhetnek. A Hadopi csak a bíróság vagy független közigazgatási hatóság által végzett ilyen előzetes felülvizsgálatot és megadott engedélyt követően küldhet ilyen levelet, és fordulhat adott esetben az ügyészséghez e bűncselekmény elleni eljárás lefolytatása érdekében.

142    A Hadopi számára lehetővé kell tenni, hogy azonosítsa azokat az eseteket, amelyekben az érintett IP‑cím jogosultja eléri a fokozatos válaszadási eljárás harmadik szakaszát. Ennélfogva ezt az eljárást úgy kell felépíteni és megszervezni, hogy az elektronikus hírközlési szolgáltatóktól begyűjtött, az interneten korábban gyűjtött IP‑címeknek megfelelő, személyazonosságra vonatkozó adatokat a Hadopinak a tényállás kivizsgálásával megbízott tisztviselői ne kapcsolhassák össze automatikusan azon védett művek címének megismerését lehetővé tévő elemeket tartalmazó fájlokkal, amelyek interneten való hozzáférhetővé tétele az adatgyűjtést indokolta.

143    Így a fokozatos válaszadás harmadik szakasza céljából történő összekapcsolást fel kell függeszteni, ha az említett személyazonosságra vonatkozó, a szerzői vagy szomszédos jogokat sértő tevékenység második lehetséges megismétléséhez rendelhető adatok gyűjtése a jelen ítélet 141. pontjában leírt, bíróság vagy független közigazgatási szerv általi előzetes felülvizsgálat követelményét vonja maga után.

144    Egyébiránt az előzetes felülvizsgálat követelményének a jelen ítélet 141–143. pontjában kifejtett olyan módosítása, amely szerint az a fokozatos válaszadási eljárás harmadik szakaszára korlátozódik, és nem alkalmazandó annak korábbi szakaszaira, lehetővé teszi azon érv figyelembevételét is, amely szerint fenn kell tartani ezen eljárás gyakorlati megvalósíthatóságát, amely eljárásra – különösen a tájékoztató levél esetleges megküldését és adott esetben az ügyészséghez fordulást megelőző szakaszokban – az jellemző, hogy a hatóság tömegesen nyújt be hozzáférés iránti kérelmeket a jogtulajdonosok szervezetei által hozzá benyújtott jegyzőkönyvek ugyancsak jelentős számából fakadóan.

145    Ami továbbá a jelen ítélet 141–143. pontjában említett előzetes felülvizsgálat tárgyát illeti, a jelen ítélet 95. és 96. pontjában felidézett ítélkezési gyakorlatból az következik, hogy abban az esetben, ha az érintett személyt azzal gyanúsítják, hogy a CPI R. 335‑5. cikkében meghatározott, az általános bűncselekmények körébe tartozó „súlyos gondatlanságot” követett el, az ezen felülvizsgálatot végző bíróságnak vagy független közigazgatási szervnek meg kell tagadnia a hozzáférést, ha ez lehetővé tenné a hozzáférést kérő hatóság számára, hogy pontos következtetéseket vonjon le az említett személy magánéletére vonatkozóan.

146    Ezzel szemben még az ilyen pontos következtetések levonását lehetővé tévő hozzáférést is meg kell engedni abban az esetben, ha az ezen bíróság vagy független közigazgatási szerv tudomására hozott bizonyítékok alapján felmerül a gyanú, hogy az érintett személy a CPI L. 335‑2. cikkében vagy e törvénykönyv L. 335‑4. cikkében meghatározott hamisítás vétségét követte el, mivel a tagállamnak lehetősége van arra, hogy az ilyen bűncselekményt, mivel a társadalom valamely alapvető érdekét sérti, a súlyos bűncselekménynek körébe tartozónak tekintse.

147    Végül, ami az előzetes felülvizsgálat módjait illeti, a francia kormány úgy véli, hogy a Hadopi szóban forgó adatokhoz való hozzáférésének sajátos jellemzőire, különösen annak tömeges jellegére tekintettel helyénvaló lenne, hogy az előzetes felülvizsgálat – amennyiben szükséges – teljes mértékben automatizált legyen. Ugyanis az ilyen, tisztán objektív jellegű felülvizsgálat lényegében annak ellenőrzéséből áll, hogy a Hadopi elé terjesztett jegyzőkönyvek tartalmazzák‑e a szükséges információk és adatok összességét, anélkül hogy e hatóságnak ezeket értékelnie kellene.

148    Mindazonáltal az előzetes felülvizsgálat semmi esetre sem lehet teljesen automatizált, mivel – amint az a jelen ítélet 125. pontjában felidézett ítélkezési gyakorlatból kitűnik – az ilyen felülvizsgálat egy bűnügyi nyomozás esetében mindenképpen megköveteli, hogy az érintett bíróság vagy független közigazgatási szerv megfelelő egyensúlyt teremthessen egyrészt a bűnözés elleni küzdelem keretében a felderítés szükségleteihez fűződő jogos érdekek, másrészt az azon személyek magánéletének tiszteletben tartásához és személyes adatainak védelméhez fűződő alapvető jogok között, akiknek az adatait a hozzáférés érinti.

149    A különböző jogos érdekek és az érintett jogok ilyen egymással szembeni mérlegelése ugyanis természetes személy beavatkozását teszi szükségessé, ami annál is inkább szükséges, mivel a szóban forgó adatkezelés automatizmusa és nagymértékű volta kockázatot jelent a magánéletre nézve.

150    Ezenkívül a teljesen automatizált felülvizsgálat főszabály szerint nem alkalmas annak biztosítására, hogy a hozzáférés ne haladja meg a feltétlenül szükséges mértéket, és hogy a személyes adataik kapcsán érintett személyek hatékony biztosítékokkal rendelkezzenek a visszaélések veszélyeivel, valamint az ezen adatokhoz való bármely hozzáféréssel és azok jogellenes felhasználásával szemben.

151    Így, noha az automatizált felülvizsgálat lehetővé teheti a jogtulajdonosok szervezeteinek jegyzőkönyveiben szereplő bizonyos információk ellenőrzését, az ilyen felülvizsgálatnak mindenképpen a természetes személyek által végzett, a jelen ítélet 125–127. pontjában felidézett követelményeknek teljes mértékben megfelelő felülvizsgálat mellé kell párosulnia.

 Az IP‑címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hatósági hozzáférés tekintetében az anyagi jogi és eljárásjogi feltételekre, valamint a visszaélések veszélyével, illetve az ezen adatokhoz való bármely hozzáféréssel és azok jogellenes felhasználásával szembeni biztosítékokra vonatkozó követelményekről

152    A Bíróság ítélkezési gyakorlatából kitűnik, hogy a személyes adatokhoz való hozzáférés csak akkor felelhet meg a 2002/58 irányelv 15. cikkének (1) bekezdésében előírt arányossági követelménynek, ha az azt engedélyező jogszabályi intézkedés egyértelmű és pontos szabályokkal előírja, hogy az említett hozzáférésre a vonatkozó anyagi jogi és eljárásjogi feltételek betartása mellett kerüljön sor, és hogy az érintett személyek hatékony biztosítékokkal rendelkezzenek az ezen adatokhoz való hozzáféréssel és azok visszaélésszerű vagy jogellenes felhasználásának veszélyével szemben (lásd ebben az értelemben: 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 132. és 173. pont; 2021. március 2‑i Prokuratuur [Az elektronikus hírközlési adatokhoz való hozzáférés feltételei] ítélet, C‑746/18, EU:C:2021:152, 49. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

153    Amint azt a Bíróság hangsúlyozta, az ilyen biztosítékokkal való rendelkezés szükségessége még fontosabb abban az esetben, ha a személyes adatokat automatizált módon kezelik (2020. július 16‑i Facebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 176. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

154    E tekintetben a Bíróság által a 2022. július 5‑i tárgyalásra tekintettel feltett kérdésre válaszolva a francia kormány megerősítette, hogy – amint arra egyébként a CPI L. 331‑29. cikke is utal – a Hadopinak a személyazonosságra vonatkozó adatokhoz való, a fokozatos válaszadási eljárás keretében történő hozzáférése alapvetően automatizált adatkezelésen alapul, amelyre a jogtulajdonosok szervezetei által a peer‑to‑peer hálózatokon megállapított hamisítások tömeges jellege ad magyarázatot, amely megállapításokat jegyzőkönyv formájában továbbítják a Hadopinak.

155    Konkrétabban, a Bíróság rendelkezésére álló iratokból kitűnik, hogy ezen adatkezelés során a Hadopi tisztviselői alapvetően automatizált módon és az érintett tényállások értékelése nélkül azt ellenőrzik, hogy az elé terjesztett jegyzőkönyvek tartalmazzák‑e a 2010‑236. sz. rendelet mellékletének 1. pontjában említett valamennyi információt és adatot, különösen az interneten való jogellenes hozzáférhetővé tétel konkrét tényállását és az e célból használt IP‑címeket. Márpedig az ilyen adatkezeléseknek a természetes személyek által végzett felülvizsgálat mellé kell párosulniuk.

156    Mivel az ilyen automatizált adatkezelés magában foglalhat bizonyos számú fals pozitív esetet, és különösen annak kockázatát, hogy harmadik személyek esetlegesen nagyon magas számú személyes adatot kezelnek visszaélésszerűen vagy jogellenes célból, fontos, hogy valamely jogalkotási intézkedés értelmében a hatóság által alkalmazott adatkezelési rendszert egy e hatósághoz képest harmadik félként eljáró független szerv rendszeresen ellenőrizze, a rendszer integritásának – beleértve az e rendszer által biztosítandó, a visszaélések veszélyeivel, valamint az ezen adatokhoz való bármely hozzáféréssel és azok jogellenes felhasználásával szembeni tényleges garanciákat –, valamint a rendszernek a bűnismétlés esetén súlyos gondatlanságnak vagy hamisításnak minősíthető jogsértések felderítését illető hatékonyságának és megbízhatóságának vizsgálatára kiterjedően.

157    Végül hozzá kell tenni, hogy a személyes adatok olyan hatósági kezelésének, mint amelyet a Hadopi a fokozatos válaszadási eljárás keretében végez, tiszteletben kell tartania az e személyes adatok védelmére vonatkozóan a 2016/680 irányelvben előírt különös szabályokat, amely irányelv célja az 1. cikke szerint az, hogy szabályokat állapítson meg a természetes személyek védelmére a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – így többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végzett kezelése tekintetében.

158    A jelen ügyben ugyanis a Hadopinak, még ha az alkalmazandó nemzeti jog értelmében nem is rendelkezik saját döntéshozatali jogkörrel, a személyes adatoknak a fokozatos válaszadási eljárás keretében történő kezelésekor, és az olyan intézkedések elfogadásakor, mint az érintett személy részére megküldött ajánlás vagy arról való tájékoztatás, hogy a szóban forgó cselekmények büntetőeljárást vonhatnak maguk után, a 2016/680 irányelv 3. cikke értelmében vett, a bűncselekmények – vagyis a súlyos gondatlanság szabálysértése vagy a hamisítás vétsége – megelőzésében és felderítésében közreműködő „hatóságnak” kell minősülnie, és így az 1. cikkének megfelelően ezen irányelv hatálya alá tartozik.

159    E tekintetben a francia kormány a Bíróság által a 2022. július 5‑i tárgyalás céljából feltett kérdésre válaszolva kifejtette, hogy mivel a Hadopi által a fokozatos válaszadási eljárás keretében elfogadott intézkedések „a bírósági eljáráshoz közvetlenül kapcsolódó, büntetőeljárást megelőző jellegűek”, a Hadopi által bevezetett, az internetes művek védelmét szolgáló intézkedések kezelésére szolgáló rendszer – amint az a kérdést előterjesztő bíróság ítélkezési gyakorlatából kitűnik – a 2016/680 irányelv átültetésére irányuló nemzeti jogi rendelkezések hatálya alá tartozik.

160    Ezzel szemben a Hadopi által végzett ilyen adatkezelés nem tartozik az általános adatvédelmi rendelet hatálya alá. E tekintetben ugyanis az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontja úgy rendelkezik, hogy e rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.

161    Amint arra a főtanácsnok a 2022. október 27‑i indítványának 104. pontjában rámutatott, mivel a 2016/680 irányelv tiszteletben tartása ennélfogva kötelező a Hadopira a fokozatos válaszadási eljárás keretében, az ilyen eljárás alá vont személyek számára egy sor anyagi jogi és eljárásjogi garanciát kell biztosítani, ami magában foglalja a Hadopi által kezelt személyes adatokhoz való hozzáféréshez, azok helyesbítéséhez és törléséhez való jogot, valamint panasznak egy független felügyeleti hatósághoz történő benyújtásának lehetőségét, amelyet adott esetben az általános szabályok szerinti bírósági jogorvoslat követ.

162    Ebben az összefüggésben az alapügyben szóban forgó nemzeti szabályozásból kitűnik, hogy a fokozatos válaszadási eljárás keretében, pontosabban a második ajánlás és az ezt követő, arról való tájékoztatás megküldésekor, hogy a megállapított tényállás bűncselekménynek minősülhet, e közlések címzettje bizonyos eljárási garanciákat élvez, így például megilleti az észrevételek benyújtásához való jog, a neki felrótt jogsértéssel kapcsolatos felvilágosításhoz való jog, valamint az említett tájékoztatás kapcsán a meghallgatáshoz való jog, illetve az ügyvédi segítség igénybevételéhez való jog.

163    Mindenesetre a kérdést előterjesztő bíróság feladata annak vizsgálata, hogy e nemzeti szabályozás a 2016/680 irányelv által előírt valamennyi anyagi jogi és eljárásjogi biztosítékot előírja‑e.

164    A fenti megfontolások összességére tekintettel az előzetes döntéshozatalra előterjesztett három kérdésre azt a választ kell adni, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben úgy kell értelmezni, hogy azzal nem ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a szerzői és szomszédos jogoknak az interneten elkövetett jogsértésekkel szembeni védelméért felelős hatóság számára a nyilvánosan elérhető elektronikus hírközlési szolgáltatást nyújtók által megőrzött, az IP‑címnek megfelelő, személyazonosságra vonatkozó, a jogtulajdonosok szervezetei által előzetesen gyűjtött adatokhoz való hozzáférést annak érdekében, hogy e hatóság azonosítani tudja a valószínűsíthetően jogsértésnek minősülő tevékenységekhez használt címek jogosultjait, és adott esetben velük szemben intézkedéseket hozhasson, feltéve hogy e szabályozás értelmében

–        ezeket az adatokat olyan feltételek és technikai eljárások mellett őrzik meg, amelyek biztosítják annak kizárását, hogy e megőrzés lehetővé tegye az e jogosultak magánéletére vonatkozó pontos következtetések levonását, például részletes profiljuk megállapítása révén, ami különösen azáltal érhető el, hogy az elektronikus hírközlési szolgáltatók számára a személyes adatok különböző kategóriáinak – mint például a személyazonosságra vonatkozó adatok, az IP‑címek, valamint a forgalmi és helymeghatározó adatok – oly módon történő megőrzésére vonatkozó kötelezettséget írnak elő, amely biztosítja a különböző adatkategóriák valóban teljes elkülönítését, megakadályozva az adatmegőrzés szakaszában e különböző adatkategóriák bármilyen összekapcsolt felhasználását, és a megőrzés időtartama a szigorúan szükséges mértéket nem haladja meg,

–        e hatóságnak az ilyen, valóban teljesen elkülönítetten megőrzött adatokhoz való hozzáférése kizárólag a bűncselekmény elkövetésével gyanúsítható személy azonosítására szolgál, és azt az annak kizárásához szükséges garanciák övezik, hogy az atipikus helyzetek kivételével e hozzáférés lehetővé tegye az IP‑címek jogosultjainak magánéletére vonatkozó pontos következtetések levonását, például részletes profiljuk megállapítása révén, ami különösen azt jelenti, hogy e hatóság ilyen hozzáférésre jogosult tisztviselői számára tilos, hogy az általuk megtekintett fájlok tartalmára vonatkozó információkat bármilyen formában – az ügyészséghez fordulást mint egyetlen célt kivéve – nyilvánosságra hozzák, e jogosultak böngészési útvonalát nyomon kövessék, és általánosabban, hogy ezen IP‑címeket a jogosultjaiknak a velük szembeni esetleges intézkedések elfogadása végett történő azonosításától eltérő célra használják fel,

–        az említett hatóságnak a tényállás kivizsgálásával megbízott tisztviselőit megillető azon lehetőség, hogy ezeket az adatokat összekapcsolják azon védett művek címének megismerését lehetővé tévő elemeket tartalmazó fájlokkal, amelyek interneten való hozzáférhetővé tétele az IP‑címeknek a jogtulajdonosok szervezetei általi gyűjtését indokolta, a szerzői vagy szomszédos jogokat sértő tevékenység ugyanazon személy általi megismétlése esetén bírósági vagy független közigazgatási szerv általi olyan felülvizsgálattól függ, amely nem lehet teljesen automatizált, és amelyet az összekapcsolást megelőzően végeznek el, mivel ez az összekapcsolás ilyen esetben lehetővé teheti a valószínűsíthetően szerzői vagy szomszédos jogokat sértő tevékenységhez használt IP‑cím jogosultjának magánéletére vonatkozó pontos következtetések levonását,

–        a hatóság által alkalmazott adatkezelési rendszert egy, e hatósághoz képest harmadik félként eljáró független szerv rendszeresen ellenőrzi, a rendszer integritásának – beleértve az ilyen adatokhoz való hozzáférés és azok visszaélésszerű vagy jogellenes felhasználásának kockázatával szembeni tényleges garanciákat –, valamint a rendszernek az esetleges jogsértések felderítését illető hatékonyságának és megbízhatóságának vizsgálatára kiterjedően.

 A költségekről

165    Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (teljes ülés) a következőképpen határozott:

A 2009. november 25‑i 2009/136/EK európai parlamenti és tanácsi irányelvvel módosított, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelv („Elektronikus hírközlési adatvédelmi irányelv”) 15. cikkének (1) bekezdését az Európai Unió Alapjogi Chartája 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben

a következőképpen kell értelmezni:

azzal nem ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a szerzői és szomszédos jogoknak az interneten elkövetett jogsértésekkel szembeni védelméért felelős hatóság számára a nyilvánosan elérhető elektronikus hírközlési szolgáltatást nyújtók által megőrzött, az IP‑címnek megfelelő, személyazonosságra vonatkozó, a jogtulajdonosok szervezetei által előzetesen gyűjtött adatokhoz való hozzáférést annak érdekében, hogy e hatóság azonosítani tudja a valószínűsíthetően jogsértésnek minősülő tevékenységekhez használt címek jogosultjait, és adott esetben velük szemben intézkedéseket hozhasson, feltéve hogy e szabályozás értelmében

–        ezeket az adatokat olyan feltételek és technikai eljárások mellett őrzik meg, amelyek biztosítják annak kizárását, hogy e megőrzés lehetővé tegye az e jogosultak magánéletére vonatkozó pontos következtetések levonását, például részletes profiljuk megállapítása révén, ami különösen azáltal érhető el, hogy az elektronikus hírközlési szolgáltatók számára a személyes adatok különböző kategóriáinak – mint például a személyazonosságra vonatkozó adatok, az IP‑címek, valamint a forgalmi és helymeghatározó adatok – oly módon történő megőrzésére vonatkozó kötelezettséget írnak elő, amely biztosítja a különböző adatkategóriák valóban teljes elkülönítését, megakadályozva az adatmegőrzés szakaszában e különböző adatkategóriák bármilyen összekapcsolt felhasználását, és a megőrzés időtartama a szigorúan szükséges mértéket nem haladja meg,

–        e hatóságnak az ilyen, valóban teljesen elkülönítetten megőrzött adatokhoz való hozzáférése kizárólag a bűncselekmény elkövetésével gyanúsítható személy azonosítására szolgál, és azt az annak kizárásához szükséges garanciák övezik, hogy az atipikus helyzetek kivételével e hozzáférés lehetővé tegye az IP‑címek jogosultjainak magánéletére vonatkozó pontos következtetések levonását, például részletes profiljuk megállapítása révén, ami különösen azt jelenti, hogy e hatóság ilyen hozzáférésre jogosult tisztviselői számára tilos, hogy az általuk megtekintett fájlok tartalmára vonatkozó információkat bármilyen formában – az ügyészséghez fordulást mint egyetlen célt kivéve – nyilvánosságra hozzák, e jogosultak böngészési útvonalát nyomon kövessék, és általánosabban, hogy ezen IP‑címeket a jogosultjaiknak a velük szembeni esetleges intézkedések elfogadása végett történő azonosításától eltérő célra használják fel,

–        az említett hatóságnak a tényállás kivizsgálásával megbízott tisztviselőit megillető azon lehetőség, hogy ezeket az adatokat összekapcsolják azon védett művek címének megismerését lehetővé tévő elemeket tartalmazó fájlokkal, amelyek interneten való hozzáférhetővé tétele az IP‑címeknek a jogtulajdonosok szervezetei általi gyűjtését indokolta, a szerzői vagy szomszédos jogokat sértő tevékenység ugyanazon személy általi megismétlése esetén bírósági vagy független közigazgatási szerv általi olyan felülvizsgálattól függ, amely nem lehet teljesen automatizált, és amelyet az összekapcsolást megelőzően végeznek el, mivel ez az összekapcsolás ilyen esetben lehetővé teheti a valószínűsíthetően szerzői vagy szomszédos jogokat sértő tevékenységhez használt IP‑cím jogosultjának magánéletére vonatkozó pontos következtetések levonását,

–        a hatóság által alkalmazott adatkezelési rendszert egy, e hatósághoz képest harmadik félként eljáró független szerv rendszeresen ellenőrzi, a rendszer integritásának – beleértve az ilyen adatokhoz való hozzáférés és azok visszaélésszerű vagy jogellenes felhasználásának kockázatával szembeni tényleges garanciákat –, valamint a rendszernek az esetleges jogsértések felderítését illető hatékonyságának és megbízhatóságának vizsgálatára kiterjedően.

Aláírások

*      Az eljárás nyelve: francia.