A BÍRÓSÁG ÍTÉLETE (első tanács)
2023. március 30.(*)
„Előzetes döntéshozatal – A személyes adatok védelme – (EU) 2016/679 rendelet – A 88. cikk (1) és (2) bekezdése – Foglalkoztatással összefüggő adatkezelés – Tartományi iskolarendszer – Videókonferencia útján történő oktatás a Covid19‑világjárvány miatt – A tanárok kifejezett hozzájárulása nélkül történő végrehajtás”
A C‑34/21. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság, Németország) a Bírósághoz 2021. január 20‑án érkezett, 2020. december 20‑i határozatával terjesztett elő
a Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium
és
a Minister des Hessischen Kultusministeriums
között folyamatban lévő eljárásban,
A BÍRÓSÁG (első tanács),
tagjai: A. Arabadjiev tanácselnök, K. Lenaerts, a Bíróság elnöke, L. Bay Larsen, a Bíróság elnökhelyettese, az első tanács bíráiként eljárva, A. Kumin és I. Ziemele (előadó) bírák,
főtanácsnok: M. Campos Sánchez‑Bordona,
hivatalvezető: S. Beer tanácsos,
tekintettel az írásbeli szakaszra és a 2022. június 30‑i tárgyalásra,
figyelembe véve a következők által előterjesztett észrevételeket:
– a Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium képviseletében J. Kolter Rechtsanwalt,
– a Minister des Hessischen Kultusministeriums képviseletében C. Meinert,
– a német kormány képviseletében J. Möller és D. Klebs, meghatalmazotti minőségben,
– az osztrák kormány képviseletében G. Kunnert és J. Schmoll, meghatalmazotti minőségben,
– a román kormány képviseletében E. Gane és A. Wellman, meghatalmazotti minőségben,
– az Európai Bizottság képviseletében F. Erlbacher, H. Kranenborg és D. Nardi, meghatalmazotti minőségben,
a főtanácsnok indítványának a 2022. szeptember 22‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: általános adatvédelmi rendelet) 88. cikke (1) és (2) bekezdésének értelmezésére vonatkozik.
2 E kérelmet a Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium (a hesseni tartományi oktatási és kulturális minisztérium mellett működő tanári személyzeti főtanács, Németország) és a Minister des Hessischen Kultusministerium (hesseni tartományi oktatási és kulturális minisztérium, Németország) között annak jogszerűsége tárgyában folyamatban lévő jogvita keretében terjesztették elő, hogy Hessen tartomány (Németország) iskoláiban az oktatási tevékenység videókonferencia útján történő élő közvetítésének bevezetése során nem rendelkeztek az érintett tanárok előzetes hozzájárulásáról.
Jogi háttér
Az uniós jog
A 95/46/EK irányelv
3 A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelvet (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 375. o.) 2018. május 25‑i hatállyal hatályon kívül helyezte az általános adatvédelmi rendelet. Ezen irányelv „Hatály” című 3. cikkének a szövege a következő volt:
„(1) Ezen irányelvet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon való feldolgozására [helyesen: kezelésére], valamint azoknak a személyes adatoknak a nem automatizált módon való feldolgozására [helyesen: kezelésére], amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
(2) Az irányelv nem alkalmazandó az alábbi személyesadat‑feldolgozásokra [helyesen: személyesadat‑kezelésekre]:
– a közösségi jog hatályán kívül eső tevékenységek, mint például az [EU‑Szerződés Lisszaboni Szerződés előtti változatának] V. és VI. címeiben megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási [helyesen: kezelési] művelet nemzetbiztonsági ügyre vonatkozik), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási [helyesen: kezelési] műveletek,
[…]”
Az általános adatvédelmi rendelet
4 Az általános adatvédelmi rendelet (8)–(10), (13), (16), (45) és (155) preambulumbekezdése kimondja:
„(8) Ha e rendelet úgy rendelkezik, hogy a benne foglalt szabályokat tagállami jog által pontosítani, illetve korlátozni lehet, a tagállamok e rendelet egyes elemeit beépíthetik a nemzeti jogukba, ha az a koherencia biztosításához, valamint ahhoz szükséges, hogy a nemzeti rendelkezések a hatályuk alá tartozó személyek számára érthetők legyenek.
(9) A [95/46] irányelv célkitűzései és elvei továbbra is érvényesek, azonban az irányelv nem akadályozta meg sem azt, hogy az [Európai] Unió tagállamaiban az adatvédelem végrehajtása széttagolt módon valósuljon meg, sem a jogbizonytalanságot, sem pedig azt, hogy széles körben az a benyomás alakuljon ki, hogy természetes személy védelme – különösen az online tevékenységek esetében – jelentős kockázatoknak van kitéve. Az a tény, hogy a személyes adatok kezelése tekintetében a természetes személyek jogai és szabadságai egyes tagállamokban eltérő szintű védelmet élveznek, különösen, ami személyes adatok védelméhez való jogot illeti, a személyes adatok Unióban történő szabad áramlásának útjában állhat. Ebből eredően ezek az eltérések a gazdasági tevékenységek uniós szinten való folytatásának akadályát képezhetik, torzíthatják a versenyt, és hátráltathatják a hatóságokat az uniós jog szerinti feladataik ellátásában. A jogok és szabadságok védelmi szintjében mutatkozó ilyen eltérések a [95/46] irányelv végrehajtásában és alkalmazásában fennálló eltérésekre vezethetők vissza.
(10) A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. A tagállamok számára lehetővé kell tenni, hogy az e rendeletben foglalt szabályok alkalmazását pontosító nemzeti rendelkezéseket tartsanak fenn vagy vezessenek be, ha a személyes adatok kezelésére jogi kötelezettség teljesítéséhez, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához szükséges. A [95/46] irányelvet végrehajtó általános és horizontális adatvédelmi jogszabályokhoz kapcsolódóan a tagállamok számos ágazatspecifikus jogszabályt hoztak azokon a területeken, ahol konkrétabb rendelkezésekre van szükség. Ez a rendelet a tagállamok számára mozgásteret biztosít ahhoz, hogy pontosítsák a benne meghatározott szabályokat, ideértve a személyes adatok különleges kategóriáira (»különleges adatok«) vonatkozókat is. Ennyiben tehát ez a rendelet nem zárja ki olyan tagállami jog elfogadását, amely meghatározza a különleges adatkezelési helyzetek körülményeit, ezen belül pontosabban megállapítja, hogy milyen feltételek mellett jogszerű a személyes adatok kezelése.
[…]
(13) A természetes személyek egységes, uniós‑szintű védelmének biztosítása, valamint a személyes adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése érdekében rendelettel kell biztosítani a jogbiztonságot és az áttekinthetőséget valamennyi tagállam gazdasági szereplői részére […], továbbá rendelettel kell biztosítani a természetes személyek részére minden tagállamban azonos szintű, jogi úton érvényesíthető jogokat és kötelezettségeket, az adatkezelők és adatfeldolgozók számára azonos felelősséget, a személyes adatok kezelésének következetes nyomon követését, valamennyi tagállamban azonos szankciók alkalmazását, és a különböző tagállamok felügyeleti hatóságai közötti hatékony együttműködést. A belső piac megfelelő működése érdekében a személyes adatok Unión belüli szabad áramlását a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével összefüggő okokból nem szabad korlátozni vagy megtiltani. […]
[…]
(16) E rendelet nem vonatkozik az alapvető jogok és szabadságok olyan tevékenységekkel kapcsolatos védelmére, illetve a személyes adatok olyan tevékenységekkel kapcsolatos szabad áramlására, amelyek az uniós jog hatályán kívül esnek, mint például a nemzetbiztonsággal kapcsolatos tevékenységek. Nem tartozik e rendelet hatálya alá a tagállamok által olyan tevékenységek keretében végzett személyes adatok kezelése sem, amelyeket a tagállamok az Unió közös kül‑ és biztonságpolitikájával összefüggésben végeznek.
[…]
(45) Ha az adatkezelésre az adatkezelőre vonatkozó jogi kötelezettség teljesítése keretében kerül sor, vagy ha az közérdekű feladat végrehajtásához, illetve közhatalmi jogosítvány gyakorlásához szükséges, az adatkezelésnek az uniós jogban vagy valamely tagállam jogában foglalt jogalappal kell rendelkeznie. Ez a rendelet nem követeli meg, hogy az egyes konkrét adatkezelési műveletekre külön‑külön jogszabály vonatkozzon. Elegendő lehet az is, ha egyetlen jogszabály szolgál jogalapul több olyan adatkezelési művelethez is, amely az adatkezelőre vonatkozó jogi kötelezettségen alapul, illetve amelyre közérdekből végzett feladat ellátásához vagy közhatalmi jogosítvány gyakorlásához van szükség. Az adatkezelés célját is uniós vagy tagállami jogban kell meghatározni. E rendeletnek a személyes adatok kezelésének jogszerűségére vonatkozó általános feltételeit ezen túlmenően ezek pontosíthatják, az adatkezelő megjelölésére vonatkozó pontos szabályokat, az adatkezelés tárgyát képező személyes adatok típusát, az érintetteket, azokat a szervezeteket, amelyekkel a személyes adatok közölhetők, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát, valamint egyéb, a jogszerű és tisztességes adatkezelés biztosításához szükséges intézkedéseket is meghatározhatják. […]
[…]
(155) A tagállami jog vagy kollektív szerződések – ideértve az üzemi megállapodásokat is – előírhatnak olyan konkrét szabályokat, amelyek a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelését szabályozzák, különösen azokat a feltételeket, amelyek mellett a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelésére – a munkavállaló hozzájárulása alapján, a munkaerő‑felvétel és a munkaszerződés teljesítése céljából – kerülhet sor, ideértve a jogszabályban vagy kollektív szerződésben meghatározott kötelezettségek teljesítését, a munka irányítását, tervezését és szervezését, a munkahelyi egyenlőséget és sokszínűséget, a munkahelyi egészségvédelmet és biztonságot, továbbá a foglalkoztatáshoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlását és érvényesülését, valamint a munkaviszony megszüntetése céljából történő adatkezelést.”
5 Az általános adatvédelmi rendelet „Tárgy” című 1. cikke a következőképpen rendelkezik:
„(1) Ez a rendelet a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg.
(2) Ez a rendelet a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.
(3) A személyes adatok Unión belüli szabad áramlása nem korlátozható vagy tiltható meg a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével összefüggő okokból.”
6 Az említett rendelet „Tárgyi hatály” című 2. cikkének (1) és (2) bekezdése a következőket írja elő:
„(1) E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
(2) E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:
a) az uniós jog hatályán kívül eső tevékenységek során végzik;
b) a tagállamok az [EU‑Szerződés] V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzik;
c) természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik;
d) az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.”
7 Az említett rendelet „Fogalommeghatározások” című 4. cikke kimondja:
„E rendelet alkalmazásában:
1. »személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
2. »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
[…]”
8 Az általános adatvédelmi rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke a következőket mondja ki:
„(1) A személyes adatok:
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (»jogszerűség, tisztességes eljárás és átláthatóság«);
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés (»célhoz kötöttség«);
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk (»adattakarékosság«);
d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék (»pontosság«);
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel (»korlátozott tárolhatóság«);
f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (»integritás és bizalmas jelleg«).
(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”)."
9 Az említett rendeletnek „Az adatkezelés jogszerűsége” című 6. cikke (1)–(3) bekezdésében a következőket írja elő:
„(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
[…]
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.
(2) Az e rendeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében, a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzeteket is.
(3) Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:
a) az uniós jog, vagy
b) azon tagállami jog, amelynek hatálya alá az adatkezelő tartozik.
Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.”
10 Az általános adatvédelmi rendeletnek „Az adatkezelés különös eseteire vonatkozó rendelkezések” című IX. fejezetében szereplő, „a foglalkoztatással összefüggő[…] [adatkezelésre]” vonatkozó 88. cikke a következőket írja elő:
„(1) A tagállamok jogszabályban vagy kollektív szerződésekben pontosabban meghatározott szabályokat állapíthatnak meg annak érdekében, hogy biztosítsák a jogok és szabadságok védelmét a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében, különösen a munkaerő‑felvétel, a munkaszerződés teljesítése céljából, ideértve a jogszabályban vagy kollektív szerződésben meghatározott kötelezettségek teljesítését, a munka irányítását, tervezését és szervezését, a munkahelyi egyenlőséget és sokféleséget, a munkahelyi egészségvédelmet és biztonságot, a munkáltató vagy a fogyasztó tulajdonának védelmét is, továbbá a foglalkoztatáshoz kapcsolódó jogok és juttatások egyéni vagy kollektív gyakorlása és élvezete céljából, valamint a munkaviszony megszüntetése céljából.
(2) E szabályok olyan megfelelő és egyedi intézkedéseket foglalnak magukban, amelyek alkalmasak az érintett emberi méltóságának, jogos érdekeinek és alapvető jogainak megóvására, különösen az adatkezelés átláthatósága, vállalkozáscsoporton vagy a közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adattovábbítás, valamint a munkahelyi ellenőrzési rendszerek tekintetében.
(3) Minden tagállam legkésőbb 2018. május 25‑ig értesíti [az Európai] Bizottságot azon jogi rendelkezésekről, amelyeket az (1) bekezdés alapján elfogad, továbbá haladéktalanul értesíti a Bizottságot az említett jogi rendelkezéseket érintő későbbi módosításokról.”
A német jog
11 A 2017. június 30‑i Bundesdatenschutzgesetz (az adatvédelemről szóló szövetségi törvény, BGBl. 2017 I, 2097. o.) 26. §‑ának (1) bekezdése az alábbiak szerint rendelkezik:
„A munkavállalók személyes adatai a munkaviszony céljából akkor kezelhetők, ha ezen adatkezelés a munkaviszony létesítéséről való döntéshez, illetve a munkaviszony létesítése után annak végrehajtásához, megszüntetéséhez, illetve a munkavállalók érdekképviseletével kapcsolatos, jogszabályból vagy kollektív szabályozási eszközből, illetve üzemi vagy kollektív megállapodásból (kollektív szerződés) eredő jogok gyakorlásához, illetve kötelezettségek teljesítéséhez szükséges. […]”
12 A 2018. május 3‑i Hessisches Datenschutz‑ und Informationsfreiheitsgesetz (Hessen tartomány adatvédelemről és információszabadságról szóló, 2018. május 3‑i törvénye; a továbbiakban: HDSIG) 23. §‑a értelmében:
„(1) A munkavállalók személyes adatai a munkaviszony céljából akkor kezelhetők, ha ezen adatkezelés a munkaviszony létesítéséről való döntéshez, illetve a munkaviszony létesítése után annak végrehajtásához, megszüntetéséhez vagy lezárásához, valamint tervezési, szervezeti, szociális és személyi jellegű belső intézkedések végrehajtásához szükséges. […]
(2) Amennyiben a munkavállalók személyes adatait hozzájárulás alapján kezelik, annak megítélésekor, hogy a hozzájárulást szabadon adták‑e, figyelembe kell venni többek között a munkavállaló munkaviszonyban fennálló alárendeltségi helyzetét, valamint a hozzájárulás megadásának körülményeit. A hozzájárulás szabad jellege különösen akkor állapítható meg, ha a munkavállaló számára jogi vagy gazdasági előny áll fenn, vagy ha a munkáltató és a munkavállaló érdekei összhangban vannak. A hozzájárulást írásba kell foglalni, kivéve ha különleges körülmények miatt más alaki követelmények állnak fenn. A munkáltató írásban tájékoztatja a munkavállalót az adatkezelés céljáról, valamint hozzájárulása visszavonásának az [általános adatvédelmi rendelet] 7. cikkének (3) bekezdése szerinti jogáról.
(3) Az [általános adatvédelmi rendelet] 9. cikkének (1) bekezdésétől eltérve, a személyes adatok különleges kategóriáinak az [általános adatvédelmi rendelet] 9. cikkének (1) bekezdése értelmében vett kezelése akkor megengedett a munkaviszony keretében, ha az a munkajogból, a társadalombiztosítási jogból és a szociális védelemhez való jogból eredő jogi kötelezettségek teljesítéséhez szükséges, és nincs ok azt feltételezni, hogy az érintettnek az adatkezelés kizárásához fűződő jogos érdeke elsőbbséget élvez. A (2) bekezdés a személyes adatok különleges kategóriáinak kezelésére vonatkozó hozzájárulásra is érvényes. E tekintetben a hozzájárulásnak kifejezetten utalnia kell ezekre az adatokra. […]
(4) A személyes adatok munkaviszony céljából történő kezelése – ideértve a munkavállalók személyes adatainak különleges kategóriáinak kezelését is – kollektív szerződések alapján megengedett. Ennek kapcsán a tárgyaló felek kötelesek tiszteletben tartani [az általános adatvédelmi rendelet] 88. cikkének (2) bekezdését.
(5) Az adatkezelőnek meg kell tennie a megfelelő intézkedéseket annak érdekében, hogy biztosítsa különösen [az általános adatvédelmi rendelet] 5. cikkében foglalt, a személyes adatok kezelésére vonatkozó elvek tiszteletben tartását.
[…]
(7) Az (1)–(6) bekezdést akkor is alkalmazni kell, ha a személyes adatokat – ideértve a munkavállalók személyes adatainak különleges kategóriáit is – anélkül kezelik, hogy azokat nyilvántartási rendszerben tárolják vagy kívánják tárolni. A 2018. június 21‑i Hessisches Beamtengesetz [(HBG) (Hessen tartomány köztisztviselők jogállásáról szóló törvénye, a továbbiakban: HBG)] alkalmazottak személyi aktáira vonatkozó rendelkezései megfelelően alkalmazandók a közszféra munkavállalóira is, kivéve ha a kollektív munkajogi szabályozási eszköz másként rendelkezik.
(8) E törvény értelmében munkavállalóknak minősülnek:
1. a munkavállalók, beleértve a kölcsönzött munkavállalókat a kölcsönzővel fennálló jogviszonyban;
[…]
7. a [HBG] hatálya alá tartozó köztisztviselők, a tartományi bírók, valamint a polgári szolgálatot teljesítő személyek.
[…]”
13 A HBG 86. §‑ának (4) bekezdése előírja:
„A közjogi munkáltató csak annyiban gyűjthet személyes adatokat a pályázókra, a köztisztviselőkre és a volt tisztviselőkre vonatkozóan, amennyiben ez a munkaviszony létesítéséhez, végrehajtásához, megszüntetéséhez vagy lezárásához, vagy szervezeti, személyi és szociális intézkedések végrehajtásához, különösen a munkaerő‑tervezés és a munkaerő‑alkalmazás céljából szükséges, vagy azt jogszabály vagy kollektív szerződés lehetővé teszi. […]”
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
14 Amint az a Bírósághoz benyújtott iratokból kitűnik, Hessen tartomány oktatási és kulturális minisztere két 2020-ban elfogadott jogi aktussal meghatározta az iskolai oktatásnak a Covid19‑világjárvány alatt érvényes jogi és szervezeti keretét. E keret többek között lehetővé tette azon tanulók számára, akik nem tudtak az osztályteremben személyesen jelen lenni, hogy élőben, videókonferencia útján vegyenek részt a tanórákon. A tanulók jogainak a személyesadat‑védelemhez fűződő megóvása érdekében előírták, hogy a videókonferencia‑szolgáltatáshoz való csatlakozás kizárólag maguk a tanulók, vagy azok kiskorúsága esetén a szüleik hozzájárulásával engedélyezett. Ezzel szemben az érintett tanárok e szolgáltatásban való részvételéhez való hozzájárulásáról nem rendelkeztek.
15 A hesseni tartományi oktatási és kulturális minisztérium mellett működő tanári személyzeti főtanács keresetet indított a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság, Németország) előtt arra hivatkozva, hogy a tanórák videókonferencia útján történő élő közvetítésének feltételeként nem írták elő az érintett tanárok hozzájárulását.
16 Hessen tartomány oktatási és kulturális minisztere a maga részéről úgy érvelt, hogy a személyes adatoknak a tanórák videókonferencia útján történő élő közvetítésével megvalósuló kezelése a HDSIG 23. §‑a (1) bekezdése első mondatának hatálya alá tartozik, így arra az érintett tanár hozzájárulása nélkül is sor kerülhet.
17 A Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság) e tekintetben megjegyzi, hogy Hessen tartomány jogalkotójának szándéka szerint a HDSIG 23. §‑a és a HBG 86. §‑a azon „pontosabban meghatározott szabályok” kategóriájába tartozik, amelyeket az általános adatvédelmi rendelet 88. cikkének (1) bekezdése értelmében a tagállamok a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelésével kapcsolatos jogok és szabadságok védelmének biztosítása érdekében megállapíthatnak. Mindazonáltal e bíróságnak kétségei vannak a HDSIG 23. §‑a (1) bekezdése első mondatának és a HBG 86. §‑a (4) bekezdésének az általános adatvédelmi rendelet 88. cikkének (2) bekezdésében előírt követelményekkel való összeegyeztethetőségét illetően.
18 Először is ugyanis a HDSIG 23. §‑a (1) bekezdésének első mondata és a HBG 86. §‑ának (4) bekezdése a munkavállalók adatai kezelésének jogalapjaként a „szükségességen” alapul. Márpedig egyrészt a „szükségesség” elvének a törvénybe illesztése nem minősül az általános adatvédelmi rendelet 88. cikkének (2) bekezdésében szereplő követelményeket pontosító szabálynak, mivel a foglalkoztatással összefüggésben szükséges adatkezelést az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének b) pontja már szabályozza.
19 Másrészt a HDSIG 23. §‑a (1) bekezdésének első mondata a tulajdonképpeni szerződéses jogviszonyon túl a munkavállalók adatainak bármilyen kezelésére alkalmazandó. Márpedig az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének f) pontjából az következik, hogy a személyes adatoknak a munkaszerződés keretében szigorúan szükséges adatkezelésen túlmenő kezelése esetén mérlegelni kell egymással szemben egyfelől az érintettek, a jelen esetben a munkavállalók és a köztisztviselők szabadságait és alapvető jogait, másfelől az adatkezelő, a jelen esetben a munkáltató által követett jogos érdeket. Mivel a HDSIG 23. §‑a (1) bekezdésének első mondata nem ír elő ilyen mérlegelést, e rendelkezés az általános adatvédelmi rendelet hatálybalépését követően nem tekinthető különös ágazati szabálynak.
20 Másodszor, a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság) úgy véli, hogy a HDSIG 23. §‑ának (5) bekezdésében szereplő egyszerű hivatkozás, amely szerint az adatkezelőnek tiszteletben kell tartania többek között az általános adatvédelmi rendelet 5. cikkében rögzített elveket, nem felel meg az ugyanezen rendelet 88. cikkének (2) bekezdésében foglalt követelményeknek. Ez utóbbi rendelkezés ugyanis azt írja elő, hogy az általa hivatkozott megfelelő és egyedi normatív rendelkezéseket az érintettek emberi méltóságának, jogos érdekeinek és alapvető jogainak védelme érdekében kell elfogadni, különös figyelmet fordítva az adatkezelés átláthatóságára, a személyes adatoknak a vállalkozáscsoporton vagy a közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli továbbítására, valamint a munkahelyi ellenőrzési rendszerekre, és az nem csupán egy olyan további szabály, amelyet a nemzeti jogszabály alkalmazójának tiszteletben kell tartania. A jogszabály alkalmazója nem címzettje az általános adatvédelmi rendelet 88. cikke (2) bekezdésének.
21 E körülmények között a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
„1) Úgy kell‑e értelmezni [az általános adatvédelmi rendelet] 88. cikkének (1) bekezdését, hogy valamely jogszabályi rendelkezésnek ahhoz, hogy [az általános adatvédelmi rendelet] 88. cikkének (1) bekezdése értelmében vett, a jogok és szabadságok védelmének a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében történő biztosítása érdekében megállapított, pontosabban meghatározott szabálynak minősüljön, meg kell felelnie az [általános adatvédelmi rendelet] 88. cikkének (2) bekezdésében az ilyen rendelkezések tekintetében előírt követelményeknek?
2) Az olyan nemzeti szabály, amely nyilvánvalóan nem teljesíti [az általános adatvédelmi rendelet] 88. cikkének (2) bekezdése szerinti követelményeket, ennek ellenére továbbra is alkalmazandó lehet?”
22 A Bíróság Hivatalához 2021. november 30‑án érkezett iratban a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság) arról tájékoztatta a Bíróságot, hogy Hessen tartomány közigazgatási bíróságainak illetékességére vonatkozó nemzeti szabályozás 2021. december 1‑jétől hatályos módosításai miatt az alapeljárást áttették a Verwaltungsgericht Frankfurt am Mainhoz (Frankfurt am Main‑i közigazgatási bíróság, Németország). A Bíróság Hivatalához 2022. február 21‑én érkezett iratban ez utóbbi bíróság megerősítette a fenti áttételt, és közölte a Bírósággal az alapeljáráshoz rendelt új azonosítószámot.
Az előzetes döntéshozatal iránti kérelem elfogadhatóságáról
23 Írásbeli észrevételeiben a német kormány arra hivatkozott, hogy az előzetes döntéshozatal iránti kérelem elfogadhatatlan, mivel az előzetes döntéshozatalra előterjesztett kérdések nem relevánsak az alapjogvita megoldása szempontjából. A Bíróság válasza ugyanis nem hasznos a kérdést előterjesztő bíróság számára abban az esetben, ha az adatkezelést a tanár hozzájárulása teszi lehetővé. Márpedig a kérdést előterjesztő bíróság nem fejti ki azokat az okokat, amelyek miatt nem veszi figyelembe ezt a lehetőséget.
24 A Bíróság előtti tárgyalás során ezzel kapcsolatban feltett kérdésre a német kormány mindazonáltal elismerte, hogy az előzetes döntéshozatalra előterjesztett kérdések relevánsak akkor, ha a tanár hozzájárulását nem lehet beszerezni.
25 E tekintetben emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat értelmében a nemzeti bíróság által saját felelősségére meghatározott jogszabályi és ténybeli háttér alapján – amelynek helytállóságát a Bíróság nem vizsgálhatja – az uniós jog értelmezésére vonatkozóan előterjesztett kérdések releváns voltát vélelmezni kell. A nemzeti bíróságok által előterjesztett előzetes döntéshozatal iránti kérelem Bíróság általi elutasítása csak abban az esetben lehetséges, amennyiben nyilvánvaló, hogy az uniós jog kért értelmezése nem függ össze az alapeljárás tényállásával vagy tárgyával, illetve ha a szóban forgó probléma hipotetikus jellegű, vagy a Bíróság nem rendelkezik azon ténybeli és jogi elemek ismeretével, amelyek szükségesek ahhoz, hogy a neki feltett kérdésekre hasznos választ adjon (2022. augusztus 1‑jei Vyriausioji tarnybinės etikos komisija ítélet, C‑184/20, EU:C:2022:601, 48. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
26 A jelen ügyben az előzetes döntéshozatalra utaló határozatból kitűnik, hogy az alapeljárásban részt vevő felek nem értenek egyet abban a kérdésben, hogy a videókonferencia‑rendszerek útján, élő, megszakítás nélküli adatfolyamban történő oktatás bevezetése során – a szülőknek a gyermekeik tekintetében adott hozzájárulása vagy a nagykorú tanulók hozzájárulása mellett – szükséges‑e az érintett tanárok hozzájárulása is, vagy pedig az utóbbiak személyes adatainak kezelésére a HDSG 23. §‑a (1) bekezdésének első mondata és a HGB 86. §‑ának (4) bekezdése vonatkozik.
27 Azt is meg kell állapítani, hogy a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság) az előzetes döntéshozatal iránti kérelmében rámutatott egyrészt arra, hogy a nemzeti jogalkotó úgy ítélte meg, hogy a HDSIG 23. §‑a és a HBG 86. §‑a az általános adatvédelmi rendelet 88. cikke értelmében vett pontosabb szabálynak minősül, másrészt pedig arra, hogy az alapeljárás kimenetele attól a kérdéstől függ, hogy a HDSG 23. §‑a (1) bekezdésének első mondata és a HGB 86. §‑ának (4) bekezdése megfelel‑e az általános adatvédelmi rendelet fent említett 88. cikkében előírt követelményeknek, és ily módon a fenti rendelkezések a tanárok személyes adatainak – az oktatásnak az alapügyben szóban forgó videókonferencia‑rendszer útján, élő, megszakítás nélküli adatfolyamban történő közvetítésével összefüggő – kezelésére alkalmazandó pontosabb szabályoknak minősülhetnek‑e.
28 Figyelembe véve az előzetes döntéshozatal iránti kérelemben ily módon szolgáltatott információkat, a német kormány által előadott érvelés nem alkalmas arra, hogy megdöntse az előterjesztett kérdések relevanciájának vélelmét.
29 E körülmények között nem tekinthető úgy, hogy az uniós jog rendelkezéseinek kért értelmezése nyilvánvalóan semmilyen összefüggésben nincs az alapügy tényállásával vagy tárgyával, sem pedig úgy, hogy a probléma hipotetikus jellegű, mivel a kérdést előterjesztő bíróság figyelembe veheti ezt az értelmezést az alapjogvita megoldása érdekében. Végül a Bíróság rendelkezésére állnak azok a ténybeli és jogi elemek, amelyek szükségesek ahhoz, hogy az elé terjesztett kérdésekre hasznos választ adjon.
30 Következésképpen az előzetes döntéshozatal iránti kérelem elfogadható.
Az előzetes döntéshozatalra előterjesztett kérdésekről
Előzetes észrevételek
31 Az előzetes döntéshozatalra előterjesztett kérdések az általános adatvédelmi rendelet 88. cikke (1) és (2) bekezdésének értelmezésére vonatkoznak egy olyan jogvita keretében, amely a tanárok személyes adatainak – az iskolai oktatás keretében általuk tartandó tanórák videókonferenciája útján történő élő közvetítésével összefüggő – kezelésével kapcsolatos.
32 Először is meg kell határozni, hogy az ilyen adatkezelés az általános adatvédelmi rendelet tárgyi hatálya alá tartozik‑e, tekintettel arra, hogy e rendelet 2. cikke (2) bekezdésének a) pontja értelmében e rendelet nem alkalmazandó „az uniós jog hatályán kívül eső tevékenységek keretében” végzett személyesadat‑kezelésre, és hogy az EUMSZ 165. cikk (1) bekezdésének megfelelően a tagállamok hatáskörébe tartozik az oktatás tartalma és oktatási rendszerük szervezeti felépítése.
33 E tekintetben a Bíróság ítélkezési gyakorlatából kitűnik, hogy az általános adatvédelmi rendelet tárgyi hatályának a 2. cikk (1) bekezdésében szereplő meghatározása igen tág, és hogy az e hatály alóli, a 2. cikk (2) bekezdésében előírt kivételeket szigorúan kell értelmezni (lásd ebben az értelemben: 2020. július 9‑i Land Hessen ítélet, C‑272/19, EU:C:2020:535, 68. pont; 2021. június 22‑i Latvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 61. és 62. pont).
34 Ezenkívül az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontját ugyanezen rendelet 2. cikke (2) bekezdésének b) pontjával és (16) preambulumbekezdésével összefüggésben kell értelmezni, mely utóbbi pontosítja, hogy az említett rendelet nem alkalmazandó a személyes adatok olyan „tevékenységekkel kapcsolatos [kezelésére], amelyek az uniós jog hatályán kívül esnek, mint például a nemzetbiztonsággal kapcsolatos tevékenységek”, valamint „amelyeket […] az Unió közös kül‑ és biztonságpolitikájával összefüggésben végeznek” (2021. június 22‑i Latvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 63. pont).
35 Ebből következik, hogy az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) és b) pontja, amely részben a 95/46 irányelv 3. cikke (2) bekezdése első franciabekezdésének továbbvitelét jelenti, nem értelmezhető úgy, hogy az tágabb hatállyal rendelkezik, mint a 95/46 irányelv 3. cikke (2) bekezdésének első franciabekezdéséből eredő kivétel, amely már kizárta ezen irányelv hatálya alól többek között a személyes adatok olyan kezelését, amelyet „a közösségi jog hatályán kívül eső tevékenységek, mint például az [EU‑Szerződés Lisszaboni Szerződést megelőző változatának] V. és VI. címeiben megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal […] kapcsolatos feldolgozási [helyesen: kezelési] műveletek” keretében végeznek (2021. június 22‑i Latvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 64. pont).
36 A jelen ügyben nem vitatott, hogy az oktatás szervezésével kapcsolatban Hessen tartományban végzett tevékenység nem sorolható azon tevékenységeknek az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontjában említett kategóriájába, amelyek célja a nemzetbiztonság védelme.
37 Ennélfogva a tanárok személyes adatainak – az iskolai oktatás keretében általuk tartott tanórák videókonferencia útján történő élő közvetítésével összefüggő – olyan kezelése, mint amelyről az alapügyben szó van, az általános adatvédelmi rendelet tárgyi hatálya alá tartozik.
38 Másodszor, az előzetes döntéshozatal iránti kérelemből kitűnik, hogy azok a tanárok, akik személyes adatainak kezelése az alapeljárás tárgyát képezi, akár munkavállalóként, akár köztisztviselőként a közszolgálat körébe tartozó tevékenyéget végeznek Hessen tartomány részére.
39 Ennélfogva meg kell határozni, hogy a személyes adatok ilyen kezelése az általános adatvédelmi rendelet 88. cikkének hatálya alá tartozik‑e, amely „a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelésére” vonatkozik.
40 E tekintetben rá kell mutatni, hogy az általános adatvédelmi rendelet nem határozza meg a „munkavállalók” és a „foglalkoztatás” fogalmát, és a tagállamok jogára sem utal e fogalmak meghatározása céljából. Ilyen utalás hiányában emlékeztetni kell arra, hogy, amint az az uniós jog egységes alkalmazásának követelményéből és az egyenlőség elvéből következik, hogy a jelentésének és hatályának meghatározása érdekében a tagállami jogokra kifejezett utalást nem tartalmazó uniós jogi rendelkezést az egész Unióban önállóan és egységesen kell értelmezni (2022. június 2‑i HK kontra Dánia és HK kontra Privat ítélet, C‑587/20, EU:C:2022:419, 25. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
41 Ezenkívül, mivel az általános adatvédelmi rendelet nem határozza meg a „munkavállalók” és a „foglalkoztatás” fogalmát, azokat az általános nyelvhasználatban elfogadott szokásos jelentés szerint kell meghatározni, figyelembe véve azon szövegkörnyezetet, amelyben a kifejezéseket használják, és azon szabályozás célkitűzéseit, amelynek e kifejezések részét képezik (2022. június 2‑i HK kontra Danmark és HK kontra Privat ítélet, C‑587/20, EU:C:2022:419, 26. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
42 Márpedig a „munkavállaló” kifejezés szokásos jelentése szerint olyan személyt jelöl, aki munkáját a munkáltatójával fennálló alárendeltségi viszony keretében, tehát az irányítása alatt végzi (2021. március 18‑i Kuoni Travel ítélet, C‑578/19, EU:C:2021:213, 42. pont).
43 Hasonlóképpen, „a munkaviszony” alapvető jellemzője az a körülmény, hogy valamely személy meghatározott ideig, más javára és irányítása alatt díjazás ellenében szolgáltatást nyújt (2021. július 15‑i Ministrstvo za obrambo ítélet, C‑742/19, EU:C:2021:597, 49. pont).
44 Mivel ez mind a közszférában, mind a magánszektorban alkalmazott munkavállalókra és foglalkoztatásra jellemző, ebből azt a következtetést kell levonni, hogy a „munkavállaló” és a „foglalkoztatás” kifejezések – a szokásos jelentésükben értve – nem zárják ki azokat a személyeket, akik szakmai tevékenységüket a közszférában gyakorolják.
45 Az általános adatvédelmi rendelet 88. cikke (1) bekezdésének hatályát ugyanis nem lehet a munkavállaló és a munkáltató között fennálló jogviszony jellegétől függően meghatározni. Így nem releváns az a kérdés, hogy az érintettet munkavállalóként vagy köztisztviselőként foglalkoztatják‑e, vagy a munkaviszonya a közjog vagy a magánjog hatálya alá tartozik‑e, mivel e jogi minősítések a nemzeti jogszabályok szerint változnak, és ezért nem szolgálhatnak megfelelő szempontként e rendelkezés egységes és önálló értelmezéséhez (lásd analógia útján: 1974. február 12‑i Sotgiu ítélet, 152/73, EU:C:1974:13, 5. pont; 1986. június 3‑i Bizottság kontra Franciaország ítélet, 307/84, EU:C:1986:222, 11. pont).
46 Konkrétan azon személyek, például a tisztviselők vonatkozásában, akiknek a munkaviszonya nem munkaszerződésen alapul, kétségtelen, hogy az általános adatvédelmi rendelet 88. cikke az (1) bekezdésében a „munkaszerződés teljesítésére” utal. Ugyanakkor rá kell mutatni egyrészt arra, hogy ez az utalás a személyes adatok foglalkoztatással összefüggésben történő kezelésére vonatkozó egyéb célok között szerepel, amelyek a tagállamok által elfogadott, az általános adatvédelmi rendelet 88. cikkének (1) bekezdésében felsorolt pontosabb szabályok tárgyát képezhetik, és hogy e felsorolás mindenesetre nem kimerítő, amint azt az e rendelkezésben használt „különösen” határozószó is mutatja.
47 Másrészt a munkavállaló és az őt alkalmazó közigazgatási szerv közötti jogviszony minősítése relevanciájának hiányát támasztja alá az a tény is, hogy a munkaszervezés, ‑tervezés és ‑szervezet, a munkahelyi egyenlőség és sokszínűség, a munkahelyi egészség és biztonság, a munkáltató vagy az ügyfél tulajdonának védelme, a munkaviszonyhoz kapcsolódó jogok gyakorlása és előnyök élvezete, valamint a munkaviszony megszűnése, amelyek szintén szerepelnek az általános adatvédelmi rendelet 88. cikkének (1) bekezdésében, mind a köz‑, mind pedig a magánszférában való foglalkoztatásra vonatkozik.
48 Következésképpen az általános adatvédelmi rendelet 88. cikkének (1) bekezdésében szereplő, a „munkaszerződés teljesítésére” való hivatkozásból nem lehet arra következtetni, hogy a közszektorban történő, nem munkaszerződésen alapuló foglalkoztatás nem tartozik az említett rendelkezés hatálya alá.
49 Ugyanezt a következtetést kell levonni azon körülmény kapcsán, hogy az általános adatvédelmi rendelet 88. cikkének (2) bekezdése azon három elem egyikeként, amelyekre a tagállamoknak a „pontosabban meghatározott szabályok” elfogadása során „különös figyelmet” kell fordítaniuk, megemlíti a személyes adatoknak a „vállalkozáscsoporton vagy a közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli” továbbítását. A másik két elem, vagyis az adatkezelés átláthatósága és a munkahelyi ellenőrzési rendszerek ugyanis mind a magán‑, mind pedig a közszférában történő foglalkoztatás szempontjából relevánsak, függetlenül attól, hogy milyen jellegű jogviszony áll fenn a munkavállaló és a munkáltató között.
50 Az általános adatvédelmi rendelet 88. cikkének szövegéből következő értelmezést megerősíti az a szövegkörnyezet, amelybe e cikk illeszkedik, valamint az azon szabályozás által követett cél, amelynek e cikk részét képezi.
51 Amint az az általános adatvédelmi rendelet 1. cikkének – többek között e rendelet (9), (10) és (13) preambulumbekezdése fényében értelmezett – (1) bekezdéséből kitűnik, e rendelet célja a személyes adatok védelmére vonatkozó nemzeti jogszabályok főszabály szerint teljes harmonizációjának biztosítása. Ugyanakkor az említett rendelet rendelkezései lehetőséget adnak a tagállamok számára, hogy további, szigorúbb vagy eltérő nemzeti szabályokat írjanak elő, és mérlegelési mozgásteret hagynak a tagállamok számára e rendelkezések végrehajtásának módját illetően („engedő rendelkezések”) (lásd ebben az értelemben: 2022. április 28‑i Meta Platforms Ireland ítélet, C‑319/20, EU:C:2022:322, 57. pont).
52 Az általános adatvédelmi rendelet 88. cikke, amely e rendeletnek „Az adatkezelés különös eseteire vonatkozó rendelkezések” című IX. fejezetében található, ilyen engedő rendelkezésnek minősül, mivel lehetőséget biztosít a tagállamoknak arra, hogy „pontosabban meghatározott szabályokat” fogadjanak el annak érdekében, hogy biztosítsák a jogok és szabadságok védelmét a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében.
53 A személyes adatok foglalkoztatással összefüggő kezelésének sajátosságai, és ebből következően az általános adatvédelmi rendelet 88. cikkének (1) bekezdése által a tagállamoknak biztosított lehetőség különösen a munkavállaló és a munkáltató között fennálló alárendeltségi viszonnyal, nem pedig az előbbit az utóbbihoz fűző jogviszony jellegével magyarázható.
54 Ezenkívül az általános adatvédelmi rendelet 1. cikkének a (10) preambulumbekezdésével összefüggésben értelmezett (2) bekezdése szerint e rendelet többek között a természetes személyek alapvető jogainak és szabadságainak a személyes adatok kezelése tekintetében történő magas szintű védelmének biztosítására irányul, amely jogot az Európai Unió Alapjogi Chartájának 8. cikke is elismeri, és amely szorosan kapcsolódik a Charta 7. cikkében garantált, a magánélet tiszteletben tartásához való joghoz (lásd ebben az értelemben: 2022. augusztus 1‑jei Vyriausioji tarnybinės etikos komisija ítélet, C‑184/20, EU:C:2022:601, 61. pont).
55 Márpedig e céllal összhangban áll az általános adatvédelmi rendelet 88. cikke (1) bekezdésének olyan tág értelmezése, amely szerint azok a „pontosabban meghatározott szabályok”, amelyeket a tagállamok a munkavállalók jogainak és szabadságainak a személyes adataik foglalkoztatással összefüggő kezelése tekintetében történő védelmének biztosítása érdekében előírhatnak, valamennyi munkavállalót érinthetik, a munkáltatójukhoz fűződő jogviszony jellegétől függetlenül.
56 Ennélfogva a tanárok személyes adatainak – az iskolai oktatás keretében általuk tartott tanórák videókonferencia útján történő élő közvetítésével összefüggő – olyan kezelése, mint amelyről az alapügyben szó van, az általános adatvédelmi rendelet 88. cikkének tárgyi és személyi hatálya alá tartozik.
Az első kérdésről
57 Első kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 88. cikkét úgy kell‑e értelmezni, hogy ahhoz, hogy valamely jogszabály az e cikk (1) bekezdése értelmében vett, pontosabban meghatározott szabálynak minősüljön, meg kell felelnie az említett cikk (2) bekezdésében előírt feltételeknek.
58 Amint az a jelen ítélet 52. pontjában megállapításra került, a tagállamoknak lehetőségük van ilyen szabályok elfogadására, de nem kötelesek arra, mivel e szabályokat jogszabályok vagy kollektív szerződések írhatják elő.
59 Ezenkívül, amikor a tagállamok élnek az általános adatvédelmi rendelet engedő rendelkezése által számukra biztosított lehetőséggel, mérlegelési mozgásterükkel az e rendelet rendelkezéseiben előírt feltételek és korlátozások mellett kell élniük, és így oly módon kell jogszabályokat alkotniuk, hogy ne sértsék az említett rendelet tartalmát és céljait (lásd ebben az értelemben: 2022. április 28‑i Meta Platforms Ireland ítélet, C‑319/20, EU:C:2022:322, 60. pont).
60 Az általános adatvédelmi rendelet 88. cikkének (1) és (2) bekezdésében foglalt szabályok feltételeinek és korlátainak meghatározása, ennek folytán pedig az e rendelkezések által a tagállamok számára biztosított mérlegelési mozgástér értékelése érdekében emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint valamely uniós jogi rendelkezés értelmezéséhez nemcsak annak szövegét, hanem a szövegkörnyezetét, és annak a jogi aktusnak a célkitűzéseit is figyelembe kell venni, amelynek az részét képezi (2022. március 15‑i Autorité des marchés financiers ítélet, C‑302/20, EU:C:2022:190, 63. pont).
61 Ami az általános adatvédelmi rendelet 88. cikke (1) bekezdésének szövegét illeti, mindenekelőtt a „pontosabban meghatározott” kifejezés használatából kitűnik, hogy az e rendelkezésben szereplő szabályoknak a szabályozott területre jellemző és az általános adatvédelmi rendelet általános szabályaitól eltérő normatív tartalommal kell rendelkezniük.
62 Továbbá, amint az a jelen ítélet 52. pontjában megállapításra került, az e rendelkezés alapján elfogadott szabályok célja a munkavállalók jogainak és szabadságainak védelme a személyes adataik foglalkoztatással összefüggő kezelése tekintetében.
63 Végül a személyes adatok kezelésének az általános adatvédelmi rendelet 88. cikkének (1) bekezdésében említett, különböző lehetséges céljaiból az következik, hogy az abban említett „pontosabban meghatározott szabályok” igen nagy számú, foglalkoztatással összefüggő adatkezelésre vonatkozhatnak, és ily módon lefedik az összes olyan célt, amelyre tekintettel a személyes adatok kezelése a foglalkoztatással összefüggésben végezhető. Ezenkívül, mivel e célok felsorolása, amint az a jelen ítélet 46. pontjában megállapításra került, nem kimerítő jellegű, a tagállamok mérlegelési mozgástérrel rendelkeznek a fentiek alapján a pontosabban meghatározott szabályok hatálya alá tartozó adatkezelések tekintetében.
64 Az általános adatvédelmi rendelet 88. cikkének (2) bekezdésében úgy rendelkezik, hogy az (1) bekezdése alapján elfogadott szabályok olyan megfelelő és egyedi intézkedéseket foglalnak magukban, amelyek alkalmasak az érintett emberi méltóságának, jogos érdekeinek és alapvető jogainak megóvására, különösen az adatkezelés átláthatósága, vállalkozáscsoporton vagy a közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adattovábbítás, valamint a munkahelyi ellenőrzési rendszerek tekintetében.
65 Az általános adatvédelmi rendelet 88. cikkének szövegéből ily módon kitűnik, hogy e cikk (2) bekezdése behatárolja azon tagállamok mérlegelési mozgásterét, amelyek a fenti cikk (1) bekezdése alapján „pontosabban meghatározott” szabályokat kívánnak elfogadni. Így egyrészt e szabályok nem szorítkozhatnak e rendelet rendelkezéseinek megismétlésére, és azoknak a munkavállalók jogainak és szabadságainak a személyes adataik foglalkoztatással összefüggő kezelése tekintetében történő védelmére kell irányulniuk, valamint megfelelő és egyedi intézkedéseket kell tartalmazniuk az érintett személyek emberi méltóságának, jogos érdekeinek és alapvető jogainak védelme érdekében.
66 Másrészt különös figyelmet fordítva az adatkezelés átláthatóságára, a személyes adatoknak a vállalatcsoporton vagy a közös gazdasági tevékenységet folytató vállalatcsoporton belüli továbbítására, továbbá a munkahely‑ellenőrzési rendszerekre.
67 Ami azon szövegösszefüggést illeti, amelybe az általános adatvédelmi rendelet 88. cikke illeszkedik, először is rá kell mutatni arra, hogy e rendelkezést a fenti rendelet (8) preambulumbekezdésének fényében kell értelmezni, amely szerint, ha a rendelet úgy rendelkezik, hogy a benne foglalt szabályokat tagállami jog által pontosítani, illetve korlátozni lehet, a tagállamok e rendelet egyes elemeit beépíthetik a nemzeti jogukba, ha az a koherencia biztosításához, valamint ahhoz szükséges, hogy a nemzeti rendelkezések a hatályuk alá tartozó személyek számára érthetők legyenek.
68 Másodszor emlékeztetni kell arra, hogy az általános adatvédelmi rendelet II. és III. fejezete tartalmazza a személyes adatok kezelését szabályozó elveket, valamint az érintett azon jogait, amelyeket minden személyesadat‑kezelésnek tiszteletben kell tartania (2022. február 24‑i Valsts ieņēmumu dienests [Személyes adatok adóügyi célból történő kezelése] ítélet, C‑175/20, EU:C:2022:124, 50. pont).
69 Közelebbről, a személyes adatok bármely kezelésének egyrészt meg kell felelnie az általános adatvédelmi rendelet 5. cikkében kifejtett, az adatkezelésre vonatkozó elveknek, másrészt pedig teljesítenie kell az említett rendelet 6. cikkében felsorolt, az adatkezelés jogszerűségére vonatkozó kritériumok valamelyikét (2021. június 22‑i Latvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 96. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
70 Ami az adatkezelés jogszerűségére vonatkozó elveket illeti, az általános adatvédelmi rendelet 6. cikke tartalmazza azon esetek kimerítő és korlátozó jellegű felsorolását, amelyekben a személyes adatok kezelése jogszerűnek minősíthető. Így ahhoz, hogy az adatkezelést jogszerűnek lehessen minősíteni, annak az említett 6. cikkben előírt esetek valamelyikébe kell tartoznia (2021. június 22‑i Latvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 99. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
71 Ezért, noha a tagállamok az általános adatvédelmi rendelet engedő rendelkezése által biztosított lehetőséggel élve e rendelet elemeit beépíthetik a nemzeti jogukba annyiban, amennyiben az a koherencia biztosításához, valamint ahhoz szükséges, hogy a nemzeti rendelkezések a hatályuk alá tartozó személyek számára érthetők legyenek, a fenti rendelet 88. cikkének (1) bekezdése alapján elfogadott, „pontosabban meghatározott szabályok” nem szorítkozhatnak arra, hogy a személyesadat‑kezelés jogszerűségére, illetve az adatkezelésre vonatkozó, az ugyanezen rendelet 6. és 5. cikkében meghatározott feltételeket, illetve elveket megismétlik, illetve az említett feltételekre és elvekre hivatkoznak.
72 Az az értelmezés, amely szerint a tagállamoknak az általános adatvédelmi rendelet 88. cikkének (1) bekezdése alapján megállapított szabályok elfogadása során fennálló mérlegelési mozgásterét korlátozza e cikk (2) bekezdése, megfelel az általános adatvédelmi rendelet jelen ítélet 51. pontjában felidézett céljának, amely a személyes adatok védelmére vonatkozó nemzeti jogszabályok főszabály szerint teljes harmonizációjának biztosítása.
73 Amint ugyanis arra a főtanácsnok az indítványának 56., 70. és 73. pontjában lényegében rámutatott, a tagállamok azon lehetősége, hogy az általános adatvédelmi rendelet 88. cikkének (1) bekezdése alapján „pontosabban meghatározott szabályokat” állapítsanak meg, az említett szabályok hatályát érintő harmonizáció hiányához vezethet. Márpedig a fenti rendelet 88. cikkének (2) bekezdésében előírt feltételek tükrözik az említett rendelet által elfogadott különbségtétel korlátait abban az értelemben, hogy a harmonizáció e hiánya csak abban az esetben fogadható el, ha a fennálló különbségeket olyan egyedi és megfelelő garanciák kísérik, amelyek célja az alkalmazottak jogainak és szabadságainak védelme a személyes adataik foglalkoztatással összefüggő kezelése tekintetében.
74 Következésképpen ahhoz, hogy valamely jogszabály az általános adatvédelmi rendelet 88. cikkének (1) bekezdése értelmében „pontosabban meghatározott szabálynak” minősüljön, meg kell felelnie az említett cikk (2) bekezdésében támasztott feltételeknek. E pontosabban meghatározott szabályoknak, azonkívül, hogy a szabályozott területre jellemző és az általános adatvédelmi rendelet általános szabályaitól eltérő normatív tartalommal kell rendelkezniük, a munkavállalók személyes adatainak foglalkoztatással összefüggő kezelése tekintetében a munkavállalók jogainak és szabadságainak védelmére kell irányulniuk, valamint megfelelő és egyedi intézkedéseket kell tartalmazniuk az érintettek emberi méltóságának, jogos érdekeinek és alapvető jogainak védelme érdekében. Különös figyelmet kell fordítani az adatkezelés átláthatóságára, a vállalkozáscsoporton vagy a közös gazdasági tevékenységet folytató vállalkozások ugyanazon csoportján belüli adattovábbításra, valamint a munkahelyi ellenőrzési rendszerekre.
75 A fentiek összességére figyelemmel az első kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 88. cikkét úgy kell értelmezni, hogy a nemzeti szabályozás nem minősülhet az e cikk (1) bekezdése értelmében vett „pontosabban meghatározott szabálynak”, amennyiben nem felel meg az említett cikk (2) bekezdésében előírt feltételeknek.
A második kérdésről
76 Második kérdésével a kérdést előterjesztő bíróság lényegében arra keresi a választ, hogy milyen következtetéseket kell levonni azon megállapításból, hogy a munkavállalók jogainak és szabadságainak a személyes adataik foglalkoztatással összefüggő kezelése tekintetében történő védelmének biztosítása érdekében elfogadott nemzeti rendelkezések nem egyeztethetők össze az általános adatvédelmi rendelet 88. cikkének (1) és (2) bekezdésében előírt feltételekkel és korlátozásokkal.
77 E tekintetben emlékeztetni kell arra, hogy az EUMSZ 288. cikk második bekezdése értelmében a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban, így rendelkezései főszabály szerint nem igényelnek semmilyen végrehajtási intézkedést a tagállamok részéről (2021. június 15‑i Facebook Ireland és társai ítélet, C‑645/19, EU:C:2021:483, 109. pont).
78 Ugyanakkor, amint arra a jelen ítélet 51. pontja emlékeztet, az általános adatvédelmi rendeletben szereplő engedő rendelkezések lehetőséget adnak a tagállamok számára, hogy további, szigorúbb vagy eltérő nemzeti szabályokat írjanak elő, és mérlegelési mozgásteret hagynak a tagállamok számára az érintett rendelkezések végrehajtásának módját illetően.
79 Amint a jelen ítélet 59. pontjában kiemelésre került, amikor a tagállamok élnek az általános adatvédelmi rendelet engedő rendelkezése által számukra biztosított lehetőséggel, mérlegelési mozgásterükkel az e rendelet rendelkezéseiben előírt feltételek és korlátozások mellett kell élniük, és így oly módon kell jogszabályokat alkotniuk, hogy ne sértsék az említett rendelet tartalmát és céljait.
80 A nemzeti jog értelmezésére kizárólagos hatáskörrel rendelkező kérdést előterjesztő bíróság feladata annak értékelése, hogy az alapügyben szóban forgó rendelkezések tiszteletben tartják‑e az általános adatvédelmi rendelet 88. cikkében előírt, a jelen ítélet 74. pontjában összefoglalt feltételeket és korlátozásokat.
81 Mindazonáltal, amint arra a főtanácsnok az indítványának 60–62. pontjában rámutatott, az olyan rendelkezések, mint a HDSIG 23. §‑ának (1) bekezdése és a HBG 86. §‑ának (4) bekezdése, amelyek a munkavállalók személyes adatainak kezelését attól a feltételtől teszik függővé, hogy ezen adatkezelés a munkaszerződés teljesítéséhez kapcsolódó bizonyos célokból szükséges legyen, látszólag megismétlik az adatkezelés jogszerűségének az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének b) pontjában már kimondott általános feltételét, anélkül hogy a fenti rendelet 88. cikkének (1) bekezdése értelmében vett, pontosabban meghatározott újabb szabályt állapítanának meg. Úgy tűnik ugyanis, hogy az ilyen rendelkezések nem rendelkeznek a szabályozott területre jellemző és az említett rendelet általános szabályaitól elkülönülő normatív tartalommal.
82 Abban az esetben, ha a kérdést előterjesztő bíróság arra a megállapításra jut, hogy az alapügyben szóban forgó rendelkezések nem tartják tiszteletben az általános adatvédelmi rendelet 88. cikkében előírt feltételeket és korlátozásokat, főszabály szerint az a feladata, hogy mellőzze az említett rendelkezések alkalmazását.
83 Az uniós jog elsőbbségének elve alapján ugyanis a Szerződések közvetlenül alkalmazandó rendelkezései és az intézmények közvetlenül alkalmazandó jogi aktusai a tagállamok belső jogával fennálló kapcsolatuk tekintetében azzal a hatással bírnak, hogy – pusztán hatálybalépésük ténye folytán – a tagállamok nemzeti jogának valamennyi, az uniós joggal ellentétes rendelkezését a jog erejénél fogva alkalmazhatatlanná teszik (1978. március 9‑i Simmenthal ítélet, 106/77, EU:C:1978:49, 17. pont; 1990. június 19‑i Factortame és társai ítélet, C‑213/89, EU:C:1990:257, 18. pont; 2016. február 4‑i Ince ítélet, C‑336/14, EU:C:2016:72, 52. pont).
84 Ennélfogva az általános adatvédelmi rendelet 88. cikkében előírt feltételeket és korlátozásokat tiszteletben tartó, pontosabban meghatározott szabályok hiányában a személyes adatoknak az akár a magánszférában, akár a közszférában történő foglalkoztatással összefüggő kezelése közvetlenül a fenti rendelet rendelkezéseinek hatálya alá tartozik.
85 E tekintetben meg kell állapítani, hogy az olyan személyesadat‑kezelésre, mint amelyről az alapügyben szó van, alkalmazható az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének c) és e) pontja, amelyek értelmében a személyes adatok kezelése jogszerű, ha az az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez, illetve közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.
86 Az általános adatvédelmi rendelet 6. cikkének (3) bekezdése egyrészt az e rendelet 6. cikke (1) bekezdése első albekezdésének c) és e) pontjában említett két jogszerűségi eset tekintetében kimondja, hogy az adatkezelésnek az uniós jogon vagy az adatkezelőre vonatkozó tagállami jogon kell alapulnia, másrészt pedig azt, hogy az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve a fenti (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához (lásd ebben az értelemben: 2022. december 8‑i Inspektor kontra Inspektorata kam Visshia sadeben savet [A személyes adatok kezelésének céljai – nyomozás] ítélet, C‑180/21, EU:C:2022:967, 95. pont).
87 Emlékeztetni kell arra hogy a Bíróság korábban már kimondta, hogy a személyes adatok adatkezelők általi, az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének e) pontja alapján történő jogszerű kezelése nem csupán azt feltételezi, hogy úgy lehessen tekinteni, hogy e szereplők közérdekű feladatot teljesítenek, hanem azt is, hogy a személyes adatoknak az ilyen feladat teljesítése céljából történő kezelése az e rendelet 6. cikkének (3) bekezdésében említett jogalapon alapul (lásd ebben az értelemben: 2022. október 20‑i Koalitsia „Demokratichna Bulgaria – Obedinenie” ítélet, C‑306/21, EU:C:2022:813, 52. pont).
88 Következésképpen, amikor a kérdést előterjesztő bíróság arra a megállapításra jut, hogy a személyes adatok foglalkoztatással összefügő kezelésére vonatkozó nemzeti rendelkezések nem tartják tiszteletben az általános adatvédelmi rendelet 88. cikkének (1) és (2) bekezdésében előírt feltételeket és korlátozásokat, azt is meg kell vizsgálnia, hogy az említett rendelkezések az általános adatvédelmi rendelet (45) preambulumbekezdésével összefüggésben értelmezett 6. cikkének (3) bekezdésében szereplő olyan jogalapnak minősülnek‑e, amely megfelel a fenti rendeletben előírt követelményeknek. Amennyiben igen, a nemzeti rendelkezések alkalmazását nem szabad mellőzni.
89 A fentiekre tekintettel az előzetes döntéshozatalra előterjesztett második kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 88. cikkének (1) és (2) bekezdését úgy kell értelmezni, hogy a munkavállalók jogai és szabadságai védelmének a személyes adataik foglalkoztatással összefüggő kezelése tekintetében való biztosítása érdekében elfogadott nemzeti rendelkezések alkalmazását mellőzni kell, amennyiben e rendelkezések nem tartják tiszteletben a fenti 88. cikk (1) és (2) bekezdésében előírt feltételeket és korlátozásokat, kivéve ha az említett rendelkezések a fenti rendelet 6. cikkének (3) bekezdésében szereplő olyan jogalapot képeznek, amely megfelel az e rendeletben előírt követelményeknek.
A költségekről
90 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (első tanács) a következőképpen határozott:
1) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 88. cikkét
a következőképpen kell értelmezni:
a nemzeti szabályozás nem minősülhet az e cikk (1) bekezdése értelmében vett „pontosabban meghatározott szabálynak” abban az esetben, ha nem felel meg az említett cikk (2) bekezdésében előírt feltételeknek.
2) Az (EU) 2016/679 rendelet 88. cikkének (1) és (2) bekezdését:
a következőképpen kell értelmezni:
a munkavállalók jogai és szabadságai védelmének a személyes adataik foglalkoztatással összefüggő kezelése tekintetében való biztosítása érdekében elfogadott nemzeti rendelkezések alkalmazását mellőzni kell, amennyiben e rendelkezések nem tartják tiszteletben a fenti 88. cikk (1) és (2) bekezdésében előírt feltételeket és korlátozásokat, kivéve ha az említett rendelkezések a fenti rendelet 6. cikkének (3) bekezdésében szereplő olyan jogalapot képeznek, amely megfelel az e rendeletben előírt követelményeknek.
Aláírások