MACIEJ SZPUNAR
FŐTANÁCSNOK INDÍTVÁNYA
Az ismertetés napja: 2023. május 11.(1)
C‑33/22. sz. ügy
Österreichische Datenschutzbehörde;
WK,
a Präsident des Nationalrates
részvételével
(a Verwaltungsgerichtshof [legfelsőbb közigazgatási bíróság, Ausztria] által benyújtott előzetes döntéshozatal iránti kérelem)
„Előzetes döntéshozatal – A személyes adatok védelme – Az EUMSZ 16. cikk (2) bekezdése – Az uniós jog alkalmazási körébe tartozó tevékenységek – A személyes adatok védelméről szóló általános rendelet – Nemzetbiztonsággal kapcsolatos tevékenységek – Valamely tagállam parlamentjének vizsgálóbizottsága – Valamely rendőri hatóság tevékenységének ellenőrzése – Az adatvédelmi felügyeleti hatóság hatásköre – Az 55. cikk (1) bekezdése – A 77. cikk (1) bekezdése – Közvetlen hatály”
Bevezetés
1. Az (EU) 2016/679 rendelet(2) hatálya alá tartoznak‑e valamely tagállami parlament vizsgálóbizottságának tevékenységei akkor is, ha a vizsgálat nemzetbiztonsági kérdésekre vonatkozik? Igenlő válasz esetén alkalmazhatók‑e közvetlenül a GDPR‑nak a nemzeti felügyeleti hatóságnál történő panasztételhez való jogra vonatkozó rendelkezései, a parlament tevékenységeibe történő külső beavatkozás tilalmát kimondó alkotmányos elv ellenére? Lényegében ezeket a kérdéseket veti fel a Verwaltungsgerichtshof (legfelsőbb közigazgatási bíróság, Ausztria) a jelen ügyben.
2. A Bíróság ítélkezési gyakorlatának megfelelően e kérdésre igenlő választ fogok javasolni. Véleményem szerint ez a megoldás nem csupán az – általános adatvédelmi rendeletet a személyes adatok védelmére vonatkozó valódi lex generalisként kialakító – uniós jogalkotó szándékának felelne meg, hanem az EUMSZ 16. cikk rendelkezéseinek alapjául szolgáló indokoknak is, amely cikk hatálya kiterjed az alapügyben szereplőhöz hasonló tagállami ellenőrzési tevékenységekre.
3. A jelen ügyben az osztrák parlament egy vizsgálóbizottsága meghallgatta WK‑t, a bűnügyi rendőrség egy tisztviselőjét (a továbbiakban: érintett), a többek között a Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (szövetségi alkotmányvédelmi és terrorelhárítási hivatal, Ausztria, a továbbiakban: BVT) helyiségeiben folytatott házkutatások tárgyában. A meghallgatás jegyzőkönyvét ezt követően közzétették a parlament honlapján, feltüntetve az érintett vezeték‑ és utónevét, azzal az indokkal, hogy a sajtó már nyilvánosságra hozta személyazonosságát.
4. Mivel az érintett úgy vélte, hogy nem tartották tiszteletben a személyes adatok bizalmas jellegéhez való jogát, a GDPR 77. cikkének (1) bekezdése alapján panaszt nyújtott be az Österreichische Datenschutzbehördéhez (nemzeti adatvédelmi hatóság, Ausztria, a továbbiakban: adatvédelmi hatóság), e panasz azonban nem képezte érdemi vizsgálat tárgyát. A hatalmi ágak szétválasztásának az osztrák jogban rögzített elvére tekintettel az adatvédelmi hatóság megállapította hatáskörének hiányát, mivel úgy ítélte meg, hogy felügyeleti hatásköre a jelen ügyben a parlament szerveinek alkotmányos függetlenségébe ütközik.
5. E körülmények között élt az érintett azzal a jogorvoslati lehetőséggel, amelynek kimenetele az előzetes döntéshozatalra a Bíróság elé terjesztett kérdésekre adott válaszoktól függ. Ezek a kérdések lényegében a GDPR releváns – az alábbiakban bemutatott tartalmú – rendelkezéseinek tárgyi hatályára és közvetlen hatályára vonatkoznak.
Jogi háttér
Az uniós jog
6. A GDPR (16), (20) és (117) preambulumbekezdése a következőket mondja ki:
„(16) E rendelet nem vonatkozik az alapvető jogok és szabadságok olyan tevékenységekkel kapcsolatos védelmére, illetve a személyes adatok olyan tevékenységekkel kapcsolatos szabad áramlására, amelyek az uniós jog hatályán kívül esnek, mint például a nemzetbiztonsággal kapcsolatos tevékenységek. Nem tartozik e rendelet hatálya alá a tagállamok által olyan tevékenységek keretében végzett személyes adatok kezelése sem, amelyeket a tagállamok az Unió közös kül‑ és biztonságpolitikájával összefüggésben végeznek.
[…]
(20) Bár ezt a rendeletet a bíróságok és más igazságügyi hatóságok tevékenységeire is alkalmazni kell, az uniós, illetve a tagállami jog a személyes adatok kezelésével összefüggésben a bíróságok és más igazságügyi hatóságok által végzett kezelési műveleteket és eljárásokat pontosabban meghatározhatja. Annak érdekében, hogy az igazságszolgáltatási feladataik ellátása során, beleértve a döntéshozatalt is, biztosítva legyen a bírói kar függetlensége, a felügyeleti hatóságok hatásköre nem terjedhet ki a személyes adatok olyan kezelésére, amelyet a bíróságok igazságszolgáltatási feladatkörükben eljárva végeznek. […]
[…]
(117) A természetes személyek személyes adatainak kezelésével összefüggésben fennálló védelemnek alapvető alkotóeleme, hogy a tagállamokban feladataik ellátása és hatásköreik gyakorlása során teljes függetlenséget élvező felügyeleti hatóságokat hozzanak létre. A tagállamok saját alkotmányos, szervezeti és közigazgatási szerkezetükhöz igazodva egynél több felügyeleti hatóságot is létrehozhatnak.”
7. A GDPR „Tárgyi hatály” című 2. cikke a következőképpen rendelkezik:
„(1) E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
(2) E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:
a) az uniós jog hatályán kívül eső tevékenységek során végzik;
b) a tagállamok az EUSZ V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzik;
c) természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik;
d) az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.
[…]”
8. A GDPR „Korlátozások” című 23. cikkének (1) bekezdése a következőket írja elő:
„Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:
a) nemzetbiztonság;
[…]
h) az a)–e) és a g) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;
[…]”
9. A GDPR „Felügyeleti hatóság” című 51. cikke (1) bekezdésének szövege a következő:
„A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam előírja, hogy e rendelet alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv (felügyeleti hatóság) felel.”
10. A GDPR „Illetékesség” című 55. cikke a következőképpen szól:
„(1) A felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.
[…]
(3) A felügyeleti hatóságok hatásköre nem terjed ki a bíróságok által igazságügyi feladataik ellátása során végzett adatkezelési műveletek felügyeletére.”
11. A GDPR „A felügyeleti hatóságnál történő panasztételhez való jog” című 77. cikkének (1) bekezdése kimondja:
„Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál […], ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.”
Az osztrák jog
12. Az 1930. január 2‑i Bundes‑Verfassungsgesetz (szövetségi alkotmánytörvény) (BGBl. 1/1930.) 2021. december 30‑i változatának (BGBl. I, 235/2021.) 53. cikke a következőképpen rendelkezik:
„(1) A Nationalrat (nemzeti tanács) vizsgálóbizottságok létrehozásáról határozhat. Ezenkívül a nemzeti tanács tagjai egynegyedének kérelmére vizsgálóbizottságot kell létrehozni.
(2) A vizsgálat tárgya minden esetben egy konkrét befejezett folyamat a szövetségi állam végrehajtása területén. Ide tartozik azon szövetségi szervek valamennyi tevékenysége, amelyeken keresztül a szövetségi állam – a részvételének mértékétől függetlenül – részvételi és felügyeleti jogokat gyakorol. Az ítélkezési gyakorlat felülvizsgálata kizárt.
(3) A szövetségi állam, a tartományok, az önkormányzatok és önkormányzati társulások, valamint más önkormányzati testületek valamennyi szervének kérésre be kell nyújtania a vizsgálóbizottsághoz az aktáit és dokumentumait, amennyiben azok a vizsgálat tárgyának körébe tartoznak, és kötelesek a vizsgálóbizottság vizsgálat tárgyával összefüggő, bizonyítékok összegyűjtésére irányuló felhívásának eleget tenni. […]
[…]”
13. Az 1999. augusztus 17‑i Datenschutzgesetz (adatvédelmi törvény) (BGBl. I, 165/1999.) 2021. július 26‑i változatának (BGBl. I, 148/2021., a továbbiakban: DSG) „Szervezet” című 18. §‑ának (1) bekezdése szerint:
„Létrehozásra kerül az adatvédelmi hatóság mint a [GDPR] 51. cikke szerinti nemzeti felügyeleti hatóság.”
14. A DSG „Az adatvédelmi hatósághoz címzett panasz” című 24. §‑a a következőképpen szól:
„(1) Minden érintett jogosult arra, hogy panaszt tegyen az adatvédelmi hatóságnál, ha megítélése szerint a rá vonatkozó személyes adatok kezelése sérti a GDPR‑t […].”
15. A DSG „Az adatvédelmi felügyeleti hatóság különös jogkörei” című 35. §‑ának (1) bekezdése a következőképpen rendelkezik:
„Az adatvédelmi hatóság feladata az adatok védelmének a GDPR és a jelen szövetségi törvény rendelkezéseinek megfelelően történő biztosítása.”
A jogvita alapját képező tényállás, az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
A jogvita előzményei
16. 2018. április 20‑án az osztrák parlament alsóháza vizsgálóbizottságot hozott létre, amelynek feladata a BVT – tevékenységei eszközként való felhasználása céljából történő – befolyásolásának vizsgálata volt. A vizsgálat iránti kérelmet előterjesztő képviselők állításai különösen a BVT tisztviselői általi hatalommal való visszaélés eseteire, a szövetségi kancellária irodáiban elhelyezett lehallgatóberendezéssel kapcsolatos híresztelésekre, a bizonyos szélsőséges mozgalmakat célzó vizsgálatok eszközként való feltételezett felhasználására, valamint a BVT‑n és a miniszteri kabineteken belüli, politikailag motivált kinevezésekre vonatkoztak.
17. 2018. szeptember 19‑én a vizsgálóbizottság tanúként meghallgatta az érintettet. A szövetségi rendőrség utcai bűnözés elleni küzdelemért felelős csoportjánál dolgozó tisztviselőként az egysége által a BVT irodáiban és alkalmazottainak otthonában végzett házkutatások és lefoglalások tárgyában hallgatták meg.
18. Az egyes más tanúk tekintetében alkalmazott gyakorlat ellenére és az érintett anonimizálásra irányuló kérelme ellenére a vizsgálóbizottság felfedte az érintett személyazonosságát azáltal, hogy az osztrák parlament honlapján közzétette a meghallgatás jegyzőkönyvének teljes változatát.
Az alapeljárás
19. Az érintett által a GDPR 77. cikkének (1) bekezdése alapján az adatvédelmi hatósághoz benyújtott panaszt hatáskör hiánya miatt elutasították. 2019. szeptember 18‑i határozatában e hatóság arra hivatkozott, hogy a hatalmi ágak szétválasztásának elvével ellentétes, hogy beavatkozzon a parlament valamely szervének tevékenységébe.
20. A Bundesverwaltungsgericht (szövetségi közigazgatási bíróság, Ausztria) 2020. november 23‑i ítéletével helyt adott az érintett által a 2019. szeptember 18‑i határozattal szemben benyújtott fellebbezésnek. E bíróság megsemmisítette az adatvédelmi hatóság határozatát azzal az indokkal, hogy a GDPR rendelkezései nem írnak elő olyan kivételeket, amelyek a jogalkotó hatalom szervei tekintetében korlátozhatnák annak hatályát.
21. Az adatvédelmi hatóság ezen ítélettel szemben felülvizsgálati kérelmet nyújtott be a Verwaltungsgerichtshofhoz (legfelsőbb közigazgatási bíróság), amely arra keresi a választ, hogy a GDPR rendelkezései alkalmazhatók‑e az alapügyben.
Az előzetes döntéshozatalra előterjesztett kérdések
22. Elsősorban – az alapügyben szóban forgó vizsgálat tárgyától függetlenül – a kérdést előterjesztő bíróság arra keresi a választ, hogy az EUMSZ 16. cikk (2) bekezdése értelmében „az uniós jog hatálya alá tartoznak‑e” egy parlamenti vizsgálóbizottság tevékenységei. Ez a rendelkezés meghatározza az Európai Parlamentnek és a Tanácsnak a személyes adatok tagállamok által végzett feldolgozására vonatkozó szabályok elfogadásával kapcsolatos hatáskörét.
23. E tekintetben, mivel az Unió hatásköreit továbbra is korlátozza a hatáskör‑átruházás elve, a kérdést előterjesztő bíróság arra keresi a választ, hogy a GDPR‑t alkalmazni kell‑e a parlament egy politikai ellenőrzési feladatot ellátó szervének tevékenységeire, amelyeket szerinte semmilyen különös uniós jogi rendelkezés nem szabályoz.
24. A kérdést előterjesztő bíróság – arra törekedve, hogy az EUSZ 4. cikk (2) bekezdésének megfelelően megőrizze a tagállamok nemzeti identitását és alapvető funkcióit – megjegyzi továbbá, hogy egy, az adatvédelmi hatósághoz hasonló közigazgatási szervnek a parlament tevékenységeibe való beavatkozása ellentétes lenne a hatalmi ágak szétválasztásának az osztrák alkotmányban rögzített elvével.
25. A Land Hessen ítéletre(3) tekintettel, amelyben a Bíróság megerősítette, hogy a GDPR rendelkezései alkalmazandók Hessen tartomány közgyűlése petíciós bizottságának tevékenységeire, a kérdést előterjesztő bíróság végül arra keresi a választ, hogy ez utóbbi – a parlamenti tevékenységhez csak közvetve hozzájáruló – bizottság feladatait nem kell‑e megkülönböztetni a vizsgálóbizottságok feladataitól. Álláspontja szerint ez utóbbiak a parlamenti tevékenység központi részét képezik, és így kikerülhetnek az uniós jog hatálya alól.
26. Másodsorban, abban az esetben, ha a Bíróság úgy ítélné meg, hogy a GDPR rendelkezései hivatottak szabályozni a vizsgálóbizottságok tevékenységeit, a kérdést előterjesztő bíróság mindazonáltal arra keresi a választ, hogy az alapügyben szóban forgó bizottságot nem kell‑e kivonni e rendelkezések hatálya alól, mivel tevékenységeinek tárgya nemzetbiztonsági kérdésekkel függ össze.
27. E tekintetben a kérdést előterjesztő bíróság emlékeztet arra, hogy a GDPR (16) preambulumbekezdése értelmében a „nemzetbiztonsággal kapcsolatos tevékenységek” nem tartoznak e rendelet hatálya alá. Álláspontja szerint ez lehet a helyzet a BVT‑re mint az alapvető állami funkciók megőrzéséért felelős szövetségi szervre gyakorolt politikai nyomásra vonatkozó vizsgálat esetében.
28. Harmadsorban, abban az esetben, ha a Bíróság arra a következtetésre jutna, hogy a GDPR rendelkezései mindennek ellenére alkalmazandók a jelen ügyben, a kérdést előterjesztő bíróság felveti e rendelet közvetlen alkalmazásának kérdését.
29. Megfelelő alkotmányos szintű eltérés hiányában ugyanis az adatvédelmi hatóság hatáskörét továbbra is korlátozza a hatalmi ágak szétválasztásának az osztrák jogban érvényesülő elve. Ennélfogva a kérdést előterjesztő bíróság arra keresi a választ, hogy e hatóságnak az osztrák parlament szerveivel szembeni hatásköre levezethető‑e közvetlenül a GDPR 77. cikke (1) bekezdésének és 55. cikke (1) bekezdésének együttesen értelmezett rendelkezéseiből, holott a nemzeti jogalkotó e rendelet 51. cikkének (1) bekezdése alapján csupán egyetlen felügyeleti hatóságot hozott létre.
30. E körülmények között határozott úgy a Verwaltungsgerichtshof (legfelsőbb közigazgatási bíróság), hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
„1) Az EUMSZ 16. cikk (2) bekezdésének első mondata értelmében a vizsgálat tárgyától függetlenül az uniós jog hatálya alá tartoznak‑e a tagállami parlament végrehajtó hatalom ellenőrzésére vonatkozó jogának gyakorlása érdekében létrehozott vizsgálóbizottság tevékenységei, azzal a következménnyel, hogy alkalmazni kell az [általános adatvédelmi] rendeletet a személyes adatok tagállami parlament vizsgálóbizottsága általi kezelésére?
Az első kérdésre adott igenlő válasz esetén:
2) A GDPR 2. cikke (2) bekezdésének a) pontja szerinti kivétel hatálya alá tartoznak‑e a tagállami parlament végrehajtó hatalom ellenőrzésére vonatkozó jogának gyakorlása érdekében létrehozott azon vizsgálóbizottság tevékenységei, amely vizsgálatának tárgya a rendőri államvédelmi hatóság tevékenységei, tehát a [GDPR] (16) preambulumbekezdése értelmében vett nemzetbiztonsággal kapcsolatos tevékenységek védelme?
A második kérdésre adott nemleges válasz esetén:
3) Ha – mint a jelen ügyben – valamely tagállam a GDPR 51. cikkének (1) bekezdése alapján csupán egy felügyeleti hatóságot hozott létre, akkor annak az általános adatvédelmi rendelet 55. cikkének (1) bekezdésével összefüggésben értelmezett 77. cikkének (1) bekezdése értelmében vett panaszokra vonatkozó hatásköre közvetlenül a GDPR‑ból vezethető‑e le?”
31. Írásbeli észrevételeket nyújtott be az érdekelt, a Präsident des Nationalrates (a nemzeti tanács elnöke, Ausztria), az adatvédelmi hatóság, az osztrák és a cseh kormány, valamint az Európai Bizottság. Ugyanezen felek képviseltették magukat a 2023. március 6‑án tartott tárgyaláson.
Értékelés
Az előzetes döntéshozatalra előterjesztett első kérdésről
32. Első kérdésével a kérdést előterjesztő bíróság arra keresi a választ, hogy az EUMSZ 16. cikk (2) bekezdésének első mondata értelmében az uniós jog hatálya alá tartoznak‑e a tagállami parlament végrehajtó hatalom ellenőrzésére vonatkozó jogának gyakorlása érdekében létrehozott vizsgálóbizottság tevékenységei.
33. Az e kérdésre adandó válasz egyrészt az EUMSZ 16. cikk (2) bekezdésének első mondatában szereplő, „az uniós jog alkalmazási körébe tartozó tevékenységek” fogalmának értelmezésétől függ. Ez a fogalom negatív megfogalmazásban a GDPR 2. cikke (2) bekezdésének a) pontjában is szerepel, amely „az uniós jog hatályán kívül eső tevékenységeket” kivonja e rendelet hatálya alól. E két rendelkezés az uniós szerveknek a személyes adatok védelmére vonatkozó szabályok elfogadására vonatkozó hatáskörét, illetve a GDPR tárgyi hatályát határolja körül.
34. Másrészt az előzetes döntéshozatalra előterjesztett első kérdésre adandó válasz attól függ, hogy hogyan minősítendők a parlamenti vizsgálóbizottságok tevékenységei az EUM‑Szerződés és a GDPR fent hivatkozott rendelkezéseire tekintettel.
Az „uniós jog alkalmazási körébe tartozó tevékenységek” fogalmáról
35. Amint azt egy másik ügyben igyekeztem bemutatni,(4) ez a fogalom nem egyértelmű, mivel kétféleképpen értelmezhető. Figyelemmel azokra a vitákra, amelyeket e fogalom értelmezése – a Bíróság állandó ítélkezési gyakorlata(5) ellenére – a jelen ügyben felvet, szükségesnek tartom, hogy kimerítő jelleggel kifejtsem azokat az indokokat, amelyek az ítélkezési gyakorlat fejlődését vezérelték ezen a területen.
– Konkretizáló értelmezés
36. Az „uniós jog alkalmazási körének” lehetséges értelmezései közül az első konkretizáló értelmezésnek tekinthető abban az értelemben, hogy ahhoz a kérdéshez vezet, hogy egy adott tevékenységet szabályoz‑e az uniós jog valamely különös rendelkezése.
37. Ez az értelmezés lényegében „az uniós jog végrehajtása” fogalmának felel meg, amely az Európai Unió Alapjogi Chartájának (a továbbiakban: Charta) alkalmazási körét határolja körül. A Bíróság ítélkezési gyakorlatában ezt a fogalmat – a személyes adatok védelmétől eltérő összefüggésben – az „uniós jog alkalmazási körével” azonosnak tekinti.(6)
38. Erre az értelmezésre támaszkodik a kérdést előterjesztő bíróság az előzetes döntéshozatal iránti kérelmében, rámutatva arra, hogy a parlamenti vizsgálóbizottságok tevékenységeit továbbra is kizárólag a nemzeti jog szabályozza, ami kétségessé teszi, hogy a GDPR alkalmazható‑e az alapügyben.
39. Erre az értelmezésre támaszkodott Tizzano főtanácsnok is a 95/46/EK irányelv(7) kapcsán az Österreichischer Rundfunk és társai egyesített ügyekre vonatkozó indítványában(8) és a Lindqvist ügyre vonatkozó indítványában,(9) amelyeket a Bíróság nem követett.
40. Emlékeztetni kell arra, hogy a 95/46 irányelvet az EK‑Szerződés korábbi 100a. cikke – majd EK 95. cikk, jelenleg EUMSZ 114. cikk – alapján fogadták el, olyan intézkedések keretében, amelyek tárgya a belső piac megteremtése és működése volt. Ez az irányelv, amely a személyes adatok szabad áramlásának és a személyes adatok védelme azonos szintjének biztosítására irányult, 3. cikke (2) bekezdésének megfelelően nem volt alkalmazandó „a közösségi jog hatályán kívül eső tevékenységek[re], mint például az Európai Unióról szóló szerződés V. és VI. címeiben megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal […], továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási [helyesen: adatkezelési] műveletek[re]”, valamint „a természetes személy által kizárólag személyes célra, vagy háztartási tevékenysége keretében” végzett adatkezelésre.
41. E rendelkezésekre tekintettel Tizzano főtanácsnok arra a következtetésre jutott, hogy a 95/46 irányelv az Österreichischer Rundfunk és társai egyesített ügyekben(10) nem alkalmazható. A közjogi jogalanyok által fizetett díjazásra vonatkozó, az osztrák Rechnungshof (számvevőszék) által összeállított, a parlamentnek eljuttatandó jelentésben feltüntetendő adatok kezelésével kapcsolatban úgy ítélte meg, hogy a számvevőszék ebben az esetben „az osztrák hatóságok által önálló politikai és intézményi döntés alapján (alkotmányos törvény útján) előírt és szabályozott közjogi ellenőrző tevékenység[et gyakorolt], amely nem valamely közösségi kötelezettség teljesítését szolgálja. Mivel e tevékenység nem képezi különös közösségi szabályozás tárgyát, az csak a tagállamok hatáskörébe tartozhat”.(11)
42. A Lindqvist ügyben Tizzano főtanácsnok ugyanezt az értelmezést követve úgy ítélte meg, hogy a B. Lindqvist által önkéntes hitoktatói tevékenysége keretében létrehozott internetes oldal „nem gazdasági jellegű tevékenység körébe tartozik, amely tevékenység semmilyen kapcsolatban (vagy legalábbis semmilyen közvetlen kapcsolatban) nem áll a Szerződés által biztosított alapvető szabadságok gyakorlásával, és közösségi szinten nem képezi különös szabályozás tárgyát”.(12) A főtanácsnok szerint ezért ez a tevékenység a 95/46 irányelv 3. cikkének (2) bekezdése értelmében nem tartozik a közösségi jog hatálya alá.
43. Ezeket az indítványokat a Bíróság nem követte, olyan okok miatt, amelyek a jogbiztonság megőrzésére irányuló szándékhoz és a 95/46 irányelv hatékony érvényesülése biztosításának szükségességéhez köthetők.
44. Figyelembe véve ugyanis a személyes adatok sajátos jellegét, amely adatok áramlását és gazdasági hasznosítását a digitalizálódás elősegíti, a gyakorlatban nagyon nehéz esetről esetre megállapítani, hogy ezen adatok kezelése kapcsolódik‑e különös uniós jogi rendelkezésekhez vagy a belső piacra irányadó szabadságokhoz, amint azt a konkretizáló értelmezés megkövetelné.
45. A Lindqvist ítélet alapjául szolgáló ügy(13) példáját véve, a gyakorlatban nehéz lenne megállapítani, hogy az egyházkerülethez tartozó hívők korlátozott körének szánt internetes oldal működése konkrét kapcsolatban állt‑e a 95/46 irányelvnek az adatok tagállamok között a közös piac keretében történő szabad áramlására vonatkozó rendelkezéseivel. Az e kérdésre adandó válasz többek között a szóban forgó honlapot tároló szerverek fizikai helyétől függhet.(14)
46. Hozzáteszem, hogy hasonló jellegű nehézségek merülhetnek fel, ha a GDPR hatálya alá tartozó jelen ügyben a konkretizáló értelmezésnek kellene érvényesülnie.
47. Szemléltetésképpen, nehéz lenne pontosan meghatározni, hogy bizonyos adatkezelők – például az e rendelet által kifejezetten említett egyházak vagy vallási szervezetek(15) – tevékenységei ténylegesen milyen mértékben tartoznak az uniós jog különös rendelkezéseinek hatálya alá.(16) Ugyanez a kérdés merülhet fel a gazdasági tevékenységet nem folytató nonprofit szervezetek tekintetében. Ez jogbizonytalanságot eredményezne a GDPR hatályát illetően.
48. E nehézségekre tekintettel a Bíróság a 95/46 irányelv kapcsán elutasította a „közösségi jog alkalmazási körének” konkretizáló értelmezését. Az Österreichischer Rundfunk és társai ítéletben(17) és a Lindqvist ítéletben(18) a Bíróság megállapította, hogy „[m]ivel minden személyes adat szabadon áramolhat a tagállamok között, a 95/46 irányelv főszabály szerint előírja az ilyen adatok védelmére vonatkozó szabályok tiszteletben tartását, a 3. cikkében meghatározott mindenfajta feldolgozás tekintetében. […] E körülmények között a 95/46 irányelv alkalmazhatósága nem függhet attól a kérdéstől, hogy […] [a szóban forgó] konkrét helyzetek elégséges kapcsolatot tartanak‑e a fenn a Szerződés által biztosított alapvető szabadságok gyakorlásával […]. Egy ezzel ellentétes értelmezés ugyanis az említett irányelv alkalmazási körének bizonytalanná és esetlegessé válását eredményezné, ami ellentétes lenne az irányelv fő célkitűzésével, amely arra irányul, hogy a tagállamok törvényi, rendeleti és közigazgatási rendelkezéseit közelítse a belső piac működését gátló – pontosan a nemzeti szabályozások közötti eltérésekből fakadó – akadályok felszámolása érdekében”.(19)
49. Így a Bíróság ítélkezési gyakorlatában a 95/46 irányelv „általánosító” értelmezése jutott érvényre.
– Általánosító értelmezés
50. Ez az értelmezés azt eredményezi, hogy az uniós jog hatálya alá kerül minden olyan tevékenység, amely e jog hatálya alá tartozhat abban az értelemben, hogy nem került kivonásra e jog hatálya alól a tagállamok kizárólagos hatásköréből adódóan.
51. A 95/46 irányelv kapcsán ez az értelmezés arra késztette a Bíróságot, hogy megszorítóan értelmezze a közösségi jog hatályán kívül eső tevékenységekre vonatkozó kivételt. Így a Bíróság a Lindqvist ítéletben megállapította, hogy „a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdésében példálózó jelleggel említett tevékenységek az említett rendelkezésben előírt kivétel hatályát hivatottak meghatározni úgy, hogy e kivétel csak az ott így kifejezetten említett vagy ugyanezen kategóriába tartozónak tekinthető tevékenységekre alkalmazható (ejusdem generis)”.(20)
52. A Lisszaboni Szerződés hatálybalépése előtt az e kivétel hatálya alá tartozó – a közbiztonsággal, a védelemmel, a nemzetbiztonsággal, a büntetőjog területével kapcsolatos, valamint az Európai Unióról szóló szerződés V. és VI. címében említett – tevékenységek az Unió második és harmadik pillérébe tartoztak, és így a kormányközi együttműködés részét képezték. E tevékenységek tehát az abban az időszakban a Szerződések által előírt, az Unió és a tagállamok közötti hatáskörmegosztásra figyelemmel nem képezhették közösségi szabályozás tárgyát.
53. Ebben az összefüggésben kell értelmezni a 95/46 irányelv 3. cikke (2) bekezdésének első franciabekezdésében foglalt, „a közösségi jog hatályán kívül eső tevékenységek” kizárását. Márpedig a GDPR hatályát hasonlóan határozták meg.
54. A GDPR 2. cikke (2) bekezdése a)–d) pontjának szövege szerint e rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt „a) az uniós jog hatályán kívül eső tevékenységek során végzik; b) a tagállamok az EUSZ V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzik; c) természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik; d) az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését”. Ez utóbbi típusú adatkezelés az (EU) 2016/680 irányelv(21) rendelkezéseinek hatálya alá tartozik.
55. A GDPR (16) preambulumbekezdésére tekintettel az uniós jog hatályán kívül eső tevékenységek többek között a nemzetbiztonsággal kapcsolatos tevékenységek.
56. E rendelkezések összességére támaszkodva a Bíróság a Land Hessen ítéletben megállapította, hogy a GDPR 2. cikke (2) bekezdésének a) pontjában előírt, „az uniós jog hatályán kívül eső tevékenységekre” vonatkozó kivételt szigorúan kell értelmezni, amely folytán „az, hogy egy tevékenység az állam vagy valamely közhatalmi szerv sajátos tevékenysége, nem elegendő ahhoz, hogy ezt a kivételt automatikusan alkalmazni lehessen erre a tevékenységre. Ennek a tevékenységnek ugyanis szerepelnie kell az említett rendelkezésben kifejezetten említett tevékenységek körében, illetve azt az e tevékenységekkel azonos kategóriába tartozónak kell tudni tekinteni”.(22)
57. Számomra úgy tűnik, hogy a jelen ügyben felhozott érvek egyike sem alkalmas arra, hogy megkérdőjelezze ezt az értelmezést.
58. Közelebbről, nem értek egyet a hatáskör‑átruházás elvére alapított érvekkel, amelyeket különösen a kérdést előterjesztő bíróság és a Präsident des Nationalrates (a nemzeti tanács elnöke) hozott fel.
59. Az EUSZ 5. cikk (2) bekezdésében(23) foglalt hatáskör‑átruházás elvének megfelelően az Unió kizárólag a tagállamok által a Szerződésekben ráruházott hatáskörökkel rendelkezik.
60. Tisztán lexikális szempontból „az uniós jog hatálya alá tartozó tevékenységek” fogalma e tekintetben nem egyértelmű. Először is, e fogalomnak a Bíróság ítélkezési gyakorlatában elfogadott általánosító értelmezése kétségesnek tűnhet, mivel ahhoz vezet, hogy a GDPR rendelkezéseinek hatálya alá kerül minden olyan tevékenység, amelyet nem vontak ki e rendelet hatálya alól, ami a fent felidézett elvvel ellentétesnek tűnik.
61. Az állandó ítélkezési gyakorlat szerint azonban valamely uniós jogi rendelkezés értelmezéséhez nemcsak annak kifejezéseit és az általa követett célokat kell figyelembe venni, hanem a szövegkörnyezetét, valamint az uniós jogi rendelkezések összességét is. Valamely uniós jogi rendelkezés értelmezése szempontjából annak keletkezése is relevánsnak bizonyulhat.(24)
62. Márpedig a szó szerinti értelmezéstől eltekintve, amely „az uniós jog hatályának” nem egyértelmű tartalmára tekintettel számomra kevéssé meggyőzőnek tűnik, a szövegkörnyezet szerinti(25) és teleologikus elemzés egyértelműen az EUMSZ 16. cikk (2) bekezdésének általánosító értelmezése mellett szól, így e rendelkezés hatálya túlmutat „az uniós jog végrehajtásának” a Charta 51. cikkének (1) bekezdése értelmében vett fogalmán.
63. Elsősorban ez a következtetés adódik az EUM‑Szerződés rendszerére és a 16. cikk (2) bekezdésének e Szerződés szerkezetében elfoglalt különleges helyére tekintettel.
64. A szóban forgó cikk az EUM‑Szerződés első részének II. címében szerepel, amely az „általánosan alkalmazandó rendelkezések[et]” tartalmazza. Ebből következik, hogy a természetes személyeknek a személyes adatok védelméhez való, e rendelkezésben biztosított joga különös jelentőséggel bír más alapvető jogokhoz képest, amelyek a Szerződéshez csatolt Chartában kaptak helyet.
65. Konkrétabban, az EUMSZ 16. cikknek a Szerződés rendszerében elfoglalt kiváltságos helye arra enged következtetni, hogy az e rendelkezésben említett „alkalmazási kör” nem korlátozódik kizárólag azokra a helyzetekre, amelyekben a tagállamok a Charta 51. cikkének (1) bekezdése értelmében „az Unió jogát hajtják végre”, ami megfelel a fent hivatkozott konkretizáló értelmezésnek.
66. E tekintetben szeretnék hangsúlyozni egy, az EUMSZ 16. cikk (2) bekezdésének rendelkezései és a Charta rendelkezései között fennálló jellegbeli különbséget.
67. A Charta az 51. cikkének (2) bekezdése szerint „nem hoz létre új hatásköröket vagy feladatokat az Unió számára, és nem módosítja a Szerződésekben meghatározott hatásköröket és feladatokat”. Rendelkezéseinek címzettjei a tagállamok annyiban, amennyiben az Unió jogát hajtják végre olyan területeken, amelyek már e jog alkalmazási körébe tartoznak.
68. Más a helyzet az EUMSZ 16. cikk (2) bekezdését illetően, amelynek rendelkezései a személyes adatok védelmére és szabad áramlására vonatkozó jogalkotási hatáskört hoznak létre és ruháznak az Unióra, és e célból – a 95/46 irányelv rendelkezésein alapuló – különös alkalmazási kört határoznak meg, amint azt e rendelkezés keletkezése is tanúsítja.
69. Másodsorban ugyanis a Lisszaboni Szerződés előkészítő munkálataiból egyértelműen kitűnik, hogy az EUM‑Szerződés megalkotói a személyes adatok védelmére vonatkozó szabályoknak a 95/46 irányelv szerintmeghatározott hatályát kívánták megismételni.
70. E tekintetben emlékeztetni kell arra, hogy az EUMSZ 16. cikk tartalma közvetlenül az Európai Alkotmány létrehozásáról szóló szerződéstervezeten alapul, amelynek 36a. cikke (2) bekezdése (később a tervezet 2003. július 18‑i végleges változata(26) 50. cikkének (2) bekezdése) előírta a Parlament és a Tanács hatáskörét „a természetes személyeknek az uniós intézmények és szervek által, illetve az uniós jog alkalmazási körébe tartozó tevékenységeik során a személyes adataiknak a tagállamok által végzett feldolgozása tekintetében történő védelmére, valamint az ilyen adatok szabad áramlására vonatkozó szabályok” elfogadását illetően.(27)
71. Márpedig a szerzői által szolgáltatott magyarázatok szerint „a 36a. cikk tervezetének célja, hogy egyetlen jogalapot hozzon létre a személyes adatok védelmére vonatkozóan, mind ezen adatoknak az intézmények, mind pedig a tagállamok általi védelme érdekében, amennyiben ez utóbbiak az uniós jog alkalmazási körébe tartozó területen járnak el. A szöveg a tagállamok eljárását illetően a(z EKSZ 95. cikken alapuló) [95/46 irányelvből] eredő jelenlegi közösségi rendszeren alapul”.(28)
72. Ebből egyértelműen következik, hogy ha „az uniós jog alkalmazási körének” a GDPR 2. cikke (2) bekezdésének a) pontjában szereplő fogalmát úgy kellene értelmezni, hogy az a 95/46 irányelv alkalmazásához képest korlátozza e rendelet alkalmazását, ez ellentétes lenne a tagállamok EUM‑Szerződésben kifejezett szándékával.
73. Harmadsorban, figyelembe kell venni a személyes adatok védelmének dinamikájához és konkrét célkitűzéseihez kapcsolódó teleologikus megfontolásokat, amely védelem keretébe a GDPR elfogadása illeszkedik.
74. Ebből a szempontból nem kétséges, hogy az uniós jogalkotó e védelem megerősítésére és az arra vonatkozó szabályok hatályának megszilárdítására törekedett. Ezt bizonyítja a 95/46 irányelvnek egy kényszerítőbb jellegű szabályozási eszközzel való szándékos felváltása, valamint kifejezetten a GDPR (9), (11) és (13) preambulumbekezdésének tartalma.
75. Az ezen intézkedésben kitűzött célok a személyes adatok kezelése jelenségének sajátosságából adódnak, mivel ez az adatkezelés meghaladja azon tevékenységek kereteit, amelyek során az ilyen adatok gyűjthetők.
76. Egyébiránt e tevékenységek nem jelentenek szükségképpen gazdasági tevékenységeket, amelyekre már vonatkoznának a belső piacot szabályozó uniós jog szabályai, ami egyáltalán nem csökkenti az összegyűjtött adatok piaci értékét, és nem szünteti meg a kezelésükkel kapcsolatos kockázatokat.
77. A személyes adatok kérdésköre e tekintetben horizontális jellegű, így a védelmükre vonatkozó szabályok nem korlátozódhatnak az uniós jog már létező kategóriáinak alkalmazási körére.
78. Másként fogalmazva, bár az EUMSZ 16. cikk (2) bekezdésében említett „uniós jog alkalmazási köre” meghaladja a Charta 51. cikkének (1) bekezdése értelmében vett „uniós jog végrehajtásának” eseteit, ennek oka a személyes adatok kezeléséhez kapcsolódó kérdések önálló jellege, amely kérdések olyan külön jogalkotási beavatkozást tettek szükségessé, amelynek terjedelme túlmutat a korábban fennálló uniós jogi rendelkezések összességén. Ebből a szempontból a GDPR tág hatálya azt a szándékot tükrözi, hogy a személyes adatok védelmével kapcsolatos kihívásokra egy „személyre szabott” eszköz elfogadásával válaszoljanak.
79. Tekintettel arra, hogy az EUMSZ 16. cikk (2) bekezdésének szövegkörnyezet szerinti és teleologikus elemzéséből eredő következtetések egy irányba mutatnak, azt javaslom a Bíróságnak, hogy erősítse meg korábbi ítélkezési gyakorlatát,(29) és a GDPR 2. cikke (2) bekezdésének a) pontjában foglalt, „az uniós jog hatályán kívül eső tevékenységekre” vonatkozó kivétel szigorú értelmezését fogadja el.
80. Ezen értelmezés fényében javaslom a Bíróságnak annak értékelését, hogy e rendelet alkalmazható‑e az alapügyben szóban forgó parlamenti vizsgálóbizottság tevékenységeire.
A GDPR‑nak a parlamenti vizsgálóbizottság tevékenységeire történő alkalmazásáról
81. Véleményem szerint egy előzetes megjegyzést kell tenni azzal kapcsolatban, hogy a GDPR vonatkozó rendelkezései miként határozzák meg e rendelet hatályát.
– Az intézményi kritériumok másodlagos jelentősége a GDPR hatályának meghatározása szempontjából
82. Hangsúlyozni kell, hogy a személyes adatok kezeléséért felelős szervek vagy személyek jellegével kapcsolatos szervezeti vagy intézményi megfontolások másodlagos jelentőséggel bírnak a GDPR hatályának meghatározása szempontjából.
83. Egyrészt ugyanis a GDPR hatálya e rendelet 2. cikke (1) bekezdésének megfelelően a személyes adatok „kezelésének” anyagi jogi fogalmán alapul. Az „adatkezelő” általános adatvédelmi rendelet 4. cikkének 7. pontjában szereplő szervezeti fogalma ebből a szempontból csak járulékos jellegű, abban az értelemben, hogy lényegében az adatkezelés anyagi jogi fogalmán alapul. Ugyanis, bár az adatkezelő fogalommeghatározása a „természetes vagy jogi személy[re], közhatalmi szerv[re], ügynökség[re] vagy bármely egyéb szerv[re]” hivatkozik, ez a hivatkozás az alkalmazása érdekében semlegesíti a szervezeti kritériumokat.
84. Másrészt, még ha a GDPR tárgyi hatályát korlátozó, az e rendelet 2. cikkének (2) bekezdésében foglalt rendelkezések a személyek és szervek bizonyos kategóriáira, nevezetesen a tagállamokra, a természetes személyekre és a büntetőügyekben illetékes hatóságokra hivatkoznak is, ez mindig olyan tevékenységekkel összefüggésben történik, amelyek nem tartoznak e rendelet hatálya alá. Tehát nem a személyeket mint olyanokat vonják ki a GDPR alkalmazása alól, hanem csak bizonyos tevékenységeiket.
85. Az intézményi kritériumok másodlagos jelentőségét megerősíti a GDPR egyes konkrét rendelkezéseinek hatályát korlátozó részleges eltérések meghatározásának módja is. Szemléltetésképpen,(30) noha a bíróságokra a GDPR 55. cikke (3) bekezdésének megfelelően nem terjed ki a nemzeti felügyeleti hatóságok hatásköre, ez csak annyiban van így, amennyiben azok igazságügyi feladatokat látnak el. E kivétel hatályát tehát nem az igazságszolgáltatási szervek jogállása határozza meg, hanem tevékenységeik sajátos jellege.
86. Mivel a GDPR‑nek nincs olyan rendelkezése, amely kifejezetten a parlamenti szervekre vonatkozna, ebből véleményem szerint az következik, hogy nem a parlamenti szervek osztrák jog szerinti jogállásának, hanem tevékenységeik jellegének kell meghatároznia ezen rendelet alkalmazásának lehetőségét.
– Az alapügyben szereplő vizsgálóbizottság tevékenységeinek jellegéről
87. A Bíróság tudomására hozott információk összességére tekintettel úgy vélem, hogy az e bizottságra bízott feladatok közhatalom gyakorlásával járó közjogi ellenőrzési tevékenységeknek minősíthetők.
88. E minősítés magából az előzetes döntéshozatalra előterjesztett első és második kérdés tartalmából következik, mivel e kérdések a végrehajtó hatalom ellenőrzése keretében végzett tevékenységekre vonatkoznak. A kérdést előterjesztő bíróság által adott magyarázatok szerint „[a] vizsgálóbizottságok arra irányulnak, hogy politikai célok szempontjából tisztázzák a folyamatokat […]. E tekintetben a vizsgálóbizottságok feladata az alkotmányosan rájuk ruházott ellenőrzési feladat ellátása”.(31)
89. Ezt a minősítést a Bíróság elé terjesztett írásbeli észrevételek is megerősítik.(32)
90. A Präsident des Nationalrates (a nemzeti tanács elnöke) által a tárgyaláson adott magyarázatokra tekintettel ezenkívül nem vitatott, hogy a szóban forgó vizsgálóbizottság bizonyos közhatalmi jogosítványokkal rendelkezik, így például a tanúk megidézéséhez vagy a tevékenységei tárgyára vonatkozó dokumentumokhoz való hozzáféréshez való joggal, amelyekhez a vizsgálat megfelelő lefolytatásának biztosítása érdekében bírság kiszabására vonatkozó jogkör kapcsolódik.
91. Ezzel szemben számomra úgy tűnik, hogy némi zavar merül fel e bizottság tevékenységeinek jogalkotási jellegét és ennek a GDPR alkalmazhatóságára nézve fennálló esetleges következményeit illetően.
92. A Präsident des Nationalrates (a nemzeti tanács elnöke) e tekintetben megjegyzi, hogy „[a] vizsgálóbizottságok mind szervezeti, mind funkcionális szempontból a jogalkotó hatalomhoz tartoznak. A vizsgálóbizottságok által vagy nevében végzett cselekmények tehát az állam jogalkotási feladatának körébe tartoznak”.(33) E szerv véleménye szerint ebből az következik, hogy „[a] vizsgálóbizottság munkája tehát a jogalkotás területének központi részéhez tartozik, és kizárólag parlamenti és politikai jellegű (ellenőrzési) tevékenységként a GDPR 2. cikke (2) bekezdésének a) pontjában előírt kivétel hatálya alá tartozik”.(34)
93. Ezekkel az állításokkal kapcsolatban három észrevételt szeretnék tenni.
94. Elsősorban, függetlenül attól, hogy a vizsgálóbizottságok esetlegesen részt vesznek‑e a jogalkotási munkában, hangsúlyozom, hogy a jogalkotási vagy parlamenti tevékenységeket nem vonták ki a GDPR hatálya alól,(35) ellentétben az igazságügyi feladatok ellátásához kapcsolódó tevékenységekkel, amelyek az e rendelet 55. cikkének (3) bekezdésében előírt részleges eltérés hatálya alá tartoznak.
95. E tekintetben egyes érdekeltekkel ellentétben kétlem, hogy ezt az eltérést analógia útján úgy lehetne értelmezni, hogy az igazságügyi feladatokra vonatkozó kivételt a jogalkotási feladatokra is ki lehetne terjeszteni. Éppen ellenkezőleg, ha a GDPR 55. cikkének (3) bekezdésében foglalt eltérés szolgálna a Bíróság által a jelen ügyben kifejtendő érvelés alapjául, úgy az csak a contrario értelmezéshez vezethetne. A GDPR tág hatályára tekintettel az igazságügyi feladatokra vonatkozó kivételt nem lehet kiterjesztően értelmezni.
96. Másodsorban, véleményem szerint a Bíróság tudomására hozott körülmények egyike sem teszi lehetővé annak megállapítását, hogy az alapeljárásban szóban forgó vizsgálóbizottság tevékenysége jogalkotási funkcióval rendelkezne.
97. A vizsgálóbizottság különösen nem jogosult jogalkotási kezdeményezéseket tenni, és más módon sem vesz részt az osztrák parlament jogalkotási munkájában. Egyébiránt, még ha a vizsgálatról készült zárójelentés kiindulópontként szolgálhat is a jogalkotó számára, ez a körülmény véleményem szerint nem alkalmas arra, hogy a bizottság tevékenységeit jogalkotási jelleggel ruházza fel. Egyes parlamenten kívüli szervek – például az osztrák számvevőszék, amelynek jelentéseit megküldik a parlamentnek – tevékenységei is kiindulópontként szolgálhatnak a jogalkotó számára, anélkül hogy ennek alapján felmerülne ezeknek a jogalkotói hatáskör gyakorlásához való kapcsolódása.
98. Harmadsorban, az intézményi megfontolások – függetlenül az osztrák jog szempontjából fennálló esetleges jelentőségüktől – nem befolyásolják a GDPR alkalmazhatóságát, amely folytán a parlamenti vizsgálóbizottság szervezeti kapcsolódása nem lehet meghatározó az előzetes döntéshozatalra előterjesztett első kérdésre adandó válasz szempontjából.
– A GDPR‑nak a közjogi ellenőrzési tevékenységekre való alkalmazhatóságáról
99. A fenti megfontolások fényében fel kell tenni a kérdést, hogy a valamely parlamenti vizsgálóbizottság által végzett közjogi ellenőrzési tevékenységek a GDPR hatálya alá tartoznak‑e.
100. Véleményem szerint erre a kérdésre igenlő választ kell adni, mégpedig három fő okból.
101. Elsősorban, a személyes adatoknak a szóban forgó bizottság általi kezelése az adatkezelés általános adatvédelmi rendelet 2. cikkének (1) bekezdésében meghatározott anyagi fogalmának körébe tartozik. Ezt a minősítést a jelen ügyben érdekelt felek egyike sem vitatja.
102. Másodsorban, a közjogi ellenőrzési tevékenységek az uniós jognak a – Bíróság ítélkezési gyakorlatában értelmezett EUMSZ 16. cikk (2) bekezdése és általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontja értelmében vett – hatálya alá tartoznak, különösen amennyiben e rendelet egyetlen rendelkezése sem vonja ki azokat a rendelet alkalmazása alól.
103. Épp ellenkezőleg, az ellenőrzési tevékenységeket kifejezetten említi a GDPR 23. cikke (1) bekezdésének h) pontja, amely előírja az e rendeletben előírt bizonyos jogok és kötelezettségek hatálya korlátozásának lehetőségét, amennyiben e korlátozás az e rendelkezésben előírt bizonyos esetekben szükséges „– akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység” ellátásának biztosításához.
104. Ebből következik, hogy a GDPR rendelkezései hivatottak a közjogi ellenőrzési tevékenységek szabályozására, még ha e célból különleges intézkedések irányozhatók is elő. A GDPR‑ból eredő védelem lehetséges korlátozása azonban nem vezet a rendelet alkalmazásának kizárásához.
105. Végül harmadsorban, az Unió és a tagállamok közötti általános hatáskörmegosztásra tekintettel egyáltalán nem tűnik úgy, hogy a közjogi ellenőrzési tevékenységek kizárólag ez utóbbiak számára lennének fenntartva.
106. A parlamenti ellenőrzés példájánál maradva, az úgynevezett „Dieselgate” ügyben az – Európai Parlament(36) és a német Bundestag (szövetségi parlament) által egyidejűleg indított – vizsgálatok megkettőzése jól mutatja az e területre vonatkozó hatáskörök egybeesését.
107. Kétségtelen, hogy lehetne azzal érvelni, hogy az uniós jog hatálya csak azokra az ellenőrzési tevékenységekre terjed ki, amelyek e jog rendelkezéseinek alkalmazásához kapcsolódnak.
108. Az ilyen megközelítés ugyanakkor „az uniós jog alkalmazási köre” konkretizáló értelmezésének újbóli bevezetését eredményezné, és ennélfogva a jogbizonytalanság azonos kockázatával járna. A parlamenti vizsgálat jellegére figyelemmel, amely vizsgálat célja a szóban forgó körülmények feltárása, számomra nehéznek tűnik előre meghatározni, hogy valamely vizsgálóbizottság tevékenységei konkrét kapcsolatban állnak‑e az uniós jog rendelkezéseinek alkalmazásával.(37)
109. Ebben az összefüggésben figyelembe kell venni a GDPR rendelkezései által követett jogbiztonsági célt, amely rendelkezések a személyes adatok védelme Unión belüli végrehajtása széttagolódásának elkerülésére irányulnak.(38)
110. E célra figyelemmel, valamint a Bíróság által a 95/46 irányelv kapcsán hozott Österreichischer Rundfunk és társai ítéletben(39) elfogadott megoldással összhangban a GDPR hatályát úgy kell értelmezni, hogy az kiterjed a közjogi ellenőrzési tevékenységekre, függetlenül attól, hogy azok milyen kapcsolatban állnak az uniós jog különös rendelkezéseinek alkalmazásával.
111. A fentiekre tekintettel azt javaslom, hogy az előzetes döntéshozatalra előterjesztett első kérdésre a Bíróság azt a választ adja, hogy az EUMSZ 16. cikk (2) bekezdésének első mondata értelmében az uniós jog hatálya alá tartoznak a tagállami parlament végrehajtó hatalom ellenőrzésére vonatkozó jogának gyakorlása érdekében létrehozott vizsgálóbizottság tevékenységei.
Az előzetes döntéshozatalra előterjesztett második kérdésről
112. Második kérdésével a kérdést előterjesztő bíróság arra vár választ, hogy a GDPR (16) preambulumbekezdésére tekintettel értelmezett 2. cikke (2) bekezdésének a) pontja szerinti kivétel hatálya alá tartoznak‑e az alapeljárásban szóban forgó vizsgálóbizottság tevékenységei, figyelemmel e tevékenységek sajátos, a nemzetbiztonsággal kapcsolatos kérdésekkel összefüggő tárgyára.
113. Több okból is úgy gondolom, hogy nem ez a helyzet.
114. Először is, a GDPR tág hatályára tekintettel a nemzetbiztonsággal kapcsolatos tevékenységekre vonatkozó kivételt szigorúan kell értelmezni. Ebből azt a következtetést vonom le, hogy csak azok a tevékenységek tartoznak e kivétel hatálya alá, amelyeknek közvetlen tárgya a nemzetbiztonság.
115. Nyilvánvalóan nem ez a helyzet az alapeljárásban szóban forgó vizsgálóbizottság tevékenységei esetében, amely bizottságot a szövetségi kormány szerveire vonatkozó ellenőrzési feladattal bízták meg.
116. Kétségtelen, hogy amennyiben a szóban forgó ellenőrzés a BVT működésére vonatkozik, amelynek feladata az állami intézmények integritásának és folytonosságának biztosítása, e bizottság tevékenysége közvetetten hozzájárulhatott a nemzetbiztonság védelméhez.
117. Ez a hozzájárulás azonban nem változtatja meg a vizsgálóbizottságra bízott tevékenységek jellegét, és nem vezethet ahhoz, hogy azokat kivonják a GDPR rendelkezéseinek hatálya alól. Ha az ezzel ellentétes megoldás érvényesülne, fel lehetne tenni a kérdést, hogy egy, a védelmi minisztérium által a katonai szakmák népszerűsítése érdekében igénybe vett reklámügynökséget nem kell‑e ugyanezen az alapon kivonni e rendelkezések hatálya alól.
118. Másodszor, ha a GDPR alkalmazása a parlamenti vizsgálat tárgyától függene, ez ellentétes lenne az uniós jogalkotó által követett, jogbiztonságra irányuló célkitűzéssel.
119. Egy parlamenti vizsgálat tárgya – változó jellegére figyelemmel – nem jelent kellően következetes alapot a GDPR hatályának meghatározásához. Az olyan helyzeti tényezők, mint egy honvédelmi miniszter korrupciós ügyben való személyes érintettsége – ami a vizsgálat során kiderülhet (vagy cáfolásra kerülhet) – nem szolgálhatnak támpontként e célra.
120. Harmadszor, a GDPR 2. cikke (2) bekezdésének a) pontjában foglalt kivétel értelmezése során figyelembe kell venni e rendelkezés ratio legisét. Számomra úgy tűnik, hogy e ratio legis a személyes adatok tiszteletben tartásához való jog bizonyos alapvető szempontjai és a nemzetbiztonsággal kapcsolatos bizonyos tevékenységek lényegéhez tartozó titkosság összeegyeztetésének lehetetlenségéhez kapcsolódik.
121. Szemléltetésképpen, nehezen látom be, hogy a belső hírszerző szolgálatok miként tudnák biztosítani a GDPR 14. és 15. cikkében rögzített információhoz való jog és hozzáféréshez való jog tiszteletben tartását anélkül, hogy ezzel ugyanakkor ne veszélyeztetnék a valamely terrorista mozgalomhoz való tartozással gyanúsított személyeket célzó megfigyelési tevékenységeket. Ebben az esetben a GDPR‑ből eredő követelmények alapvetően összeegyeztethetetlennek tűnnek a nemzetbiztonság követelményeivel.
122. Ezzel szemben számomra úgy tűnik, hogy egy parlamenti vizsgálóbizottság tevékenysége nem ütközik ilyen jellegű leküzdhetetlen akadályokba, és nem látom be, hogy a GDPR‑ból eredő kötelezettségek tiszteletben tartása mennyiben veszélyeztethetné a bizottságnak a nemzetbiztonság védelméhez való esetleges hozzájárulását.
123. Kétségtelen, hogy a vizsgálóbizottságok tevékenységét általában övező nyilvánosság a parlamenti ellenőrzés közjogi vetületének részét képezi. Az átláthatóság célkitűzése azonban ellentétes a GDPR 2. cikke (2) bekezdése a) pontjának ratio legisével, amely a nemzetbiztonsági titkok megőrzésére irányul.
124. Negyedszer, még ha egy parlamenti vizsgálat megfelelő lefolytatása bizonyos esetekben sértheti is a GDPR‑ból eredő kötelezettségek tiszteletben tartását – például akkor, ha a bizottság személyes adatokat tartalmazó bizalmas dokumentumokhoz fér hozzá –, emlékeztetek arra, hogy a GDPR 23. cikke (1) bekezdésének a) és h) pontja lehetővé teszi az e rendelet 5., 12–22. és 34. cikkében foglalt jogok és kötelezettségek korlátozását abban az esetben, ha e korlátozás a nemzetbiztonsági követelményekre tekintettel valamely ellenőrzési feladat biztosításához szükséges.
125. Ebből véleményem szerint az következik, hogy valamely parlamenti vizsgálat tárgya és a nemzetbiztonsági kérdések közötti összefüggés nem vezethet ahhoz, hogy a vizsgálóbizottság mentesüljön a GDPR alkalmazása alól. Azon intézményi háttérre figyelemmel, amelybe az ilyen bizottságok tevékenysége illeszkedik, amely bizottságok tagjai részt vesznek a parlament jogalkotó szerveinek munkájában, számomra ezenkívül viszonylag könnyűnek tűnik azon szükséges jogszabályi módosítások végrehajtása, amelyek lehetővé tennék a bizonyos parlamenti vizsgálatok sajátos céljának figyelembevételét, amint azt a GDPR 23. cikke (1) bekezdésének rendelkezései előírják.
126. Mindezen okokból azt javaslom a Bíróságnak, hogy az előzetes döntéshozatalra előterjesztett második kérdésre azt a választ adja, hogy nem tartoznak a GDPR 2. cikke (2) bekezdésének a) pontja szerinti kivétel hatálya alá a tagállami parlament vizsgálóbizottságának tevékenységei, amelyek vizsgálati tárgyát a rendőri államvédelmi hatóság e rendelet (16) preambulumbekezdése értelmében vett nemzetbiztonság védelmével kapcsolatos tevékenységei képezik.
Az előzetes döntéshozatalra előterjesztett harmadik kérdésről
127. Harmadik kérdésével a kérdést előterjesztő bíróság arra keresi a választ, hogy a GDPR 51. cikkének (1) bekezdése alapján létrehozott egyetlen felügyeleti hatóságnak az e rendelet 77. cikkének (1) bekezdése értelmében vett panaszokra vonatkozó hatásköre közvetlenül a GDPR – 55. cikkének (1) bekezdésével összefüggésben értelmezett – előbbi rendelkezéséből vezethető‑e le.
128. Ez a kérdés, amelyet arra az esetre tettek fel, ha a GDPR‑t alkalmazni kellene az alapeljárásban szóban forgó vizsgálóbizottság tevékenységére, alkotmányos jellegű akadályokkal magyarázható. A Verwaltungsgerichtshof (legfelsőbb közigazgatási bíróság) és egyes érdekeltek véleménye szerint a hatalmi ágak szétválasztásának osztrák jogban fennálló elvével ellentétes az, hogy valamely közigazgatási szerv – a jelen esetben az adatvédelmi hatóság – beavatkozzon a parlament tevékenységeibe azáltal, hogy kivizsgálja az azzal kapcsolatos panaszokat.
129. Az előzetes döntéshozatalra előterjesztett harmadik kérdés így a GDPR 77. cikkének (1) bekezdésével összefüggésben értelmezett 55. cikke (1) bekezdése közvetlen hatálya terjedelmének megállapítására irányul, amennyiben fennáll annak a veszélye, hogy a tagállam által létrehozott egyetlen felügyeleti hatóság hatáskörét valamely alkotmányos szintű elv korlátozza.
130. Valamely uniós rendelettel kapcsolatban emlékeztetni kell arra, hogy az az EUMSZ 288. cikk második bekezdése értelmében főszabály szerint teljes egészében közvetlenül alkalmazandó, amint azt a GDPR 99. cikke (2) bekezdésének második albekezdése is megerősíti.(40)
131. A Bíróság ítélkezési gyakorlatának megfelelően ez csak akkor van másként, ha valamely rendeleti rendelkezés – a végrehajtása során a tagállamok számára hagyott mérlegelési mozgástérre figyelemmel – végrehajtási intézkedések elfogadását teszi szükségessé.(41)
132. E tekintetben véleményem szerint a GDPR 77. cikke – a felügyeleti hatóságoknak az e rendelkezés szerinti panaszok kivizsgálására vonatkozó hatáskörét előíró – (1) bekezdésének és e rendelet 55. cikke (1) bekezdésének együttesen értelmezett rendelkezései kellően világosak és feltétel nélküliek ahhoz, hogy közvetlenül alkalmazhatók legyenek.
133. Hozzáteszem, hogy a Bíróság már megerősítette a GDPR 58. cikke (5) bekezdésének közvetlen hatályát annak kimondásával, hogy a nemzeti felügyeleti hatóság hivatkozhat az e rendelkezés által számára biztosított perképességre a magánszemélyek elleni keresetet indítása vagy folytatása érdekében, még akkor is, ha az érintett tagállam e célból semmilyen jogalkotási végrehajtási intézkedést nem hozott.(42)
134. Egyébiránt számomra úgy tűnik, hogy az alapügy körülményei között semmilyen további végrehajtási intézkedés nem szükséges a GDPR 77. cikkében említett panasz eljárási szabályainak meghatározásához. Az adatvédelmi hatóság rendszeresen vizsgál ilyen panaszokat, az egyetlen kérdés, amely felmerül, a parlament szervei tekintetében fennálló hatáskörének kérdése.
135. Márpedig ezt a kérdést nem bízták a tagállamok szabad mérlegelésére.
136. Kétségtelen, hogy a panasz benyújtásához való jog tényleges gyakorlásának előfeltétele az, hogy a GDPR 51. cikke (1) bekezdésének megfelelően előzetesen egy vagy több felügyeleti hatóságot hozzanak létre, amihez a tagállamok fellépése szükséges. E tekintetben azonban ez utóbbi rendelkezés közvetlen hatályára vonatkozó kérdésről van szó, amely az alapügyben nem merül fel.
137. Ami a GDPR 51. cikkének (1) bekezdése alapján létrehozandó felügyeleti hatóságok számát illeti, az e területen a tagállamokra bízott intézményi döntés nem vezethet az osztrák jogalkotó által létrehozott egyetlen hatóság hatáskörének korlátozásához. Az ezzel ellentétes értelmezés megfosztaná közvetlen hatályától a GDPR 55. cikkének (1) bekezdését és 77. cikkének (1) bekezdését, és azzal a kockázattal járna, hogy gyengíti e rendelet minden más, panasz által esetlegesen érintett rendelkezésének hatékony érvényesülését.
138. Végül, ami az osztrák jogban fennálló alkotmányos jellegű akadályokat illeti, azok nem vezethetnek a GDPR rendelkezései alkalmazásának megtagadásához. A Bíróság állandó ítélkezési gyakorlata szerint a nemzeti alkotmányos szerkezet elveinek megsértésére való hivatkozás nem érintheti valamely uniós jogi aktus hatályát.(43)
139. Azt javaslom tehát, hogy az előzetes döntéshozatalra előterjesztett harmadik kérdésre válaszul a Bíróság állapítsa meg, hogy abban az esetben, ha valamely tagállam a GDPR 51. cikkének (1) bekezdése alapján csupán egy felügyeleti hatóságot hozott létre, akkor annak az e rendelet 77. cikkének (1) bekezdése értelmében vett panaszokra vonatkozó hatásköre közvetlenül levezethető az említett rendelet – 55. cikkének (1) bekezdésével összefüggésben értelmezett – előbbi rendelkezéséből.
Végkövetkeztetés
140. A fenti megfontolások összességére figyelemmel azt javaslom a Bíróságnak, hogy a Verwaltungsgerichtshof (legfelsőbb közigazgatási bíróság, Ausztria) által előzetes döntéshozatalra előterjesztett kérdésekre a következő választ adja:
1) Az EUMSZ 16. cikk (2) bekezdésének első mondata értelmében az uniós jog hatálya alá tartoznak a tagállami parlament végrehajtó hatalom ellenőrzésére vonatkozó jogának gyakorlása érdekében létrehozott vizsgálóbizottság tevékenységei, azzal a következménnyel, hogy alkalmazni kell a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendeletet (általános adatvédelmi rendelet) a személyes adatok tagállami parlament vizsgálóbizottsága általi kezelésére.
2) Nem tartoznak a 2016/679 rendelet 2. cikke (2) bekezdésének a) pontja szerinti kivétel hatálya alá a tagállami parlament végrehajtó hatalom ellenőrzésére vonatkozó jogának gyakorlása érdekében létrehozott azon vizsgálóbizottság tevékenységei, amelyek vizsgálati tárgyát a rendőri államvédelmi hatóság tevékenységei, tehát az ezen rendelet (16) preambulumbekezdése értelmében vett nemzetbiztonság védelmével kapcsolatos tevékenységek képezik.
3) Abban az esetben, ha valamely tagállam a 2016/679 rendelet 51. cikkének (1) bekezdése alapján csupán egy felügyeleti hatóságot hozott létre, akkor annak az e rendelet 77. cikkének (1) bekezdése értelmében vett panaszokra vonatkozó hatásköre közvetlenül levezethető az említett rendelet – 55. cikkének (1) bekezdésével összefüggésben értelmezett – előbbi rendelkezéséből.