C‑487/21. sz. ügy
F. F.
kontra
Österreichische Datenschutzbehörde és CRIF GmbH
(a Bundesverwaltungsgericht [Ausztria] által benyújtott előzetes döntéshozatal iránti kérelem)
A Bíróság ítélete (első tanács), 2023. május 4.
„Előzetes döntéshozatal – A személyes adatok védelme – (EU) 2016/679 rendelet – Az érintettnek az adatkezelés tárgyát képező személyes adataihoz való hozzáférési joga – A 15. cikk (3) bekezdése – Másolat kiadása az adatokról – A »másolat« fogalma – Az »információk« fogalma”
1. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Az érintettnek az adatkezelés tárgyát képező adataihoz való hozzáférési joga – Másolat kiadása az adatokról – A másolat fogalma – Ezen adatok változatlan és érthető reprodukciójának átadása az érintett részére – Olyan dokumentumkivonatok, sőt egész dokumentumok, vagy akár olyan adatbázis‑kivonatok másolata, amelyek többek között az említett adatokat tartalmazzák – Bennfoglaltság – Feltétel
(2016/679 európai parlamenti és tanácsi rendelet, (58) és (60) preambulumbekezdés, 12. cikk, (1) bekezdés, és 15. cikk, (1) és (3) bekezdés, első mondat)
(lásd: 21., 28., 32., 36‐45. pont és a rendelkező rész 1) pontja)
2. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Az érintettnek az adatkezelés tárgyát képező adataihoz való hozzáférési joga – Másolat kiadása az adatokról – Az információk fogalma – Az adatkezelő által másolat formájában szolgáltatandó személyes adatok – Bennfoglaltság
(2016/679 európai parlamenti és tanácsi rendelet, 15. cikk, (3) bekezdés, harmadik mondat)
(lásd: 48–53. pont és a rendelkező rész 2) pontja)
Összefoglalás
GDPR: a személyes adatok „másolatának” igényléséhez való jog magában foglalja, hogy az érintett változatlan és érthető reprodukciót kapjon az összes ilyen adatról
E jog magában foglalja azt a jogot, hogy olyan dokumentumkivonatokról, sőt egész dokumentumokról, vagy akár olyan adatbázis‑kivonatokról is másolatot igényeljenek, amelyek az említett adatokat tartalmazzák, amennyiben ez elengedhetetlen ahhoz, hogy az érintettnek lehetővé tegyék az e rendelet által részére biztosított jogok tényleges gyakorlását.
A CRIF egy üzleti tanácsadó társaság, amely ügyfelei kérésére információkat nyújt harmadik személyek fizetőképességéről. A társaság ennek érdekében az alapeljárás felperesének, egy magánszemélynek a személyes adatait is kezelte. E felperes az általános adatvédelmi rendelet alapján(1) hozzáférést kért a CRIF‑től a rá vonatkozó személyes adatokhoz. Ezenkívül kérte, hogy „szokásos technikai formátumban” adjanak neki másolatot bizonyos dokumentumokról, vagyis azokról az e‑mailekről és adatbázis‑kivonatokról, amelyek többek között az ő adatait tartalmazzák.
E kérelemre válaszul a CRIF összesített formában megküldte az alapeljárás felperese részére a kezelt személyes adatainak listáját. Az alapeljárás felperese, mivel úgy ítélte meg, hogy a CRIF‑nek meg kellett volna küldenie részére az adatait tartalmazó összes dokumentum – mint például az e‑mailek és az adatbázis‑kivonatok – másolatát, panaszt nyújtott be az Österreichische Datenschutzbehördéhez (osztrák adatvédelmi hatóság). E hatóság elutasította e panaszt, mivel úgy ítélte meg, hogy a CRIF semmilyen módon nem sértette meg az alapeljárás felperesének a személyes adataihoz történő hozzáféréshez való jogát.
A Bundesverwaltungsgericht (szövetségi közigazgatási bíróság, Ausztria), amely az alapeljárás felperese által e hatóság elutasító határozatával szemben indított kereset tárgyában jár el, az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondatában előírt azon kötelezettség érvényesülési körével kapcsolatban tesz fel kérdést, hogy az érintett részére „másolatot” kell adni az adatkezelés tárgyát képező személyes adatairól. E bíróság különösen arra keresi a választ, hogy teljesül‑e az említett kötelezettség, ha az adatkezelő összesített táblázat formájában küldi meg a személyes adatokat, vagy pedig e kötelezettség magában foglalja azt is, hogy olyan dokumentumkivonatokat, sőt egész dokumentumokat, valamint olyan adatbázis‑kivonatokat küldjenek meg, amelyekben ezen adatokat reprodukálják. A kérdést előterjesztő bíróság ezenkívül pontosításokat kér arra vonatkozóan, hogy pontosan mit takar az általános adatvédelmi rendelet 15. cikke (3) bekezdésének harmadik mondatában(2) szereplő „információk” fogalma.
Ítéletében a Bíróság pontosítja az érintett azon jogának tartalmát és terjedelmét, hogy hozzáférjen a kezelt személyes adataihoz. E tekintetben úgy ítéli meg, hogy az a jog, hogy az adatkezelőtől az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondata alapján „másolatot” igényeljenek az adatkezelés tárgyát képező személyes adatokról, magában foglalja, hogy az érintett változatlan és érthető reprodukciót kapjon az összes ilyen adatról. E jog feltételezi azt a jogot, hogy olyan dokumentumkivonatokról, sőt egész dokumentumokról, vagy akár olyan adatbázis‑kivonatokról is másolatot igényeljenek, amelyek többek között az említett adatokat tartalmazzák, amennyiben az ilyen másolat kiadása elengedhetetlen ahhoz, hogy az érintettnek lehetővé tegyék az általános adatvédelmi rendelet által részére biztosított jogok tényleges gyakorlását, hangsúlyozva, hogy e tekintetben figyelembe kell venni mások jogait és szabadságait is. Másfelől a Bíróság pontosítja, hogy az általános adatvédelmi rendelet 15. cikke (3) bekezdésének harmadik mondatában említett „információk” fogalma kizárólag azokra a személyes adatokra vonatkozik, amelyekről az adatkezelőnek e bekezdés első mondata alapján másolatot kell szolgáltatnia.
A Bíróság álláspontja
A Bíróság először is szó szerint, rendszertanilag és teleologikusan is értelmezi az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondatát, amely jogot biztosít az érintettnek ahhoz, hogy másolatot igényeljen az adatkezelés tárgyát képező személyes adatairól.
Az általános adatvédelmi rendelet 15. cikke (3) bekezdése első mondatának szövegét illetően a Bíróság kiemeli, hogy jóllehet e rendelkezés nem tartalmazza a „másolat” fogalmának meghatározását, e kifejezésnek a szokásos jelentését kell figyelembe venni, amely kifejezés az eredeti reprodukcióját vagy szöveghű átírását jelöli, vagyis a kezelés tárgyát képező adatok tisztán általános leírása vagy a személyes adatok kategóriáira való utalás nem felel meg e fogalommeghatározásnak. Ezenkívül e rendelkezés szövegéből kitűnik, hogy a közlési kötelezettség a szóban forgó adatkezelés tárgyát képező személyes adatokhoz kapcsolódik. Az említett rendelkezés szövegszerű elemzésének lefolytatását követően a Bíróság úgy ítéli meg, hogy e rendelkezés arra jogosítja fel az érintettet, hogy változatlan reprodukcióhoz jusson hozzá a tág értelemben vett azon személyes adatairól, amelyek az adatkezelő általi adatkezelésnek minősítendő műveletek tárgyát képezik.
Ami azt a szövegkörnyezetet illeti, amelybe az általános adatvédelmi rendelet 15. cikke (3) bekezdésének első mondata illeszkedik, a Bíróság kiemeli, hogy az általános adatvédelmi rendelet 15. cikkének (1) bekezdése meghatározza az érintett számára biztosított hozzáférési jog tárgyát és hatályát. Az általános adatvédelmi rendelet 15. cikkének (3) bekezdése pontosítja az adatkezelőre háruló kötelezettség teljesítésének gyakorlati szabályait, az első mondatában meghatározva többek között azt, hogy az adatkezelőnek milyen formában – vagyis „másolat” formájában – kell megadnia az adatkezelés tárgyát képező személyes adatokat. Következésképpen az általános adatvédelmi rendelet 15. cikkét nem lehet akként értelmezni, mint amely a (3) bekezdésének első mondatában különálló jogosultságot biztosítana az (1) bekezdésében szabályozott joghoz képest. Másfelől, a Bíróság pontosítja, hogy a „másolat” kifejezés nem önmagában valamilyen dokumentumra utal, hanem azokra a személyes adatokra, amelyeket e dokumentum tartalmaz, és amelyeknek teljes körűeknek kell lenniük. A másolatnak tehát tartalmaznia kell az adatkezelés tárgyát képező összes személyes adatot.
Ami az általános adatvédelmi rendelet 15. cikke által követett célokat illeti, a Bíróság kiemeli, hogy az e cikkben biztosított hozzáférési jognak lehetővé kell tennie az érintett számára, hogy megbizonyosodjon arról, hogy a rá vonatkozó személyes adatok helyesek, és azokat jogszerűen kezelik.
Ezenkívül a Bíróság szerint az általános adatvédelmi rendeletből(3) az következik, hogy az adatkezelő köteles megfelelő intézkedéseket tenni annak érdekében, hogy az érintett részére valamennyi információt tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, és hogy az információt írásban vagy más módon kell megadni, ideértve – amennyiben az megfelelő – az elektronikus utat is, kivéve ha az érintett szóban kéri a tájékoztatást. Ebből következik, hogy az adatkezelés tárgyát képező személyes adatok másolatának – amelyet az adatkezelő köteles kiadni – rendelkeznie kell minden olyan jellemzővel, amely lehetővé teszi az érintett számára az általános adatvédelmi rendelet szerinti jogainak tényleges gyakorlását, következésképpen pedig e másolatnak teljes egészében és változatlanul kell reprodukálnia ezen adatokat.
Így annak biztosítása érdekében, hogy az így szolgáltatott információk könnyen érthetőek legyenek, elengedhetetlennek bizonyulhat olyan dokumentumkivonatok, sőt egész dokumentumok, vagy akár olyan adatbázis‑kivonatok reprodukciója, amelyek többek között az adatkezelés tárgyát képező személyes adatokat tartalmazzák. Különösen, ha a személyes adatokat más adatokból kiindulva állítják elő, vagy ha ezek az adatok szabad szövegmezőkből származnak, vagyis nincs olyan jelzés, amely az érintettre vonatkozó információt tárna fel, akkor ezen adatok kezelésének kontextusa elengedhetetlen elemnek minősül ahhoz, hogy az érintett számára lehetővé váljon az ezen adatokhoz való átlátható hozzáférés, továbbá hogy ezen adatok megjelenítése érthető legyen.
Ha egyrészt a személyes adatokhoz való teljes körű hozzáférés jogának gyakorlása, másrészt pedig mások jogai vagy szabadságai között ellentét áll fenn, a Bíróság megítélése szerint egyensúlyt kell teremteni a szóban forgó jogok és szabadságok között. Ahol lehetséges, a személyes adatok közlésének olyan módját kell választani, amely nem sérti mások jogait vagy szabadságait, de szem előtt kell tartani, hogy e megfontolások nem eredményezhetik azt, hogy az érintettől minden információt megtagadjanak.
A Bíróság második lépésben azt a kérdést vizsgálja, hogy mit takar az általános adatvédelmi rendelet 15. cikke (3) bekezdésének harmadik mondatában szereplő „információk” fogalma. Jóllehet e rendelkezés nem pontosítja, hogy az „információk” kifejezés alatt mit kell érteni, a szövegkörnyezetéből az következik, hogy az abban említett „információk” szükségképpen azoknak a személyes adatoknak felelnek meg, amelyekről az adatkezelőnek e bekezdés első mondata értelmében másolatot kell szolgáltatnia.