CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:162

Ideiglenes változat

PRIIT PIKAMÄE
FŐTANÁCSNOK INDÍTVÁNYA

Az ismertetés napja: 2024. február 22.(1)

C‑693/22. sz. ügy

I. sp. z o. o.

kontra

M. W.

(a Sąd Rejonowy dla m.st. Warszawy w Warszawie [varsói kerület bíróság, Lengyelország] által benyújtott előzetes döntéshozatal iránti kérelem)

„Előzetes döntéshozatal – A személyes adatok védelme – (EU) 2016/679 rendelet – Személyes adatokat tartalmazó adatbázis értékesítése végrehajtási eljárás keretében – A 4. cikk 7. pontja – Az »adatkezelő« fogalma – Az 5. cikk (1) bekezdésének b) pontja – Célhoz kötöttség – A 6. cikk (1), (3) és (4) bekezdése – Az adatkezelés jogszerűsége – Az adatkezelőt terhelő jogi kötelezettség teljesítése – Közérdekű feladat végrehajtása – A 23. cikk (1) bekezdésének j) pontja – Polgári jogi követelések érvényesítése – Szükséges és arányos intézkedés”

1. Megfelelhet‑e a személyes adatokat tartalmazó adatbázis végrehajtási eljárás keretében történő értékesítése a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet)(2) rendelkezéseinek, ha az érintettek nem adták hozzájárulásukat az értékesítéshez?

2. Ez a fő kérdés, amelyet a Sąd Rejonowy dla m. st. Warszawy w Warszawie (varsói kerületi bíróság, Lengyelország) a jelen előzetes döntéshozatal iránti kérelem keretében a Bíróság elé terjesztett.

3. A Bíróságnak tehát egy konkrét ügyet kell megvizsgálnia az általános adatvédelmi rendelet alapján, és állást kell foglalnia e rendelet bizonyos kulcsfontosságú elemeiről, például az „adatkezelő” fogalmáról, az adatkezelés jogszerűségéről és a célhoz kötöttség elvének hatályáról.

Jogi háttér

Az uniós jog

4. Az általános adatvédelmi rendelet 4. cikke előírja:

„E rendelet alkalmazásában:

1. »személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; […]

2. »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

[…]

7. »adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

[…]”

5. Az említett rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke az (1) és (2) bekezdésében az alábbiak szerint rendelkezik:

„(1) A személyes adatok:

a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (»jogszerűség, tisztességes eljárás és átláthatóság«);

b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; […]

c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk (»adattakarékosság«);

[…]

(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

6. E rendeletnek „Az adatkezelés jogszerűsége” című 6. cikke a következőképpen szól:

„(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

[…]

c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

[…]

e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

[…]

(3) Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:

a) az uniós jog, vagy

b) azon tagállami jog, amelynek hatálya alá az adatkezelő tartozik.

Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.

(4) Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető‑e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

a) a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;

b) a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatokra;

c) a személyes adatok jellegét, különösen pedig azt, hogy a 9. cikk szerinti személyes adatok különleges kategóriáinak kezeléséről van‑e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 10. cikk szerinti kezeléséről van‑e szó;

d) azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;

e) megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.”

7. Az általános adatvédelmi rendelet „Korlátozások” című 23. cikkének (1) bekezdése a következőket írja elő:

„(1) Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

[…]

j) polgári jogi követelések érvényesítése.”

A lengyel jog

8. A 2000. szeptember 15‑i ustawa Kodeks spółek handlowych (a kereskedelmi társaságokról szóló törvénykönyv, Dz. U. 2022, 1467. tétel, a továbbiakban: kereskedelmi társaságokról szóló törvénykönyv) 299. cikke a következőképpen szól:

„1. § Ha a társasággal szembeni végrehajtás nem vezet eredményre, az igazgatósági tagok egyetemlegesen felelősek annak kötelezettségeiért.

2. § Az igazgatósági tag mentesülhet az 1. §‑ban említett felelősség alól, ha bizonyítja, hogy a fizetésképtelenség megállapítása iránti kérelmet időben benyújtotta, vagy hogy egyidejűleg a szerkezetátalakítási eljárás megindításáról vagy az egyezségi eljárásban egyezség jóváhagyásáról végzést hoztak, vagy hogy a fizetésképtelenség megállapítása iránti kérelem benyújtásának elmulasztása nem róható fel neki, vagy hogy a fizetésképtelenség megállapítása iránti kérelem benyújtásának, valamint a szerkezetátalakítási eljárás megindításáról szóló végzés meghozatalának mellőzése vagy az egyezségi eljárásban az egyezség jóváhagyásának megtagadása ellenére a hitelezőt nem érte kár.”

9. Az 1964. november 17‑i, módosított ustawa z dnia Kodeks postępowania cywilnego (a polgári perrendtartásról szóló törvény; Dz. U. 2021, 1805. tétel, a továbbiakban: polgári perrendtartás) 796. cikkének 1. §‑a szerint:

„A végrehajtási kérelmet az illetékes bírósághoz vagy bírósági végrehajtóhoz kell benyújtani. A bírósági végrehajtóhoz benyújtott kérelem hivatalos formanyomtatványon is benyújtható.”

10. A polgári perrendtartás 799. cikke 1. §‑ának első mondata a következőképpen rendelkezik:

„A végrehajtási kérelem vagy a hivatalból történő végrehajtás iránti kérelem az ingatlanvégrehajtás kivételével valamennyi megengedett módon lehetővé teszi a végrehajtást. […]”

11. A polgári perrendtartás 824. cikke 1. §‑ának 3) pontja a következőképpen szól:

„A bírósági végrehajtási eljárás teljes vagy részleges megszüntetését hivatalból állapítják meg:

[...]

3) ha nyilvánvaló, hogy a végrehajtás nem fog a végrehajtás költségeit meghaladó összeget eredményezni.”

12. A polgári perrendtartás 831. cikke kimondja:

„1. § Nem képezheti végrehajtás tárgyát:

[…]

3) elidegeníthetetlen jogok, kivéve, ha az átruházhatóságot szerződéssel zárták ki, és a szolgáltatás tárgya végrehajtható, vagy a jog gyakorlása másra átruházható.”

13. A 2018. március 22‑i, módosított ustawa o komornikach sądowych (a bírósági végrehajtókról szóló törvény; Dz. U. 2022, 1168. tétel, a továbbiakban: a bírósági végrehajtókról szóló törvény) szabályozza a bírósági végrehajtók jogállását és tevékenységét. A 3. cikk első és harmadik bekezdése szerint:

„A bírósági végrehajtó a végrehajtási eljárásban és biztosítási intézkedés iránti eljárásban végzett tevékenységek tekintetében hatóságnak minősül. Ezeket a tevékenységeket – a törvényekben meghatározott kivételekkel – a bírósági végrehajtó végzi.

[…]

A végrehajtó a következő feladatokat látja el:

a bírósági határozatok végrehajtása pénzbeli és nem pénzbeli követelések és óvadéki letétek esetében, beleértve az ideiglenes számlazárolást elrendelő európai végzéseket, a [polgári perrendtartásban] előírt kivételekkel;

[…]”

14. A fenti törvény 9. cikkének 1. §‑a a következőképpen rendelkezik:

„A bírósági végrehajtó nem utasíthatja el

1) azon végrehajtás iránti kérelmet,

[…]

amelyre a [polgári perrendtartás] rendelkezéseivel összhangban illetékes.”

15. Az említett törvény 31. cikkének 1. §‑ának első mondata a következőképpen rendelkezik:

„A bankszámlával, hitelszövetkezet által vezetett számlával vagy ügynöki tevékenységet folytató szervezet által vezetett számlával szemben végrehajtott, a lefoglalt összeg adósa által teljesített első kifizetés eredményeként behajtott összegeket a bírósági végrehajtó legkorábban az összegek beérkezését követő 7. napon, legkésőbb azonban a 14. napon utalja át a hitelezőnek. […].”

16. 2001. július 27‑i ustawa o ochronie baz danych (az adatbázisok védelméről szóló törvény; Dz. U. 2021, 386. tétel, a továbbiakban: az adatbázisok védelméről szóló törvény) 2. cikke (1) bekezdésének 1) pontja a következőképpen rendelkezik:

„A törvény értelmében:

1) »adatbázis«: adatok vagy bármely egyéb anyagok és elemek meghatározott módszer vagy rendszer szerint összeállított gyűjteménye, amelynek elemeihez bármilyen módon, beleértve az elektronikus eszközöket is egyedileg hozzá lehet férni, és amely tartalmának megszerzése, ellenőrzése vagy előállítása minőségileg vagy mennyiségileg jelentős ráfordítással járt.”

17. Az adatbázisok védelméről szóló törvény 6. cikkének (1) bekezdése kimondja:

„Az adatbázis előállítója kizárólagos és átruházható joggal rendelkezik az adatbázis egész tartalmának vagy minőségi vagy mennyiségi szempontból jelentős részének kimásolására és újrahasznosítására.”

Az alapeljárás, az előzetes döntéshozatalra előterjesztett kérdés és a Bíróság előtti eljárás

18. A Lengyelországban székhellyel rendelkező I. társaságnak (a továbbiakban: felperes vagy hitelező társaság) jogerős bírósági ítélettel megerősített követelése áll fenn az NMW társasággal szemben, amely online értékesítésre szakosodott, és amelyben M.W. az igazgatótanács tagja.

19. A felperes kérelmére végrehajtási eljárás indult az NMW társasággal szemben e követelés kielégítésére. Az eljárás eredményeként a bírósági végrehajtó végrehajtást megszüntető határozatot hozott azzal az indokkal, hogy az NMW társaság nem rendelkezik olyan vagyonnal, amely a végrehajtás tárgyát képezhetné. E körülmények között a felperes keresetet nyújtott be M.W. ellen a Sąd Rejonowy dla m. st. Warszawy w Warszawie (varsói kerületi bíróság) előtt a kereskedelmi társaságokról szóló törvénykönyv 299. cikkének 1. §-a alapján, amely az adós társaság igazgatótanácsi tagjának vagyoni felelősségét írja elő arra az esetre, ha a követelés nem elégíthető ki a társaság vagyonából.

20. M.W. azzal az indokkal kérte a kereset elutasítását, hogy az NMW társaság olyan eszközökkel rendelkezett, amely értéke egyenként nagyobb a felperes követelésénél, nevezetesen egy cashback jellegű szolgáltatással kombinált online vásárlást szolgáló szoftver (a továbbiakban: M. platform) forráskódjával, valamint az e platform felhasználóira vonatkozó két adatbázissal.

21. A kérdést előterjesztő bíróság mindazonáltal megállapítja, hogy az M. platform eladása önmagában, ezen adatbázisok nélkül nem lenne olyan vonzó a piacon, mint a teljes „csomag” értékesítése.

22. A bíróság szerint ezért arra a kérdésre kell választ kapni, hogy az NMW társaság által létrehozott adatbázisok értékesíthetők‑e bírósági végrehajtási eljárás során. Ha a válasz igenlő lenne, az alapügyben benyújtott kereset elutasításra kerülne.

23. E tekintetben a kérdést előterjesztő bíróság megállapítja, hogy bár nem köti őt a szóban forgó eszközök értékének M.W. által hivatkozott értékelése – különösen mivel ezt az értékelést nem igazságügyi szakértő végezte –, a fenti kérdésre adott válasz továbbra is szükséges az alapügyben felmerült jogvita eldöntéséhez, mivel a lengyel polgári perrendtartás szabályai tiltják az ilyen bizonyíték tekintetében az annak előzetes megállapítása nélküli bizonyítást, hogy e bizonyíték releváns.

24. A bíróság úgy véli, hogy az érintett adatbázisok az adatbázisok jogi védelméről szóló, 1996. március 11‑i 96/9/EK európai parlamenti és tanácsi irányelv(3) 1. cikke értelmében vett „adatbázis” fogalmába tartoznak, így az említett irányelv 7. cikke értelmében az NMW társaságnak, az adatbázisok tulajdonosának vagyoni joga van ezen adatbázisok átengedésére. Valójában végrehajtási eljárás bármely vagyoni joggal szemben lefolytatható, kivéve, ha valamely rendelkezés e lehetőséget kifejezetten kizárja. Márpedig, a lengyel jogalkotó nem határozott meg olyan szabályokat, amelyek tiltanák az alapügyben szóban forgóhoz hasonló adatbázissal szembeni végrehajtás lefolytatását.

25. A kérdést előterjesztő bíróság kétségeit fejezi ki azzal kapcsolatban, hogy az ilyen adatbázisok bírósági végrehajtás tárgyát képezhetik‑e, tekintettel arra, hogy azok az M. platform több százezer felhasználójának személyes adatait tartalmazzák, és hogy nincs bizonyíték arra, hogy e platform felhasználói hozzájárultak volna személyes adataik olyan formában történő kezeléséhez, hogy ezeket az adatokat az említett platformon kívüli harmadik feleknek a rendelkezésére bocsátják. E tekintetben a bíróság pontosította, hogy a szóban forgó adatok nem tartoznak a személyes adatoknak az általános adatvédelmi rendelet 9. cikke értelmében vett különleges kategóriái közé.

26. E bíróság megkérdőjelezi továbbá a személyes adatok kezelésére vonatkozó, az általános adatvédelmi rendelet által megállapított korlátozások, valamint a 96/9 irányelvből és a nemzeti jogból eredő, az adatbázis feletti szabad rendelkezéshez való jog közötti kapcsolatot, amely jogba álláspontja szerint az adatbázis végrehajtási eljárás keretében történő átruházásának joga is beletartozik.

27. E körülmények között a Sąd Rejonowy dla m.st. Warszawy w Warszawie (varsói kerületi bíróság, Lengyelország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdést terjeszti a Bíróság elé:

„Úgy kell-e értelmezni az [általános adatvédelmi rendelet] 5. cikke (1) bekezdésének ezen rendelet 6. cikke (1) bekezdésének a), c) és e) pontjával és 6. cikkének (3) bekezdésével összefüggésben értelmezett a) pontját, hogy azzal ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi […] [a 96/9] irányelv 1. cikkének (2) bekezdése értelmében vett, személyes adatokból álló adatbázis végrehajtási eljárás keretében történő értékesítését, ha az érintett személyek nem járultak hozzá az ilyen értékesítéshez?”

28. A Lengyel kormány és az Európai Bizottság írásbeli észrevételeket nyújtott be. Ugyanezen érdekelt felek az I. társasággal együtt a 2023. november 16‑án tartott tárgyaláson szóbeli észrevételeket terjesztettek elő.

Elemzés

Az elfogadhatóságról

29. A jelen előzetes döntéshozatalra előterjesztett kérdés elfogadhatóságával kapcsolatban először két kérdésre kell választ adni.

30. Először is, az alapeljárás felperese a tárgyaláson kétségeit fejezte ki e kérdés relevanciáját illetően. E fél szerint az NMW társaság már évekkel ezelőtt megszüntette gazdasági tevékenységét. Pontosabban, e társaságnak már nem volt igazgatósága vagy vezetősége, és 2019 áprilisa óta nem nyújtott szolgáltatásokat az M. platform felhasználói számára.(4) Így szükségszerűen megszüntette a tevékenységének gyakorlásához kapcsolódó személyes adatok mindenfajta kezelését. Ilyen körülmények között a célhoz kötöttség és a korlátozott tárolhatóság elvei megkövetelték volna az érintett adatok törlését, enélkül az alapügyben szóban forgó adatbázisok puszta létezése is jogellenes. Erre tekintettel az előterjesztő bíróság által benyújtott, az ilyen adatok végrehajtási eljárás keretében történő értékesítésének jogszerűségére vonatkozó kérdés nem releváns az alapügyben felmerült jogvita eldöntése szempontjából.

31. Megjegyzendő, hogy az általános adatvédelmi rendelet 5. cikke (1) bekezdésének e) pontja szerint a személyes adatok(5) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. Ebből következik, hogy idővel még az eredetileg jogszerű adatkezelés is összeegyeztethetetlenné válhat az általános adatvédelmi rendelettel, ha ezek az adatok már nem szükségesek e célok eléréséhez.(6) Ilyen esetben az adatokat törölni kell.(7) Ebben az esetben a szóban forgó adatokat minden bizonnyal az NMW társaság online értékesítési tevékenységének céljaira gyűjtötték. Ha ez utóbbi 2019 áprilisában megszüntette ezt a tevékenységet, aligha lehet kétséges, hogy az adatokra már nem volt szükség annak végzéséhez, ezért azokat törölni kellett volna. Ilyen törlés hiányában a szóban forgó adatbázisok létezése nem felel meg az általános adatvédelmi rendeletnek, és nyilvánvaló, hogy a jelen előzetes döntéshozatalra előterjesztett kérdésnek nincs relevanciája az alapügyben felmerült jogvita eldöntése szempontjából.

32. Ennek fényében emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint a Bíróság kizárólag az uniós jognak a nemzeti bíróság által saját felelősségére meghatározott ténybeli és jogi háttér alapján történő értelmezéséről jogosult dönteni, anélkül, hogy azt megkérdőjelezhetné vagy helytállóságát ellenőrizhetné.(8)

33. Márpedig, az előzetes döntéshozatalra utaló határozat egyetlen pontjából sem derül ki, hogy az NMW társaság 2019 áprilisában megszüntette volna a tevékenységét, ahogyan azt a felperes állítja.

34. Másodszor, a kérdést előterjesztő bíróságnak kétségei vannak az általános adatvédelmi rendelet alkalmazhatóságát illetően, tekintettel a 96/9 irányelv rendelkezéseire.

35. Elöljáróban emlékeztetni kell arra, hogy a 96/9 irányelv célja az adatbázisok jogi védelme terén a nemzeti jogszabályok közelítésével az azok között fennálló azon eltérések megszüntetése, amelyek torzítják a belső piac működését, az Európai Unión belül az áruk és a szolgáltatások szabad mozgását, valamint az információs piac fejlődését.(9) Az irányelv – 1. cikkének (1) bekezdésével összhangban – az adatbázisok jogi védelmére vonatkozik, függetlenül azok formájától, és az 1. cikk (2) bekezdése az „adatbázis” fogalmát úgy határozza meg, mint „az önálló művek, adatok vagy egyéb tartalmi elemek valamely rendszer vagy módszer szerint elrendezett gyűjteménye, amelynek elemeihez elektronikus eszközökkel vagy bármely más módon egyedileg hozzá lehet férni”.

36. Az említett irányelv valamennyi tagállamot kötelezi arra, hogy nemzeti jogukban rendelkezzenek az adatbázisok sui generis jog általi védelméről. Konkrétabban, az irányelv 7. cikkének (1) bekezdése biztosítja a minőségileg vagy mennyiségileg jelentős ráfordítással járó adatbázis előállítói számára azt a jogot, hogy az adatbázis egész tartalmának vagy jelentős részének kimásolását és/vagy újrahasznosítását megakadályozzák. Ez a jog az említett irányelv 7. cikkének (3) bekezdése alapján elidegeníthető.

37. A kérdést előterjesztő bíróság szerint az NMW társaság tulajdonában lévő adatbázisok megfelelnek a 96/9 irányelv és azt a lengyel jogba átültető, az adatbázisok védelméről szóló törvény szerinti védelem feltételeinek. E törvény 6. cikke többek között előírja, hogy az előállító kizárólagos és elidegeníthető joggal rendelkezik az adatbázis egész tartalmának vagy jelentős részének kimásolására és újrahasznosítására. A kérdést előterjesztő bíróság szerint tehát abszolút jellegű, erga omnes hatályú vagyoni jogról van szó. A lengyel jog szerint bármely vagyoni jog végrehajtási eljárás tárgyát képezheti, kivéve, ha a törvény kifejezetten kivételt tesz. Márpedig, a lengyel jogalkotó nem határozott meg olyan szabályokat, amelyek tiltanák az adatbázisokra vonatkozó végrehajtás lefolytatását. Ebből következik, hogy a jelen esetben a végrehajtó a hitelező nevében jogosult az adatbázisok átruházására, amely jog a végrehajtási eljárásban érintett előállító szabad rendelkezési jogából ered. Az e jogra való hivatkozás megakadályozhatja az általános adatvédelmi rendelet szabályainak alkalmazását az ehhez hasonló esetekben, és ezáltal a jelen kérdést elfogadhatatlanná teheti.

38. Először is meg kell jegyezni, hogy az említett irányelv 7. cikkében foglalt sui generis jogot a kérdést előterjesztő bíróság nem határozta meg helyesen. Valójában a tiltakozás jogáról van szó olyan cselekményekkel szemben, amelyek különösen az adatbázis vagy annak egy jelentős részének az önálló fejlesztéshez szükséges költségek töredékéért(10) történő újbóli létrehozásából állnak, és az uniós jogalkotó által ily módon követett cél az, hogy garantálja a kezdeményezést, valamint az adatbázis tartalmának megszerzésével, ellenőrzésével, illetve megjelenítésével kapcsolatos jelentős ráfordítás kockázatát felvállaló személy ráfordításainak megtérülését, védve őt e ráfordítás eredményeinek jogosulatlan felhasználásával szemben.(11)

39. Továbbá, és mindenekelőtt a 96/9 irányelv és az általános adatvédelmi rendelet közötti kapcsolat tekintetében az irányelv 13. cikkéből világosan kitűnik, hogy az irányelv nem érinti többek között a személyes adatok és a magánélet védelmére vonatkozó rendelkezéseket, annak (48) preambulumbekezdéséből pedig az, hogy az irányelv rendelkezései nem érintik a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelvben(12) meghatározott adatvédelmi szabályok alkalmazását, amely irányelvet az általános adatvédelmi rendelet váltotta fel.(13)

40. Ezért úgy vélem, hogy a Bíróságnak érdemben kell döntenie a jelen ügyben.

Az ügy érdeméről

41. Kérdésével a kérdést előterjesztő bíróság lényegében arra szeretne választ kapni, hogy úgy kell‑e értelmezni az általános adatvédelmi rendelet 5. cikke (1) bekezdésének a) pontját és 6. cikke (1) bekezdése első albekezdésének a), c) és e) pontját, valamint (3) bekezdését, hogy azokkal ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a bírósági végrehajtó számára a személyes adatokból álló adatbázis végrehajtási eljárás keretében történő értékesítését, ha az érintett személyek nem járultak hozzá az ilyen értékesítéshez.

42. Jogi elemzésem a következő lesz. Az általános adatvédelmi rendelet tekintetében e rendelet jelen ügyben való alkalmazhatóságának és a szóban forgó adatkezelő azonosításának kérdésével foglalkozom, mielőtt az ilyen adatkezelés jogszerűségére vonatkozó szabályok értelmezésére összpontosítanék.

43. A jelen indítványban kifejtett érvelésből kitűnik, hogy az uniós jog azon rendelkezései, amelyeket a Bíróságnak figyelembe kell vennie, csak részben esnek egybe az előzetes döntéshozatalra előterjesztett kérdésben említett rendelkezésekkel. A javasolt válasz tehát ezekre a rendelkezésekre fog vonatkozni.(14)

Az adatkezelés fennállása és az adatkezelő azonosítása

44. Amint az a (10) preambulumbekezdéséből kitűnik, az általános adatvédelmi rendelet többek között arra irányul, hogy biztosítsa a természetes személyek magas szintű védelmét az Unión belül, és e célból biztosítsa e személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén.(15)

45. A rendelet 2. cikkének (1) bekezdése értelmében ezt a rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, illetve a nem automatizált módon történő kezelésre, ha ezek az adatok valamely nyilvántartási rendszer részét képezik, vagy egy nyilvántartási rendszer részévé kívánják azokat tenni.

46. Ugyanezen cikk (2) bekezdése számos, a rendelet hatálya alóli kivételt ír elő, amelyek azon tevékenységtípusokon alapulnak, amelyek keretében az adatkezelésre sor kerül. A Bíróság ítélkezési gyakorlatából következik, hogy – tekintettel arra, hogy e kivételeket megszorítóan kell értelmezni – a tevékenységnek szerepelnie kell az általános adatvédelmi rendelet 2. cikkének (2) bekezdésében kifejezetten említett tevékenységek között, illetve annak az e tevékenységekkel azonos kategóriába sorolhatónak kell lennie. Így az, hogy valamely tevékenységet az állam vagy valamely közhatalmi szerv sajátos tevékenységének minősítenek, nem elegendő ahhoz, hogy úgy lehessen tekinteni, hogy a szóban forgó adatkezelést olyan tevékenység keretében végzik, amely az uniós jog hatályán kívül esik az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontjában foglalt kivétel értelmében.(16)

47. A mi szempontunkból fontos megjegyezni, hogy a polgári jogi követelések végrehajtásának keretében végzett adatkezelés e rendelet hatálya alá esik.

48. Az általános adatvédelmi rendelet hatályának kereteit az „adatkezelés” fogalma határozza meg. A rendelet 4. cikkének 2. pontja értelmében e fogalom magában foglalja a személyes adatokon vagy adatállományokon automatizált módon vagy más módon végzett bármely műveletet, így különösen az ilyen adatokra vonatkozó „lekérdezést”, „betekintést”, „felhasználást” és az „egyéb módon történő hozzáférhetővé tételt”. Az uniós jogalkotó az említett fogalomnak tehát tág értelmet kívánt tulajdonítani.(17)

49. A jelen ügyben személyes adatok kezelése folyik?

50. Előzetes pontosításra van szükség. Az NMW társaság által az M. platformon keresztül végzett online értékesítési tevékenység céljából személyes adatokkal végzett műveletek nem tartoznak az előterjesztő bíróság által benyújtott kérdés hatálya alá. E kérdés kizárólag az érintett adatbázisok kényszerértékesítése céljából indított végrehajtási eljárásra vonatkozik. A kérdést előterjesztő bíróság szerint az ilyen eljárás az általános adatvédelmi rendelet értelmében vett adatkezeléssel járna, amelynek tekintetében a bírósági végrehajtó lenne az adatkezelő.

51. A lengyel kormány által a tárgyaláson – a végrehajtási eljárás kapcsán a bírósági végrehajtóra bízott feladatokra vonatkozóan – adott pontosítások véleményem szerint nem hagynak kétséget ezen értelmezés helyességét illetően.

52. A kormány kifejtette, hogy a szóban forgó eljárás az adatbázis lefoglalásával kezdődik, amelynek során a bírósági végrehajtó hozzáférést szerez az abban szereplő személyes adatokhoz annak érdekében, hogy megbecsülje azok értékét, és ezt a lefoglalási jegyzőkönyvben feltüntesse. E becslés elkészítése érdekében a bírósági végrehajtó egy sor műveletet hajt végre, beleértve az említett adatok lekérdezését, az azokba való betekintést és azok felhasználását.(18) A végrehajtási eljárás az adatbázis nyilvános árverés útján történő elidegenítésével zárul. Miután az árverés jogerőre emelkedett és a teljes vételárat kifizették, a bírósági végrehajtó az említett adatbázist a vevő rendelkezésére bocsátja.

53. Ebből következik, hogy a szóban forgó adatbázisokhoz hasonló adatbázisokban szereplő személyes adatokat a bírósági végrehajtó az értékbecsléssel összefüggésben legalábbis lekérdezte, azokba betekintett és azokat felhasználta, majd a vevő rendelkezésére bocsátotta. E tekintetben meg kell jegyezni, hogy a személyes adatok kezelése több műveletből állhat, amelyek mindegyike különböző, esetlegesen adatkezelést tartalmazó szakaszra irányul.(19) A jelen esetben tehát ezeket a műveleteket az általános adatvédelmi rendelet értelmében vett „adatkezelésnek” kell tekinteni.

54. Ezután meg kell nevezni az adatkezelőt.

55. Emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében az „adatkezelő” fogalma magában foglalja azokat a természetes vagy jogi személyeket, közhatalmi szerveket, ügynökségeket vagy bármely egyéb szervet, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.(20) E rendelkezés azt is kimondja, hogy ha az adatkezelés céljait és eszközeit többek között a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat ez a jog is meghatározhatja. Az „adatkezelő” fogalmának ilyen tág meghatározása az állandó ítélkezési gyakorlat szerint az érintettek hatékony és átfogó védelmét hivatott biztosítani.(21)

56. Amennyiben az adatkezelés céljait és eszközeit a nemzeti jog határozza meg, a legújabb ítélkezési gyakorlat szerint meg kell vizsgálni, hogy e jog kijelöli‑e az adatkezelőt, vagy meghatározza‑e a kijelölésére vonatkozó különös szempontokat. Az adatkezelő nemzeti jog általi kijelölése nem csupán kifejezett, hanem hallgatólagos is lehet. Ez utóbbi esetben azonban szükséges, hogy e meghatározás kellő bizonyossággal következzen az érintett személy vagy szervezet szerepéből, feladataiból és hatásköreiből.(22)

57. Jelen esetben a bírósági végrehajtókról szóló törvény 3. cikkének 1. §-ból következik, hogy a bírósági végrehajtó – a törvényben meghatározott kivételektől eltekintve – többek között a végrehajtási eljárásban végzett tevékenységek tekintetében hatóságnak minősül. Ezen túlmenően, és amint azt fentebb említettük, az ügy irataiból kitűnik, hogy amennyiben a végrehajtás adatbázisokra vonatkozik, e cselekmények különösen az adatbázisokban szereplő személyes adatok lekérdezéséből, az azokba való betekintésből és azok felhasználásából állnak, az említett adatbázisok értékének nyilvános árverés útján történő értékesítés végett történő becslése, valamint az árverés jogerőssé válását követően azoknak a vevő rendelkezésére bocsátása céljából. Úgy tűnik számomra, hogy a lengyel jog így legalábbis hallgatólagosan meghatározta a személyes adatok bírósági végrehajtó által végzett kezelésének céljait és eszközeit.

58. Ebből következik, hogy a jelen ügyben a bírósági végrehajtó, mint a végrehajtási eljárások lefolytatásáért felelős hatóság – ideértve az adatbázisra vonatkozó eljárásokat is – az abban szereplő személyes adatok adatkezelőjének tekinthető az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében.

59. A kérdést előterjesztő bíróság nem hivatkozik a lengyel jog egyetlen olyan rendelkezésére sem, amely az NMW adós társaságot arra kötelezné, hogy működjön együtt a végrehajtóval annak érdekében, hogy az fel tudja becsülni az érintett adatbázisok értékét azok kényszerértékesítése céljából.

60. Nem zárható ki, hogy e kötelezettségek az általános adatvédelmi rendelet értelmében vett további olyan adatkezelés megvalósításával járnának, amelynek tekintetében a társaság lenne az adatkezelő. E tekintetben emlékeztetni kell arra, hogy a Valsts ieņēmumu dienests (Személyes adatok adóügyi célból történő kezelése) ítéletben a Bíróság megállapította, hogy valamely gazdasági szereplő által olyan személyes adatoknak a tagállami adóhatóság számára történő közlése és hozzáférhetővé tétele, amely adatok szolgáltatására e gazdasági szereplőnek jogi kötelezettsége áll fenn, ilyen adatkezelést jelent, azon az adatkezelésen túlmenően, amelyet e hatóság az említett adatok közlésére és hozzáférhetővé tételére irányuló kérelem alapján végzett.(23)

61. Kevésbé valószínű, bár elméletileg elképzelhető, hogy a bírósági végrehajtó és az adós NMW társaság közösen tekinthető felelősnek a szóban forgó személyes adatoknak a kényszerértékesítés céljából történő kezeléséért. Az État belge (Egy hivatalos lap által kezelt adatok) ítélet szerint akkor lehet e következtetésre jutni, ha a különböző adatkezelési műveleteket a nemzeti jog által meghatározott célok és eszközök kötik össze, és e jog meghatározza a közös adatkezelők mindegyikének kötelezettségeit.(24)

62. Ennek megfelelően az alábbi elemzés az ügy tényállására tekintettel abból indul ki, hogy az alapeljárásban kizárólag a bírósági végrehajtó számít adatkezelőnek.

63. Adatkezelőként a bírósági végrehajtó nemcsak a személyes adatok kezelésére vonatkozó elvek betartásáért felelős, hanem jelentős számú kötelezettség is terheli,(25) amelyekhez az érintettek megfelelő jogai illeszkednek.(26) Ezeket a kötelezettségeket a nemzeti jogalkotó csak az általános adatvédelmi rendelet 23. cikkében meghatározott feltételek mellett korlátozhatja. Amikor a tárgyaláson a lengyel kormányt arról kérdezték, hogy a nemzeti jogban léteznek‑e ilyen jogszabályok, a lengyel kormány csak az adatvédelmi törvény 4. cikkére hivatkozott. Ez a cikk azonban csak a közfeladatot ellátó adatkezelőknek az általános adatvédelmi rendelet 14. cikkének (1), (2) és (4) bekezdéséből („Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg”) eredő kötelezettségeinek körét korlátozza.

A szóban forgó személyes adatok kezelésének jogszerűsége

64. Amint azt a Bíróság már többször megállapította, a személyes adatok bármilyen kezelésének meg kell felelnie különösen az általános adatvédelmi rendelet 5. cikkének (1) bekezdésében foglalt, az adatkezelésre vonatkozó elveknek, és – tekintettel az adatkezelés jogszerűségének elvére – meg kell felelnie az említett rendelet 6. cikkében felsorolt jogszerűségi feltételeknek.(27)

65. A rendelet 6. cikke (1) bekezdésének első albekezdése kimerítő és korlátozó jellegű felsorolást tartalmaz azon esetekről, amelyekben a személyes adatok kezelése jogszerűnek tekinthető. E minősítés azt feltételezi, hogy az adatkezelés ezen esetek valamelyikének körébe tartozik. Emlékeztetni kell arra, hogy a szóban forgó adatkezelés nem tartozik az említett rendelkezés által előírt fő eset, nevezetesen azon eset körébe, amikor az érintett hozzájárulását adta az egy vagy több konkrét célból történő adatkezeléshez.(28) Amint az előzetes döntéshozatalra utaló határozatból kitűnik, az alapeljárás során nem nyújtottak be bizonyítékot arra vonatkozóan, hogy a szóban forgó adatbázisokban gyűjtött személyes adatok érintettjei hozzájárultak volna ahhoz, hogy adataikat az M. platformmal kapcsolatos tevékenységen kívül harmadik személyeknek továbbítsák, különösen nem ahhoz, hogy azokat egy végrehajtási eljárás végén értékesítsék.

66. A kérdést előterjesztő bíróság szerint a bírósági végrehajtó által végzett adatkezelés az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének c) pontja (az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges), illetve az említett rendelet 6. cikke (1) bekezdése első albekezdésének e) pontja (az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) hatálya alá tartozhat.(29)

67. Amint azt a kérdést előterjesztő bíróság megállapítja, a végrehajtókról szóló törvény 3. cikke a végrehajtókat hatósági jogállással ruházza fel. Véleményem szerint nehéz lenne azt állítani, hogy a hitelező kielégítésére irányuló végrehajtás lefolytatása keretében a végrehajtóra bízott műveletek ne felelnének meg a végrehajtóra ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásának.

68. Ezenkívül nem könnyű úgy tekinteni, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének c) pontjában említett eset a jelen ügyben fennálló helyzetre vonatkozik. E tekintetben fontos megjegyezni, hogy e rendelkezés hatálya szigorúan behatárolt. Valóban, amint azt a „29. cikk” szerinti munkacsoport(30) 6/2014. sz. véleménye megállapítja, az adatkezelőre vonatkozó jogi kötelezettségnek kellően egyértelműnek kell lennie a személyes adatok kezelését illetően. Ez különösen olyan jogi rendelkezések meglétét jelenti, amelyek kifejezetten megemlítik az adatkezelés jellegét és célját.(31)

69. A jelen ügyben nem gondolom, hogy a kérdést előterjesztő bíróság által hivatkozott rendelkezések – nevezetesen a bírósági végrehajtókról szóló törvény 3. cikkének 1. §-a, 9. cikke 1. §-nak 1. pontja és 31. cikke 1. §-nak első mondata, valamint a polgári perrendtartás 796. cikkének 1. §‑a és 799. cikke 1. §‑ának első mondata – ekként minősíthetők, mivel e rendelkezésekből kizárólag az következik, hogy a bírósági végrehajtó hatósági minőségében köteles minden megengedett módszerrel teljesíteni a végrehajtás lefolytatására irányuló megkeresést. Konkrétabban, a lengyel jog a jelek szerint nem ír elő jogi kötelezettséget a bírósági végrehajtó számára a személyes adatokat tartalmazó adatbázis kényszerértékesítésére. E tekintetben meg kell jegyezni, hogy a polgári perrendtartás 831. cikke 1. §-nak 3. pontja kizárja az „elidegeníthetetlen jogokat” a végrehajtás alól, amit az adatbázis átruházásának tilalmaként lehetne értelmezni, ha az ilyen átruházás összeegyeztethetetlen lenne az általános adatvédelmi rendelettel.

70. Mindenesetre nem kell kizárni, hogy az utóbbi feltételezés a jelen esetben is releváns. Bár elegendő egyetlen jogszerűséget megalapozó eset fennállása, amint azt az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének szövege is megerősíti, a Bíróság elfogadta, hogy egy és ugyanazon adatkezelési művelet több ilyen esetnek is megfelelhet.(32)

71. A szóban forgó adatkezelés tehát véleményem szerint az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének e) pontjában foglalt, jogszerűséget megalapozó eset hatálya alá tartozik.

72. Meg kell jegyezni, hogy ez az eset az adatkezelés jogszerűsége egy másik feltételének figyelembevételét feltételezi. Az általános adatvédelmi rendelet 6. cikkének (3) bekezdése kimondja, hogy többek között a rendelet 6. cikke (1) bekezdése első albekezdésének e) pontja szerinti adatkezelés jogalapját az uniós jognak vagy azon tagállami jognak kell megállapítania, amelynek hatálya alá az adatkezelő tartozik, és közérdekű célt kell szolgálnia, valamint arányosnak kell lennie az elérni kívánt jogszerű céllal.(33)

73. Az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének e) pontjának és e rendelet 6. cikke (3) bekezdésének együttesen értelmezett rendelkezései tehát többek között nemzeti jogi jogalapot követelnek meg a személyes adatok azon adatkezelők által végzett kezeléséhez, amelyek többek között a közhatalmi jogosítvány gyakorlásának keretében végzett olyan feladatok végrehajtásával kapcsolatban járnak el mint amelyeket a bírósági végrehajtók egy társaság eszközeivel szemben lefolytatott végrehajtás keretében teljesítenek.(34)

74. Véleményem szerint ez a jogalapot a lengyel jog jelen indítvány 69. pontjának első mondatában említett rendelkezéseinek összessége képezi, amelyből az következik, hogy a bírósági végrehajtó hatósági minőségében köteles eleget tenni minden olyan kérelemnek, amely – bármilyen megengedett módszer alkalmazásával – a végrehajtás lefolytatására irányul.

75. Végül, annak a kérdésnek a vizsgálata, hogy a szóban forgó adatkezelés megfelel‑e az általános adatvédelmi rendeletnek, egy további jogi kérdés vizsgálatát teszi szükségessé, amely az ügy központi kérdését jelenti.

76. Megállapítom, hogy a személyes adatok bírósági végrehajtó által végzett kezelésének célja – nevezetesen az M. platform felhasználói adatbázisainak kényszerértékesítése az NMW társaság hitelezőinek kielégítése érdekében – eltér a személyes adatok e társaság általi kezelésének eredeti céljától, nevezetesen attól, hogy lehetővé tegye az M. platform használatát e társaság online értékesítési tevékenységének érdekében.

77. E tekintetben emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 5. cikke (1) bekezdésének b) pontja szerint, amely a „célhoz kötöttség” elvét rögzíti, a személyes adatokat egyrészt csak meghatározott, egyértelmű és jogszerű célból lehet gyűjteni, másrészt nem lehet azokat ezekkel a célokkal össze nem egyeztethető módon kezelni. Ez a rendelkezés mindazonáltal nem tartalmaz információkat azon feltételekről, amelyek mellett a személyes adatok további kezelése az eredeti adatgyűjtés céljával összeegyeztethetőnek tekinthető.(35)

78. Az általános adatvédelmi rendelet 6. cikkének – az említett rendelet (50) preambulumbekezdésével(36) összefüggésben értelmezett – (4) bekezdéséből következik, hogy az ilyen összeegyeztethetőség vizsgálata során az ott felsorolt, nem kimerítő jellegű kritériumokat kell figyelembe venni.

79. Nyilvánvaló, hogy e kritériumok figyelembevétele jelen esetben nem eredményezne igenlő választ a szóban forgó célok összeegyeztethetőségét illetően. Amint azt a Bíróság nemrégiben megállapította, e kritériumok az eredeti személyesadat‑gyűjtés célja és ezen adatok további kezelése közötti konkrét, logikus és kellően szoros kapcsolat szükségességét fejezik ki, és ily módon lehetővé teszik annak biztosítását, hogy e további adatkezelés ne térjen el az érintett személyeknek az adataik további felhasználására vonatkozó jogos elvárásaitól.(37) Márpedig ilyen kapcsolat a jelen esetben nem állapítható meg.

80. Az általános adatvédelmi rendelet 6. cikke (4) bekezdésének első mondatából mindenesetre az következik, hogy a célok összeegyeztethetőségének vizsgálata csak akkor válik szükségessé, „[h]a az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban [az általános adatvédelmi rendelet] 23. cikk[ének] (1) bekezdésében rögzített célok eléréséhez […]”.

81. Jelen esetben megállapítást nyert, hogy az M. platform felhasználói nem adtak hozzájárulást a személyes adataik gyűjtésének céljától eltérő célból történő kezeléséhez. Ezután felmerül a kérdés, hogy az ilyen adatkezelés a nemzeti vagy az uniós jogon alapul‑e, és hogy szükséges és arányos intézkedésnek tekinthető‑e egy demokratikus társadalomban az általános adatvédelmi rendelet 23. cikkének (1) bekezdésében felsorolt célok valamelyikének eléréséhez.

82. E tekintetben szükségesnek tűnik tisztázni, hogy a Bíróság ezt a felvetést úgy értelmezte, hogy az a célhoz kötöttség elvétől való tényleges eltérést jelent. Az általános adatvédelmi rendelet (50) preambulumbekezdésére hivatkozva a Bíróság megállapította, hogy az adatkezelő – az általános adatvédelmi rendelet 23. cikkének (1) bekezdésében meghatározott fontos közérdekű célok védelme érdekében – tehát jogosult az érintett adatok további kezelésére, függetlenül attól, hogy az ilyen adatkezelés összeegyeztethető‑e az adatok eredeti gyűjtésének céljaival. Ebből a Bíróság arra a következtetésre jutott, hogy az említett rendelet 6. cikke (4) bekezdésének első mondata alkalmazandó a bíróság által polgári bírósági eljárás keretében elrendelt, harmadik személyek elsősorban adóellenőrzés céljából gyűjtött személyes adatait tartalmazó dokumentum bizonyítékként történő benyújtására.(38)

83. Bár ez az értelmezés esetleg nem nyeri el azok tetszését, akik úgy vélik, hogy a személyes adatok védelmét kizárólag nemzeti jogi intézkedések korlátozhatják, az véleményem szerint teljes mértékben megfelel az uniós jogalkotó szándékainak. Fontos emlékeztetni arra, hogy az általános adatvédelmi rendeletelőkészítő munkálatai során kialakított tanácsi álláspontindokolásában – talán még e rendelet (50) preambulumbekezdésénél is világosabban – az a döntés fogalmazódik meg, hogy az adatkezelőnek gondosan körülhatárolt mozgásteret kell biztosítani az adatkezelés tárgyát képező személyes adatok gyűjtésekor megjelölt célokkal összeegyeztethetetlen adatkezelés elvégzésére.(39)

84. Mivel a jelen ügyben szóban forgó adatkezelés jogalapjának megléte már megállapításra került, a következőkben azt kell megvizsgálni, hogy az adatkezelés az általános adatvédelmi rendelet 23. cikkében meghatározott célok biztosítására irányul‑e.

85. Megjegyzem, hogy e célok közé tartozik e rendelkezés (1) bekezdésének j) pontja szerint „a polgári jogi követelések érvényesítése”. Úgy tűnik számomra, hogy a szóban forgó személyes adatok kezelése alkalmas e cél elérésének biztosítására. E tekintetben fontos megjegyezni, hogy a kérdést előterjesztő bíróság szerint az említett adatkezelés célja a polgári perrendtartás 911. cikkének és a végrehajtókról szóló törvény 31. cikke (1) bekezdésének első mondatának együttes értelmezéséből következik, amelyek felhatalmazzák a végrehajtót az adatbázis értékesítésére, és ezt követően az e kényszerértékesítésből származó összegnek a hitelező részére történő átutalására.

86. A kérdést előterjesztő bíróság hatáskörébe tartozik az a kérdés, hogy a bírósági végrehajtó által a végrehajtási eljárás keretében végzett adatkezelés szükséges és arányos intézkedésnek minősül‑e egy demokratikus társadalomban a polgári jogi követelések érvényesítésének biztosítására irányuló cél eléréséhez. Ugyanakkor a Bíróságnak a rendelkezésre álló információk alapján ehhez minden szükséges útmutatást meg kell adnia e bíróság számára az uniós joggal kapcsolatban.(40)

87. Ami a szükségességet illeti, általános az a nézet, hogy egy intézkedés akkor szükséges, ha az elérni kívánt jogos cél nem érhető el egy ugyanolyan megfelelő, de kevésbé korlátozó intézkedéssel. Más szóval, biztosítható‑e a hitelező társaság követelésének teljesítése más, ugyanolyan hatékony, de az M. platform felhasználóinak a magánélethez és a személyes adatok védelméhez való jogát kevésbé sértő eszközökkel? E tekintetben csupán annyit jegyeznék meg, hogy a kérdést előterjesztő bíróság szerint nem lehetséges a hitelező társaságot az adós társaság vagyonából kielégíteni anélkül, hogy az érintett adatbázisok kényszerértékesítésére ne kerülne sor.

88. Ami az arányosságot illeti, e feltétel értékelése az érintett ellentétes érdekek mérlegelését igényli az adott ügy konkrét körülményei alapján.

89. A jelen ügyben az első ilyen érdek – amely az Európai Unió Alapjogi Chartája (a továbbiakban: Charta) 8. cikkének (1) bekezdésében és az EUMSZ 16. cikkben biztosított alapvető jog – az M. platform felhasználóinak a személyes adatok kezelése tekintetében történő védelme. Ehhez szorosan kapcsolódik a magánélet tiszteletben tartásához való jog, amelyet a Charta 7. cikke rögzít. Amint azt az általános adatvédelmi rendelet (4) preambulumbekezdése kimondja, a személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban, a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyensúlyban más alapvető jogokkal. E jogok egyike a tulajdonhoz való jog, amelyet a Charta 17. cikke rögzít. Márpedig, véleményem szerint az adós tulajdonát képező adatbázis végrehajtási eljárás keretében történő értékesítése hozzájárul a bírósági úton megállapított követelés jogosultja tulajdonjogának tiszteletben tartásához.

90. E tekintetben emlékeztetni kell arra, hogy a Charta 17. cikke megfelel az emberi jogok és alapvető szabadságok védelméről szóló, Rómában 1950. november 4‑én aláírt európai egyezmény (a továbbiakban: EJEE) kiegészítő jegyzőkönyve 1. cikkének, így annak jelentése és hatálya a Charta 52. cikkének (3) bekezdése értelmében ugyanaz, mint amit az EJEE az említett 1. cikknek tulajdonít.

91. Az Emberi Jogok Európai Bíróságának ítélkezési gyakorlata szerint a tulajdonhoz való jog azt jelenti, hogy az államoknak pozitív kötelezettségük van arra, hogy a bírósági határozatok végrehajtására olyan rendszert hozzanak létre, amely a gyakorlatban és jogi szempontból is hatékony, és amely biztosítja, hogy a jogerős bírósági határozatok végrehajtására jogszabályban megállapított eljárásokat indokolatlan késedelem nélkül végrehajtsák.(41) Amennyiben a hitelező magánjogi jogalany, az állam köteles a hitelezőknek a szóban forgó bírósági határozatok végrehajtásához szükséges segítséget megadni, például bírósági végrehajtói szolgálat révén.(42) Ebben az összefüggésben, ha a hatóságok kötelesek eljárni egy ítélet végrehajtása érdekében, és ezt elmulasztják, mulasztásuk az EJEE 1. kiegészítő jegyzőkönyvének 1. cikke alapján az állam felelősségét vonhatja maga után.(43)

92. Az egyrészről a tulajdonjog, másrészről a személyes adatok és a magánélet védelméhez való jog közötti egyensúly megítélése során az ügyiratokból kitűnő egyik konkrét tényezőt véleményem szerint figyelembe lehetne venni.

93. Az előzetes döntéshozatalra utaló határozat szerint a lengyel jognak nincs olyan rendelkezése, amely szubjektív korlátozásokat tartalmazna az adatbázis megszerzőjére vonatkozóan, az egyetlen feltétel a jogképesség megléte, ami azt jelenti, hogy a harmadik személy megszerző lehet olyan, az Európai Unión kívül letelepedett szervezet is, amely mint ilyen nem köteles betartani a személyes adatok kezelésére vonatkozó, az általános adatvédelmi rendeletben meghatározott szabályokat.

94. Ilyen helyzetben úgy tűnik számomra, hogy a szóban forgó adatkezelés a személyes adatok védelméhez való jog túlzott feladásával járna, és ezért nem tekinthető arányos intézkedésnek. Az ilyen eredményt el lehetne kerülni például egy olyan nemzeti szabályozással, amely előírja a végrehajtó számára, hogy az árverés céljára összeállított leírásba foglaljon bele egy olyan záradékot, amely a harmadik személy vásárlót az általános adatvédelmi rendelet szabályainak betartására kötelezi.

Végkövetkeztetés

95. A fenti megfontolásokra tekintettel azt javaslom, hogy a Bíróság a Sąd Rejonowy dla m. st. Warszawy w Warszawie (varsói kerületi bíróság, Lengyelország) által előzetes döntéshozatalra előterjesztett kérdésre az alábbi választ adja:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet 6. cikke (1) bekezdése első albekezdésének e) pontját, (3) bekezdését és (4) bekezdésének első mondatát

a következőképpen kell értelmezni:

azokkal nem ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a bírósági végrehajtó számára a személyes adatokból álló adatbázis végrehajtási eljárás keretében történő értékesítését, ha az érintett személyek nem járultak hozzá az ilyen értékesítéshez, feltéve, hogy a végrehajtó által ezen adatok tekintetében végzett adatkezelés szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a polgári jogi követelések érvényesítésének biztosítására.

1 Eredeti nyelv: francia.

2 HL 2016. L 119., 1. o.; helyesbítések: HL 2021. L 74., 35. o.; HL 2018. L 127., 2. o.; HL 2016. L 314., 72. o.

3 HL 1996. L 77., 20. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 459. o.

4 Az M. platform felhasználói állítólag 2019. április 30‑án kaptak egy e‑mailt, amelyben arról tájékoztatták őket, hogy az NMW társaság megszüntette az e platformmal kapcsolatos tevékenységét.

5 Nem merült fel kétség a tekintetben, hogy az alapügyben szóban forgó adatbázisokban szereplő adatokat az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett „személyes adatnak” kell minősíteni.

6 2022. október 20‑i Digi ítélet (C‑77/21, EU:C:2022:805, 54. pont).

7 2009. május 7‑i Rijkeboer ítélet (C‑553/07, EU:C:2009:293, 33. pont).

8 Lásd: 2021. június 3‑i Ministero dell’Istruzione, dell’Universitàe della Ricerca‑MIUR és társai (Egyetemi kutatók) ítélet (C‑326/19, EU:C:2021:438, 36. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

9 Lásd: 2012. október 18‑i Football Dataco és társai ítélet (C‑173/11, EU:C:2012:642, 25. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

10 Lásd a 96/9 irányelv (7) preambulumbekezdését.

11 Lásd a 96/9 irányelv (39) és (40) preambulumbekezdését. Lásd még: 2013. szeptember 19‑i Innoweb ítélet (C‑202/12, EU:C:2017:850, 36. pont).

12 HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 459. o.

13 A Bizottság írásbeli észrevételeiben foglaltakkal ellentétben a 96/9 irányelv 7. cikkének (4) bekezdése („Az adatbázisoknak az (1) bekezdésben meghatározott jog alapján fennálló védelme nem érinti az azok tartalmán fennálló jogokat”) nem szabályozza az említett irányelv és az általános adatvédelmi rendelet közötti kapcsolatot. Lásd e tekintetben ugyanezen irányelv (18) preambulumbekezdését.

14 Az állandó ítélkezési gyakorlat szerint ahhoz, hogy a nemzeti bíróságnak az előtte folyamatban lévő ügy eldöntéséhez hasznos választ adjon, a Bíróság figyelembe vehet olyan uniós jogi normákat, amelyekre a nemzeti bíróság kérdésében nem hivatkozott. Lásd: 2023. december 21‑i Infraestruturas de Portugal et Futrifer Indústrias Ferroviárias ítélet (C‑66/22, EU:C:2023:1016, 41. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

15 2022. október 20‑i Digi ítélet (C‑77/21, EU:C:2022:805, 48. pont).

16 Lásd: 2020. július 9‑i Land Hessen ítélet (C‑272/19, EU:C:2020:535, 70. pont), amelyben a Bíróságnak az említett tartományban működő közgyűlés petíciós bizottságának „adatkezelőnek” való minősítéséről kellett döntenie. Lásd még: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet (C‑439/19, EU:C:2021:504, 66. pont); 2022. október 20‑i Koalitsia „Demokratichna Bulgaria – Obedinenie” ítélet (C‑306/21, EU:C:2022:813, 39. pont).

17 A Bíróság álláspontja szerint ez az értelmezés e rendelkezés szövegéből, különösen a „bármely művelet” kifejezésből következik, valamint a rendelkezésben felsorolt műveletek nem kimerítő jellegéből, amelyet az „így” szó fejez ki. Lásd: 2022. február 24‑i Valsts ieņēmumu dienests (Személyes adatok adóügyi célból történő kezelése) ítélet (C‑175/20, EU:C:2022:124, 35. pont).

18 Szakértőt lehetne kirendelni, ha a bírósági végrehajtó úgy ítélné meg, hogy az adatbázis értékének becslése speciális ismereteket igényel annak egyedi tulajdonságai miatt. Ilyen esetben a bírósági végrehajtó a szakértő rendelkezésére bocsátaná az adatbázist.

19 2019. július 29‑i Fashion ID ítélet (C‑40/17, EU:C:2019:629, 72. pont). A teljesség kedvéért emlékeztetnék arra, hogy a hivatkozott ítélet a 95/46 európai parlamenti és tanácsi irányelv 2. cikkének b) pontjában meghatározott „feldolgozás” [helyesen: „kezelés”] fogalmának értelmezésére vonatkozik. Bár az említett irányelv már nem hatályos, és helyébe az általános adatvédelmi rendelet lépett, a Bíróság által adott értelmezés továbbra is releváns az utóbbi alkalmazása szempontjából, mivel e fogalom meghatározása – kisebb formai módosításoktól eltekintve – mindkét jogi aktusban azonos. Ezért minden megkülönböztetés nélkül hivatkozom az ezen jogi aktusok egyikére vagy másikára vonatkozó ítéletekre.

20 Amint azt a Bíróság megállapította, az általános adatvédelmi rendelet 4. cikkének 7. pontja valójában azt a célt szolgálja, hogy az „adatkezelő” fogalmának tág meghatározásával biztosítsa az érintettek hatékony és átfogó védelmét. Lásd: 2023. december 5‑i Nacionalinis visuomenės sveikatos centras ítélet (C‑683/21, EU:C:2023:949, 29. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

21 2022. december 8‑i Google (Állítólagosan valótlan tartalomra mutató linkek törlése) ítélet (C‑460/20, EU:C:2022:962, 51. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

22 2024. január 11‑i État belge (Egy hivatalos lap által kezelt adatok) ítélet (C‑231/22, EU:C:2024:7, 29. és 30. pont). Lásd még a 2021. július 7‑én elfogadott, az adatkezelő és az adatfeldolgozó GDPR szerinti fogalmáról szóló, 07/2020. sz. iránymutatás – elérhető a https://edpb.europa.eu/system/files/202310/edpb_guidelines_202007_controllerprocessor_final_fr.pdf címen – 24. pontját, amely szerint „általánosságban, ahelyett, hogy közvetlenül kinevezné az adatkezelőt vagy meghatározná a kinevezésének feltételeit, a törvény bizonyos adatok gyűjtésére és kezelésére irányuló feladatot állapít meg, vagy arra adott személyt kötelez. Ezekben az esetekben az adatkezelés célját gyakran a törvény határozza meg. Az adatkezelő rendszerint a törvény által e cél, e közfeladat megvalósítására kijelölt személy lesz.”).

23 2022. február 24‑i Valsts ieņēmumu dienests (Személyes adatok adóügyi célból történő kezelése) ítélet (C‑175/20, EU:C:2022:124, különösen a 37., 38. és 60. pont).

24 2024. január 11‑i ítélet (C‑231/22, EU:C:2024:7, 49. pont). Rámutatnék arra, hogy az ítélkezési gyakorlat szerint „a közös felelősség fennállása […] nem feltétlenül jelenti a személyesadat‑kezeléssel érintett különböző gazdasági szereplők azonos mértékű felelősségét. Éppen ellenkezőleg, mivel ezek a gazdasági szereplők az adatkezelés eltérő szakaszaiban és különböző mértékben vehetnek részt, adatkezelői felelősségük mértékét az ügy valamennyi releváns körülményének figyelembevételével kell értékelni.” Lásd ebben az értelemben: 2023. december 5‑i Nacionalinis visuomenės sveikatos centras ítélet (C‑683/21, EU:C:2023:949, 42. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

25 Lásd az általános adatvédelmi rendelet II. fejezetét. Az általános adatvédelmi rendelet 5. cikkének (2) bekezdése szerint „[a]z adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

26 Lásd az általános adatvédelmi rendelet III. fejezetét.

27 2020. október 6‑i La Quadrature du Net és társai ítélet (C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 208. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

28 Lásd az általános adatvédelmi rendelet 6. cikke (1) bekezdése első albekezdésének a) pontját és (40) preambulumbekezdését, amely a latin „volenti non fit iniuria” (nem törvénytelenség, amit valaki maga akar) mondást ülteti át.

29 Ez a kétely nem meglepő, mivel nyilvánvaló átfedés van a két eset alkalmazási köre között, mivel a közérdekű vagy közhatalmi jogosítvány keretébe tartozó feladatok általában jogszabályi rendelkezésen alapulnak.

30 Ez a 95/46/EK irányelv 29. cikke alapján létrehozott független tanácsadó testület, amelyet az általános adatvédelmi rendelet elfogadása óta az Európai Adatvédelmi Testület váltott fel.

31 Példaként utalunk egy helyi hatóság azon kötelezettségére, hogy személyes adatokat gyűjtsön a szabálytalan parkolásért kiszabott bírságok feldolgozása céljából.

32 2017. március 9‑i Manni ítélet (C‑398/15, EU:C:2017:197, 42. pont).

33 Lásd még az általános adatvédelmi rendelet (45) preambulumbekezdését is.

34 Lásd: 2023. március 2‑i Norra Stockholm Bygg ítélet (C‑268/21, EU:C:2023:145, 32. pont).

35 Lásd: 2022. október 20‑i Digi ítélet (C‑77/21, EU:C:2022:805, 32. pont).

36 E preambulumbekezdés szerint „[h]a az érintett hozzájárulását adta, illetve, ha az adatkezelés uniós vagy tagállami jogon alapul, és egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül bizonyos fontos közérdekek védelme szempontjából, a célok összeegyeztethetőségétől függetlenül az adatkezelő jogosult a szóban forgó adatokon további adatkezelést végezni.”

37 2022. október 20‑i Digi ítélet (C‑77/21, EU:C:2022:805, 36. pont).

38 2023. március 2‑i Norra Stockholm Bygg ítélet (C‑268/21, EU:C:2023:145, 33–41. pont).

39 A Tanács indoklása: a Tanács 2016. április 8‑i 6/2016/EU álláspontja első olvasatban a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) elfogadására tekintettel), 3.3. pont.

40 2016. szeptember 7‑i ANODE ítélet (C‑121/15, EU:C:2016:637, 54. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

41 EJEB, 2005. június 7., Fuklev kontra Ukrajna (EC:ECHR:2005:0607JUD007118601, 91. §).

42 Lásd többek között: EJEB, 2006. október 19., Kesyan kontra Oroszország (CE:ECHR:2006:1019JUD003649602, 80. §).

43 Lásd többek között: EJEB, 1995. szeptember 28., Scollo kontra Olaszország (CE:ECHR:1995:0928JUD001913391, 44. §).