A BÍRÓSÁG ÍTÉLETE (első tanács)
2023. január 12.(*)
„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – 77–79. cikk – Jogorvoslati lehetőségek – Párhuzamos joggyakorlás – Kapcsolat – Eljárási autonómia – Az e rendelet által megállapított védelmi szabályok tényleges érvényesülése – E szabályok következetes és egységes alkalmazása az Európai Unió egész területén – Az Európai Unió Alapjogi Chartájának 47. cikke”
A C‑132/21. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Fővárosi Törvényszék (Magyarország) a Bírósághoz 2021. március 3‑án érkezett, 2021. március 2‑i határozatával terjesztett elő a
BE
és
a Nemzeti Adatvédelmi és Információszabadság Hatóság
között,
a Budapesti Elektromos Művek Zrt.
részvételével folyamatban lévő eljárásban,
A BÍRÓSÁG (első tanács),
tagjai: A. Arabadjiev tanácselnök, L. Bay Larsen elnökhelyettes, az első tanács bírájaként eljárva, P. G. Xuereb, A. Kumin és I. Ziemele (előadó) bírák,
főtanácsnok: J. Richard de la Tour,
hivatalvezető: Illéssy I. tanácsos,
tekintettel az írásbeli szakaszra és a 2022. május 11‑i tárgyalásra,
figyelembe véve a következők által előterjesztett észrevételeket:
– BE képviseletében Kulcsár I. ügyvéd,
– a Nemzeti Adatvédelmi és Információszabadság Hatóság képviseletében Barabás G. jogtanácsos, Dudás G. J. és Hargita Á. ügyvédek,
– a magyar kormány képviseletében Biró‑Tóth Zs. és Fehér M. Z., meghatalmazotti minőségben,
– a cseh kormány képviseletében O. Serdula, M. Smolek és J. Vláčil, meghatalmazotti minőségben,
– az olasz kormány képviseletében G. Palmieri, meghatalmazotti minőségben, segítői: E. De Bonis és M. F. Severi avvocati dello Stato,
– a lengyel kormány képviseletében B. Majczyna és J. Sawicka, meghatalmazotti minőségben,
– az Európai Bizottság képviseletében H. Kranenborg, Teleki Zs. és P. J. O. Van Nuffel, meghatalmazotti minőségben,
a főtanácsnok indítványának a 2022. szeptember 8‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.) 77. cikke (1) bekezdésének, 78. cikke (1) bekezdésének és 79. cikke (1) bekezdésének értelmezésére vonatkozik.
2 E kérelmet a BE és a Nemzeti Adatvédelmi és Információszabadság Hatóság (Magyarország; a továbbiakban: felügyeleti hatóság) között folyamatban lévő jogvita keretében terjesztették elő, amelynek tárgya BE arra irányuló kérelmének elutasítása, hogy közöljék vele egy BE részvételével megtartott részvénytársasági közgyűlés hangfelvételének bizonyos részeit.
Jogi háttér
Az uniós jog
3 A 2016/679 rendelet (10), (11), (141) és (143) preambulumbekezdése értelmében:
„(10) A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok [Európai] Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. […]
(11) Ahhoz, hogy a személyes adatok az Unió egész területén hatékony védelemben részesüljenek, az érintettek jogait, valamint a személyes adatokat kezelő, illetve az adatkezelést meghatározó személyek kötelezettségeit megerősíteni és részletesen meghatározni szükséges […].
[…]
(141) Minden érintett jogosult arra, hogy panaszt tegyen egy – különösen a szokásos tartózkodási helye szerinti tagállambeli – felügyeleti hatóságnál, és [az Európai Unió Alapjogi Chartájának] 47. cikkével összhangban hatékony bírósági jogorvoslattal éljen, ha az úgy ítéli meg, hogy az e rendelet alapján elfogadott rendelkezések értelmében őt megillető jogokat megsértették, vagy ha a felügyeleti hatóság nem jár el valamely panasza alapján, illetve részben vagy egészben elutasítja vagy megalapozatlannak tekinti a panaszát, vagy nem jár el olyan esetben, amikor fellépése az érintett jogainak védelmében szükséges lenne. […]
[…]
(143) […] [M]inden természetes vagy jogi személy számára biztosítani kell, hogy egy valamely felügyeleti hatóság által hozott és a szóban forgó személyre nézve jogkövetkezményekkel járó döntéssel szemben hatékony bírósági jogorvoslattal élhessen valamely illetékes tagállami bíróságnál. […] A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani, és az eljárást az érintett tagállam eljárásjoga szerint kell lefolytatni. Az említett bíróság teljes körű joghatósággal rendelkezik, amely magában foglalja az általa tárgyalt jogvita szempontjából releváns összes ténybeli és jogi kérdés vizsgálata tekintetében fennálló joghatóságot is.”
4 E rendelet 60–63. cikke létrehozza a különböző tagállamok felügyeleti hatóságai között az együttműködés, a kölcsönös segítségnyújtás és az egységesség ellenőrzésének mechanizmusait.
5 Az említett rendelet 77. cikkének (1) bekezdése a következőképpen rendelkezik:
„Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.”
6 Ugyanezen rendelet 78. cikkének (1) bekezdése a következőket mondja ki:
„Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.”
7 A 2016/679 rendelet 79. cikkének (1) bekezdése így szól:
„A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.”
8 E rendeletnek „Az eljárás felfüggesztése” című 81. cikke a következőképpen szól:
„(1) Ha valamely tagállam illetékes bírósága információval rendelkezik arról, hogy ugyanazon adatkezelő vagy adatfeldolgozó adatkezelése tekintetében, ugyanabban a tárgyban egy másik tagállam bírósága előtt eljárás van folyamatban, köteles megkeresni e másik tagállam bíróságát, hogy megbizonyosodjon arról, valóban folyamatban van‑e ilyen eljárás.
(2) Ha ugyanazon adatkezelő vagy adatfeldolgozó adatkezelése tekintetében, ugyanabban a tárgyban egy másik tagállam bírósága előtt eljárás van folyamatban, valamennyi olyan illetékes bíróság, amely előtt az eljárás később indult meg, felfüggesztheti az előtte folyó eljárást.
(3) Ha ezen eljárások első fokon vannak folyamatban, valamennyi olyan bíróság, amely előtt az eljárás később indult meg, valamely fél kérelmére joghatóságának hiányát is megállapíthatja, ha az említett eljárásokra az a bíróság, amely előtt elsőként indult meg az eljárás, joghatósággal rendelkezik, és a rá vonatkozó jog az eljárások egyesítését lehetővé teszi.”
A magyar jog
9 Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény alapügyre alkalmazandó változatának 22. §‑a az alábbiak szerint rendelkezik:
„Jogainak érvényesítése érdekében az érintett a VI. Fejezetben meghatározottak szerint
a) a [felügyeleti hatóság] vizsgálatát kezdeményezheti az adatkezelő intézkedése jogszerűségének vizsgálata céljából, ha az adatkezelő a 14. §‑ban meghatározott jogainak érvényesítését korlátozza vagy ezen jogainak érvényesítésére irányuló kérelmét elutasítja, valamint
b) a [felügyeleti hatóság] adatvédelmi hatósági eljárásának lefolytatását kérelmezheti, ha megítélése szerint személyes adatainak kezelése során az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó megsérti a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat.”
10 A 2011. évi CXII. törvény alapügyre alkalmazandó változatának 23. §‑a kimondja:
„(1) Az érintett az adatkezelő, illetve – az adatfeldolgozó tevékenységi körébe tartozó adatkezelési műveletekkel összefüggésben – az adatfeldolgozó ellen bírósághoz fordulhat, ha megítélése szerint az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatait a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírások megsértésével kezeli.
[…]
(4) A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. A perbe a [felügyeleti hatóság] az érintett pernyertessége érdekében beavatkozhat.
(5) Ha a bíróság a keresetnek helyt ad, a jogsértés tényét megállapítja és az adatkezelőt, illetve az adatfeldolgozót
a) a jogellenes adatkezelési művelet megszüntetésére,
b) az adatkezelés jogszerűségének helyreállítására, illetve
c) az érintett jogai érvényesülésének biztosítására pontosan meghatározott magatartás tanúsítására kötelezi,
és amennyiben szükséges, ugyanezen alkalommal határoz a vagyoni és nem vagyoni kár megtérítése iránti kérelmekről.”
Az alapügy tényállása és az előzetes döntéshozatalra előterjesztett kérdések
11 2019. április 26‑án BE részt vett egy részvénytársaság közgyűlésén, amelynek maga is részvényese, és ezen kérdéseket intézett az említett társaság igazgatótanácsának tagjaihoz, valamint e közgyűlés más résztvevőihez. Ezt követően BE azt kérte e társaságtól mint személyesadat-kezelőtől, hogy adja ki számára a fenti közgyűlésen készített hangfelvételt.
12 A szóban forgó társaság e hangfelvételnek csak a BE hangját tartalmazó részeit bocsátotta BE rendelkezésére, az említett közgyűlés más résztvevőinek megszólalásait azonban nem.
13 BE ezt követően azzal a kérelemmel fordult a felügyeleti hatósághoz, hogy egyrészt állapítsa meg, hogy az említett társaság jogellenesen, a 2016/679 rendeletet megsértve nem adta ki számára a kérdéseire adott válaszokat is tartalmazó fenti hangfelvételt, másrészt hogy kötelezze a fenti társaságot a szóban forgó hangfelvétel kiadására. A felügyeleti hatóság 2019. november 29‑i határozatával e kérelmet elutasította.
14 BE a fenti rendelet 78. cikkének (1) bekezdése alapján keresetet nyújtott be a felügyeleti hatóság e határozata ellen a kérdést előterjesztő bírósághoz elsődlegesen az említett határozat megváltoztatása, másodlagosan annak megsemmisítése iránt.
15 BE a felügyeleti hatóság előtti eljárás megindításával egyidejűleg egy második keresetet is előterjesztett e rendelet 79. cikkének (1) bekezdése alapján egy polgári bíróság, a Fővárosi Ítélőtábla (Magyarország) előtt, amely az adatkezelő határozata ellen irányul.
16 E keresetek közül az első még folyamatban volt a kérdést előterjesztő bíróság előtt, amikor a Fővárosi Ítélőtábla (Magyarország) jogerős ítéletével helyt adott a második keresetnek azzal az indokkal, hogy az adatkezelő megsértette BE‑nek a személyes adataihoz való hozzáféréshez való jogát.
17 A kérdést előterjesztő bíróság rámutat, hogy ugyanazon tényállást és a 2016/679 rendelet megsértésére vonatkozó ugyanazon állítást kell megvizsgálnia, mint amely vonatkozásában a Fővárosi Ítélőtábla (Magyarország) már jogerősen határozott. Az előterjesztő bíróság arra keresi a választ, hogy milyen viszonyban áll egymással a polgári bíróságoknak a személyes adatok kezelője által hozott határozat jogszerűségével kapcsolatos értékelése és a felügyeleti hatóság jelen ítélet 13. pontjában említett határozatának elfogadásához vezető – az előterjesztő bíróság előtt folyamatban lévő kereset tárgyát képező – közigazgatási eljárás, és különösen arra, hogy az egyik jogorvoslati lehetőség elsőbbséget élvez‑e a másikkal szemben.
18 A 2016/679 rendelet 77–79. cikkében foglalt jogorvoslatok párhuzamos gyakorlása ugyanis ugyanazon tényállásra vonatkozóan ellentétes határozatok meghozatalát eredményezheti.
19 Az ilyen helyzet veszélyeztetné a jogbiztonságot mind a magánszemélyek, mind a felügyeleti hatóságok tekintetében.
20 A kérdést előterjesztő bíróság rámutat, hogy a felügyeleti hatóságok függetlenségére, valamint a személyes adatok védelmének rendszerében őket megillető, a 2016/679 rendeletben biztosított elsődleges hatáskörökre tekintettel e hatóságok feladatait és jogköreit veszélyeztetné, ha értékelésük során kötve lennének az ugyanazon tényállás tárgyában a fenti rendelet 79. cikkének (1) bekezdése alapján korábban eljáró polgári bíróság értékeléséhez.
21 Mivel az említett rendelet nem rendelkezik az e rendelet 77‑79. cikkében előírt jogorvoslati lehetőségek közötti elsőbbségről, a kérdést előterjesztő bíróság úgy véli, hogy a Bíróságnak kell tisztáznia az e jogorvoslati lehetőségek között fennálló kapcsolatot.
22 E körülmények között a Fővárosi Törvényszék (Magyarország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
„1) [A 2016/679 rendelet] 77. cikk (1) bekezdését és 79. cikk (1) bekezdését úgy kell‑e értelmezni, hogy a 77. cikkben foglalt közigazgatási jogorvoslat a közjogi jogérvényesítés, míg a 79. cikkben foglalt bírósági jogorvoslat a magánjogi jogérvényesítés eszköze? Amennyiben igen, ebből következik‑e, hogy a közigazgatási jogorvoslatra hatáskörrel rendelkező felügyeleti hatóság a jogsértés tényének megállapítására elsődleges hatáskörrel rendelkezik?
2) Amennyiben az érintett – akinek megítélése szerint a rá vonatkozó személyes adatok kezelése megsértette [a 2016/679] rendeletet – mind [az e] rendelet 77. cikk (1) bekezdése szerinti panasztétel jogával, mind a 79. cikk (1) bekezdése szerinti bírósági jogorvoslat jogával egyszerre él, melyik értelmezés áll az Alapjogi Charta 47. cikkével összhangban:
a) a felügyeleti hatóság és a bíróság egymástól függetlenül köteles a jogsértés tényét vizsgálni, és ezáltal akár eltérő eredményre juthatnak; vagy
b) a felügyeleti hatóság döntése – a jogsértés elkövetésének ténye megítélésében – elsőbbséget élvez az általános adatvédelmi rendelet 51. cikk (1) bekezdésében foglalt felhatalmazás[ra] és 58. cikk (2) bekezdés b) és d) pontjaiban biztosított hatáskörökre tekintettel?
3) [A 2016/679] rendelet 51. cikk (1) bekezdése és 52. cikk (1) bekezdése által a felügyeleti hatóság számára biztosított független jogállást úgy kell‑e értelmezni, hogy a felügyeleti hatóság a[z e rendelet] 77. cikk szerinti panasz elbírálása iránti eljárásában és döntésében független a[z említett rendelet] 79. cikk szerinti hatáskörrel rendelkező bíróság jogerős ítéletében foglaltaktól, és ezáltal az ugyanazon vélt jogsértés vonatkozásában akár eltérő döntésre juthat?”
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az elfogadhatóságról
23 Az Európai Bizottság kétségeit fejezi ki az előzetes döntéshozatalra előterjesztett kérdések elfogadhatóságát illetően. Rámutat, hogy amint az az előzetes döntéshozatal iránti kérelemből kitűnik, annak időpontjában már mind a felügyeleti hatóság, mind a polgári bíróság meghozta határozatát, így e kérdések e formában hipotetikusak. A kérdést előterjesztő bíróság valójában két nemzeti bíróság, azaz a közigazgatási bíróság és a polgári bíróság határozatai közötti kapcsolat kérdését veti fel. E kérdést azonban nem fogalmazta meg az előzetes döntéshozatalra utaló határozatban.
24 E tekintetben emlékeztetni kell arra, hogy a nemzeti bíróság által saját felelősségére meghatározott jogszabályi és ténybeli háttér alapján – amelynek a helytállóság szempontjából történő vizsgálata nem a Bíróság feladata – az uniós jog értelmezésére vonatkozóan előterjesztett kérdések releváns voltát vélelmezni kell. A nemzeti bíróság által előterjesztett előzetes döntéshozatal iránti kérelem Bíróság általi elutasítása csak abban az esetben lehetséges, amennyiben nyilvánvaló, hogy az uniós jog értelmezése, amelyet a nemzeti bíróság kért, nem függ össze az alapeljárás tényállásával vagy tárgyával, ha a szóban forgó probléma hipotetikus jellegű, vagy a Bíróság nem rendelkezik azon ténybeli és jogi elemek ismeretével, amelyek szükségesek ahhoz, hogy a feltett kérdéseket hatékonyan megválaszolja (2022. február 10‑i Bezirkshauptmannschaft Hartberg‑Fürstenfeld [Elévülési idő] ítélet, C‑219/20, EU:C:2022:89, 20. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
25 Ezenkívül a Bíróság eljárási szabályzata 94. cikkének c) pontja értelmében az előzetes döntéshozatal iránti kérelemnek tartalmaznia kell azon okok ismertetését, amelyek miatt a kérdést előterjesztő bíróságban kérdés merült fel egyes uniós jogi rendelkezések értelmezésére vonatkozóan, valamint azt a kapcsolatot, amelyet e bíróság e rendelkezések és az alapeljárásban alkalmazandó nemzeti jog között felállít.
26 A jelen ügyben kétségtelenül nem vitatott, hogy a felügyeleti hatóság, amely előtt a 2016/679 rendelet 77. cikkének (1) bekezdése alapján indítottak eljárást, határozatát azt megelőzően hozta meg, hogy az e rendelet 79. cikkének (1) bekezdése alapján BE által előterjesztett keresetről döntő polgári bírósághoz keresetet nyújtottak volna be. A kérdést előterjesztő bíróság által ismertetett tényállásból kitűnik, hogy a fenti kereset tárgyában jogerős ítélet született. Továbbá nem vitatott, hogy az előterjesztő bíróság az általa a Bíróság elé előzetes döntéshozatalra előterjesztett kérdésekben kizárólag e két rendelkezésre hivatkozott.
27 Mindazonáltal az a körülmény, hogy az előterjesztő bíróság a kérdést csak bizonyos uniós rendelkezésekre hivatkozva fogalmazta meg, nem akadálya annak, hogy a Bíróság megadja e bíróság számára az uniós jog értelmezésének minden olyan elemét, amely hasznos lehet az utóbbi előtt lévő ügy eldöntéséhez, akár hivatkozott ezekre a kérdéseinek megfogalmazásában, akár nem. E tekintetben a Bíróságnak kell a kérdést előterjesztő bíróság által szolgáltatott információk összessége, és különösen az előzetes döntéshozatalra utaló határozat indokolása alapján meghatározni az uniós jog azon rendelkezéseit, amelyeknek az értelmezése a jogvita tárgyára figyelemmel szükséges (2022. február 10‑i Bezirkshauptmannschaft Hartberg‑Fürstenfeld [Elévülési idő] ítélet, C‑219/20, EU:C:2022:89, 34. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
28 Márpedig a kérdést előterjesztő bíróság egyrészt rámutat arra, hogy a nemzeti eljárásjog értelmében őt nem köti az azon polgári bíróság által hozott jogerős ítélet, amely a BE által a 2016/679 rendelet 79. cikkének (1) bekezdése alapján benyújtott keresetről határozott. Másrészt, mivel BE nem állt el az e rendelet 78. cikkének (1) bekezdése alapján a kérdést előterjesztő bírósághoz benyújtott, a felügyeleti hatóság ezen ítélet 13. pontjában említett határozatának megváltoztatására vagy megsemmisítésére irányuló keresetétől, az utóbbi bíróság feladata, hogy a polgári bíróság ítéletének meghozatala előtt elfogadott fenti határozat jogszerűségéről határozzon.
29 Így kérdéseivel az előterjesztő bíróság, amelyhez a 2016/679 rendelet 78. cikkének (1) bekezdése alapján – a felügyeleti hatóság által e rendelet 77. cikkének (1) bekezdése alapján hozott ezen határozattal szemben – keresetet nyújtottak be, azt kívánja megtudni, hogy az utóbbi rendelet rendelkezései értelmében a fenti rendelet 79. cikkének (1) bekezdése alapján eljáró bíróság által hozott jogerős ítélet kötelező erővel bír‑e az ugyanezen rendelet által biztosított jogok megsértésének megállapítása vonatkozásában.
30 E körülmények között, annak érdekében, hogy az előterjesztő bíróságnak hasznos választ lehessen adni, meg kell állapítani, hogy kérdéseivel – amelyeket együttesen kell megvizsgálni – e bíróság lényegében arra keresi a választ, hogy a 2016/679 rendelet 77. cikkének (1) bekezdését, 78. cikkének (1) bekezdését és 79. cikkének (1) bekezdését az Alapjogi Charta (a továbbiakban: Charta) 47. cikkével összefüggésben úgy kell‑e értelmezni, hogy az egyrészt e 77. cikk (1) bekezdésében és e 78. cikk (1) bekezdésében, másrészt a fenti 79. cikk (1) bekezdésében előírt jogorvoslatok párhuzamosan és egymástól függetlenül is gyakorolhatók, vagy oly módon, hogy valamelyikük elsőbbséget élvez a többivel szemben.
31 A fentiek szerint átfogalmazott előzetes döntéshozatalra előterjesztett kérdések következésképpen elfogadhatók.
Az ügy érdeméről
32 Elöljáróban emlékeztetni kell arra, hogy a Bíróság állandó ítélkezési gyakorlata szerint valamely uniós jogi rendelkezés értelmezéséhez nemcsak annak szövegét, hanem szövegkörnyezetét, és annak a szabályozásnak a célkitűzéseit is figyelembe kell venni, amelynek az részét képezi (2021. december 2‑i Vodafone Kabel Deutschland ítélet, C‑484/20, EU:C:2021:975, 19. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
33 Ami a 2016/679 rendelet jelen ítélet 30. pontjában említett rendelkezéseinek szövegét illeti, mindenekelőtt emlékeztetni kell arra, hogy e rendelet 77. cikkének (1) bekezdése pontosítja, hogy minden érintett az „egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül” jogosult panaszt benyújtani a felügyeleti hatósághoz. Továbbá az említett rendelet 78. cikkének (1) bekezdése értelmében az „egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül”, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben. Végül ugyanezen rendelet 79. cikkének (1) bekezdése biztosítja, hogy a „rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül”, minden érintett hatékony bírósági jogorvoslatra jogosult.
34 A fentiek alapján a 2016/679 rendelet e rendelkezései különböző jogorvoslati lehetőségeket kínálnak az e rendelet megsértésére hivatkozó személyek számára, azzal, hogy e jogorvoslatok mindegyikének gyakorlását a többi rendelkezés „sérelme nélkül” kell biztosítani.
35 Mindenekelőtt e rendelkezések szövegéből az következik, hogy a 2016/679 rendelet nem ír elő sem elsődleges vagy kizárólagos hatáskört, sem pedig az abban említett hatóság vagy bíróságok által – az ugyanezen rendelet által biztosított jogok megsértésére vonatkozóan – végzett értékelés elsőbbségéről nem rendelkezik. Az utóbbi rendelet 78. cikkének (1) bekezdésében előírt jogorvoslat, amelynek tárgya a felügyeleti hatóság által a fenti rendelet 77. cikke alapján elfogadott határozat jogszerűségének vizsgálata, valamint az ugyanezen rendelet 79. cikkének (1) bekezdésében előírt jogorvoslat, tehát párhuzamosan és egymástól függetlenül is gyakorolható.
36 E megállapítást azon szövegösszefüggés is megerősíti, amelybe a 2016/679 rendelet szóban forgó rendelkezései illeszkednek.
37 Jóllehet ugyanis az uniós jogalkotó kifejezetten szabályozta a 2016/679 rendeletben előírt jogorvoslatok közötti kapcsolatot abban az esetben, ha egyidejűleg több tagállam felügyeleti hatóságához vagy bíróságához fordulnak a személyes adatok ugyanazon adatkezelő általi kezelésével kapcsolatban, meg kell állapítani, hogy nem ez a helyzet az e rendelet 77–79. cikkében előírt jogorvoslati lehetőségek vonatkozásában.
38 Egyrészt a 2016/679 rendelet 60–63. cikke olyan együttműködési, kölcsönös segítségnyújtási és koordinációs mechanizmusokat ír elő, amelyek értelmében a felügyeleti hatóságok kölcsönösen segítséget nyújtanak egymásnak, tájékoztatják egymást, és közös műveleteket végeznek e rendelet rendelkezéseinek az Unió egész területén történő egységes és hatékony alkalmazásának biztosítása érdekében.
39 Másrészt az említett rendelet 81. cikkének (2) és (3) bekezdése azon esetekre vonatkozó szabályokat ír elő, ha különböző tagállamokban, több bíróság előtt indítanak eljárást.
40 Ezzel szemben a 2016/679 rendelet nem ír elő ilyen szabályokat arra az esetre, ha ugyanabban a tagállamban ugyanazon személyesadat‑kezelés tárgyában nyújtanak be panaszt a felügyeleti hatósághoz, illetve terjesztenek elő bírósági kereseteket.
41 Egyébiránt a 2016/679 rendelet (143) preambulumbekezdésével összefüggésben értelmezett 78. cikkének (1) bekezdéséből az következik, hogy azoknak a bíróságoknak, amelyekhez a felügyeleti hatóság határozata elleni keresetet nyújtottak be, teljes körű joghatósággal kell rendelkezniük, amely magában foglalja az általuk tárgyalt jogvita szempontjából releváns összes ténybeli és jogi kérdés vizsgálata tekintetében fennálló joghatóságot is.
42 Végül az említett rendelet által követett célokat illetően többek között annak (10) preambulumbekezdéséből kitűnik, hogy e rendelet célja a személyes adatok kezelése vonatkozásában a természetes személyek Unión belüli magas szintű védelmének biztosítása. Ugyanezen rendelet (11) preambulumbekezdése ezenkívül kimondja, hogy ezen adatok hatékony védelme érdekében az érintettek jogainak megerősítése szükséges. Amint arra a főtanácsnok az indítványának 55. pontjában rámutatott, az uniós jogalkotó azon döntése, hogy lehetővé teszi az érintettek számára az egyrészt a 2016/679 rendelet 77. cikkének (1) bekezdésében és 78. cikkének (1) bekezdésében, másrészt a fenti rendelet 79. cikkének (1) bekezdésében szereplő jogorvoslatok párhuzamos és egymástól független gyakorlását, összhangban áll a fenti rendelet célkitűzésével.
43 A 2016/679 rendelet ugyanis különösen a tagállamok hatáskörrel rendelkező hatóságaira rója azt a feladatot, hogy biztosítsák az EUMSZ 16. cikkben és a Charta 8. cikkében biztosított jogok magas szintű védelmét (lásd ebben az értelemben: 2021. június 15‑i Facebook Ireland és társai ítélet, C‑645/19, EU:C:2021:483, 45. pont).
44 Az a körülmény, hogy több jogorvoslati lehetőség is rendelkezésre áll, a 2016/679 rendelet (141) preambulumbekezdésében kimondott azon célkitűzést is megerősíti, hogy minden olyan érintett, aki úgy véli, hogy az e rendelet által számára biztosított jogokat megsértették, a Charta 47. cikkével összhangban hatékony bírósági jogorvoslathoz való joggal rendelkezzen.
45 Ilyen tárgyú uniós szabályozás hiányában az egyes tagállamok feladata a tagállamok eljárási autonómiájának elve alapján meghatározni a közigazgatási eljárás és a bírósági eljárás azon szabályait, amelyek célja, hogy biztosítsák a jogalanyok uniós jogból eredő jogainak magas szintű védelmét.
46 Következésképpen a kérdést előterjesztő bíróságnak a nemzeti eljárásjogi rendelkezések alapján kell meghatároznia, hogy a 2016/679 rendeletben biztosított jogorvoslatokat az alapügyhöz hasonló esetben hogyan kell gyakorolni.
47 Mindemellett e párhuzamos és egymástól független jogorvoslatok gyakorlásának részletes szabályai nem veszélyeztethetik az e rendelet által biztosított jogok hatékony érvényesülését és hatékony védelmét.
48 E szabályok ugyanis nem lehetnek kedvezőtlenebbek, mint a belső jogrendből eredő jogok védelme érdekében előírt hasonló jogorvoslatokra vonatkozó szabályok (az egyenértékűség elve), és nem tehetik a gyakorlatban lehetetlenné vagy rendkívül nehézzé az uniós jogrend által biztosított jogok gyakorlását (a tényleges érvényesülés elve) (lásd ebben az értelemben: 2022. július 14‑i EPIC Financial Consulting ítélet, C‑274/21 és C‑275/21, EU:C:2022:565, 73. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
49 Márpedig az EUSZ 4. cikk (3) bekezdésében előírt lojális együttműködés elve szerint a tagállami bíróságok feladata a jogalanyok számára az uniós jogból eredő jogok bírói védelmének a biztosítása, az EUSZ 19. cikk (1) bekezdése pedig ezenkívül előírja, hogy a tagállamok megteremtik azokat a jogorvoslati lehetőségeket, amelyek az uniós jog által szabályozott területeken a hatékony bírói jogvédelem biztosításához szükségesek (2017. szeptember 27‑i Puškár ítélet, C‑73/16, EU:C:2017:725, 57. pont).
50 Közelebbről, amikor a tagállamok meghatározzák az azon jogorvoslatokra vonatkozó eljárási szabályokat, amelyek a 2016/679 rendelettel biztosított jogok védelmének garantálására irányulnak, biztosítaniuk kell a Charta 47. cikkében szereplő, hatékony jogorvoslathoz és pártatlan bírósági eljáráshoz való jog tiszteletben tartását, amely a hatékony bírói jogvédelem elvének megerősítését képezi (lásd analógia útján: 2017. szeptember 27‑i Puškár ítélet, C‑73/16, EU:C:2017:725, 59. pont).
51 Így a tagállamoknak biztosítaniuk kell, hogy a 2016/679 rendelet 77. cikkének (1) bekezdésében, 78. cikkének (1) bekezdésében és 79. cikkének (1) bekezdésében szereplő jogorvoslatok gyakorlásának konkrét módjai ne érintsék aránytalanul a Charta 47. cikkében említett, a bíróság előtti hatékony jogorvoslathoz való jogot (lásd ebben az értelemben: 2017. szeptember 27‑i Puškár ítélet, C‑73/16, EU:C:2017:725, 76. pont).
52 A jelen ügyben az előzetes döntéshozatalra utaló határozatból kitűnik, hogy a magyar jogban előírt jogorvoslati rendszert úgy alakították ki, hogy a 2016/679 rendelet 78. cikkének (1) bekezdésében és 79. cikkének (1) bekezdésében előírt jogorvoslatok egymástól függetlenek legyenek. A kérdést előterjesztő bíróság ugyanis pontosítja, hogy a magyar jog értelmében őt nem köti a 79. cikk (1) bekezdése alapján benyújtott keresetet elbíráló bíróság határozata, annak ellenére, hogy a fenti bíróságok elé terjesztett tényállás azonos.
53 Ennélfogva nem zárható ki, hogy az e két bíróság által hozott határozatok ellentmondanak egymásnak oly módon, hogy az egyik a 2016/679 rendelet rendelkezéseinek megsértését, a másik pedig az ilyen jogsértés hiányát állapítja meg.
54 Ebben az esetben, egyrészt ha két egymásnak ellentmondó határozat születne, az veszélyeztetné az e rendelet (10) preambulumbekezdésében kimondott, a természetes személyeket a személyes adataik kezelése vonatkozásában megillető alapvető jogoknak és szabadságoknak az Unió egész területén történő védelmére vonatkozó szabályok következetes és egységes alkalmazásának biztosítására irányuló célt.
55 Az említett rendelet 79. cikkének (1) bekezdése alapján benyújtott kereset alapján meghozott, e rendelet rendelkezéseinek megsértését megállapító határozatnak megfelelően biztosított védelem ugyanis nem lenne összhangban az ugyanezen rendelet 78. cikkének (1) bekezdése alapján benyújtott kereset alapján meghozott, ellentétes kimenetelű második bírósági határozattal.
56 Ez másrészt gyengítené a természetes személyeket a személyes adataik kezelése tekintetében megillető védelmet, mivel az összhang ilyen hiánya jogbizonytalanságot eredményezne.
57 A fenti megfontolások összességére tekintettel az előterjesztett kérdésekre azt a választ kell adni, hogy a Charta 47. cikkének fényében a 2016/679 rendelet 77. cikkének (1) bekezdését, 78. cikkének (1) bekezdését és 79. cikkének (1) bekezdését úgy kell értelmezni, hogy e rendelkezések lehetővé teszik az egyrészről a fenti 77. cikk (1) bekezdésében és a fenti 78. cikk (1) bekezdésében, másrészről pedig az említett 79. cikk (1) bekezdésében szereplő jogorvoslatok párhuzamos és egymástól független gyakorlását. A tagállamok feladata, hogy az eljárási autonómia elvével összhangban meghatározzák az e jogorvoslati lehetőségek közötti kapcsolat részletes szabályait annak érdekében, hogy biztosítsák az e rendelet által garantált jogok védelmének hatékonyságát, az utóbbi rendelet rendelkezéseinek következetes és egységes alkalmazását, valamint a Charta 47. cikkében szereplő, a bíróság előtti hatékony jogorvoslathoz való jogot.
A költségekről
58 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (első tanács) a következőképpen határozott:
Az Európai Unió Alapjogi Chartája 47. cikkének fényében a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 77. cikkének (1) bekezdését, 78. cikkének (1) bekezdését és 79. cikkének (1) bekezdését
a következőképpen kell értelmezni:
e rendelkezések lehetővé teszik az egyrészről a fenti 77. cikk (1) bekezdésében és a fenti 78. cikk (1) bekezdésében, másrészről pedig az említett 79. cikk (1) bekezdésében szereplő jogorvoslatok párhuzamos és egymástól független gyakorlását. A tagállamok feladata, hogy az eljárási autonómia elvével összhangban meghatározzák az e jogorvoslati lehetőségek közötti kapcsolat részletes szabályait annak érdekében, hogy biztosítsák az e rendelet által garantált jogok védelmének hatékonyságát, az utóbbi rendelet rendelkezéseinek következetes és egységes alkalmazását, valamint az Alapjogi Charta 47. cikkében említett, a bíróság előtti hatékony jogorvoslathoz való jogot.
Aláírások