A döntés szövege:
Az Alkotmánybíróság teljes ülése alkotmányjogi panasz tárgyában – dr. Hörcherné dr. Marosi Ildikó és dr. Schanda Balázs alkotmánybírók párhuzamos indokolásával – meghozta a következő
h a t á r o z a t o t:
Az Alkotmánybíróság megállapítja, hogy a Kúria Kfv.II.37.001/2021/6. számú ítélete és a Fővárosi Törvényszék 105.K.706.125/2020/12. számú ítélete alaptörvény-ellenes, ezért azokat megsemmisíti.
I n d o k o l á s I.
[1] 1. Az indítványozó Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: indítványozó vagy Hatóság) jogi képviselője (dr. Dudás Gábor ügyvéd) útján az Alkotmánybíróságról szóló 2011. évi CLI. törvény (a továbbiakban: Abtv.) 27. § (1) bekezdése alapján alkotmányjogi panaszt terjesztett elő.
[2] 1.1. Az indítványozó bejelentés alapján adatvédelmi vizsgálati eljárást, majd hivatalbóli adatvédelmi hatósági eljárást folytatott le az adatkezelővel szemben az Európai Ügyészséghez csatlakozás kikényszerítésére vonatkozó aláírásgyűjtésével kapcsolatos adatkezelésével összefüggésben. Határozatában megállapította, hogy az adatkezelő 2018. július 19. és 2019. május 30. között kapcsolattartási célból jogalap nélkül gyűjtötte az érintettek személyes adatait, továbbá nem nyújtott megfelelő tájékoztatást az adatkezelés valamennyi lényeges körülményéről, s ezzel több ponton megsértette a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016. április 27-i európai parlamenti és tanácsi rendeletet (a továbbiakban: GDPR). Határozatának indokolásában azt is megállapította, hogy az adatkezelés azáltal, hogy az adatkezelő nem nyújtott az érintetetteknek megfelelő tájékoztatást az adatkezelés céljáról, sérti a GDPR szerinti tisztességes adatkezelés alapelvi követelményét. Az indítványozó utasította az adatkezelőt a kapcsolattartás céljából jogalap nélkül gyűjtött személyes adatok törlésére, illetve kötelezte őt 1 000 000 Ft adatvédelmi bírság megfizetésére.
[3] 1.2. Az adatkezelő kereseti kérelme nyomán eljáró Fővárosi Törvényszék ítéletével az indítványozó határozatának azon rendelkezéseit, amelyek a jogalap nélkül gyűjtött személyes adatok törléséről, e kötelezettség teljesítésének igazolásáról, valamint az esetleges nemteljesítés esetén foganatosítandó végrehajtásról szólnak, megsemmisítette. Ennek alapjául azt jelölte meg, hogy a konkrét ügyben az indítványozó az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénnyel (a továbbiakban: Infotv.) összhangban csak a GDPR-ban meghatározott jogkövetkezményeket alkalmazhatta az adatkezelővel szemben. A Fővárosi Törvényszék a GDPR vizsgált ügyben releváns szabályainak értelmezésekor arra jutott, hogy adattörlésre csak az érintett kérésére kerülhet sor, annak hivatalbóli elrendelésére az indítványozó nem jogosult, erre irányuló rendelkezése a hatáskörének megsértésére tekintettel semmis.
[4] 1.3. Az elsőfokú ítélet ellen mindkét fél felülvizsgálati kérelmet terjesztett elő a Kúriához, amely az adatkezelő kérelmét eljárási okokból nem fogadta be, az indítványozó kérelme ellenére pedig az elsőfokú ítéletet hatályában fenntartotta. A Kúria megállapította, hogy az indítványozó határozatának vitatott része felülbírálatra nem volt alkalmas, mert az indítványozó nem tett eleget indokolási kötelezettségének. Megállapította továbbá, hogy sem a felülvizsgálati kérelem, sem az ellenkérelem nem vitatta, hogy az elsőfokú bíróság részben hivatalból, részben az alperes új érvelése alapján tette vizsgálat tárgyává egy hiányosan indokolt határozat jogalapját, ezért a Kúria a további jogalapi hivatkozásokra vonatkozó ítéleti megállapítások kapcsán érdemi vizsgálatba bocsátkozott. E körben a Kúria – a GDPR adattörlésre vonatkozó 58. cikk (2) bekezdés g) pontjának és az adattörléshez való jogról szóló 17. cikkének együttes értelmezéséből fakadóan – maradéktalanul egyetértett a Törvényszéknek a GDPR interpretációjára vonatkozó jogi álláspontjával, miszerint adattörlésre csak az érintett kérelme esetén kerülhet sor, így indokolt volt annak megállapítása a Törvényszék részéről, hogy az indítványozó hatásköre hiányzik a törlés ex officio elrendeléséhez.
[5] 2. Az indítványozó ezt követően alkotmányjogi panasszal fordult az Alkotmánybírósághoz, mert álláspontja szerint a Fővárosi Törvényszék 105.K.706.125/2020/12. számú ítélete és a Kúria Kfv.II.37.001/2021/6. számú ítélete sérti az Alaptörvény B) cikk (1) bekezdését, E) cikk (2) és (3) bekezdését, I. cikk (3) bekezdését, VI. cikk (3) és (4) bekezdését, valamint XXVIII. cikk (1) és (7) bekezdését. Álláspontja szerint a támadott bírói döntések Alaptörvényben biztosított hatáskörét az Alaptörvénybe ütköző módon korlátozzák, és működésének súlyos zavarát eredményezik, ezért azok alaptörvény-ellenesek. Mindezekre figyelemmel kérte, hogy az Alkotmánybíróság állapítsa meg az említett bírósági döntések alaptörvény-ellenességét, és semmisítse meg azokat. Emellett az érintett ítéletek végrehajtásának felfüggesztésére irányuló kérelmet is előterjesztett.
[6] 2.1. Az indítványozó az Alaptörvény B) cikk (1) bekezdésének, E) cikk (2)–(3) bekezdésének, valamint VI. cikk (3)–(4) bekezdésének sérelméből fakadó alaptörvény-ellenes határkörkorlátozása és a működési zavara előidézése körében az alábbiakat adta elő. Hangsúlyozta, hogy – többek között – a jogosulatlanul kezelt adatok törlésének ex officio elrendelése régtől fogva hatáskörébe tartozik. Ismertette a GDPR megalkotásának külső körülményekből – a technológiai fejlődésből, a globalizációból, az adatok vagyoni felértékelődéséből, az érintettek számának robbanásszerű növekedéséből – fakadó szükségességét, illetve magának a normának a célját: az adatvédelmi jogvédelmi szint, s ezzel együtt a felügyeleti hatóságok jogköreinek megerősítését. Ebből fakadóan az indítványozó szerint az Alaptörvényben biztosított ellenőrzési hatáskörének kiüresítését jelenti, ha csupán formális ellenőrzésre van lehetősége, tényleges beavatkozási eszközök nélkül. Amennyiben a támadott bírói döntések által elfogadott eljárásrendben kerülhet sor igényérvényesítésre, akkor az érintettnek először az adatkezelőnél kell kérnie a személyes adatainak törlését, majd ezt követően kerülhet sor az indítványozó eljárására a GDPR 77. cikke alapján. Ez egy többszázezer vagy többmillió adatalanyt is érintő jogellenes adatkezelés esetén az indítványozó működésében kezelhetetlen mennyiségű hatósági ügyet is jelenthet, egyben az érintetti jogérvényesítésre is hátrányosan hat, amelynek lezárásáig az adatkezelő – jogellenes – kezelésében maradnak a személyes adatok, érdemi felügyeleti kontroll nélkül. Az indítványozó szerint annak ellenére, hogy az Alaptörvény VI. cikk (4) bekezdése nem határozza meg az ellenőrzés tartalmát, nem üres rendelkezés, normatív tartalmát a VI. cikk (3)–(4), valamint az E) cikk (2)–(3) bekezdése együttesen adja. E normatív tartalommal statuált hatáskörrel ellentétes, ha a jogellenesen kezelt adatok ex officio törlésétől az indítványozó el van zárva, mert ezzel az adatvédelmi hatóságot megfosztják a jogsérelem érdemi, tényleges és hatékony reparálásának lehetőségétől, következésképpen a korábban elért alapjogvédelem szintje csökken, a gyakorlatban pedig komoly diszfunkciók állnak be.
[7] Az indítványozó érelmezte továbbá, hogy az eljáró bíróságok a kifogásolt megállapításaikra a GDPR puszta nyelvtani értelmezésével jutottak, ami ellentétes az Alaptörvény 28. cikkével, különös tekintettel arra, hogy az indítványozó szerint a jogszabályi rendelkezések adekvát, a bíróságok által követett iránytól eltérő, de változatlanul nyelvtani interpretációjával is el lehet érni alaptörvénykonform értelmezési eredményt. Az indítványozó álláspontja szerint azzal, hogy az eljáró bíróságok a jogi normák értelmezése körében egyértelműen alaptörvény-ellenes eredményre jutottak, s a szabályozást ténylegesen nem interpretálták, hanem felülírták, a jogbiztonságot sértő módon contra legem, sőt contra consitutionem jogalkotási tevékenységet végeztek. Ez az indítványozó szerint jelen ügyben felveti a tisztességes eljáráshoz való jog sérelmét is, mivel a bíróság ezzel eloldotta magát a törvénynek való alávetettség elvétől. Hivatkozott továbbá az indítványozó arra, hogy a sérelmezett jogértelemzés európai uniós szinten is a jogbiztonság követelményébe ütközik, mivel ellentétes a – többek között a GDPR-ban textuálisan is rögzített [GDPR (129) preambulumbekezdés] – következetes és egységes végrehajtás követelményével, tekintettel arra, hogy az indítványozó szerint az adattörlés ex officio elrendelésének jogát elismerik más felügyeleti hatóságok is.
[8] 2.2. Az Alaptörvény XXVIII. cikk (1) és (7) bekezdésének sérelmével összefüggésben az indítványozó előadta, hogy mind a Törvényszék, mind a Kúria elmulasztotta az előzetes döntéshozatali eljárás – az 1982. október 6-i CILFIT ügy, 283/81, EU:C:1982:335 (a továbbiakban: CILFIT) alapján az indítványozó szerint kötelező – kezdeményezését a GDPR releváns rendelkezései kapcsán. Ez sértette az indítványozó tisztességes bírósági eljáráshoz és jogorvoslathoz való jogát, továbbá korlátozta ellenőrzési hatáskörét, kiváltképp arra tekintettel, hogy az uniós jog valamennyi aspektusa így feltáratlan maradt, a releváns rendelkezéseket pedig a jogi norma céljától elszakítva értelmezték. A kellő uniós jogi reflexió hiányában állt be tehát ezen alapjogsérelem. E hivatkozott alapjogok sérelmére vezetett továbbá, hogy az eljáró bíróságok az indítványozó álláspontja szerint nem tettek eleget indokolási kötelezettségeiknek, az ügy lényegi részét illetően nem vizsgálták meg kellő alapossággal az észrevételeit, illetve a felülvizsgálati kérelemhez kötöttség megsértésével a Kúria olyan kérdések vizsgálatába bocsátkozott, amelyek nem képezték a felülvizsgálati eljárás tárgyát.
[9] 2.3. Az indítványozó kérte továbbá, hogy az Alkotmánybíróság a panasszal érintett ítéletek végrehajtását függessze fel. Ennek mögöttes indoka, hogy az indítványozó a határozat meghozatalakor is számos adatvédelmi hatósági eljárást folytat, amelyekre a sérelmezett döntések érdemi befolyással bírnak, hiszen ezekből fakadóan az indítványozó érvényesen és hatályosan nem rendelhet el adattörlési intézkedést. Az indítványozó szerint ezzel megelőzhető lenne a GDPR egységes uniós érvényesülésének a sérelme is.
[10] 2.4. Az Alkotmánybíróság eljárása során – szakmai álláspontjának kifejtése céljából – megkereste az igazságügyi minisztert.
[11] Az igazságügyi miniszter a megkeresésre adott válaszában – a hazai és a nemzetközi szabályozási környezet részletes áttekintése, valamint az Alkotmánybíróságnak a régi Alkotmány szerinti határozatai ismertetése mellett – az Alaptörvény C) cikk (1) bekezdésében maghatározott hatalommegosztás elve alapján hangsúlyozta, hogy az alkotmányjogi panasz a támadott bírói döntések tartalmát és nem az alkalmazott jogszabályt érinti, ezért az az ítéletek tartalmát nem értékelheti. Kiemelte, hogy a GDPR végső, hiteles értelmezésére az Európai Unió Bírósága jogosult. Rámutatott, hogy az információs önrendelkezési jog legjelentősebb vívmányai az Alaptörvény VI. cikk (3) bekezdéséből is levezethető alapelvek, amelyek folyamatos érvényesülést igényelnek. Az adatvédelmi felügyeleti hatósági kontroll (a beavatkozás lehetősége) mind az Alaptörvényből, mind az uniós jogból, mind a nemzetközi jogból fakadó kötelezettségek alapján biztosított és biztosítandó, a GDPR-t megelőző rezsimben is e lehetőségek széles körben, nem vitatottan biztosítottak voltak. A GDPR rendelkezéseit annak 57. cikk (1) bekezdés a) pontja szerint az adatvédelmi felügyeleti hatóságok kötelesek kikényszeríteni, amely nem korlátozódhat a jogsértést észlelő és a panaszt benyújtó érintettekre, mivel ezen rendelkezések minden érintettre kihatnak. A GDPR alapján biztosított ún. korrekciós hatáskörök kiterjednek arra is, hogy az adatvédelmi felügyeleti hatóságok az adatkezelőket felszólíthassák arra, hogy adatkezeléseiket hozzák összhangba a GDPR-ral (amely akár a jogellenesen kezelt személyes adatok törlését is jelentheti), ezzel ellentétes jogértelmezésről a Kormánynak a GDPR tagállami végrehajtásával összefüggésben nincs tudomása. Eltérő jogértelmezés súlyosan hátrányos, alkotmányosan nem igazolható helyzethez vezetne az érintettekre nézve, mivel olyan helyzet állna elő, amelyben az érintettek sokasága a GDPR alkalmazása során kifejezett akaratnyilvánítás hiányában nem jutna jogvédelemhez, illetve amelyben az Infotv. hatálya alá tartozó adatkezelések érintettjeinek e védelem a rendelkezésére állna, ezzel alkotmányosan indokolatlanul különböző (diszkriminatív) és eltérő jellegű rezsimek jönnének létre. Kiemelte, hogy a jogalkotó az Infotv. 2022. január 1. napján hatályba lépő módosításával az értelmezést igyekezett egyértelművé tenni, illetve pontosítani, az egységes – az uniós jognak elsőbbséget adó – jogértelmezés megkönnyítése érdekében.
II.
[12] 1. Az Alaptörvénynek az indítvánnyal érintett rendelkezései:
„E) cikk (2) Magyarország az Európai Unióban tagállamként való részvétele érdekében nemzetközi szerződés alapján – az alapító szerződésekből fakadó jogok gyakorlásához és kötelezettségek teljesítéséhez szükséges mértékig – az Alaptörvényből eredő egyes hatásköreit a többi tagállammal közösen, az Európai Unió intézményei útján gyakorolhatja. Az e bekezdés szerinti hatáskörgyakorlásnak összhangban kell állnia az Alaptörvényben foglalt alapvető jogokkal és szabadságokkal, továbbá nem korlátozhatja Magyarország területi egységére, népességére, államformájára és állami berendezkedésére vonatkozó elidegeníthetetlen rendelkezési jogát.
(3) Az Európai Unió joga – a (2) bekezdés keretei között – megállapíthat általánosan kötelező magatartási szabályt.”
„VI. cikk (3) Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez.
(4) A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi.”
„28. cikk A bíróságok a jogalkalmazás során a jogszabályok szövegét elsősorban azok céljával és az Alaptörvénnyel összhangban értelmezik. A jogszabályok céljának megállapítása során elsősorban a jogszabály preambulumát, illetve a jogszabály megalkotására vagy módosítására irányuló javaslat indokolását kell figyelembe venni. Az Alaptörvény és a jogszabályok értelmezésekor azt kell feltételezni, hogy a józan észnek és a közjónak megfelelő, erkölcsös és gazdaságos célt szolgálnak.”
[13] 2. A GDPR érintett rendelkezései:
„17. cikk A törléshez való jog („az elfeledtetéshez való jog”)
(1) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
(a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
(b) az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
(c) az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
(d) a személyes adatokat jogellenesen kezelték;
(e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
(f) a személyes adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
(2) Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
(3) Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges:
(a) a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
(b) a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
(c) a 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;
(d) a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
(e) jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.”
„58. cikk
Hatáskörök
(1) A felügyeleti hatóság vizsgálati hatáskörében eljárva:
(a) utasítja az adatkezelőt és az adatfeldolgozót, illetve adott esetben az adatkezelő vagy az adatfeldolgozó képviselőjét, hogy számára a feladatai elvégzéséhez szükséges tájékoztatást megadja;
(b) vizsgálatot folytat adatvédelmi auditok formájában;
(c) elvégzi a 42. cikk (7) bekezdésének megfelelően kiadott tanúsítványok felülvizsgálatát;
(d) értesíti az adatkezelőt vagy az adatfeldolgozót e rendelet feltételezett megsértéséről;
(e) hozzáférést kap az adatkezelőtől vagy az adatfeldolgozótól a feladatainak teljesítéséhez szükséges minden személyes adathoz és minden információhoz; és
(f) az uniós vagy tagállami eljárásjoggal összhangban hozzáférést kap az adatkezelő vagy az adatfeldolgozó bármely helyiségéhez, ideértve minden adatkezeléshez használt felszerelést és eszközt.
(2) A felügyeleti hatóság korrekciós hatáskörében eljárva:
(a) figyelmezteti az adatkezelőt vagy az adatfeldolgozót, hogy egyes tervezett adatkezelési tevékenységei valószínűsíthetően sértik e rendelet rendelkezéseit;
(b) elmarasztalja az adatkezelőt vagy az adatfeldolgozót, ha adatkezelési tevékenysége megsértette e rendelet rendelkezéseit;
(c) utasítja az adatkezelőt vagy az adatfeldolgozót, hogy teljesítse az érintettnek az e rendelet szerinti jogai gyakorlására vonatkozó kérelmét;
(d) utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időn belül – hozza összhangba e rendelet rendelkezéseivel;
(e) utasítja az adatkezelőt, hogy tájékoztassa az érintettet az adatvédelmi incidensről;
(f) átmenetileg vagy véglegesen korlátozza az adatkezelést, ideértve az adatkezelés megtiltását is;
(g) a 16., 17., illetve a 18. cikkben foglaltaknak megfelelően elrendeli a személyes adatok helyesbítését, vagy törlését, illetve az adatkezelés korlátozását, valamint a 17. cikk (2) bekezdésének és a 19. cikknek megfelelően elrendeli azon címzettek erről való értesítését, akikkel vagy amelyekkel a személyes adatokat közölték;
(h) visszavonja a tanúsítványt vagy utasítja a tanúsító szervezetet a 42. és a 43. cikknek megfelelően kiadott tanúsítvány visszavonására, vagy utasítja a tanúsító szervezetet, hogy ne adja ki a tanúsítványt, ha a tanúsítás feltételei nem vagy már nem teljesülnek;
(i) a 83. cikknek megfelelően közigazgatási bírságot szab ki, az adott eset körülményeitől függően az e bekezdésben említett intézkedéseken túlmenően vagy azok helyett; és
(j) elrendeli a harmadik országbeli címzett vagy nemzetközi szervezet felé irányuló adatáramlás felfüggesztését.
(4) Az e cikk alapján a felügyeleti hatóságra ruházott hatáskörök gyakorlására megfelelő garanciák mellett kerülhet sor, ideértve az uniós és a tagállami jogban a Chartával összhangban meghatározott hatékony bírósági jogorvoslatot és tisztességes eljárást is.
(5) A tagállamok jogszabályban előírják, hogy a felügyeleti hatóságuk hatáskörrel rendelkezik arra, hogy e rendelet megsértéséről tájékoztassa az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzen vagy abban más módon részt vegyen e rendelet rendelkezéseinek érvényre juttatása érdekében.
(6) A tagállamok jogszabályban előírhatják, hogy felügyeleti hatóságuk az (1), (2) és (3) bekezdésben említetteken kívüli hatáskörökkel is rendelkezzen. E hatáskörök gyakorlása nem hátráltathatja a VII. fejezet hatékony végrehajtását.”
[14] 3. Az egyes igazságügyi tárgyú, valamint kapcsolódó törvények módosításáról szóló 2021. évi CXXII. törvény (a továbbiakban: Módtv.) értelmében:
„65. § Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 61. § (1) bekezdés a) pontja helyébe a következő rendelkezés lép:
[Az adatvédelmi hatósági eljárásban hozott határozatában a Hatóság]
»a) a 2. § (2) és (4) bekezdésében meghatározott adatkezelési műveletekkel összefüggésben az általános adatvédelmi rendeletben meghatározott jogkövetkezményeket alkalmazhatja, így különösen kérelemre vagy hivatalból elrendelheti a jogellenesen kezelt személyes adatok általa meghatározott módon végrehajtandó törlését, illetve átmenetileg vagy véglegesen egyéb módon korlátozhatja az adatkezelést,«
[15] 4. Az Infotv. érintett rendelkezései:
„2. § (1) E törvény hatálya – a személyes adatok tekintetében a (2)–(6) bekezdésben meghatározottak szerint – minden olyan adatkezelésre kiterjed, amely személyes adatra, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik.
(2) Személyes adatoknak az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet) hatálya alá tartozó kezelésére az általános adatvédelmi rendeletet a III–V. és a VI/A. Fejezetben, valamint a 3. § 3., 4., 6., 11., 12., 13., 16., 17., 21., 23–24. pontjában, a 4. § (5) bekezdésében, az 5. § (3)–(5), (7) és (8) bekezdésében, a 13. § (2) bekezdésében, a 23. §-ban, a 25. §-ban, a 25/G. § (3), (4) és (6) bekezdésében, a 25/H. § (2) bekezdésében, a 25/M. § (2) bekezdésében, a 25/N. §-ban, az 51/A. § (1) bekezdésében, az 52–54. §-ban, az 55. § (1)–(2) bekezdésében, az 56–60. §-ban, a 60/A. § (1)–(3) és (6) bekezdésében, a 61. § (1) bekezdés a) és c) pontjában, a 61. § (2) és (3) bekezdésében, (4) bekezdés b) pontjában és (6)–(10) bekezdésében, továbbá a 61/A–61/D. §-ban, a 62–71. §-ban, a 72. §-ban, a 75. § (1)–(5) bekezdésében, a 75/A. §-ban és az 1. mellékletben meghatározott kiegészítésekkel kell alkalmazni.
(3) Személyes adatok bűnüldözési, nemzetbiztonsági és honvédelmi célú kezelésére e törvényt kell alkalmazni.
(4) Személyes adatoknak a (2) és (3) bekezdés hatálya alá nem tartozó kezelésére
a) az általános adatvédelmi rendelet 4. cikkében, II–VI., és VIII–IX. fejezetében, valamint
b) az e törvény III–V. és VI/A. Fejezetében, továbbá a 3. § 3., 4., 6., 11., 12., 13., 16., 17., 21., 23–24. pontjában, a 4. § (5) bekezdésében, az 5. § (3)–(5), (7) és (8) bekezdésében, a 13. § (2) bekezdésében, a 23. §-ban, a 25. §-ban, a 25/G. § (3), (4) és (6) bekezdésében, a 25/H. § (2) bekezdésében, a 25/M. § (2) bekezdésében, a 25/N. §-ban, az 51/A. § (1) bekezdésében, az 52–54. §-ban, az 55. § (1) és (2) bekezdésében, az 56–60. §-ban, a 60/A. § (1)–(3) és (6) bekezdésében, a 61. § (1) bekezdés a) és c) pontjában, a 61. § (2) és (3) bekezdésében, (4) bekezdés b) pontjában és (6)–(10) bekezdésében, továbbá a 61/A–61/D. §-ban, a 62-71. §-ban, a 72. §-ban, a 75. § (1)–(5) bekezdésében és a 75/A. §-ban és az 1. mellékletben
meghatározott rendelkezéseket kell alkalmazni.”
III.
[16] 1. Az Alkotmánybíróság először azt vizsgálta, hogy az alkotmányjogi panasz megfelel-e az alkotmányjogi panasz befogadhatóságára vonatkozó törvényi – formai és tartalmi – feltételeknek.
[17] Az Abtv. 27. §-ának az indítvány elbírálásakor hatályos rendelkezései: „(1) Az Alaptörvény 24. cikk (2) bekezdés d) pontja alapján alaptörvény-ellenes bírói döntéssel szemben az egyedi ügyben érintett személy vagy szervezet alkotmányjogi panasszal fordulhat az Alkotmánybírósághoz, ha az ügy érdemében hozott döntés vagy a bírósági eljárást befejező egyéb döntés a) az indítványozó Alaptörvényben biztosított jogát sérti vagy hatáskörét az Alaptörvénybe ütközően korlátozza, és b) az indítványozó a jogorvoslati lehetőségeit már kimerítette, vagy jogorvoslati lehetőség nincs számára biztosítva.
(2) Jogállásától függetlenül érintettnek minősül az a személy vagy szervezet, a) aki (amely) a bíróság eljárásában fél volt, b) akire (amelyre) a döntés rendelkezést tartalmaz, vagy c) akinek (amelynek) jogára, kötelezettségére, magatartása jogszerűségére a bíróság döntése kiterjed.
(3) Közhatalmat gyakorló indítványozó esetén vizsgálni kell, hogy a panaszában megjelölt, Alaptörvényben biztosított jog megilleti-e.”
[18] Az indítványozói jogosultság [Abtv. 51. § (1) bekezdés] vizsgálata körében az Alkotmánybíróság rámutat, hogy az Abtv. 27. § (1) bekezdése értelmében a közhatalmat gyakorló szervezet [jelen esetben az Alaptörvény VI. cikk (4) bekezdése szerinti független hatóság] is jogosult az Abtv. 27. §-ában foglalt panasz előterjesztésére {vö. 33/2021. (XII. 22.) AB határozat, Indokolás [14]}.
[19] Az Abtv. 30. § (1) bekezdése szerint az Abtv. 27. § szerinti alkotmányjogi panaszt a sérelmezett döntés kézbesítésétől számított hatvan napon belül lehet írásban benyújtani. Az alkotmányjogi panasz alapjául szolgáló kúriai döntést az indítványozó jogi képviselője 2021. május 7-én vette át, az alkotmányjogi panaszt pedig 2021. május 26-án, határidőben nyújtották be. Az indítványozó jogi képviselője meghatalmazását csatolta. Az indítvány a határozott kérelem Abtv. 52. § (1b) bekezdés a)–f) pontjaiban foglalt kritériumainak eleget tesz. Az indítványozó nemcsak jogosult, de a vizsgált esetben érintett is, mert a bírósági eljárásban fél volt [Abtv. 27. § (2) bekezdés a) pont].
[20] 2. Az Abtv. 55. § (4a) bekezdés értelmében: „Közhatalmat gyakorló indítványozó hatásköre korlátozását kifogásoló indítványának érdemi elbírálására csak akkor kerül sor, ha a támadott döntés az indítványozó a) működésének súlyos zavarát eredményezi, vagy b) valamely Alaptörvényben foglalt hatáskörét sérti.”
[21] Az indítványozó az alkotmányjogi panaszát Abtv. 27. § (1) bekezdés a) pontja mindkét fordulatára alapította, vagyis az Alaptörvényben biztosított jogok sérelmét is, valamint hatáskörének Alaptörvénybe ütköző korlátozását is állította. Mivel ezek olyan vagylagos feltételek, amelyek eltérő vizsgálatot indokolnak, az Alkotmánybíróság az indítványt tartalma alapján az Abtv. 27. § (1) bekezdés második fordulata szerinti hatásköri panaszként értékelte. Tekintettel arra, hogy az indítványozó hatáskörének korlátozására kifejezetten hivatkozott, ezért igazolnia szükséges, hogy ez a hatásköre kifejezetten az Alaptörvényben biztosított vagy pedig azt, hogy hatáskörének megsértése működésének súlyos zavarát okozza [Abtv. 55. § (4a) bekezdés].
[22] Ezen feltételek vizsgálata körében az Alkotmánybíróság az alábbiakat hangsúlyozza. Az Alkotmánybíróság rámutat, hogy az indítványozó az Alaptörvény felhatalmazása alapján hozott sarkalatos törvény alapján az Európai Unió intézményei és joga által elismerten Magyarországon a Kormánytól független Hatóság az adatvédelem és az információszabadság területén, vezetőjét az Országgyűlés választja. Jelen esetben az Alaptörvény VI. cikk (4) bekezdése alapján az indítványozó tehát alaptörvényi szintű, sarkalatos törvénnyel létrehozott olyan független hatóság, amelynek alkotmányos feladata az Alaptörvény értelmében a személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülésének ellenőrzése. Az Alaptörvényben a fentiek szerint megalapozott jogállásából fakadóan az indítványozó hatásköre és feladata alaptörvényi megalapozottságú, azzal, hogy a részletszabályokat az Alaptörvény alapján sarkalatos Infotv. és a GDPR tartalmazza. Az Alaptörvényben kijelölt feladat a vizsgált esetben nem választható el az Alaptörvényből fakadó hatáskörtől, mivel az indítványozó alaptörvényi feladatát a sarkalatos törvényben foglalt hatáskörein keresztül tudja ellátni. Ezért az Abtv. 55. § (4a) bekezdés b) pont szerinti feltétel teljesül. Az Alkotmánybíróság megállapította, hogy a (4a) bekezdés a) pont szerinti feltétel is teljesül, mivel a támadott bírói döntésekben foglalt jogértelmezés a vizsgált esetben az indítványban foglaltak alapján alkalmas arra, hogy az indítványozó Alaptörvényben kijelölt feladatának hatékony ellátását akadályozza, ezért az indítványozó működésének súlyos zavarát eredményezze (az Alaptörvényben biztosított alapjog védelme érdekében történő beavatkozási lehetőségét jelentősen elnehezítse). Az indítványozó tevékenysége fennakadását okozza, ha nem rendelheti el hivatalból a nagyszámú, jogellenesen kezelt adat törlését, ha jelentős számú érintett (az érintettek sokasága) jogainak védelme érdekekében indít eljárást. Mindezek alapján az indítvány érdemi elbírálásának a fenti okból nincs akadálya.
[23] Az Abtv. 29. §-a értelmében az alkotmányjogi panasz a bírói döntést érdemben befolyásoló alaptörvény-ellenesség, vagy alapvető alkotmányjogi jelentőségű kérdés esetén fogadható be. Az Alkotmánybíróság mindezen szempontokra tekintettel a jelen ügyben alapvető alkotmányjogi jelentőségű kérdésnek annak vizsgálatát tekintette, hogy az Alaptörvény indítványban felhívott VI. cikk (3) és (4) bekezdésében foglaltakkal összefüggésben a támadott bírói ítéletekben foglalt jogértelmezés tekintettel volt-e az ügy alapjogi vonatkozásaira a személyes adatok védelméhez való jog alkotmányos tartalmával és az indítványozó hatáskörével összefüggésben.
[24] Az Alkotmánybíróság a fentiek alapján az alkotmányjogi panaszt – az Ügyrend 31. § (6) bekezdése alkalmazásával, a befogadási eljárás lefolytatásának mellőzésével – érdemben bírálta el.
IV.
[25] Az alkotmányjogi panasz az alábbiak szerint megalapozott.
[26] 1. A személyes adatok védelmének magas szintjét a korábbi alkotmány, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény, illetve az alkotmánybírósági gyakorlat is biztosította. Az Alkotmánybíróság a 1034/E/2005. AB határozatban hangsúlyozta, hogy a személyes adatok védelméhez való jog korlátozhatóságának feltétele és egyben „legfőbb garanciája is az adatkezelés célhoz kötöttsége, azaz alkotmányosan indokolható volta”, amelynek kapcsán az Alkotmánybíróság a korábbi adatvédelmi biztos és bírósági kontroll meglétére is garanciaként tekintett. Továbbá a személyes adatok védelméhez való jogot információs önrendelkezési jogként értelmezte, mely szerint mindenki maga rendelkezik személyes adatainak felhasználásról. A személyes adatok védelmét az Alaptörvény fenntartotta, továbbá annak ellenőrzésére és elősegítésére sarkalatos törvényben szabályozott független hatóságot rendelt. Az Alaptörvény hatálybalépését követően az Infotv. létrehozta és – az Alaptörvény VI. cikk (4) bekezdése szerinti hatóságként – kijelölte a Nemzeti Adatvédelmi és Információszabadság Hatóságot is.
[27] Az igazságügyi miniszter rámutatott, hogy „Magyarország az 1998. évi VI. törvénnyel ratifikálta az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Európa Tanácsi Egyezményt (a továbbiakban: Egyezmény), illetve a 2005. évi LIII. törvény elfogadásával szintén ratifikálta az Egyezményhez kapcsolt, az adatvédelmi felügyelő hatóságok létrehozásáról szóló, az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28-án kelt Egyezménynek a felügyelő hatóságokról és a személyes adatok országhatárokat átlépő áramlásáról szóló, Strasbourgban, 2001. november 8-án kelt Kiegészítő Jegyzőkönyvet (a továbbiakban: Kiegészítő Jegyzőkönyv) is. Az Európai Unióhoz való csatlakozás óta Magyarországnak nem csupán a korábbi belső és nemzetközi jogi kötelezettségeknek, hanem az európai uniós jogból fakadó kötelezettségeknek is meg kell felelnie. Egyrészről az Európai Unió Működéséről szóló Szerződés 16. cikk (1) bekezdése, illetve az Európai Unió alapjogi Chartája (a továbbiakban: Charta) 8. cikke is – az Alaptörvényhez hasonlóan – kifejezett védelemben részesíti a személyes adatok védelméhez való jogot.”
[28] Az uniós társjogalkotók 2016-ban fogadták el a GDPR-t, „amely a személyes adatok védelme terén nagyfokú jogegységesítést valósított meg az Európai Unióban. E rendeleti szintű jogegységesítés azzal is járt, hogy az uniós tagállamoknak rendszerszintű felülvizsgálatot kellett megvalósítaniuk a belső jogukban annak érdekében, hogy a GDPR rendelkezéseinek elsőbbséget engedjenek, illetve annak végrehajtását elősegítsék. A magyar jogalkotó az Infotv.-nek az Európai Unió adatvédelmi reformjával összefüggő módosításáról, valamint más kapcsolódó törvények módosításáról szóló 2018. évi XXXVIII. törvény elfogadásával az általános (horizontális) szabályok, illetve az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról szóló 2019. évi XXXIV. törvény elfogadásával az ágazati joganyag kiigazítását végezte el, elősegítve a GDPR (és az adatvédelmi reformcsomag) végrehajtását. A törvénymódosításoknak köszönhetően az Infotv. rendszere is alapvető felülvizsgálaton ment keresztül, így az Infotv. 2. § (3) bekezdése értelmében az Infotv. – 2018. július 26. napjától – »kódex« jelleggel (a maga teljességében) kizárólag a személyes adatok bűnüldözési, illetve – az uniós jog hatályán kívül eső – nemzetbiztonsági és honvédelmi célú kezelésére alkalmazandó, míg az Infotv. 2. § (2) bekezdése kijelöli azon rendelkezéseket, amelyeket a GDPR mellett – azaz azt kiegészítendő – szükséges alkalmazni. E szabályok lényegében a Hatóság működésével, eljárásával kapcsolatosak, illetve kisebb részben olyan, a GDPR-tól eltérő, vagy azt kiegészítő rendelkezések, amely eltérésekre, kiegészítésekre a GDPR egyébként expressis verbis lehetőséget biztosít. Mind a belső jogi jogkövetkezmények – ideértve az uniós jogi követelményeket is –, mind pedig a nemzetközi jogból eredő kötelezettségek a személyes adatok hatékony védelmét célozzák. Ennek keretében mind a GDPR és az Infotv. – a hatályuk alá tartozó adatvédelmi jogviszonyokban –, mind pedig az Egyezmény alapelvi szintű rendelkezésekkel alapozzák meg az információs önrendelkezési jog hatékony érvényesülését.”
[29] Az alapelveknek a személyes adatok kezelése során – az adatkezelő személyétől, az adatkezelés jellegétől, az érintett esetleges akaratától, nyilatkozatától vagy bármilyen más körülménytől függetlenül – folyamatosan érvényesülniük kell. A személyes adatok védelméhez való jog érvényesülésének felügyeleti hatósági kontrollját az Alaptörvény, a Charta 8. cikk (3) bekezdése, illetve a GDPR 51. cikke egyaránt előírja. A közvetlenül hatályosuló GDPR 57. cikk (1) bekezdés (a) pontja szerint a tagállami felügyeleti hatóság a saját területén nyomon követi és kikényszeríti a GDPR alkalmazását, ennek keretében pedig az 58. cikk szerinti hatáskörökkel is rendelkezik. A GDPR 58. cikk (2) bekezdése szerinti korrekciós hatáskörök arra is kiterjednek, hogy az adatvédelmi felügyeleti hatóság utasíthatja az adatkezelőt arra, hogy azadatkezelési műveleteit „hozza összhangba” a GDPR-ral, illetve a személyes adatok törlését, helyesbítését, korlátozását is elrendelheti. A GDPR ugyan egy általános és közös keretet biztosít a tagállamoknak a személyes adatok védelmére, az – a rendeleti forma ellenére – a felügyeleti hatóságok formáját, vagy részletes eljárásjogi kereteit nem határozza meg, azokról tehát a tagállamoknak kell rendelkezniük [GDPR (151) preambulumbekezdés]. A GDPR 51. cikk (4) bekezdése szerint a tagállamoknak – ún. speciális notifikáció keretében – a Bizottság számára be is kell jelenteniük a felügyeleti hatóságokra vonatkozó szabályaikat, ami alapján nyomon követhetőek a tagállami megoldások, illetve azoknak az uniós joggal való összeegyeztethetősége.
[30] A Kiegészítő Jegyzőkönyv 1. cikk 2. pont (a) alpontja értelmében a felügyelő hatóságok jogköre kiterjed a vizsgálat folytatására és a beavatkozásra. A Kiegészítő Jegyzőkönyvhöz készült ún. magyarázó jelentés értelmében a felügyelő hatóságoknak kétféle – vizsgálati és beavatkozási – hatásköre van, amelyet a részes felek számos módon szabályozhatnak, így például a felügyelő hatóság felruházható olyan jogkörrel is, amelyben a hatóság saját elhatározása, mérlegelése alapján dönt arról, hogy az adatkezelőt az adat helyesbítésére vagy törlésére kötelezi. Az Egyezmény és a Kiegészítő Jegyzőkönyv értelmezésében kifejezetten megjelennek a felügyelő hatóságok hatékony beavatkozását lehetővé tevő, az alapelveket érvényesítő rendelkezései. A magyarázó jelentés alapján a felügyelő hatóságok hatáskörei az Egyezmény és a Kiegészítő Jegyzőkönyv tekintetében nem korlátozottak, azaz a részes felek bármilyen olyan további hatáskörrel felruházhatják a hatóságaikat, amelyek az Egyezmény és a Kiegészítő Jegyzőkönyv szerinti ellenőrző funkciót hatékonnyá teszik.
[31] Az Infotv. alapján a Hatóság az adatvédelem terén kétféle eljárást folytathat le. Egyrészt a vizsgálatot, másrészt az adatvédelmi hatósági eljárást. A Hatóság vizsgálata az Infotv. 52. § (2) bekezdése alapján nem minősül közigazgatási hatósági eljárásnak, alapvetően az ombudsmani típusú jogvédelem eszköze, míg az adatvédelmi hatósági eljárás közigazgatási hatósági eljárásként, az arra jellemző kényszerrel, szankció- és garanciarendszerrel érvényesül. A két eljárástípus közös eleme, hogy kérelemre és hivatalból egyaránt indulhatnak, illetve egymást kiegészítve érvényesülnek, így a Hatóság vizsgálatát – az Infotv. alapján – akár adatvédelmi hatósági eljárás is követheti. Mindkét eljárás célja az esetleges jogsérelem feltárása, orvoslása. Az Infotv. szerinti vizsgálatban – mivel a Hatóság vizsgálata nem uniós jogi megalapozottságú – a jogsértő adatkezelőt a Hatóság az Infotv. 56. § (1) bekezdése szerint a jogsérelem orvoslására, illetve annak közvetlen veszélye megszüntetésére szólíthatja fel. Az adatvédelmi hatósági eljárásban azonban – figyelemmel arra, hogy a konkrét vizsgálati és korrekciós hatásköröket az uniós jog határozza meg – az Infotv. a tételes szabályok ismétlése helyett a közvetlenül hatályosuló GDPR rendelkezéseire utal vissza. Ami a konkrét jogkövetkezményeket illeti, az Infotv. 61. § (1) bekezdés a) pontja az utalásos kodifikációs megoldást alkalmazza, eszerint az Infotv. 2. § (2) és (4) bekezdésében meghatározott adatkezelési műveletekkel összefüggésben a Hatóság a GDPR-ban meghatározott jogkövetkezményeket alkalmazhatja.
[32] Az Európai Unió adatvédelmi reformja előtt az Infotv. 2018. június 29-ig hatályos rendelkezései is lehetővé tették, hogy a Hatóság a jogsérelem orvoslásásra szólíthassa fel a vizsgálat keretében az adatkezelőt, illetve hogy közigazgatási hatósági eljárás keretében megállapíthassa a jogellenes adatkezelés tényét, elrendelhesse a jogellenesen kezelt adatok törlését, zárolását vagy megsemmisítését, az adatkezelés megtiltását. Az Infotv. korábban sem tett különbséget a Hatóság hatáskörei között a tekintetben, hogy az adott eljárás az érintett kérelmére vagy pedig hivatalból indult meg, a Hatóság tehát a fenti jogkövetkezményeket az eljárást kezdeményezőre tekintet nélkül alkalmazhatta.
[33] Az Infotv.-nek a GDPR miatti módosításáig (2018. június 29-ig) hatályban volt, az Infotv. 60. § (3) bekezdése értelmében a Hatóság által indított adatvédelmi hatósági eljárás hivatalból indított eljárásnak minősült, még akkor is, ha azt az érintett kérelmére megindított vizsgálati eljárás előzte meg. A korábban fennálló jogvédelemben tehát egyértelműen és kétséget kizáróan lehetősége volt a hatóságnak (illetve a hatósági jogkört korábban ellátó biztosnak) az egyes eljárások hivatalbóli lefolytatására, valamint mérlegelése szerint az általa szükségesnek vélt jogkövetkezmények alkalmazására is.
[34] A GDPR alkalmazásának megkezdésével – a GDPR 77. cikkére figyelemmel – a jogalkotónak az Infotv. védelmi szintjét kiterjesztve már azt is biztosítania kellett, hogy az adatvédelmi hatósági eljárás ne csak hivatalból, hanem kérelemre is megindulhasson. Az Infotv. 60. § (1) bekezdése egyértelmű a tekintetben, hogy a Hatóság az érintett erre irányuló kérelmére az adatvédelmi hatósági eljárást megindítja, illetve ezt kiegészítő jelleggel akár hivatalból is eljárást indíthat. Tehát az Infotv.-nek a GDPR végrehajtásával összefüggő módosításai kiterjesztették és – a korábbi vizsgálat kezdeményezésének lehetőségén túl – hatékony hatósági jogvédelmet is biztosítottak az érintetettek számára a hatósági eljárás megindításának lehetőségével. E változás, azaz az adatvédelmi hatósági eljárás kérelemre történő kötelező megindítása ugyanakkor továbbra sem akadályozza a Hatóságot abban, hogy az érintettek védelmében vizsgálatot vagy hatósági eljárást indítson a jogsértéssel érintett adatkezelővel szemben. Fentieken túl mind a hivatalbóli, mind a kérelemre induló eljárásban is az adatkezelést általánosságban, teljes egészében vizsgálja meg, akár a további – az adatkezelésről, vagy annak jogellenességéről egyébként nem tudó – érintettekre figyelemmel is.
[35] Az igazságügyi miniszteri válasz is utalt arra, hogy a Kormány a jogszabályok autentikus értelmezésére nem jogosult, ugyanakkor szakmai álláspontja szerint az európai uniós irányelvi szabályozáson [a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-ei európai parlamenti és tanácsi 95/46/EK Irányelv] alapuló biztosi és a 2012 és 2018 közötti hatósági rezsim következetes volt abban, illetve a GDPR-on alapuló rezsim is egyértelmű abban a tekintetben, hogy az adatvédelmi felügyeleti hatóságok – a jogellenes adatkezelés megszüntetése érdekében – széles eszköztár alkalmazására jogosultak. A GDPR összes rendelkezése alapvetően azt a célt szolgálja, hogy a személyes adatkezeléseket jogszerű keretek közé szorítsa, amely az alapelvek érvényre juttatásával alapozható meg.
[36] A GDPR 57. cikk (1) bekezdés (a) pontja értelmében az adatvédelmi felügyeleti hatóság feladata, hogy a GDPR alkalmazását kikényszerítse. A GDPR 58. cikk (2) bekezdése szerint az ehhez nyújtott korrekciós hatáskörök keretében az adatvédelmi felügyeleti hatóságok jogosultak az adatkezelő figyelmeztetésére, elmarasztalására, a jogellenes adatkezelés megtiltására, illetve az arra való utasításra is, hogy az adatkezelő hozza összhangba az adatkezelését a GDPR-ral. Az adatvédelmi előírásokkal való összhang megvalósítható lehet bizonyos esetekben kisebb fokú korrekciókkal (az érintett tájékoztatásával, vagy a jogalap megváltoztatásával stb.), ugyanakkor más esetekben – kifejezetten akkor, amikor az adatkezelési jogviszony szükségszerűen velejáró módon ellentétes a GDPR-ral és az adatkezelési alapelvekkel – az adatkezelés csak úgy hozható összhangba a GDPR-ral, ha az adatkezelő az általa jogellenesen kezelt adatokat visszaállíthatatlanul és haladéktalanul törli. Ha az adatvédelmi felügyeleti hatóságok eljárásaik során a GDPR-t – illetve az alapelveket – sértő adatkezelési műveletekkel szemben nem léphetnének fel, azzal nem pusztán az ügyben panaszt tevő, hanem a jogszerűtlen adatkezeléssel egyébként potenciálisan felmerülő további érintett személyek védelmét is elmulasztanák. Az adatvédelmi felügyeleti hatóságok munkája kiüresedne azáltal, ha csak azon érintettek esetében léphetnének fel, akik ezt a felügyeleti hatóság előtt kifejezetten kérték. Ha az adatvédelmi felügyeleti hatóságok eljárási mozgástere az érintettek jogérvényesítésétől függene, úgy ez a hatóságok legfőbb feladatát, azaz a GDPR kikényszerítését (ideértve az alapelveket sértő adatkezelések feltárását) is megakadályozná.
[37] Az adatvédelmi felügyeleti hatóságok saját hatáskörükben, önállóan (akár kérelemre, akár hivatalból járnak el) a GDPR alkalmazását és betartását kötelesek vizsgálni és kikényszeríteni. Diszkriminációt eredményezne, ha az Infotv. hatálya alá tartozó – bűnüldözési, nemzetbiztonsági, honvédelmi [lásd Infotv. 2. § (3) bekezdés] – adatkezelések esetében az Infotv. expressis verbis megengedné a Hatóság általi hivatalbóli adattörlést, míg a GDPR hatálya alá tartozó jogsértő adatkezelések esetében a Hatóságnak tartózkodnia kellene a jogellenesen kezelt adatok törlésétől. Az igazságügyi miniszter e körben egy fiktív példára utalt: „a GDPR 9. cikkében rögzített különleges adatok [faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra vonatkozó adatok, illetve az Infotv. 5. § (7) bekezdése szerint a bűnügyi személyes adatok] nagy sokaságot érintő jogellenes, alapelveket sértő kezelése esetén a Hatóságnak ilyen értelmezés mellett nem volna lehetősége az érintettek sokasága érdekében fellépni, az adatkezelőnek pedig csak a nála jelentkező érintettek tekintetében kellene felhagynia az adatok jogellenes kezelésével.” A hatóság ilyen esetben ugyan a GDPR alapján bírság kiszabásáról is határozhat, az adatok törlését mégsem rendelhetné el.
[38] Ha a Hatóság hivatalból, az érintett kifejezett kérelme hiányában nem dönthetne a jogellenesen kezelt adatok törléséről, az a Hatóságot megfosztaná az Alaptörvény VI. cikk (4) bekezdéséből levezethető, érdemi jogvédelmi funkciójától, továbbá az Alaptörvény VI. cikk (3) bekezdésében biztosított információs önrendelkezési jog évtizedek óta fenntartott magas védelmi szintjét jelentősen csökkentené, sőt kiüresítené. Tagállami jog ilyen rendelkezése alapján a GDPR 80. cikke arra is lehetőséget ad, hogy az érintettek képviseletében eljáró szervezetek az érintett érdekében, az érintett megbízása hiányában is fellépjenek. A büntetőjogi védelem terjedelme is túlmutat az egyes érintettek érdekein [a Büntető Törvénykönyvről szóló 2012. évi C. törvény 219. § (1) bekezdése szerinti személyes adattal visszaélés bűncselekménye]. A GDPR 79. cikke az érintett számára lehetővé teszi az adatvédelmi felügyeleti hatósághoz, és a közvetlen bírósághoz fordulás jogát is. Az Infotv. 23. § (5) bekezdés a) és b) pontja a bíróságot is feljogosítja arra, hogy általában „a jogellenes adatkezelési művelet megszüntetésére”, illetve az „adatkezelés jogszerűségének helyreállítására” kötelezze az adatkezelőt, függetlenül attól, hogy a keresetet az adatkezeléssel érintett indíthatja meg.
[39] A GDPR – mint uniós jogi aktus – értelmezésére a felügyeleti hatóságok, a bíróságok is jogosultak, de a hiteles értelmezésére az Európai Unió adatvédelmi szerve illetve az Európai Unió Bírósága jogosult, melynek joggyakorlata az adatvédelmi felügyeleti hatóságokra és a bíróságokra is kötelező. Az ilyen jellegű uniós jogi kérdések tekintetében a hiteles és végső értelmezésére jogosult szerv adhat végső és megnyugtató választ, amely egyúttal az ügyet – uniós jogi szempontból – egyértelműen eldönthetővé tenné a hazai bíróságok számára is. Ugyanakkor a Hatóság jogi eszköztára, az érintettek érdekében történő fellépésének lehetősége nem csupán a GDPR-ból, hanem az Alaptörvényből is levezethető. A jogalkotó a GDPR végrehajtását célzó törvénymódosítások indokolásában egyértelművé tette, hogy tartózkodnia kell az uniós joggal ellentétes jogalkotástól, ami ugyanakkor azt is jelenti, hogy az azt kiegészítő, az Alaptörvényből eredő és az abból fakadó védelmi szintet fenntartó jogértelmezés az uniós joggal egyébként nem ellentétes.
[40] Az Országgyűlés 2021. november 9-én elfogadta a Módtv.-t, amelynek 10. alcíme az Infotv. módosításáról is rendelkezik. A Módtv. 65. §-a egyértelművé teszi, hogy a Hatóság az adatvédelmi hatósági eljárásban hozott határozatában (azon adatkezelésekben, amelyekre a GDPR-t kell alkalmazni) a GDPR-ban meghatározott jogkövetkezményeket alkalmazhatja, így különösen kérelemre, vagy hivatalból elrendelheti a jogellenesen kezelt személyes adatok általa meghatározott módon végrehajtandó törlését, illetve átmenetileg vagy véglegesen egyéb módon korlátozhatja az adatkezelést. A Módtv. 129. § (2) bekezdése szerint az Infotv. módosítása 2022. január 1-jén lépett hatályba.
[41] 2. Az Európai Unió nemzetközi szerződésen alapuló önálló jogrenddel rendelkezik, amelynek értelmében az uniós jog a tagállamok területén közvetlenül alkalmazandó és a jogalanyok számára közvetlenül is teremthet jogokat és kötelezettségeket {2/2019. (III. 5.) AB határozat (a továbbiakban: Abh1.), Indokolás [17]}.
[42] Az Alkotmánybíróság a 2/2019. (I. 23.) AB határozatban már megállapította, hogy az európai uniós jog kötelező ereje nem magától ered, hanem az Alaptörvény E) cikkén alapul, és nem írja felül az Alaptörvény R) cikk (1) bekezdését, amely szerint az Alaptörvény Magyarország jogrendszerének alapja {11/2020. (VI. 3.) AB határozat, Indokolás [54]}.
[43] „Az uniós és a hazai normarendszer egymás mellettisége a legtöbb esetben nem okoz alkotmányossági dilemmát, mivel a két normarendszer közös értékrenden alapszik. Az Alaptörvény Q) cikke és az uniós jogra vonatkozó speciális E) cikke is alkotmányos kötelezettséggé teszi a nemzetközi jognak, illetve az uniós jognak való megfelelést, ebből következőleg az esetleges kollíziók feloldása az alkotmányos párbeszéd tiszteletben tartása mellett lehetséges. Ebben a tekintetben […] »[a]z Európai Unió alapító és módosító szerződéseinek, valamint az ezek alapján megalkotott ún. másodlagos, vagy levezetett jognak, a rendeleteknek, az irányelveknek és az egyéb európajogi normáknak a hiteles értelmezése […] az Európai Unió Bíróságának hatáskörébe tartozik.« Mindez nem azt jelenti, hogy csupán az Európai Unió Bírósága értelmezi az uniós jogot, hiszen például az uniós jogot érvényesíteni hivatott tagállami bíróságoknak, illetve az eljárások egyéb alanyainak is értelmezniük kell azt. Ehhez hasonlóan, az Alaptörvény 24. cikk (1) bekezdéséből az következik, hogy az Alaptörvény autentikus értelmezője az Alkotmánybíróság. Mindez azonban nem jelenti azt, hogy egyéb hazai, illetve nemzetközi szervek, bíróságok, illetve intézmények ne értelmezhetnék a saját eljárásuk során az Alaptörvényt, illetve a magyar jogszabályokat. Így például az Alaptörvény 28. cikke alapján minden bíróságnak kötelessége alaptörvény-konform értelmezést alkalmazni, ugyanakkor ezen értelmezés az Alkotmánybíróság autentikus értelmezési gyakorlatától nem térhet el.” (Abh1., Indokolás [35])
[44] „Vélelmezhető, hogy mind az uniós jog, mind az Alaptörvényen alapuló nemzeti jogrendszer az E) cikk (1) bekezdésében megfogalmazott célokat hivatottak megvalósítani. Erre tekintettel az »európai egység megteremtése«, az integráció nem csupán politikai szervek számára jelöl ki célt, hanem a bíróságok és az Alkotmánybíróság számára is, amelynek az »európai egységből« a jogrendszerek harmóniája és koherenciája következik alkotmányos célként. Ezek elérése érdekében a jogszabályokat és az Alaptörvényt – amennyiben ez lehetséges – úgy kell értelmezni, hogy a normatartalom az Európai Unió jogával is összhangban álljon.” (Abh1., Indokolás [37])
[45] „Az Alaptörvény az egyén magánszférája védelmét tartalmazó VI. cikkének szövegét Magyarország Alaptörvényének hetedik módosítása 2018. június 29-i hatálybalépéssel megváltoztatta. Az Alaptörvény eredeti szövegezése szerint „(1) Mindenkinek joga van ahhoz, hogy magán- és családi életét, otthonát, kapcsolattartását és jó hírnevét tiszteletben tartsák. (2) Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez. (3) A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi.” Az Alaptörvény hetedik módosításának 4. cikke az Alaptörvény előzőekben idézett VI. cikke helyébe új tartalommal a következő rendelkezést léptette: „(1) Mindenkinek joga van ahhoz, hogy magán- és családi életét, otthonát, kapcsolattartását és jó hírnevét tiszteletben tartsák. A véleménynyilvánítás szabadsága és a gyülekezési jog gyakorlása nem járhat mások magán-, és családi életének, valamint otthonának sérelmével. (2) Az állam jogi védelemben részesíti az otthon nyugalmát. (3) Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez. (4) A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi.” {3212/2020. (VI. 19.) AB határozat (a továbbiakban: Abh2.), Indokolás [43]}
[46] Az Alkotmánybíróság az Alaptörvény hetedik módosítására figyelemmel legutóbb a 3167/2019. (VII. 10.) AB határozatában foglalkozott az Alaptörvény VI. cikkében foglalt alapjog tartalmával. A határozat megállapította, hogy az Alaptörvény a magánszféra védelméhez kapcsolódó jogok körében rendelkezik a személyes adatok védelméhez való jogról (vö. Abh2., Indokolás [44]).
[47] A magánélet védelmének része a személyes adatok védelméhez való jog, amelyet az Alaptörvény VI. cikk (3) bekezdése tartalmaz, és amelyet az Alkotmánybíróság 15/1991. (IV. 13.) AB határozattól kezdve „információs önrendelkezési jogként” fogott fel (ABH 1991, 40, 44–57, megerősítette többek közt: Abh2., Indokolás [45]). Az Alaptörvény az Alkotmányhoz hasonlóan tartalmazza „a személyes adatok védelme” fogalmát, amelyet kifejezetten alapjognak tekint {11/2014. (IV. 4.) AB határozat, Indokolás [55], erre nézve lásd még: 3171/2017. (VII. 14.) AB határozat, Indokolás [32], vö. Abh2., Indokolás [46]}.
[48] „A személyes adatok védelméhez való jognak eszerint az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról. Személyes adatot felvenni és felhasználni tehát általában csakis az érintett beleegyezésével szabad; mindenki számára követhetővé és ellenőrizhetővé kell tenni az adatfeldolgozás egész útját, vagyis mindenkinek joga van tudni, ki, hol, mikor, milyen célra használja fel az ő személyes adatát. […] Az információs önrendelkezési jog gyakorlásának feltétele és egyben legfontosabb garanciája a célhoz kötöttség. Ez azt jelenti, hogy személyes adatot feldolgozni csak pontosan meghatározott és jogszerű célra szabad. Az adatfeldolgozásnak minden szakaszában meg kell felelnie a bejelentett és közhitelűen rögzített célnak. A célhoz kötöttségből következik, hogy a meghatározott cél nélküli, »készletre« történő, előre nem meghatározott jövőbeni felhasználásra való adatgyűjtés és tárolás alkotmányellenes.” {15/1991. (IV. 13.) AB határozat, ABH 1991, 40, 42, megerősítette többek közt: 3110/2013. (VI. 4.) AB határozat, Indokolás [50]}
[49] Az Alkotmánybíróság ezért jelen ügyben mindezeket szem előtt tartva – az igazságügyi miniszter szakmai álláspontjára is figyelemmel – megállapítja, hogy az Alaptörvény VI. cikk (4) bekezdése alapján az indítványozó sarkalatos törvénnyel létrehozott olyan független hatóság, amelynek feladata az Alaptörvény értelmében a személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülésének ellenőrzése. A támadott bírói döntésekben foglalt jogértelmezés pedig az indítványozó hatásköre gyakorlásával összefüggésben a működését érinti, figyelemmel az Alaptörvény, az Európai Unió tagállamaiban közvetlenül alkalmazandó GDPR, valamint az Abtv. és az Infotv. szabályozására.
[50] 3. A GDPR az Unió független szervének, az Európai Adatvédelmi Testületnek (a továbbiakban: Testület) létrehozásáról rendelkezik, amelynek feladata, hogy biztosítsa a GDPR következetes alkalmazását, és támogassa az együttműködést a felügyeleti hatóságok között az Európai Unióban. A Testület Alapszabálya értelmében a Testület jogi személyiséggel rendelkező uniós szerv, amely függetlenül jár el feladatainak elvégzésében vagy jogköreinek gyakorlásában. A Testület biztosítja tehát a GDPR következetes alkalmazását [Alapszabály 1. és 2. cikk], a GDPR pedig rögzíti, hogy a Testület az Unió egész területén hozzájárul a GDPR egységes alkalmazásához, ideértve a Bizottság részére történő – különösen a harmadik országokban vagy nemzetközi szervezetek által biztosított védelem szintjével kapcsolatos – tanácsadást és a felügyeleti hatóságok közötti, Unión belüli együttműködés előmozdítását is [GDPR 139. preambulumbekezdés].
[51] Az Alkotmánybíróság az indítvány benyújtását követően észlelte, hogy az indítványozó a Testülethez fordult a GDPR 58. cikk (2) bekezdés (g) pontja szerinti hatáskör értelmezése tárgyában. A Testület 2021. december 14-én elfogadott 39/2021-es számú véleményében abban a kérdésben foglalt állást, hogy a GDPR 58. cikk (2) bekezdés (g) pontja jogalapul szolgálhat-e a felügyeleti hatóságnak arra, hogy hivatalból személyes adatok törlését rendelje el, az adatalanyok ezirányú kérelmének hiányában is. A Testületnek tehát azt kellett értékelnie, hogy a felügyeleti hatóságok GDPR 58. cikk (2) (g) pont szerinti hatásköre alkalmazandó-e az adatalany (érintett) törlésre irányuló kérelmének hiányában is. A Testület álláspontja szerint a GDPR 17. cikke két, egymástól független esetkört határoz meg: egyrészt az érintett kérelmére történő törlést, másrészt a törlést mint az adatkezelő önálló kötelezettségét. Ez utóbbira vonatkozó hatáskört a Testület indokolása alapján úgy kell értelmezni, hogy a GDPR 58. cikk (2) (g) pontja megfelelő jogalapot biztosít a felügyeleti hatóság számára ahhoz, hogy hivatalból elrendelje a jogellenesen kezelt személyes adatok törlését, olyan esetben, ahol ilyen irányú kérelmet az adatalany (érintett) nem terjesztett elő.
[52] Az Infotv. 2022. január 1-jén hatályba lépett vonatkozó módosítása kapcsán a Módtv. indokolása egyértelművé teszi, hogy a GDPR „hatálya alá tartozó adatkezelési műveletek felügyelete során a Nemzeti Adatvédelmi és Információszabadság Hatóság az ezen, a magyar jogban közvetlenül hatályosuló és alkalmazandó rendeletben foglalt jogkövetkezmények bármelyikét alkalmazhatja, mely jogkövetkezmények közül példálózó jelleggel kiemeli a legjelentősebbeket, amelyek alapján akár kérelemre, akár hivatalbóli eljárása esetén elrendelheti a jogellenesen kezelt személyes adatok törlését – e törlés módját a konkrét ügy körülményeire tekintettel meghatározva, továbbá átmenetileg vagy véglegesen egyéb módon korlátozhat bármely, az adatkezelő által jogellenesen végzett adatkezelési műveletet.”
[53] „Az Alkotmánybíróság következetes gyakorlata szerint az Abtv. 27. §-ára alapított alkotmányjogi panasz alapján a bírói döntésben foglalt jogértelmezés Alaptörvénnyel való összhangját vizsgálja, azt, hogy a jogszabály alkalmazása során a bíróság az Alaptörvényben biztosított jogok alkotmányos tartalmát érvényre juttatta-e. Ha a bíróság az előtte fekvő, alapjogilag releváns ügy alapjogi érintettségére tekintet nélkül járt el, és az általa kialakított jogértelmezés nem áll összhangban e jog alkotmányos tartalmával, akkor a meghozott bírói döntés alaptörvény-ellenes.
Az Alkotmánybíróság kapcsolódó határozataiban ugyanakkor azt is kifejtette, hogy nem vonhatja el az ítélkező bíróságok hatáskörét az előttük fekvő tényállás elemeinek átfogó mérlegelésére, csupán a mérlegelés alapjául szolgáló jogértelmezés Alaptörvénnyel való összhangját, illetve a mérlegelés alkotmányossági szempontjainak a megtartását vizsgálhatja felül.
Az Alkotmánybíróság már számos határozatában rámutatott, hogy az államnak az alapvető jogok védelmére vonatkozóan tevőleges védelmi kötelezettsége áll fenn [Alaptörvény I. cikk (1) bekezdés].” (Abh2., Indokolás, [27]–[29])
[54] A GDPR alapelvi szinten rögzíti, hogy a természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az Alkotmánybíróság a Testület mint uniós szerv hivatkozott 39/2021.-es számú véleménye figyelembevételével, valamint az Alaptörvény és az Infotv. szabályozására tekintettel megállapította, hogy a támadott bírói döntésekben foglalt jogértelmezés, melynek értelmében az indítványozó – hatáskör hiányában – hivatalból (ex officio) nem jogosult elrendelni a jogellenesen kezelt személyes adatok törlését, nincs összhangban a Testület álláspontjával, amelynek feladata, hogy biztosítsa a GDPR következetes alkalmazását az Unióban. Továbbá a bírói döntések nincsenek összhangban a személyes adatok védelméhez való alapjognak az Alkotmánybíróság gyakorlatában bemutatott és kimunkált tartalmával, valamint az Infotv. szabályozásával, amit a jogalkotó a korábban az igazságügyi miniszter által kifejtettek szerint az egységes – az uniós jognak elsőbbséget biztosító – jogértelmezés megkönnyítése érdekében fogadott el.
[55] A Fővárosi Törvényszék megítélése szerint a perben – figyelemmel a CILFIT kritériumokra – nem merült fel az uniós jog értelmezését igénylő lényeges kérdés. A GDPR-nak az ügyben alkalmazandó rendelkezései egyértelműek voltak, az alapján a jogvita eldönthető volt. Sem a Kúria, sem a Törvényszék nem látta indokoltnak előzetes döntéshozatali eljárás kezdeményezését az Európai Unió Bíróságánál a GDPR mint uniós jogi aktus végső fokú értelmezése tárgyában.
[56] Az Alkotmánybíróság kiemeli, hogy a bíróságok döntéseik és mérlegelésük során a személyes adatok védelméhez való joggal összefüggésben – amely az önálló alapvető jogok közé tartozik – nem ismerték fel, hogy a széleskörű adatvédelmi felügyeleti hatósági kontroll az Alaptörvény, az uniós jog, valamint a nemzetközi jogból fakadó kötelezettségek alapján a GDPR előtt is biztosított volt. A Hatóság alaptörvényi feladata a személyes adatok védelmét biztosító alapjog érvényesülésének az ellenőrzése. Ezt az ellenőrzést (alkotmányos feladatot) a sarkalatos törvényben foglalt hatáskörein keresztül látja el. Az ellenőrzés azt célozza, hogy a személyes adatok védelme az egyes adatkezelések során biztosított legyen. Ha a Hatóság az ellenőrzés során megállapítja, hogy a személyes adatok kezelése az adatkezelőnél jogellenes, akkor a hatékony alapjogvédelem biztosításából, ami a Hatóság kiemelt feladata, nemcsak az következik, hogy ellenőrizheti és feltárhatja a jogellenes személyes adatkezelést, hanem az is, hogy hivatalból – harmadik személyek alapjogai védelmében – elrendelheti az ilyen adatok törlését. Ellenkező esetben, hatékony alapjogvédelem hiányában, korlátozott a hatáskör és az alaptörvényi feladatellátás is. A személyes adatok védelme egy „védelmi típusú alapjog”, ami megköveteli a tényleges hatósági jogvédelmet. Az Alaptörvény E) cikk (2) és (3) bekezdése, valamint a VI. cikk (4) bekezdése, illetve a GDPR mint az adatvédelem és az információszabadság egységes alkalmazását biztosító uniós jogszabály alapján a Hatóság jogosult hivatalból a jogellenesen kezelt személyes adatok törlését erre irányuló kérelem hiányában is elrendelni.
[57] 4. Mindezen indokok alapján az Alkotmánybíróság megállapította, hogy a Kúria Kfv.II.37.001/2021/6. számú ítélete és a Fővárosi Törvényszék 105.K.706.125/2020/12. számú ítélete alaptörvény-ellenes, ezért azokat megsemmisítette. Az Alkotmánybíróság – következetes gyakorlata alapján – az indítványban felhívott további alaptörvényi rendelkezések esetleges sérelmét a támadott bírósági határozatok megsemmisítésére tekintettel már nem vizsgálta.
[58] A bírósági határozatok megsemmisítését követően az alkotmányjogi panasz orvoslásának eljárási eszközét az Alkotmánybíróság határozata alapján és a vonatkozó eljárási szabályok megfelelő alkalmazásával a Kúria állapítja meg.
Dr. Sulyok Tamás s. k.,
az Alkotmánybíróság elnöke
előadó alkotmánybíró
. |
Dr. Sulyok Tamás s. k.,
az Alkotmánybíróság elnöke,
az aláírásban akadályozott
dr. Dienes-Oehm Egon
alkotmánybíró helyett
Dr. Sulyok Tamás s. k.,
az Alkotmánybíróság elnöke,
az aláírásban akadályozott
dr. Horváth Attila
alkotmánybíró helyett
Dr. Sulyok Tamás s. k.,
az Alkotmánybíróság elnöke,
az aláírásban akadályozott
dr. Juhász Imre
alkotmánybíró helyett
Dr. Sulyok Tamás s. k.,
az Alkotmánybíróság elnöke,
az aláírásban akadályozott
dr. Márki Zoltán
alkotmánybíró helyett
Dr. Sulyok Tamás s. k.,
az Alkotmánybíróság elnöke,
az aláírásban akadályozott
dr. Salamon László
alkotmánybíró helyett
Dr. Sulyok Tamás s. k.,
az Alkotmánybíróság elnöke,
az aláírásban akadályozott
dr. Szabó Marcel
alkotmánybíró helyett
. | Dr. Sulyok Tamás s. k.,
az Alkotmánybíróság elnöke,
az aláírásban akadályozott
dr. Handó Tünde
alkotmánybíró helyett
Dr. Sulyok Tamás s. k.,
az Alkotmánybíróság elnöke,
az aláírásban akadályozott
dr. Hörcherné dr. Marosi Ildikó
alkotmánybíró helyett
Dr. Sulyok Tamás s. k.,
az Alkotmánybíróság elnöke,
az aláírásban akadályozott
dr. Juhász Miklós
alkotmánybíró helyett
Dr. Sulyok Tamás s. k.,
az Alkotmánybíróság elnöke,
az aláírásban akadályozott
dr. Pokol Béla
alkotmánybíró helyett
Dr. Sulyok Tamás s. k.,
az Alkotmánybíróság elnöke,
az aláírásban akadályozott
dr. Schanda Balázs
alkotmánybíró helyett
Dr. Sulyok Tamás s. k.,
az Alkotmánybíróság elnöke,
az aláírásban akadályozott
dr. Szalay Péter
alkotmánybíró helyett
. |
Dr. Sulyok Tamás s. k.,
az Alkotmánybíróság elnöke,
az aláírásban akadályozott
dr. Szívós Mária
alkotmánybíró helyett
. |
Dr. Hörcherné dr. Marosi Ildikó párhuzamos indokolása
[59] A határozat rendelkező részét támogattam, indokaim azonban az alábbiak szerint részben eltérnek a határozat érvkészletétől.
[60] 1. Az Abtv. 27. § (1) bekezdésének 2019. december 20-tól hatályos módosítása explicit jogalapot teremtett a közhatalmat gyakorló szervek számára ún. hatáskörvédelmi alkotmányjogi panasz benyújtására, amelynek feltételei és tartalma eltérnek a hagyományos, alapjogvédelmi alkotmányjogi panaszétól.
[61] 1.1. Az Abtv. 55. § (4a) bekezdése a hatásköri panasz befogadhatóságát két alternatív feltételtől teszi függővé.
[62] Az Abtv. 55. § (4a) bekezdés a) pontjába foglalt eset („valamely, Alaptörvényben foglalt hatáskörét sérti”) fennállásának megállapításával jelen ügyben nem értettem egyet. A Hatóságot és hatásköreit az Alaptörvény kifejezetten nem említi. Bár az Alaptörvény VI. cikk (4) bekezdése – amely úgy rendelkezik, hogy „[a] személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi” – a Hatóságra utal, azonban ez a rendelkezés a Hatóság számára nem hatáskört, hanem feladatkört jelent. A Hatóság hatáskörét sarkalatos törvény határozza meg. Jogi terminológiai szempontból ez lényeges distinkció, és az Abtv. 27. §-át parttalanná teheti egy olyan kiterjesztő értelmezés, amely – a határozat indokolásának szóhasználatával élve – bármely „alaptörvényi megalapozottságú” feladatot minden további megfontolás nélkül „Alaptörvényben foglalt hatáskörnek” tekinti (Indokolás [22]).
[63] Álláspontom szerint tehát az indítvány befogadhatóságát kizárólag az Abtv. 55. § (4a) bekezdés b) pontja („működésének súlyos zavarát eredményezi”) alapozta meg.
[64] 1.2. A hatásköri panasz tartalma szintén eltér az alapvető jogok védelmét szolgáló alkotmányjogi panasz tartalmától. Az alkotmánybírósági kontroll tárgya ebben az esetben jogorvoslati jellegű a hatáskörének gyakorlásában korlátozott állami szerv számára. A vizsgált kérdés az, hogy a támadott bírói döntés az érintett szerv hatáskörét – nem pedig Alaptörvényben biztosított jogát – az Alaptörvénybe ütközően korlátozta-e.
[65] Jelen ügyben tehát nem állhatott a személyes adatok védelméhez való jog [Alaptörvény VI. cikk (3) bekezdés] érintettsége az alkotmányossági eljárás középpontjában, mert egyrészt e jog nem az indítványozó Hatóság saját alapjoga, másrészt az indítványozónak az európai uniós jogban gyökerező hatásköre nem tekinthető közvetlenül Alaptörvényben biztosított jognak, harmadrészt az alapjogi védelemből semmilyen módon nem következik az adattörlési hatáskör, különösen nem a hivatalból történő eljárás lehetősége.
[66] A hatásköri panasz jellegzetességeihez igazodva az Alkotmánybíróságnak kizárólag azzal a kérdéssel kellett volna foglalkoznia, hogy a bíróság jogértelmezés útján korlátozta-e a Hatóság Alaptörvényre visszavezethető hatáskörét [Alaptörvény VI. cikk (4) bekezdés].
[67] 2018. július 26-át megelőzően az Infotv. 61. § (1) bekezdés c) pontja, ezt követően pedig – az Alaptörvény E) cikk (3) bekezdése alapján kötelezően és közvetlenül alkalmazandó – GDPR 58. cikk (2) bekezdés (g) pontja szabályozta az adattörlés elrendelésének lehetőségét. Az alkalmazható jogkövetkezményeket pedig 2022. január 1. napjától kezdődően – mintegy megerősítő jelleggel – az Infotv. 61. § (1) bekezdés a) pontja is megjelöli. Ennek alapján megalapozott az a konklúzió, hogy a Hatóság számára a vonatkozó jogszabályok biztosítják és a vizsgált ügyben is biztosították az adatok hivatalból történő elrendelésére vonatkozó hatáskört.
[68] 2. Nem lehet figyelmen kívül hagyni azonban, hogy a Hatóság vitatott döntése abban az időszakban született, amikor a törlési hatáskörre kizárólag a GDPR utalt. Ennek megfelelően az Alkotmánybíróság határozatának érdemi levezetése sem az Infotv.-hez, hanem közvetlenül a GDPR alkalmazásához kapcsolódik, azon alapszik. Kétség esetében az Európai Unió jogforrásainak tartalmát a tagállami bíróság számára, autentikus értelmezőként az Európai Unió Bírósága állapítja meg. Ezért a GDPR pontos tartalmának feltárása iránti igény szükség esetén azt is indokolhatta volna, hogy az Alkotmánybíróság előzetes döntéshozatalra irányuló eljárást kezdeményezzen {vesd össze: 26/2020. (XII. 2.) AB határozat, Indokolás [26]}. A jelen ügyben ettől a lépéstől a testület azért tekinthetett el, mert oly mértékben egyértelmű és nyilvánvaló volt az uniós jog – a GDPR 58. cikk (2) bekezdésének – helyes értelmezése és alkalmazása, hogy az semmiféle észszerű kételyt nem vetett fel.
Budapest, 2022. március 1.
Dr. Sulyok Tamás s. k.,
az Alkotmánybíróság elnöke
az aláírásban akadályozott
dr. Hörcherné dr. Marosi Ildikó
alkotmánybíró helyett
[69] A párhuzamos indokoláshoz csatlakozom.
Budapest, 2022. március 1.
Dr. Sulyok Tamás s. k.,
az Alkotmánybíróság elnöke
az aláírásban akadályozott
dr. Schanda Balázs
alkotmánybíró helyett
. |