I.
C-57/23 Policejní prezidium ügyben 2025. november 20-án hozott ítélet
1) A személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/680 európai parlamenti és tanácsi irányelv 8. és 10. cikkét
a következőképpen kell értelmezni:
a biometrikus és genetikai adatok gyűjtését, tárolását és törlését illetően az e rendelkezések szerinti „tagállami jog” fogalmát úgy kell érteni, hogy az az ilyen adatok gyűjtésének, tárolásának és törlésének minimumfeltételeit meghatározó általános hatályú rendelkezést jelenti, ahogyan azt a nemzeti bíróságok ítélkezési gyakorlatukban értelmezik, amennyiben ez az ítélkezési gyakorlat hozzáférhető és kellően előre látható.
2) A 2016/680 irányelv 6. cikkét és 4. cikke (1) bekezdésének c) pontját ezen irányelv 10. cikkével összefüggésben
a következőképpen kell értelmezni:
e rendelkezésekkel nem ellentétes az olyan nemzeti szabályozás, amely különbségtétel nélkül teszi lehetővé a szándékos bűncselekmény elkövetésével vádolt vagy ilyen bűncselekmény elkövetésével gyanúsított bármely személy biometrikus és genetikai adatainak gyűjtését, amennyiben egyrészt ezen adatgyűjtés céljai nem teszik szükségessé a személyek e két kategóriája közötti különbségtételt, másrészt pedig az adatkezelők a nemzeti jog alapján – ideértve a nemzeti bíróságok ítélkezési gyakorlatát is – kötelesek tiszteletben tartani az említett irányelv 4. és 10. cikkében foglalt valamennyi elvet és különös követelményt.
3) A 2016/680 irányelv 4. cikke (1) bekezdésének e) pontját
a következőképpen kell értelmezni:
e rendelkezéssel nem ellentétes az olyan nemzeti szabályozás, amelynek értelmében a biometrikus és genetikai adatok tárolása fenntartásának szükségességét a rendőrség belső szabályok alapján értékeli, úgy, hogy e szabályozás nem rendelkezik a tárolás maximális időtartamáról, amennyiben az említett szabályozás megfelelő határidőket állapít meg ezen adatok tárolása szükségességének rendszeres felülvizsgálatára, és ha e felülvizsgálat során értékelni kell, hogy az adatok tárolásának meghosszabbítása feltétlenül szükséges‑e.
1 Az előzetes döntéshozatal iránti kérelem a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/680 európai parlamenti és tanácsi irányelv (HL 2016. L 119., 89. o.; helyesbítések: HL 2018. L 127., 7. o.; HL 2021. L 74., 39. o.) 4. cikke (1) bekezdése c) és e) pontjának, 6. cikkének, 8. cikke (2) bekezdésének és 10. cikkének az értelmezésére irányul.
2 E kérelmet a JH és a Policejní prezidium (rendőr‑főkapitányság, Cseh Köztársaság; a továbbiakban: cseh rendőr‑főkapitányság) között, többek között a JH‑ra vonatkozó biometrikus és genetikai adatok büntetőeljárás keretében történő gyűjtése, valamint azoknak a cseh rendőrség általi tárolása tárgyában folyamatban lévő jogvita keretében terjesztették elő.
Az alapeljárás
18 2015. december 11‑i határozatával a korrupció és a pénzügyi bűnözés felderítésével foglalkozó, a pilseni kirendeltség (Cseh Köztársaság) bűnügyi rendőrségi és nyomozási csoportján belül működő osztály, amely egy országos illetékességű cseh rendőrségi szerv, büntetőeljárást indított JH ellen hűtlen kezelés vétsége miatt.
19 A cseh rendőrség a szóban forgó büntetőeljárásban először JH kihallgatását végezte el 2016. január 13‑án, valamint elrendelte a következő azonosítási intézkedéseket és azok JH hozzájárulása nélküli elvégzését: JH digitális ujjnyomatának rögzítése, JH szájnyálkahártya‑törletének levétele, amelyből a rendőrség genetikai profilt készített, továbbá fényképfelvételek és személyleírás készítése JH‑ról. Ezt követően a rendőrség a megfelelő adatbázisokban rögzítette ezeket az információkat.
20 A Městský soud v Praze (prágai városi bíróság, Cseh Köztársaság) 2017. március 15‑i ítéletével hűtlen kezelés vétségének bűnrészesként történő elkövetése és hivatali visszaélés bűntettének elkövetése miatt elítélte JH‑t. Az említett bíróság JH‑t három év felfüggesztett szabadságvesztésre ítélte, négy évre eltiltotta az ingatlanok és ingóságok kezelését is magában foglaló ügyvezetési feladatok közigazgatásban történő ellátásától, továbbá arra kötelezte, hogy az okozott kárt a lehetőségeinek keretein belül térítse meg.
21 2016. március 8‑án JH keresetet indított a Městský soud v Praze (prágai városi bíróság) előtt annak megállapítása iránt, hogy a cseh rendőrségről szóló törvény 65. §‑a szerinti azonosítási intézkedések elvégzése, a megszerzett információk és minták tárolása, valamint az, hogy az intézkedések elvégzésekor bejegyzést hoztak létre a cseh rendőrség adatbázisaiban, a magánélet tiszteletben tartásához való alapvető jogába való jogellenes beavatkozásnak minősül.
22 A Městský soud v Praze (prágai városi bíróság) felfüggesztette a JH által benyújtott kereset elbírálását, tekintettel arra, hogy egy folyamatban lévő másik ügyben már az Ústavní soud (alkotmánybíróság, Cseh Köztársaság) fordult a cseh rendőrségről szóló törvény 65. §‑a alkotmányosságának vizsgálata iránti kérelemmel.
23 Az Ústavní soud (alkotmánybíróság) 2022. március 22‑i határozatával elutasította a Městský soud v Praze (prágai városi bíróság) által a cseh rendőrségről szóló törvény 65. §‑a alkotmányellenességének megállapítása iránt benyújtott kérelmet. E határozatot követően utóbbi bíróság folytatta a JH által benyújtott kereset elbírálására irányuló eljárást.
24 2022. június 23‑i ítéletével a Městský soud v Praze (prágai városi bíróság) helyt adott JH keresetének, megállapítva, hogy a cseh rendőrség által 2016. január 13‑án végzett intézkedések jogellenesek voltak. E bíróság ebből kifolyólag kötelezte a cseh rendőrséget, hogy törölje adatbázisaiból az ezen intézkedésekből származó valamennyi személyes adatot.
25 Ebben az ítéletben az említett bíróság kiemelte, hogy a genetikai anyag levétele jelentős beavatkozást jelent az érintett magánélet tiszteletben tartásához való alapvető jogába, amelyet többek között az emberi jogok és alapvető szabadságok védelméről szóló, Rómában, 1950. november 4‑én aláírt európai egyezmény (kihirdette: az 1993. évi XXXI. törvény; a továbbiakban: EJEE) 8. cikke és a Listina základních práv a svobod (a Cseh Köztársaság alapjogi chartája) 10. cikkének (3) bekezdése véd. Márpedig a cseh rendőrségről szóló törvény 65. §‑a nem ad elegendő támpontot e beavatkozás arányos jellegének értékeléséhez. Ez utóbbi rendelkezésből ugyanis az ellenőrzésre vonatkozóan csupán az a követelmény fakad, hogy a cseh rendőrségnek az ilyen mintavétel elvégzése előtt vizsgálnia kell, hogy az elkövetett bűncselekmény „szándékos” jellegű‑e.
26 Ezenkívül ugyanezen bíróság megállapította, hogy JH‑val szemben csupán vétség, azaz kevésbé súlyos bűncselekmény elkövetése miatt indítottak eljárást, hogy szabadságvesztés‑büntetését felfüggesztették, ami a felrótt cselekmények csekélyebb súlyát erősíti meg, hogy JH‑t korábban soha nem ítélték el büntetőeljárásban, hogy esetében a bűnismétlés nem valószínű, valamint hogy nem biztos, hogy az elkövetett bűncselekmények jellegüknél fogva olyanok, amelyek esetében az elkövetők később olyan bűncselekményt követnek el, amelynek felderítését az adatbázisokban tárolt személyes adatok elősegíthetik. Ebből azt a következtetést vonta le, hogy a cseh rendőrség által elvégzett, az alapeljárás tárgyát képező azonosítási intézkedések nem felelnek meg az arányosság követelményének.
27 A cseh rendőr‑főkapitányság az említett ítélettel szemben felülvizsgálati kérelmet nyújtott be a Nejvyšší správní soudhoz (legfelsőbb közigazgatási bíróság, Cseh Köztársaság), amely a kérdést előterjesztő bíróság.
28 Felülvizsgálati kérelmének alátámasztása érdekében a cseh rendőr‑főkapitányság arra hivatkozik, hogy a cseh rendőrségről szóló törvény 65. §‑a egyértelműen meghatározza a személyes adatok kezelésének célját. Azt is állítja, hogy a jelen ügyben a cseh rendőrség illetékes szervei értékelték JH személyes adatai rögzítésének és tárolásának arányosságát, figyelembe véve a bűnismétlés tényezőjét, a cselekmények esetleges súlyosbodását, valamint azt a tényt, hogy JH a múltban több szabálysértést követett el.
29 JH erre válaszul többek között arra hivatkozik, hogy a cseh rendőrség anélkül végzett azonosítási intézkedéseket, hogy előzetesen megvizsgálta volna a szóban forgó beavatkozás arányosságát. JH azt is kifogásolja, hogy a cseh rendőrség azonosítási intézkedések végrehajtására vonatkozó utasításai nem nyilvánosak.
30 A kérdést előterjesztő bíróság hangsúlyozza, hogy legutóbbi ítélkezési gyakorlata értelmében a cseh rendőrségről szóló törvény 65. §‑ának (1) bekezdésében előírt alaki követelményeknek, különösen a „szándékos” bűncselekménykénti minősítésre vonatkozó követelménynek a tiszteletben tartása önmagában nem elegendő ahhoz, hogy a személyes adatok e § szerinti gyűjtése és tárolása jogszerűnek legyen tekinthető. A rendőrségnek tehát minden egyes konkrét esetben értékelnie kell a mintavétel arányosságát, figyelembe véve különösen az érintett személy büntetett előéletét, személyiségét és magatartását, azon bűncselekmény súlyosságát, amely miatt az érintettet azonosítás céljából beidézték, valamint – utólagos törlés iránti kérelem esetén – a szóban forgó bűncselekmény elkövetése óta eltelt időt.
31 Ezen ítélkezési gyakorlat alapján a nemzeti bíróságok megállapították egyes azonosítási intézkedéseknek, például biometrikus és genetikai adatok gyűjtésének a jogellenességét, különösen olyan bűncselekmények esetén, amelyek nem erőszakosak, és amelyeket korábban el nem ítélt személyek követtek el.
32 A kérdést előterjesztő bíróságban mindezek alapján felmerül a kérdés, hogy összeegyeztethető‑e a 2016/680 irányelvvel a cseh rendőrségről szóló törvény 65. §‑ában kialakított jogi szabályozási rendszer.
33 E bíróság először is arra keresi a választ, hogy az ezen irányelvben megállapított követelményekkel ellentétes‑e a biometrikus és genetikai adatok gyűjtése különbségtétel nélkül minden olyan személyre vonatkozóan, akit szándékos bűncselekmény elkövetésével gyanúsítanak.
34 Egyrészt az Emberi Jogok Európai Bíróságának a magánélet tiszteletben tartásához való, az EJEE 8. cikkében biztosított alapvető jogra vonatkozó ítélkezési gyakorlatából az következik, hogy a Szerződő Felek kötelesek a bűncselekmények társadalmi súlyossága alapján különbséget tenni azon bűncselekmények között, amelyek esetében dezoxiribonukleinsav‑mintákat (DNS‑mintákat) gyűjtenek. A Szerződő Felek nem kezelhetik azonos módon a súlyos, például az erőszakos bűncselekményeket elkövető személyeket – akik esetében a DNS‑minták gyűjtése és tárolása jogszerű – a kevésbé súlyos bűncselekményeket elkövető személyekkel.
35 Másrészt az arányosság elvéből eredő követelmények, így például a 2016/680 irányelv tárgyi hatálya alatt az adatkezeléshez kapcsolódó adattakarékosság elvében és az érintettek különböző kategóriái közötti különbségtételre vonatkozó kötelezettségben konkretizálódó követelmények – amelyekről ezen irányelv 4. cikke (1) bekezdésének c) pontja, illetve 6. cikke rendelkezik – kérdéseket vetnek fel azzal kapcsolatban, hogy elegendő‑e a jogszabályok szintjén érvényesülő, többek között a vizsgált jogsértések súlyától függő elvont különbségtétel, vagy a mintavétel arányosságát az egyes egyedi esetekben konkrétan kell értékelni.
36 Másodszor, a kérdést előterjesztő bíróság arra keresi a választ, hogy a 2016/680 irányelvben meghatározott követelményekkel ellentétes‑e a biometrikus és genetikai adatok tárolása, ha nincs olyan kifejezett rendelkezés, amely e tekintetben időbeli korlátozást állapítana meg. Az alkalmazandó nemzeti szabályozás egyébként nem határozza meg, hogy mi az azonosító adatok tárolására vonatkozó határidő felső korlátja. Márpedig az Emberi Jogok Európai Bírósága ítélkezési gyakorlatának a kérdést előterjesztő bíróság általi értelmezése szerint e bíróság megköveteli ilyen felső határ megállapítását.
37 Harmadszor, a kérdést előterjesztő bíróság arra keresi a választ, hogy a cseh közigazgatási bíróságok ítélkezési gyakorlata minősíthető‑e a 2016/680 irányelv – személyes adatok kezelése jogszerűségének feltételeit megállapító – 8. cikke értelmében vett „tagállami jognak”.
38 A cseh rendőrségről szóló törvény 65. §‑a ugyanis nem határozza meg pontosan sem a tárolás konkrét feltételeit és a mintavételből kinyerhető információk típusait, sem pedig a biometrikus és genetikai adatok tárolásának és törlésének feltételeit, így e cikk önmagában nem felelhet meg a 2016/680 irányelv 10. cikkével összefüggésben értelmezett 8. cikkének (2) bekezdésében támasztott követelményeknek.
39 Kétségtelen, hogy e 65. §‑t kiegészítik az e § végrehajtásával kapcsolatos rendőrségi vezetői utasítások, de mivel ez utóbbiak nem jogszabályok és nincsenek közzétéve, semmiképpen nem minősülhetnek a 2016/680 irányelv 8. cikkének (2) bekezdése értelmében vett „tagállami jognak”.
40 Ennélfogva felmerül a kérdés, hogy tekinthető‑e úgy, hogy a tagállami jog megfelelő anyagi jogi és eljárási garanciákat ír elő az ezen irányelv 10. cikke értelmében vett különleges adatok, így a biometrikus és genetikai adatok kezelésével kapcsolatban, amennyiben e garanciák az ítélkezési gyakorlatból következnek.
41 E körülmények között a Nejvyšší správní soud (legfelsőbb közigazgatási bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából kérdéseket terjeszt a Bíróság elé.
Az előzetes döntéshozatalra előterjesztett kérdések
„1) A 2016/680 irányelv 4. cikke (1) bekezdésének c) pontja vagy 6. cikke ezen irányelv 10. cikkével összefüggésben milyen mértékű különbségtételt ír elő az egyes érintettek között? Összeegyeztethető‑e a személyes adatok kezelésének minimálisra csökkentésére vonatkozó követelménnyel, valamint az érintettek különböző kategóriái közötti különbségtételre vonatkozó kötelezettséggel, ha a nemzeti szabályozás lehetővé teszi a genetikai adatok gyűjtését mindazon személyektől, akiket szándékos bűncselekmény elkövetésével gyanúsítanak vagy vádolnak?
2) Összeegyeztethető‑e a 2016/680 irányelv 4. cikke (1) bekezdésének e) pontjával, ha a bűncselekmények megelőzésére, nyomozására vagy felderítésére irányuló általános célkitűzésre tekintettel a DNS‑profil további tárolásának szükségességét a rendőrség a belső szabályzatai alapján vizsgálja, ami a gyakorlatban gyakran érzékeny személyes adatok határozatlan ideig történő tárolását jelenti, anélkül, hogy az ilyen személyes adatok tárolásának maximális időtartamát meghatároznák? Ha ez nem egyeztethető össze ezzel a rendelkezéssel, adott esetben milyen szempontok alapján kell vizsgálni az arányosságot az ilyen célból gyűjtött és tárolt személyes adatok tárolásának időbeli szempontja tekintetében?
3) Mi a 2016/680 irányelv 10. cikke értelmében vett különösen érzékeny személyes adatok megszerzése, tárolása és törlése anyagi jogi vagy eljárásjogi feltételeinek minimális terjedelme, amit a tagállami jog »általános hatályú rendelkezései« alapján kell szabályozni? A bírósági ítélkezési gyakorlat is minősülhet‑e a 2016/680 irányelv 8. cikkének ezen irányelv 10. cikkével összefüggésben értelmezett (2) bekezdése értelmében vett »tagállami jognak«?”
Az előzetes döntéshozatalra előterjesztett kérdésekről
A harmadik kérdésről
42 Harmadik kérdésével, amelyet elsőként kell megvizsgálni, a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a 2016/680 irányelv 8. és 10. cikkét úgy kell‑e értelmezni, hogy a biometrikus és genetikai adatok gyűjtését, tárolását és törlését illetően a „tagállami jog” e rendelkezések értelmében vett fogalmát úgy kell érteni, hogy az kizárólag az ilyen adatok gyűjtésének, tárolásának és törlésének minimumfeltételeit meghatározó általános hatályú rendelkezést jelenti, vagy a nemzeti bíróságok e feltételeket pontosító ítélkezési gyakorlata szintén e fogalom alá tartozhat.
43 E tekintetben emlékeztetni kell arra, hogy a 2016/680 irányelv 3. cikkének 12. és 13. pontjával összefüggésben értelmezett 3. cikkének 2. pontja értelmében a biometrikus és genetikai adatok gyűjtése, tárolása és törlése ezen irányelv értelmében személyes adatok kezelésének minősül.
44 A 2016/680 irányelv 4. cikke különböző elveket fogalmaz meg ezekre az adatkezelésekre vonatkozóan, amelyek – amint az ezen irányelv (1) és (2) preambulumbekezdéséből kitűnik – azt tükrözik, hogy miként kívánta az uniós jogalkotó a Charta 52. cikkében foglalt korlátok között konkretizálni a természetes személyeknek a személyes adataik védelméhez való, a Charta 8. cikkében elismert alapvető jogát, amely jog szorosan kapcsolódik a Charta 7. cikkében foglalt „a magánélet tiszteletben tartásához való joghoz”, figyelembe véve a bűncselekmények megelőzésével, nyomozásával, felderítésével, a vádeljárás lefolytatásával vagy a büntetőjogi szankciók végrehajtásával kapcsolatos tevékenységek sajátos jellegét.
45 Ezen elvek között a 2016/680 irányelv 4. cikke (1) bekezdésének a) pontja úgy rendelkezik, hogy a személyes adatok kezelését jogszerűen és tisztességesen kell végezni.
46 A 2016/680 irányelv 8. cikkének (1) bekezdése e tekintetben pontosítja, hogy a tagállamoknak biztosítaniuk kell, hogy a személyes adatok ezen irányelv hatálya alá tartozó kezelése csak akkor és kizárólag annyiban legyen jogszerű, ha és amennyiben olyan feladat ellátásához szükséges, amelyet valamely illetékes hatóság az említett irányelv 1. cikkének (1) bekezdésében meghatározott célokból végez, és uniós vagy tagállami jog alapján történik.
47 Ezenkívül ugyanezen irányelv 8. cikkének (2) bekezdése értelmében az ilyen adatok kezelése csak akkor lehetséges, ha az ilyen adatkezelést szabályozó tagállami jogszabály rendelkezik legalább az adatkezelés célkitűzéseiről, a kezelendő személyes adatokról és az adatkezelés céljairól.
48 Ami a személyes adatok bizonyos kategóriáit, mint például a biometrikus vagy genetikai adatokat illeti, a 2016/680 irányelv 10. cikke fokozott védelmet kíván biztosítani azáltal, hogy az ilyen adatok kezelése jogszerűségének szigorúbb feltételeit határozza meg (lásd ebben az értelemben: 2024. január 30‑i Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia ítélet, C‑118/22, EU:C:2024:97, 48. pont; 2024. október 4‑i Bezirkshauptmannschaft Landeck [Mobiltelefonon tárolt személyes adatokhoz való hozzáférésre tett kísérlet] ítélet, C‑548/21, EU:C:2024:830, 107. pont). Az adatok e kategóriái ugyanis – amint azt ezen irányelv (37) preambulumbekezdése hangsúlyozza – természetüknél fogva különösen érzékenyek az alapvető jogok és szabadságok szempontjából, mivel az ilyen adatok kezelésének körülményei jelentős kockázatot hordozhatnak az érintettek jogaira és szabadságaira nézve.
49 Így a 2016/680 irányelv 10. cikke alapján bármely adatkezelés, amely az e cikkben kimerítő jelleggel felsorolt kategóriák valamelyikébe tartozó személyes adatokat (a továbbiakban: különleges személyes adatok) érint, csak az uniós vagy tagállami jog alapján lehet megengedett.
50 Ebből az következik, hogy a 2016/680 irányelv 8. és 10. cikke az ezen irányelv 4. cikkében foglalt egyes elvek tartalmának pontos meghatározására irányul, amely elvek az említett irányelv hatálya alá tartozó területen konkretizálják többek között a természetes személyeknek a személyes adataik védelméhez való, a Charta 8. cikkében elismert alapvető jogát.
51 Következésképpen az e 8. és 10. cikkben alkalmazott „tagállami jog” fogalom a Charta 8. cikkének (2) bekezdésében foglalt feltételnek – azaz hogy ha a személyes adatokat nem az érintett hozzájárulása alapján kezelik, akkor az adatkezelést valamilyen más, törvényben rögzített jogos okból lehet végezni – a 2016/680 irányelv hatálya alá tartozó területen történő megjelenítéseként értendő, amely feltétel nem más, mint a Charta 52. cikkében előírt azon követelmény tükröződése, miszerint a Chartában elismert alapvető jogok gyakorlása csak törvény által korlátozható. Ez a fogalom tehát a nemzeti jogra mint a személyes adatok kezelésének jogalapjára történő hivatkozás érvényességéhez kapcsolódik.
52 Márpedig, egyrészt, amint azt indítványának 82. pontjában a főtanácsnok kiemelte, a Bíróság az Emberi Jogok Európai Bíróságának állandó ítélkezési gyakorlatára is figyelemmel megállapította, hogy a Charta 8. cikkének (2) bekezdésében szereplő „törvényben rögzített jogos okból” kifejezésben alkalmazott „törvény” fogalmat anyagi, nem pedig alaki értelemben kell érteni (2023. november 16‑i Roos és társai kontra Parlament ítélet, C‑458/22 P, nem tették közzé, EU:C:2023:871, 61. pont). Másrészt az Emberi Jogok Európai Bíróságának ezen ítélkezési gyakorlata szerint az EJEE 8. cikkének (2) bekezdésében foglalt „törvényben meghatározott” kifejezésben szereplő „törvény” fogalom említett értelmezése azt jelenti, hogy ez a kifejezés a hatáskörrel rendelkező bíróságok által értelmezett hatályos szövegre utal (lásd ebben az értelemben: EJEB, 2025. január 23., H. W. kontra Franciaország, CE:ECHR:2025:0123JUD001380521, 65. §).
53 Egyébiránt, amint az a Bíróság ítélkezési gyakorlatából következik, bár az a követelmény, amely szerint a Chartában elismert alapvető jogok gyakorlása csak törvény által korlátozható, magában foglalja, hogy az e jogokba történő beavatkozást lehetővé tevő jogalapnak magának kell meghatároznia e korlátozás terjedelmét, e követelmény ugyanakkor nem zárja ki, hogy egyrészt a szóban forgó korlátozást a különböző helyzetekhez és a változó körülményekhez való alkalmazkodáshoz kellően nyitott módon fogalmazzák meg, másrészt pedig hogy a hatáskörrel rendelkező bíróság adott esetben értelmezés útján pontosíthatja az említett korlátozás konkrét hatályát, figyelembe véve mind a beavatkozást lehetővé tévő e jogi aktus megfogalmazását, mind pedig az említett jogi aktus általános rendszerét és az általa megvalósítani kívánt célokat (lásd analógia útján: 2022. június 21‑i Ligue des droits humains ítélet, C‑817/19, EU:C:2022:491, 114. pont).
54 Következésképpen a 2016/680 irányelv 8. és 10. cikke értelmében vett „tagállami jog” fogalmát a Charta 8. cikkének (2) bekezdése fényében úgy kell érteni, hogy e fogalom utalhat egy kifejezetten az ezen irányelv hatálya alá tartozó adatkezelés végzéséről szóló rendelkezésre, ahogyan azt a nemzeti bíróságok ítélkezési gyakorlatukban értelmezik.
55 Mindenesetre, amint az a jelen ítélet 47. pontjában megállapítást nyert, a 2016/680 irányelv 8. cikkének (2) bekezdése úgy rendelkezik, hogy az ezen irányelv hatálya alá tartozó adatkezelésre csak akkor kerülhet sor, ha a tagállami jog ezen adatkezelést szabályozó rendelkezése meghatározza legalább a célkitűzéseket, a kezelendő személyes adatokat és a célokat.
56 Márpedig ezzel összefüggésben meg kell jegyezni, hogy egyrészt a hivatkozott szóban forgó adatkezelést „szabályozó” tagállami „jog” fordulat azt jelenti, hogy a célkitűzéseket, a kezelendő személyes adatokat és a célokat – legalábbis az elvek szintjén – általános hatályú rendelkezésben kell meghatározni. Másrészt e 8. cikk (2) bekezdése arra irányul, hogy – miként az az említett irányelv (33) preambulumbekezdéséből kifejezetten következik – az adatkezelő tagállam jogának világosnak és pontosnak kell lennie, alkalmazása szempontjából pedig kiszámíthatónak kell lennie az érintettek számára, amint azt a Bíróságnak és az Emberi Jogok Európai Bíróságának az ítélkezési gyakorlata megköveteli.
57 Az Emberi Jogok Európai Bíróságának ítélkezési gyakorlata szerint minden olyan intézkedésnek, amely személyes adatok kezelésének jogalapját képezi, rendelkeznie kell bizonyos jellemzőkkel, nevezetesen – lényegében – először is összhangban kell lennie a magasabb szintű normákkal, ezt követően hozzáférhetőnek kell lennie, végül pedig kellően – azaz az eset körülményeihez képest észszerű mértékben – előre láthatónak kell lennie ahhoz, hogy az érintettek számára lehetővé tegye magatartásuk szabályozását, ami azt feltételezi, hogy az intézkedés kellően egyértelműen meghatározza az illetékes hatóságokra ruházott hatáskörök terjedelmét és gyakorlásuk részletes szabályait (lásd ebben az értelemben többek között: EJEB, 1979. április 26., Sunday Times kontra Egyesült Királyság, CE:ECHR:1979:0426JUD00065387, 25. és 52. §; EJEB, 2008. július 1., Liberty és társai kontra Egyesült Királyság, CE:ECHR:2008:0701JUD005824300, 62. és 63. §; EJEB, 2008. december 4., S. és Marper kontra Egyesült Királyság, CE:ECHR:2008:1204JUD003056204, 95. §).
58 Hasonlóképpen, a Bíróság ítélkezési gyakorlatából kitűnik, hogy a Charta 52. cikkében foglalt törvény általiságra vonatkozó követelménynek való megfelelés érdekében az olyan szabályozásnak, amely beavatkozást jelent a Charta 7. és 8. cikkében biztosított alapvető jogokba, egyértelmű és pontos szabályokat kell tartalmaznia a szóban forgó intézkedés hatálya és alkalmazása vonatkozásában, és minimális követelményeket kell előírnia annak érdekében, hogy azon személyek, akiknek a személyes adatai érintettek, elegendő olyan biztosítékkal rendelkezzenek, amely lehetővé teszi az adataiknak a visszaélések veszélyeivel, valamint az ezen adatokat érintő minden jogellenes hozzáféréssel és felhasználással szembeni hatékony védelmét (lásd: 2014. április 8‑i Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 54. pont; 2015. október 6‑i Schrems ítélet, C‑362/14, EU:C:2015:650, 91. pont).
59 Mivel a 2016/680 irányelv 8. cikkének (2) bekezdése a jelen ítélet 56. és 57. pontjában felidézett követelmények tiszteletben tartásának biztosítására irányul, ebből az következik, hogy az ezen irányelv hatálya alá tartozó célkitűzéseknek, az érintett személyes adatoknak és az adatkezelés céljainak kellően egyértelműen és pontosan ki kell tűnniük magából az ezen adatkezelést szabályozó rendelkezésből ahhoz, hogy úgy lehessen tekinteni, hogy az megfelel az Emberi Jogok Európai Bíróságának ítélkezési gyakorlata és a Charta 52. cikke szerinti, törvény általi szabályozásra vonatkozó követelményeknek.
60 A fentiek összességére tekintettel a harmadik kérdésre azt a választ kell adni, hogy a 2016/680 irányelv 8. és 10. cikkét úgy kell értelmezni, hogy a biometrikus és genetikai adatok gyűjtését, tárolását és törlését illetően az e rendelkezések szerinti „tagállami jog” fogalmát úgy kell érteni, hogy az az ilyen adatok gyűjtésének, tárolásának és törlésének minimumfeltételeit meghatározó általános hatályú rendelkezést jelenti, ahogyan azt a nemzeti bíróságok ítélkezési gyakorlatukban értelmezik, amennyiben ez az ítélkezési gyakorlat hozzáférhető és kellően előre látható.
Az első kérdésről
Az elfogadhatóságról
61 Írásbeli észrevételeiben az Európai Bizottság az első kérdés elfogadhatatlanságának megállapítását kéri azzal az indokkal, hogy JH genetikai anyagának levételére és biometrikus mérésére, amelyeket a cseh rendőrség végzett el, 2016. január 13‑án, vagyis a 2016/680 irányelv 2016. május 5‑i hatálybalépését megelőzően, illetve az ezen irányelv átültetésére az irányelv 63. cikkének (1) bekezdésében meghatározott, 2018. május 6‑i határidő lejárta előtt került sor.
62 Ezzel összefüggésben emlékeztetni kell arra, hogy a Bíróság csak akkor tagadhatja meg a nemzeti bíróságok által előterjesztett előzetes döntéshozatal iránti kérelem elbírálását, ha az uniós jog kért értelmezése nyilvánvalóan nincs összefüggésben az alapügy tényállásával vagy tárgyával, ha a probléma hipotetikus jellegű, vagy ha nem állnak a Bíróság rendelkezésére azok a ténybeli és jogi elemek, amelyek szükségesek ahhoz, hogy az elé terjesztett kérdésekre hasznos választ adhasson (2025. március 20‑i Anib és társai ítélet, C‑728/22–C‑730/22, EU:C:2025:200, 48. pont).
63 A jelen ügyben a 2016/680 irányelv 64. cikke úgy rendelkezik, hogy az irányelv 2016. május 5‑én lép hatályba, míg ezen irányelv 63. cikke rögzíti, hogy a tagállamoknak legkésőbb 2018. május 6‑ig el kell fogadniuk és ki kell hirdetniük azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek szükségesek ahhoz, hogy ennek az irányelvnek megfeleljenek.
64 Mindazonáltal a Bíróság rendelkezésére álló iratokból kitűnik, hogy a 2016. január 13‑án végzett genetikai mintavételekből és biometrikus adatokból JH‑val kapcsolatban gyűjtött személyes adatokat ezt követően is tárolták a cseh rendőrség adatbázisaiban, tehát azokat 2018. május 6. után is kezelték.
65 Márpedig – a 2016/680 irányelv 4. cikkének (2) bekezdésében szabályozott helyzetektől eltekintve – ezen irányelv 4. cikke (1) bekezdésének b) pontjából kitűnik, hogy nem lehet személyes adatokat kezelni, ha gyűjtésüket nem igazolja jogszerű cél.
66 Következésképpen, amint azt indítványának 34. pontjában a főtanácsnok hangsúlyozta, a 2016/680 irányelv hatálybalépése előtt jogszerűen gyűjtött, ezen irányelv hatálya alá tartozó személyes adatok – amelyeket ha az említett irányelv átültetésének időpontját követően, vagy ennek hiányában az átültetésre előírt határidő, azaz 2018. május 6. után gyűjtöttek volna, az ezen irányelv által megállapított elvek megsértésével gyűjtöttek volna – az említett irányelv átültetésének időpontját vagy ennek hiányában az átültetésre nyitva álló határidő lejártát követően nem tárolhatók.
67 A jelen ügyben tehát nem nyilvánvaló, hogy az első kérdés szükségképpen semmilyen összefüggésben nincs az alapügy tényállásával vagy tárgyával, vagy hogy a felvetett probléma hipotetikus jellegű a Bizottság által hivatkozott azon okból, hogy az a 2016/680 irányelv hatálybalépése előtt gyűjtött biometrikus és genetikai adatokra vonatkozik.
68 Egyébiránt, mivel a Bíróság rendelkezésére áll minden olyan ténybeli és jogi elem, amely szükséges ahhoz, hogy az első kérdésre hasznos választ adhasson, az első kérdést elfogadhatónak kell tekinteni.
Az ügy érdeméről
69 Első kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a 2016/680 irányelv 6. cikkét vagy 4. cikke (1) bekezdésének c) pontját ezen irányelv 10. cikkével összefüggésben úgy kell‑e értelmezni, hogy e rendelkezésekkel ellentétes az olyan nemzeti szabályozás, amely különbségtétel nélkül teszi lehetővé a szándékos bűncselekmény elkövetésével vádolt vagy ilyen bűncselekmény elkövetésével gyanúsított bármely személy biometrikus és genetikai adatainak gyűjtését.
70 E tekintetben, ami először is a 2016/680 irányelv 6. cikkét illeti, emlékeztetni kell arra, hogy e cikk annak előírására kötelezi a tagállamokat, hogy az adatkezelő „adott esetben és amennyire lehetséges,” tegyen világos különbséget az érintettek különböző, az említett cikk a)–d) pontjában említett kategóriáinak személyes adatai között, vagyis az olyan személyek, akik tekintetében alapos okkal feltételezhető, hogy bűncselekményt követtek el vagy készülnek elkövetni, a bűncselekmény elkövetéséért elítélt személyek, a bűncselekmény áldozatai, illetve olyan személyek, akikről bizonyos tények alapján okkal feltételezhető, hogy bűncselekmény áldozatai lehetnek, valamint a bűncselekmény kapcsán érintett egyéb felek, például olyan személyek személyes adatai között, akik a bűncselekményekkel kapcsolatos nyomozás vagy az azt követő büntetőeljárás során felszólíthatók vallomástételre, bűncselekményről információval szolgálhatnak, vagy az ugyanezen cikk a) és b) pontjában említett személyekkel kapcsolatban vannak, illetve e személyek bűntársai.
71 E rendelkezés értelmében tehát a tagállamoknak biztosítaniuk kell, hogy az adatkezelő „adott esetben és amennyire lehetséges”, olyan módon tegyen világos különbséget az érintettek különböző kategóriáinak adatai között, hogy ne érje őket a személyes adatok védelméhez való alapvető jogukba való azonos mértékű, a szerint történő különbségtétel nélküli beavatkozás, hogy melyik kategóriába tartoznak, mivel e kategóriákat lényegében az érintett büntetőjogi jogállása alapján kell létrehozni.
72 Amint az a 2016/680 irányelv 6. cikkében szereplő „adott esetben és amennyire lehetséges” kifejezés folytán hangsúlyt kap, a személyek bizonyos kategóriái közötti különbségtételre vonatkozó, e cikk által a tagállamokra rótt kötelezettség nem abszolút jellegű, hanem többek között attól függ, hogy a személyek e kategóriái között minden egyes esetben egyértelmű különbséget lehet‑e tenni (lásd ebben az értelemben: 2023. január 26‑i Ministerstvo na vatreshnite raboti [A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele] ítélet, C‑205/21, EU:C:2023:49, 84. pont), valamint függ az adatkezelés céljaitól is.
73 A jelen ügyben a cseh kormány azt állítja, hogy azt, hogy a kérdést előterjesztő bíróság a gyanúsított személyek kategóriájára utal, úgy kell értelmezni, hogy ez a hivatkozás azokra a személyekre vonatkozik, akikkel a gyorsított nyomozati eljárásban gyanúsítást közöltek, amihez az alapügyben szóban forgó nemzeti szabályozás alapján szükséges, hogy elegendő bizonyíték álljon rendelkezésre annak bizonyítására, hogy az érintett személyek bűncselekményt követtek el, ugyanúgy mint a vádlottak esetében.
74 Márpedig, ha ez így van – aminek a vizsgálata a kérdést előterjesztő bíróság feladata –, a személyek e két kategóriája egy adott adatkezelés szempontjából úgy tekinthető, hogy azok a 2016/680 irányelv 6. cikkének a) pontjában szabályozott kategóriába tartoznak, feltéve hogy a szóban forgó adatkezelés céljai nem teszik szükségessé az említett két kategória közötti különbségtételt.
75 Következésképpen a 2016/680 irányelv 6. cikkét úgy kell értelmezni, hogy e rendelkezéssel nem ellentétes az olyan nemzeti szabályozás, amely különbségtétel nélkül teszi lehetővé a nemzeti jog értelmében vett „szándékos bűncselekmény elkövetésével vádolt” személyek kategóriájába tartozó személyek, illetve az „ilyen bűncselekmény elkövetésével gyanúsított” személyek kategóriájába tartozó személyek biometrikus és genetikai adatainak gyűjtését, amennyiben ezen adatgyűjtés céljai nem teszik szükségessé különbségtételt azon személyek e két kategóriája között, akiknek az adatait e szabályozás alapján gyűjteni lehet.
76 Másodszor, ami a 2016/680 irányelv 4. cikke (1) bekezdésének c) pontját illeti, az említett irányelv 10. cikkével összefüggésben értelmezve, az említett cikkek közül az első úgy rendelkezik, hogy a személyes adatoknak az adatkezelés céljai szempontjából megfelelőek és relevánsak kell lenniük. Ez utóbbi követelmény azt jelenti, hogy a tagállamoknak tiszteletben kell tartaniuk az adatkezelésnek a szóban forgó adatkezelés céljára tekintettel történő minimalizálására vonatkozó elvet.
77 Ami az említett irányelv 10. cikkét illeti, az kimondja, hogy a különleges személyes adatok, köztük a biometrikus és genetikai adatok tekintetében az adatkezelésnek – azon kívül, hogy az a)–c) pontban kimerítő jelleggel felsorolt három eset egyike alá kell tartoznia – két másik feltételnek is meg kell felelnie, nevezetesen egyrészt, hogy lenniük kell az érintett jogaira és szabadságaira vonatkozó megfelelő garanciáknak, másrészt pedig, hogy a tervezett adatkezelésnek feltétlenül szükségesnek kell lennie.
78 Márpedig ami ez utóbbi feltételt illeti, ez először is azt jelenti, hogy e szükségességet a szóban forgó adatkezelés céljaira tekintettel különösen szigorúan kell értékelni, és hogy következésképpen az ilyen adatkezelés csak korlátozott számú esetben tekinthető szükségesnek (lásd ebben az értelemben: 2023. január 26‑i Ministerstvo na vatreshnite raboti [A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele] ítélet, C‑205/21, EU:C:2023:49, 118. pont).
79 A biometrikus és genetikai személyes adatok kezelésének céljait tehát nem lehet túlzottan általános kifejezésekkel megjelölni, hanem azokat kellően pontosan és konkrétan kell meghatározni ahhoz, hogy lehetővé tegyék az említett adatkezelés „feltétlen szükségességének” értékelését (2023. január 26‑i Ministerstvo na vatreshnite raboti [A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele] ítélet, C‑205/21, EU:C:2023:49, 124. pont).
80 E tekintetben, bár kétségtelen, hogy a 2016/680 irányelv nem határozza meg az „adatkezelés céljainak” fogalmát, megállapítható, hogy ezen irányelv 8. cikkének (2) bekezdése kifejezetten különbséget tesz e fogalom és az „adatkezelés célkitűzései” fogalom között. Márpedig az említett irányelv 4. cikke (1) bekezdésének b) pontja úgy rendelkezik, hogy a személyes adatokat érintő adatkezelés céljainak többek között meghatározottnak és egyértelműnek kell lenniük, és ezeket az adatokat nem lehet e célokkal össze nem egyeztethető módon kezelni, míg ugyanezen irányelv 4. cikke (1) bekezdésének c) pontja kimondja, hogy az említett célok szempontjából kell értékelni nevezetesen, hogy az ezen adatkezeléssel érintett személyes adatok megfelelőek és relevánsak‑e, és hogy a szükségesre korlátozódnak‑e.
81 Ebből tehát arra lehet következtetni, hogy az e 8. cikk (2) bekezdése értelmében vett „adatkezelés célkitűzései” fogalom a 2016/680 irányelv 1. cikkének (1) bekezdésében említett általánosabb célokra utal, amelyeket az adatkezelésnek követnie kell ahhoz, hogy ezen irányelv hatálya alá tartozzon, míg a többek között az említett irányelv 8. cikkének (2) bekezdése értelmében vett „adatkezelés céljai” fogalmat úgy kell érteni, hogy az a személyes adatok kezelésének – az adatkezelő által ellátandó feladat, például a bűncselekmények megelőzésével vagy felderítésével, a nyomozás és a vádeljárás lefolytatásával vagy büntetőjogi szankciók végrehajtásával kapcsolatos konkrét feladat szempontjából szükséges – konkrét és meghatározott céljaira vonatkozik.
82 Ezt követően, tekintettel arra, hogy amint az a 2016/680 irányelvnek az arányosság elvével összefüggésben értelmezett (26) preambulumbekezdéséből kitűnik, a nem különleges személyes adatok esetében a szükségesség ezen irányelv értelmében vett feltétele akkor teljesül, ha a szóban forgó adatkezelés célja az érintett személyek alapvető jogait kevésbé sértő eszközökkel észszerű módon nem érhető el, ebből az következik, hogy a különleges személyes adatok kezeléséhez kapcsolódó, az adatkezelés feltétlen szükségességére vonatkozó feltétel alapján az adatkezelőnek meg kell győződnie arról, hogy a szóban forgó adatkezelés célja nem érhető el ugyanolyan hatékonyan a 2016/680 irányelv 10. cikkében felsorolt adatkategóriákon kívüli más adatkategóriák felhasználásával (lásd ebben az értelemben: 2023. január 26‑i Ministerstvo na vatreshnite raboti [A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele] ítélet, C‑205/21, EU:C:2023:49, 126. pont).
83 Egyébiránt, tekintettel azon jelentős kockázatokra, amelyekkel a különleges személyes adatok kezelése az érintettek jogaira és szabadságaira nézve, különösen az illetékes hatóságoknak a 2016/680 irányelv 1. cikkének (1) bekezdésében meghatározott célok érdekében végzendő feladataival összefüggésben jár, a „feltétlen szükségesség” feltétele azt jelenti, hogy figyelembe kell venni a szóban forgó adatkezeléssel elérni kívánt cél különös jelentőségét, e jelentőség pedig többek között e cél jellegének figyelembevételével értékelhető, továbbá az alapján, hogy az adatkezelés a bűncselekmények vagy a közbiztonságot érintő, bizonyos fokú súlyosságot mutató fenyegetések megelőzésével, az ilyen bűncselekmények üldözésével vagy az ilyen veszélyekkel szembeni védelemmel kapcsolatos konkrét és meghatározott célt szolgál, valamint azon sajátos körülmények fényében, amelyek között az említett adatkezelést végzik (lásd ebben az értelemben: 2023. január 26‑i Ministerstvo na vatreshnite raboti [A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele] ítélet, C‑205/21, EU:C:2023:49, 127. pont).
84 Mindenesetre, ami a szándékos bűncselekmény elkövetésével vádolt vagy ilyen bűncselekmény elkövetésével gyanúsított személyek biometrikus és genetikai adatainak e személyek jövőbeli azonosítása és összehasonlítása céljából történő gyűjtését illeti, ezen adatgyűjtés feltétlenül szükséges jellege kapcsán figyelembe kell venni az összes releváns tényezőt, így különösen a gyanúsítás tárgyát képező állítólagos bűncselekmény jellegét és súlyosságát, e bűncselekmény különleges körülményeit, a bűncselekmény és más folyamatban lévő eljárások közötti esetleges kapcsolatot, a büntetett előéletet vagy az érintett személy egyéni profilját (lásd ebben az értelemben: 2023. január 26‑i Ministerstvo na vatreshnite raboti [A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele] ítélet, C‑205/21, EU:C:2023:49, 132. pont).
85 Végül a „feltétlen szükségesség” feltétele az ezen irányelv 4. cikke (1) bekezdésének c) pontjában kimondott, az érintett adatok kezelése során követett adattakarékosság elvének való megfelelés különösen szigorú ellenőrzését jelenti (lásd: 2023. január 26‑i Ministerstvo na vatreshnite raboti [A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele] ítélet, C‑205/21, EU:C:2023:49, 125. pont).
86 Közelebbről, a személyek DNS‑éből kinyert adatok azonosítási vagy összehasonlítási célból történő tárolásával vagy felhasználásával összefüggésben ez az elv azt jelenti, hogy az ilyen adatkezelés feltétlen szükségességének értékeléséhez kellőképpen szem előtt kell tartani azt a lehetőséget, hogy kizárólag nem kódoló DNS‑szakaszok polimorfizmusait használják fel, vagyis azokat a DNS‑szakaszokat, amelyek esetén ismert, hogy e személyek etnikai hovatartozására vagy genetikai betegségeire vonatkozóan semmilyen információt nem közvetítenek.
87 Következésképpen, noha a 2016/680 irányelvnek megfelelhet a tagállam akár úgy, hogy az illetékes hatóságokra telepíti, hogy az egyes egyedi esetekben gondoskodjanak arról, hogy a különleges személyes adatokat érintő valamennyi adatkezelés tekintetében teljesüljön a feltétlen szükségességre vonatkozó feltétel, akár pedig, hogy a jogalkotás szintjén határoz meg olyan értékelési szempontokat, amelyeket ezt követően a hatóságoknak – nem diszkrecionális módon – alkalmazniuk kell, e második esetben e szempontoknak olyanoknak kell lenniük, amelyek megfelelnek az ugyanezen feltételből eredő valamennyi követelménynek a jelen ítélet 77–83. pontjában kifejtettek szerint.
88 Így a 2023. január 26‑i Ministerstvo na vatreshnite raboti (A biometrikus és genetikai adatok rendőrség általi nyilvántartásba vétele) ítéletben (C‑205/21, EU:C:2023:49, 135. pont) a Bíróság kimondta, hogy az a nemzeti szabályozás, amely előírja a közvádra üldözendő szándékos bűncselekménnyel gyanúsított személy biometrikus és genetikai adatainak nyilvántartásba vételük céljából történő rendszeres gyűjtését, anélkül hogy rendelkezne az illetékes hatóság azon kötelezettségéről, hogy ellenőrizze és bizonyítsa egyrészt azt, hogy ezen adatgyűjtés feltétlenül szükséges a kitűzött konkrét és meghatározott célok eléréséhez, másrészt azt, hogy e célok nem érhetők el az érintett személy jogaiba és szabadságaiba való, kevésbé súlyos beavatkozást megvalósító intézkedésekkel, ellentétes a feltétlen szükségesség e feltételével.
89 Mindemellett, míg az ezen ítélet alapjául szolgáló ügyben szóban forgó szabályozásban előírt adatgyűjtés kötelező jelleggel alkalmazandó volt a közvádra üldözendő szándékos bűncselekmények elkövetésével gyanúsított valamennyi személyre, a jelen ügyben előterjesztett első kérdés egy olyan szabályozásra vonatkozik, amely csupán lehetőséget biztosít a rendőrség számára, hogy a szándékos bűncselekmény elkövetésével vádolt vagy gyanúsított személyek vonatkozásában biometrikus és genetikai adatokat rögzítsenek.
90 Márpedig az a tény, hogy egy szabályozás ilyen lehetőséget biztosít a rendőrség számára, nem jelenti azt, hogy az érintett tagállam joga lehetővé tenné ezen adatgyűjtés rendszeres jelleggel történő végzését, vagy azt, hogy az adatgyűjtést többek között a 2016/680 irányelv 4. cikke (1) bekezdésének c) pontjában az adatkezeléssel kapcsolatban kimondott adattakarékossági elv vagy az érintett adatkezelések tekintetében előírt feltétlen szükségességre vonatkozó, ezen irányelv 10. cikkében foglalt feltétel megsértésével lehetne végezni, amennyiben e jog – ideértve a nemzeti bíróságok ítélkezési gyakorlatát is – megfelelően és kellően pontosan meghatározza az ilyen biometrikus és genetikai adatok kezelésének céljait, vagyis a személyes adatok kezelésének az adatkezelő által ellátandó feladat szempontjából szükséges konkrét és meghatározott céljait, és amennyiben e lehetőség gyakorlása során teljesülnek a jelen ítélet 77–83. pontjában kifejtett követelmények.
91 Így a Bíróság rendelkezésére álló információkból kitűnik, hogy a jelen ügyben a nemzeti ítélkezési gyakorlatból következnek bizonyos követelmények, amelyek ezen elv tiszteletben tartásának biztosítására irányulnak, amilyen például a rendőrség azon kötelezettsége, hogy a DNS‑mintavétel előtt figyelembe vegye különösen az elkövető büntetett előéletét, azon bűncselekménynek a bűncselekménytípus szerinti súlyosságát és konkrét körülményeit, amelynek kapcsán sor került a mintavételre, valamint az elkövető személyiségét.
92 Ebben a helyzetben a nemzeti bíróságok feladata, hogy az egyes egyedi ügyekben megvizsgálják, hogy a rendőrség az adatgyűjtést a személyes adatok kezelését szabályozó, a 2016/680 irányelv 4. cikkében kimondott elvek, valamint az ezen irányelvnek a Charta 7. és 8. cikkének fényében értelmezett 10. cikkében foglalt, a különleges személyes adatok kezelésére alkalmazandó különleges követelmények megsértésével végezték‑e.
93 Ezzel összefüggésben továbbá azt is hangsúlyozni kell, hogy önmagában azon körülmény alapján, hogy az érintettnek felrótt bűncselekmény gazdasági jellegű, és hogy e személy biometrikus és genetikai adatainak gyűjtésére az előtt kerül sor, hogy őt jogerősen elítélnék, nem kizárt, hogy az ilyen adatgyűjtést feltétlenül szükségesnek lehessen tekinteni, mivel céljaira tekintettel az említett adatgyűjtés – az érintett adatok típusára tekintettel is – feltétlenül szükségesnek bizonyulhat, többek között annak megállapításához, hogy az említett személy egy bűnszervezetben való esetleges részvétele miatt részt vehetett‑e más bűncselekményekben, amelyek esetében az ilyen jellegű adatok relevánsak lehetnek, vagy azért, hogy e személyt azonosítani lehessen, ha fennáll a szökés veszélye.
94 A fentiek összességére tekintettel az első kérdésre azt a választ kell adni, hogy a 2016/680 irányelv 6. cikkét és 4. cikke (1) bekezdésének c) pontját ezen irányelv 10. cikkével összefüggésben úgy kell értelmezni, hogy e rendelkezésekkel nem ellentétes az olyan nemzeti szabályozás, amely különbségtétel nélkül teszi lehetővé a szándékos bűncselekmény elkövetésével vádolt vagy ilyen bűncselekmény elkövetésével gyanúsított bármely személy biometrikus és genetikai adatainak gyűjtését, amennyiben egyrészt ezen adatgyűjtés céljai nem teszik szükségessé a személyek e két kategóriája közötti különbségtételt, másrészt pedig az adatkezelők a nemzeti jog alapján – ideértve a nemzeti bíróságok ítélkezési gyakorlatát is – kötelesek tiszteletben tartani az említett irányelv 4. és 10. cikkében foglalt valamennyi elvet és különös követelményt.
A második kérdésről
95 Elöljáróban meg kell állapítani, hogy bár a második kérdés megfogalmazásában a kérdést előterjesztő bíróság olyan nemzeti szabályozásra hivatkozik, amely azt eredményezi, hogy az érintett személyes adatokat az esetek többségében „határozatlan ideig” tárolják, a Bíróság rendelkezésére álló iratokból kitűnik, hogy „határozatlan idő” alatt a bíróság végső soron arra a körülményre kíván utalni, hogy nincs meghatározva a tárolás maximális időtartama, nem pedig arra, hogy e tárolás időben korlátlan.
96 Következésképpen úgy kell értelmezni, hogy második kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a 2016/680 irányelv 4. cikke (1) bekezdésének e) pontját úgy kell‑e értelmezni, hogy e rendelkezéssel ellentétes az olyan nemzeti szabályozás, amelynek értelmében a biometrikus és genetikai adatok tárolása fenntartásának szükségességét a rendőrség belső szabályok alapján értékeli, úgy, hogy e szabályozás nem rendelkezik a tárolás maximális időtartamáról.
97 E tekintetben a 2016/680 irányelv 4. cikke (1) bekezdésének e) pontja úgy rendelkezik, hogy a tagállamok előírják, hogy a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az ezen adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.
98 Ami először is azt a körülményt illeti, hogy az érintett nemzeti szabályozás nem ír elő maximális tárolási időtartamot, emlékeztetni kell arra, hogy a 2016/680 irányelv 4. cikke (1) bekezdésének e) pontjában foglalt követelményekkel összhangban ezen irányelv 5. cikke arra kötelezi a tagállamokat, hogy megfelelő határidőket állapítsanak meg a személyes adatok törlésére vagy tárolása szükségességének rendszeres felülvizsgálatára, valamint olyan eljárásjogi intézkedéseket vezessenek be, amelyek lehetővé teszik e határidők tiszteletben tartásának biztosítását.
99 Ezzel szemben az említett irányelv 5. cikke a tagállamokra bízza az említett határidők megállapítását, feltéve hogy azok „megfelelőek”, valamint annak eldöntését, hogy azok az említett adatok törlésére vagy tárolásuk szükségességének rendszeres felülvizsgálatára vonatkoznak‑e.
100 Kétségtelen, hogy a 2016/680 irányelv 4. cikke (1) bekezdésének e) pontját és 5. cikkét többek között ezen irányelv 10. cikkével összefüggésben kell értelmezni, így a biometrikus vagy genetikai adatok tárolásának feltétlenül szükségesnek kell lennie, és az érintett jogaira és szabadságaira vonatkozó megfelelő garanciákat kell nyújtania.
101 Ha azonban egy tagállam megfelelő határidőket állapít meg a személyes adatok tárolása szükségességének rendszeres felülvizsgálatára, és ha az ilyen felülvizsgálat során értékelni kell, hogy e tárolás meghosszabbítása feltétlenül szükséges‑e, akkor az érintett tagállam jogát úgy kell tekinteni, hogy az megfelel e követelményeknek. Így e tagállam nem köteles olyan abszolút időbeli korlátokat meghatározni ezen adatok tárolására vonatkozóan, amelyen túl azokat automatikusan törölni kellene, még akkor sem, ha a tárolt adatok különleges személyes adatok (lásd ebben az értelemben: 2024. január 30‑i Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia ítélet, C‑118/22, EU:C:2024:97, 52. pont).
102 Ezzel szemben ahhoz, hogy az ilyen rendszeres felülvizsgálatra vonatkozó határidők megfelelőnek minősüljenek, egyrészt az szükséges, hogy a 2016/680 irányelv 4. cikke (1) bekezdésének a Charta 52. cikkének (1) bekezdésével összefüggésben értelmezett c) és e) pontjában foglaltaknak megfelelően az addig tárolt személyes adatokat az ezen irányelv 16. cikkének (2) és (3) bekezdése szerinti feltételek mellett töröljék, ha a lefolytatott felülvizsgálatok valamelyike alapján ugyanezen adatok tárolása már nem bizonyul feltétlenül szükségesnek, és következésképpen az elérni kívánt célok szempontjából túlzott mértékű (lásd ebben az értelemben: 2024. január 30‑i Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia ítélet, C‑118/22, EU:C:2024:97, 45., 48. és 50. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
103 Másrészt – tekintettel a 2016/680 irányelv 4. cikke (1) bekezdésének c) pontjában foglalt követelményekre, miszerint a személyes adatoknak az adatkezelés céljai szempontjából megfelelőek és relevánsak kell lenniük, és a szükségesre kell korlátozódniuk, arra a körülményre, hogy e rendelkezést és ezen irányelv 8. cikkét a Charta 52. cikkéből fakadó követelmények fényében kell értelmezni, valamint az említett irányelv 6. cikkében az adatkezelő számára előírt azon kötelezettségre, hogy adott esetben tegyen világos különbséget az érintettek különböző kategóriáinak személyes adatai között – a felülvizsgálatra vonatkozó e határidők nem tekinthetők megfelelőnek, ha az érintett büntetőjogi jogállásában beállt változások, amelyek e tárolás célja szempontjából relevánsnak minősülnek, nem vonják maguk után az adatkezelő azon kötelezettségét, hogy észszerű határidőn belül felülvizsgálja az e személyre vonatkozó adatok tárolásának szükségességét.
104 Másodszor, ami azt a körülményt illeti, hogy a biometrikus és genetikai adatok tárolása fenntartásának szükségességét a rendőrség belső szabályok alapján értékeli, ez a körülmény önmagában nem ellentétes a 2016/680 irányelv 8. cikkének (2) bekezdésével, amennyiben e belső szabályok alapján e rendőri szervek kötelesek gondoskodni az ezen adatok tárolásának feltétlen szükségességére vonatkozó feltétel tiszteletben tartásáról, és amennyiben e rendőri szervek mérlegelési mozgásterét a nemzeti jog – ideértve a nemzeti bíróságok ítélkezési gyakorlatát is – kellően körbehatárolja.
105 E szabályok ugyanis belső szabályok, tehát nem hozzáférhetők valamennyi olyan személy számára, akiknek a személyes adatai adatkezelés tárgyát képezhetik, és jóllehet ennek következtében az illetékes hatóságok nem hivatkozhatnak az ilyen szabályokra annak bizonyítása érdekében, hogy betartották a rájuk vonatkozó követelményeket, ugyanakkor e körülmény nem jár azzal a következménnyel, hogy a személyes adatokra vonatkozóan e szabályokra tekintettel elhatározott adatkezelések automatikusan jogellenessé válnának, hanem az következik belőle, hogy adott esetben egy ilyen adatkezelést elrendelő határozattal szembeni jogorvoslat esetén a rendőrségnek e belső szabályoktól függetlenül kell bizonyítania az illetékes bíróság előtt, hogy a „feltétlen szükségesség” feltétele megfelelően teljesült.
106 A jelen ügyben egyrészt a cseh kormány álláspontja az, és ennek vizsgálata a kérdést előterjesztő bíróság feladata, hogy a cseh rendőrségről szóló törvény 65. §‑ának (5) bekezdése alapján a szándékos bűncselekmény elkövetésével vádolt vagy ilyen bűncselekmény elkövetésével gyanúsított személyek DNS‑profiljait törölni kell, ha tárolásuk az elérni kívánt célokra tekintettel már nem szükséges, vagyis ha e személyek vád alá helyezése vagy gyanúsítása megszűnik, és ha e személyeket más büntetőeljárásban sem vonják vád alá vagy nem gyanúsítják, továbbá ha korábban más bűntettet vagy vétséget nem követtek el.
107 Ezzel összefüggésben mindazonáltal emlékeztetni kell arra, hogy a biometrikus és genetikai adatok tárolása csak akkor tekinthető olyannak, mint amely megfelel a 2016/680 irányelv 10. cikke értelmében vett azon követelménynek, amely szerint kezelésük csak akkor megengedett, „ha arra feltétlenül szükség van”, ha figyelembe veszi nemcsak az érintett személy más folyamatban lévő eljárásokkal való esetleges kapcsolatát vagy előéletét, illetve profilját, hanem a jogerős büntetőítélet alapjául szolgáló bűncselekmény jellegét vagy súlyát, vagy más olyan körülményeket, mint például e bűncselekmény elkövetésének sajátos körülményeit (lásd ebben az értelemben: 2024. január 30‑i Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia ítélet, C‑118/22, EU:C:2024:97, 67. pont).
108 Másrészt, bár a cseh jog nem határozza meg a cseh rendőrségről szóló törvény 65. §‑ának (1) bekezdése alapján gyűjtött személyes adatok tárolásának maximális időtartamát, e törvény 82. §‑ának (1) bekezdése mindazonáltal kötelezi a rendőrséget, hogy legalább háromévente vizsgálja felül, hogy ezen adatok tárolása továbbra is szükséges‑e a feladatai ellátásához.
109 Ennélfogva a kérdést előterjesztő bíróság feladata annak megállapítása, hogy az érintett biometrikus és genetikai adatok tárolásának céljaira tekintettel az ilyen hároméves felülvizsgálati határidő megfelelőnek tekinthető‑e, azzal azonban, hogy ellenkező esetben ezeknek az adatoknak a törlése nem lenne szükséges, ha megállapítást nyerne, hogy további tárolásuk mindenképpen feltétlenül szükséges.
110 A fentiek összességére tekintettel a második kérdésre azt a választ kell adni, hogy a 2016/680 irányelv 4. cikke (1) bekezdésének e) pontját úgy kell értelmezni, hogy e rendelkezéssel nem ellentétes az olyan nemzeti szabályozás, amelynek értelmében a biometrikus és genetikai adatok tárolása fenntartásának szükségességét a rendőrség belső szabályok alapján értékeli, úgy, hogy e szabályozás nem rendelkezik a tárolás maximális időtartamáról, amennyiben az említett szabályozás megfelelő határidőket állapít meg ezen adatok tárolása szükségességének rendszeres felülvizsgálatára, és ha e felülvizsgálat során értékelni kell, hogy az adatok tárolásának meghosszabbítása feltétlenül szükséges‑e.