III.
C-470/21. sz. La Quadrature du Net és társai ügyben 2024. április 30-án hozott ítélet
A 2009. november 25-i 2009/136/EK európai parlamenti és tanácsi irányelvvel módosított, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről szóló, 2002. július 12-i 2002/58/EK európai parlamenti és tanácsi irányelv („Elektronikus hírközlési adatvédelmi irányelv”) 15. cikkének (1) bekezdését az Európai Unió Alapjogi Chartája 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben
a következőképpen kell értelmezni:
azzal nem ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a szerzői és szomszédos jogoknak az interneten elkövetett jogsértésekkel szembeni védelméért felelős hatóság számára a nyilvánosan elérhető elektronikus hírközlési szolgáltatást nyújtók által megőrzött, az IP-címnek megfelelő, személyazonosságra vonatkozó, a jogtulajdonosok szervezetei által előzetesen gyűjtött adatokhoz való hozzáférést annak érdekében, hogy e hatóság azonosítani tudja a valószínűsíthetően jogsértésnek minősülő tevékenységekhez használt címek jogosultjait, és adott esetben velük szemben intézkedéseket hozhasson, feltéve hogy e szabályozás értelmében
– ezeket az adatokat olyan feltételek és technikai eljárások mellett őrzik meg, amelyek biztosítják annak kizárását, hogy e megőrzés lehetővé tegye az e jogosultak magánéletére vonatkozó pontos következtetések levonását, például részletes profiljuk megállapítása révén, ami különösen azáltal érhető el, hogy az elektronikus hírközlési szolgáltatók számára a személyes adatok különböző kategóriáinak – mint például a személyazonosságra vonatkozó adatok, az IP-címek, valamint a forgalmi és helymeghatározó adatok – oly módon történő megőrzésére vonatkozó kötelezettséget írnak elő, amely biztosítja a különböző adatkategóriák valóban teljes elkülönítését, megakadályozva az adatmegőrzés szakaszában e különböző adatkategóriák bármilyen összekapcsolt felhasználását, és a megőrzés időtartama a szigorúan szükséges mértéket nem haladja meg,
– e hatóságnak az ilyen, valóban teljesen elkülönítetten megőrzött adatokhoz való hozzáférése kizárólag a bűncselekmény elkövetésével gyanúsítható személy azonosítására szolgál, és azt az annak kizárásához szükséges garanciák övezik, hogy az atipikus helyzetek kivételével e hozzáférés lehetővé tegye az IP-címek jogosultjainak magánéletére vonatkozó pontos következtetések levonását, például részletes profiljuk megállapítása révén, ami különösen azt jelenti, hogy e hatóság ilyen hozzáférésre jogosult tisztviselői számára tilos, hogy az általuk megtekintett fájlok tartalmára vonatkozó információkat bármilyen formában – az ügyészséghez fordulást mint egyetlen célt kivéve – nyilvánosságra hozzák, e jogosultak böngészési útvonalát nyomon kövessék, és általánosabban, hogy ezen IP-címeket a jogosultjaiknak a velük szembeni esetleges intézkedések elfogadása végett történő azonosításától eltérő célra használják fel,
– az említett hatóságnak a tényállás kivizsgálásával megbízott tisztviselőit megillető azon lehetőség, hogy ezeket az adatokat összekapcsolják azon védett művek címének megismerését lehetővé tévő elemeket tartalmazó fájlokkal, amelyek interneten való hozzáférhetővé tétele az IP-címeknek a jogtulajdonosok szervezetei általi gyűjtését indokolta, a szerzői vagy szomszédos jogokat sértő tevékenység ugyanazon személy általi megismétlése esetén bírósági vagy független közigazgatási szerv általi olyan felülvizsgálattól függ, amely nem lehet teljesen automatizált, és amelyet az összekapcsolást megelőzően végeznek el, mivel ez az összekapcsolás ilyen esetben lehetővé teheti a valószínűsíthetően szerzői vagy szomszédos jogokat sértő tevékenységhez használt IP-cím jogosultjának magánéletére vonatkozó pontos következtetések levonását,
– a hatóság által alkalmazott adatkezelési rendszert egy, e hatósághoz képest harmadik félként eljáró független szerv rendszeresen ellenőrzi, a rendszer integritásának – beleértve az ilyen adatokhoz való hozzáférés és azok visszaélésszerű vagy jogellenes felhasználásának kockázatával szembeni tényleges garanciákat –, valamint a rendszernek az esetleges jogsértések felderítését illető hatékonyságának és megbízhatóságának vizsgálatára kiterjedően.
1 Az előzetes döntéshozatal iránti kérelem a 2009. november 25-i 2009/136/EK európai parlamenti és tanácsi irányelvvel (HL 2009. L 337., 11. o.; helyesbítés: HL 2013. L 241., 9. o.) módosított, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről szóló, 2002. július 12-i 2002/58/EK európai parlamenti és tanácsi irányelvnek (elektronikus hírközlési adatvédelmi irányelv) (HL 2002. L 201., 37. o.; magyar nyelvű különkiadás 13. fejezet, 29. kötet, 514. o.; a továbbiakban: 2002/58 irányelv) az Európai Unió Alapjogi Chartája (a továbbiakban: Charta) fényében történő értelmezésére irányul.
2 E kérelmet a La Quadrature du Net, a Fédération des fournisseurs d’accès à Internet associatifs, a Franciliens.net, valamint a French Data Network egyesületek és a Premier ministre (miniszterelnök, Franciaország), illetve a ministre de la Culture (kulturális miniszter, Franciaország) között a décret no 2017-924, du 6 mai 2017, relatif à la gestion des droits d’auteur et des droits voisins par un organisme de gestion de droits et modifiant le code de la propriété intellectuelle (a szerzői és szomszédos jogok jogkezelő szervezet általi kezeléséről és a szellemi tulajdonjogi törvénykönyv módosításáról szóló, 2017. május 6-i 2017-924. számú rendelet, a JORF 2017. május 10-i 109. száma, 176. sz. szöveg) által módosított décret no 2010-236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du code de la propriété intellectuelle dénommé «Système de gestion des mesures pour la protection des œuvres sur internet» (a szellemi tulajdonról szóló törvénykönyv L. 331-29. cikke által engedélyezett, „Az internetes művek védelmét szolgáló intézkedések irányítási rendszere” néven ismert, a személyes adatok automatizált kezeléséről szóló, 2010. március 5-i 2010-236. sz. rendelet, a JORF 2010. március 7-i 56. száma, 19. sz. szöveg; a továbbiakban: 2010-236. sz. rendelet) jogszerűsége tárgyában folyamatban lévő eljárásban terjesztették elő.
Az alapeljárás
41 Az alapeljárás felperesei, mivel a miniszterelnök hallgatólagosan elutasította a 2010-236. sz. rendelet hatályon kívül helyezése iránti kérelmüket, 2019. augusztus 12-i keresetlevelükkel keresetet nyújtottak be a Conseil d’État-hoz (államtanács, Franciaország) e hallgatólagos elutasító határozat megsemmisítése iránt. Lényegében azzal érveltek, hogy az e rendelet jogalapjának részét képező CPI L. 331-21. cikkének harmadik, negyedik és ötödik bekezdése egyrészt ellentétes a francia alkotmányban rögzített, a magánélet tiszteletben tartásához való joggal, másrészt pedig sérti az uniós jogot, különösen a 2002/58 irányelv 15. cikkét, valamint a Charta 7., 8., 11. és 52. cikkét.
42 A keresetnek az alkotmány állítólagos megsértésére vonatkozó vetületét illetően a Conseil d’État (államtanács) elsőbbségi alkotmányossági kérdéssel fordult a Conseil constitutionnelhez (alkotmánytanács, Franciaország).
43 A La Quadrature du Net és társai (A Hadopi közléshez való joga) 2020. május 20-i 2020-841 QPC. sz. határozatával a Conseil constitutionnel (alkotmánytanács) alkotmányellenesnek nyilvánította a CPI L. 331-21. cikkének harmadik és negyedik bekezdését, ugyanakkor – az abban szereplő „többek között” kifejezés kivételével – az említett cikk ötödik bekezdését az alkotmánnyal összeegyeztethetőnek nyilvánította.
44 A keresetnek az uniós jog állítólagos megsértésére vonatkozó vetületét illetően az alapeljárás felperesei különösen azt állították, hogy a 2010-236. sz. rendelet és az annak jogalapját képező rendelkezések aránytalan módon lehetővé teszik a csatlakozási adatokhoz való hozzáférést az interneten elkövetett, nem súlyos szerzői jogi jogsértések esetén, anélkül, hogy bíróság vagy a függetlenség és pártatlanság garanciáit biztosító hatóság előzetes felülvizsgálatot gyakorolna. Közelebbről, e jogsértések nem tartoznak a 2016. december 21-i Tele2 Sverige és Watson és társai ítéletben (C-203/15 és C-698/15, EU:C:2016:970) említett „súlyos bűncselekmények” körébe.
45 E tekintetben a Conseil d’État (államtanács) emlékeztet egyrészt arra, hogy a 2020. október 6-i La Quadrature du Net és társai ítéletben (C-511/18, C-512/18 és C-520/18, EU:C:2020:791) a Bíróság többek között kimondta, hogy a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdésével nem ellentétesek az olyan jogszabályi intézkedések, amelyek a nemzetbiztonság védelme, a bűnözés elleni küzdelem és a közbiztonság védelme érdekében az elektronikus hírközlési eszközök felhasználóinak személyazonosságára vonatkozó adatok általános és különbségtétel nélküli megőrzését írják elő. Ennélfogva az elektronikus hírközlési eszközök felhasználóinak személyazonosságára vonatkozó adatok tekintetében az ilyen megőrzés általánosságban a bűncselekmények kivizsgálása, felderítése és üldözése érdekében külön határidő nélkül lehetséges. A 2002/58 irányelvvel nem ellentétes az ezen adatokhoz való ilyen célú hozzáférés sem.
46 A kérdést előterjesztő bíróság ebből azt a következtetést vonja le, hogy az elektronikus hírközlési eszközök felhasználóinak személyazonosságára vonatkozó adatokhoz való hozzáférést illetően el kell utasítani az alapeljárás felpereseinek arra alapított jogalapját, hogy a 2010-236. sz. rendelet jogellenes, mivel azt a nem súlyos bűncselekmények elleni küzdelem keretében fogadták el.
47 Másrészt emlékeztet arra, hogy a 2016. december 21-i Tele2 Sverige és Watson és társai ítéletben (C-203/15 és C-698/15, EU:C:2016:970) a Bíróság többek között kimondta, hogy a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdését úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely anélkül szabályozza a forgalmi és helymeghatározó adatok védelmét és biztonságát, különösen az illetékes nemzeti hatóságoknak a megőrzött adatokhoz való hozzáférését, hogy azt bíróság vagy független közigazgatási szerv előzetes felülvizsgálatához kötné.
48 A kérdést előterjesztő bíróság konkrétabban ezen ítélet 120. pontjára hivatkozik, amelyben a Bíróság pontosította, hogy alapvető fontosságú, hogy a megőrzött adatokhoz való ilyen hozzáférés főszabály szerint – a kellően indokolt sürgős esetek kivételével – valamely bíróság vagy független közigazgatási szerv által végzett előzetes felülvizsgálat tárgyát képezze, és hogy e bíróság vagy szerv különösen megelőzési, felderítési vagy bűnüldözési eljárások keretében az e hatóságok által előterjesztett indokolt kérelmet követően hozza meg határozatát.
49 A Bíróság emlékeztetett e követelményre a 2020. október 6-i La Quadrature du Net és társai ítéletben (C-511/18, C-512/18 és C-520/18, EU:C:2020:791), a csatlakozási adatoknak a hírszerző szolgálatok általi valós idejű gyűjtését illetően, valamint a 2021. március 2-i Prokuratuur (Az elektronikus hírközlési adatokhoz való hozzáférés feltételei) ítéletben (C-746/18, EU:C:2021:152) a nemzeti hatóságoknak a csatlakozási adatokhoz való hozzáférésével összefüggésben.
50 A kérdést előterjesztő bíróság megjegyzi továbbá, hogy a Hadopi a 2009-ben történt létrehozása óta a CPI L. 331-25. cikkében előírt fokozatos válaszadási eljárás keretében több mint 12,7 millió ajánlást intézett előfizetőkhöz, és ebből 827 791 ajánlást csupán 2019-ben. Ezt azt jelenti, hogy a Hadopi jogvédő bizottsága tisztviselőinek szükségszerűen minden évben jelentős mennyiségű adatot kellett gyűjteniük az érintett felhasználók személyazonosságára vonatkozóan. Véleménye szerint az ajánlások mennyiségére tekintettel az adatgyűjtés előzetes felülvizsgálata ellehetetleníthetné az említett ajánlások végrehajtását.
51 E körülmények között a Conseil d’État (államtanács, Franciaország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából kérdéseket terjeszt a Bíróság elé.
Az előzetes döntéshozatalra előterjesztett kérdések
„1) Azon forgalmi és helymeghatározó adatok közé tartoznak-e az IP-címnek megfelelő, személyazonosságra vonatkozó adatok, amelyek főszabály szerint a bíróság vagy kötelező erejű hatáskörrel rendelkező, független közigazgatási szerv általi előzetes felülvizsgálatra vonatkozó kötelezettség hatálya alá tartoznak?
2) Amennyiben az első kérdésre igenlő válasz adandó, valamint tekintettel a felhasználók személyazonosságára vonatkozó adatok, köztük az elérhetőségi adatok kevéssé érzékeny jellegére, úgy kell-e értelmezni a [Chartára] tekintettel értelmezett [2002/58] irányelvet, hogy azzal ellentétes az olyan nemzeti szabályozás, amely a felhasználók IP-címének megfelelő ezen adatok közigazgatási szerv általi gyűjtését bíróság vagy kötelező erejű hatáskörrel rendelkező, független közigazgatási szerv általi előzetes felülvizsgálat nélkül írja elő?
3) Amennyiben a második kérdésre igenlő válasz adandó, valamint tekintettel a személyazonosságra vonatkozó adatok kevéssé érzékeny jellegére és arra, hogy csupán ezek az adatok gyűjthetők, kizárólag a nemzeti jog által pontosan, korlátozó és megszorító módon meghatározott kötelezettségszegések megelőzésének céljára, továbbá tekintettel arra, hogy a minden egyes felhasználó adataihoz való hozzáférés bíróság vagy kötelező erejű hatáskörrel rendelkező harmadik közigazgatási szerv általi szisztematikus felülvizsgálata veszélyeztetné a magára az ezen adatgyűjtést végző független közigazgatási szervre ruházott közszolgálati feladat ellátását, kizárja-e a [2002/58] irányelv, hogy ezt a felülvizsgálatot módosított szabályok szerint, például automatizált felülvizsgálat útján végezzék el, adott esetben az ezen adatgyűjtéssel megbízott tisztviselők tekintetében a függetlenség és a pártatlanság biztosítékaival rendelkező szervezet egy belső szervezeti egységének felügyelete mellett?”
Az előzetes döntéshozatalra előterjesztett kérdésekről
52 Előzetes döntéshozatalra előterjesztett három, együttesen vizsgálandó kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben úgy kell-e értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a szerzői és szomszédos jogoknak az interneten elkövetett jogsértésekkel szembeni védelméért felelős hatóság számára a nyilvánosan elérhető elektronikus hírközlési szolgáltatás nyújtója által megőrzött, az IP-címnek megfelelő, személyazonosságra vonatkozó, a jogtulajdonosok szervezetei által előzetesen gyűjtött adatokhoz való hozzáférést annak érdekében, hogy e hatóság azonosítani tudja a valószínűsíthetően jogsértésnek minősülő tevékenységekhez használt címek jogosultjait, és adott esetben velük szemben intézkedéseket hozhasson, anélkül hogy e hozzáférés bíróság vagy független közigazgatási szerv általi előzetes felülvizsgálatra vonatkozó követelményhez lenne kötve.
Előzetes észrevételek
53 Az alapügyben két különálló és egymást követő személyesadat-kezelésről van szó, amelyekre a Hadopi mint független hatóság tevékenységeinek keretében kerül sor, amelynek feladata a CPI L. 331-13. cikkének megfelelően többek között a szerzői vagy szomszédos jog hatálya alá tartozó műveknek és alkotásoknak a nyilvános online hírközlési szolgáltatások nyújtására használt elektronikus hírközlő hálózatokon elkövetett jogsértésekkel szembeni védelme.
54 Az első, a jogtulajdonosok szervezeteinek felesketett és felhatalmazott tisztviselői által előzetesen végzett kezelésre két lépésben kerül sor. Első lépésként olyan IP-címeket gyűjtenek a peer-to-peer hálózatokon, amelyeket valószínűsíthetően szerzői vagy szomszédos jogok megsértésének minősülő tevékenységekhez használtak. Második lépésként – jegyzőkönyv formájában – a személyes adatok és információk összességét a Hadopi rendelkezésére bocsátják. A 2010-236. sz. rendelet mellékletének 1° pontjában szereplő felsorolás szerint ezek az adatok a következők: a tények napja és időpontja, az érintett előfizetők IP-címe, a használt peer-to-peer protokoll, az előfizető által használt álnév, a tényekkel érintett védett művekre vagy alkotásokra vonatkozó információk, a fájl neve az előfizető számítógépén (ha van ilyen), és az az internetszolgáltató, amelynél a hozzáférésre előfizettek, vagy amely az IP technikai erőforrását biztosította.
55 A második, az internet-hozzáférést nyújtó szolgáltatók által a Hadopi kérésére elvégzett adatkezelés szintén két lépésben zajlik. Első lépésként az előzetesen begyűjtött IP-címeket összekapcsolják e címek jogosultjaival. Második lépésként az említett jogosultakra vonatkozó, lényegében a személyazonosságukkal kapcsolatos személyes adatok és információk összességét e hatóság rendelkezésére bocsátják. Ezek az adatok a 2010-236. sz. rendelet mellékletének 2. pontjában szereplő felsorolás szerint lényegében a családi név és az utónevek, a postai cím és az e-mail-címek, a telefonos elérhetőségek, valamint az előfizető telefonkészülékének címe.
56 Ez utóbbi tekintetben a CPI L. 331-21. cikke ötödik bekezdésének a Conseil constitutionnel (államtanács) jelen ítélet 43. pontjában említett határozatából következő változata előírja, hogy a Hadopi jogvédő bizottságának tagjai és az e hatóság elnöke által felhatalmazott, felesketett tisztviselők beszerezhetik az elektronikus hírközlési szolgáltatóktól azon előfizető személyazonosságát, postai címét, e-mail-címét és telefonszámát, akinek a nyilvános online hírközlési szolgáltatásokhoz való hozzáférését védett művek vagy alkotások többszörözése, megjelenítése, hozzáférhetővé tétele vagy nyilvánossághoz közvetítése céljából a jogosultak engedélye nélkül használták, amennyiben ilyen engedély szükséges.
57 A személyes adatok e különböző kezelései arra irányulnak, hogy lehetővé tegyék a Hadopi számára, hogy az így azonosított IP-címek jogosultjaival szemben megtegye a CPI L. 331-25. cikkében szabályozott, „fokozatos válaszadásnak” nevezett közigazgatási eljárás keretében előírt intézkedéseket. Ezek az intézkedések elsőként figyelmeztetésekhez hasonló „ajánlások” küldésében állnak, később, amennyiben egy második ajánlás küldésétől számított egy éven belül a Hadopi jogvédő bizottságához olyan tények miatt fordulnak, amelyek a megállapított jogsértés megismétlésének minősülhetnek, az előfizetőnek a CPI R. 331-40. cikkében említett tájékoztatásában, mégpedig arról, hogy a tényállás a CPI R. 335-5. cikkében meghatározott „súlyos gondatlanságnak” minősülhet, amely szabálysértés 1500 euró, visszaesés esetén pedig 3000 euró összegű pénzbírsággal büntetendő, végül pedig a határozathozatalt követően a valószínűsíthetően szabálysértésnek, vagy adott esetben a CPI L. 335-2. cikke, illetve e törvénykönyv L. 335-4. cikke szerinti hamisítás vétségének minősülő, három év szabadságvesztéssel és 300 000 euró pénzbüntetéssel büntetendő cselekmények ügyészség elé terjesztésében.
58 Mindemellett a kérdést előterjesztő bíróság által feltett kérdések kizárólag a jelen ítélet 55. pontjában leírt utólagos adatkezelésre vonatkoznak, nem pedig az olyan előzetes kezelésre, amelynek alapvető jellemzőit ugyanezen ítélet 54. pontja ismerteti.
59 Meg kell azonban állapítani, hogy amennyiben az IP-címeknek az jogtulajdonosok érintett szervezetei általi előzetes gyűjtése ellentétes lenne az uniós joggal, ezen adatoknak az elektronikus hírközlési szolgáltatók által végzett, az említett címeknek az ugyanezen címek jogosultjainak személyazonosságára vonatkozó adatokkal való összekapcsolásában megnyilvánuló további adatkezelés keretében történő felhasználása szintén ellentétes lenne e joggal.
60 Ebben az összefüggésben mindenekelőtt emlékeztetni kell arra, hogy a Bíróság ítélkezési gyakorlata szerint az IP-címek mind a 2002/58 irányelv szerinti forgalmi adatoknak, mind pedig az általános adatvédelmi rendelet szerinti személyes adatoknak minősülnek (lásd ebben az értelemben: 2021. június 17-i M. I. C. M. ítélet, C-579/19, EU:C:2021:492, 102. és 113. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
61 E tekintetben azonban meg kell állapítani, hogy nyilvános és mindenki számára látható IP-címeknek a jogtulajdonosok szervezeteinek tisztviselői általi gyűjtése nem tartozik a 2002/58 irányelv hatálya alá, mivel az ilyen adatkezelésre nyilvánvalóan nem az ezen irányelv 3. cikke értelmében vett „[elektronikus] hírközlési szolgáltatások nyújtása” keretében kerül sor.
62 Ezzel szemben, az IP-címeknek a Commission nationale de l’informatique et des libertés (CNIL) (az informatika és a szabadságjogok nemzeti bizottsága, Franciaország) által – amint az a Bírósághoz benyújtott iratokból kitűnik – bizonyos mennyiségi korlátok között és bizonyos feltételek mellett annak érdekében engedélyezett gyűjtése, hogy azokat továbbítsák a Hadopi részére a szerzői és szomszédos jogokat sértő tevékenységek elleni küzdelemre irányuló későbbi közigazgatási vagy bírósági eljárásokban való esetleges felhasználásuk céljából, az általános adatvédelmi rendelet 4. cikkének 2. pontja értelmében vett „adatkezelésnek” minősül, amelynek jogszerűsége az e rendeletnek a Bíróság ítélkezési gyakorlatában, többek között a 2021. június 17-i M. I. C. M. ítéletben (C-597/19, EU:C:2021:492, 102. és 103. pont), valamint a 2023. július 4-i Meta Platforms és társai (Közösségi hálózat általános felhasználási feltételei) ítéletben (C-252/21, EU:C:2023:537, 106–112. pont, valamint az ott hivatkozott ítélkezési gyakorlat) értelmezett 6. cikke (1) bekezdése első albekezdésének f) pontjában meghatározott feltételektől függ.
63 A jelen ítélet 55. pontjában ismertetett utólagos adatkezelés a 2002/58 irányelv hatálya alá tartozik, mivel az az ezen irányelv 3. cikke értelmében vett „[elektronikus] hírközlési szolgáltatások nyújtása” keretében történik, amennyiben a szóban forgó adatokat a CPI L. 331-21. cikkének megfelelően az elektronikus hírközlési szolgáltatóktól szerzik be.
Az online elkövetett hamisítás elleni küzdelem céljából valamely hatóságnak az elektronikus hírközlési szolgáltatók által megőrzött IP-címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hozzáférésének a 2002/58 irányelv 15. cikkének (1) bekezdése alapján történő igazolhatóságáról
64 A fenti előzetes észrevételekre tekintettel felmerül a kérdés, hogy – amint azt a kérdést előterjesztő bíróság is kérdezi – igazolható-e a 2002/58 irányelv 15. cikkének (1) bekezdése alapján a Charta 7., 8. és 11. cikkében biztosított alapvető jogoknak a Hadopihoz hasonló hatóságnak a már rendelkezésére álló IP-címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hozzáférésével járó korlátozása.
65 65 Márpedig az ilyen személyes adatokhoz való hozzáférés csak akkor biztosítható, ha azokat a 2002/58 irányelvnek megfelelően őrizték meg (lásd ebben az értelemben: 2021. március 2-i Prokuratuur [Az elektronikus hírközlési adatokhoz való hozzáférés feltételei] ítélet, C-746/18, EU:C:2021:152, 29. pont).
A személyazonosságra vonatkozó adatoknak és a kapcsolódó IP-címeknek az elektronikus hírközlési szolgáltatók általi megőrzésére vonatkozó követelményekről
66 A 2002/58 irányelv 15. cikkének (1) bekezdése lehetővé teszi a tagállamok számára, hogy kivételeket állapítsanak meg a személyes adatok bizalmas kezelésének biztosítására vonatkozóan az irányelv 5. cikkének (1) bekezdésében előírt alapvető kötelezettség, valamint a többek között az említett irányelv 6. és 9. cikkében említett megfelelő kötelezettségek alól, amennyiben az ilyen jellegű korlátozás egy demokratikus társadalomban szükséges, megfelelő és arányos intézkedésnek minősül a nemzetbiztonság, a nemzetvédelem és a közbiztonság védelme érdekében, illetve a bűncselekmények, illetve az elektronikus hírközlési rendszer jogosulatlan használata megelőzésének, kivizsgálásának, felderítésének és üldözésének a biztosítása érdekében. E célból a tagállamok többek között jogszabályi intézkedéseket fogadhatnak el az adatoknak az e bekezdésben megállapított indokok alapján korlátozott ideig történő megőrzésére vonatkozóan. A 2002/58 irányelv 5., 6. és 9. cikkében előírt jogoktól és kötelezettségektől való eltérés lehetősége mindamellett nem igazolhatja azt, hogy az elektronikus közlések és az azokhoz kapcsolódó adatok titkosságának biztosítására vonatkozó alapvető kötelezettségtől, különösen pedig az ezen adatok tárolásának az irányelv 5. cikkében kifejezetten előírt tilalmától való eltérés váljon főszabállyá (2020. október 6-i La Quadrature du Net és társai ítélet, C-511/18, C-512/18 és C-520/18, EU:C:2020:791, 110. és 111. pont).
67 Mivel e célkitűzéseknek a 2002/58 irányelv 15. cikke (1) bekezdésének első mondatában szereplő felsorolása kimerítő jellegű, az e rendelkezés alapján elfogadott jogszabályi intézkedésnek tehát ténylegesen és szigorúan meg kell felelnie az előző pontban említett célok egyikének, és tiszteletben kell tartania az uniós jog általános elveit, köztük az arányosság elvét és a Charta által biztosított alapvető jogokat. E tekintetben a Bíróság korábban már kimondta, hogy az elektronikus hírközlési szolgáltatók számára nemzeti szabályozással előírt azon kötelezettség, hogy adott esetben az illetékes nemzeti hatóságok számára való hozzáférhetővé tétel céljából megőrizzék a forgalmi adatokat, nemcsak a Chartának a magánélet védelmére, illetve a személyes adatok védelmére vonatkozó 7. és 8. cikkével, hanem a véleménynyilvánítási szabadságra vonatkozó 11. cikkével kapcsolatos kérdéseket is felvet (lásd ebben az értelemben: 2020. október 6-i La Quadrature du Net és társai ítélet, C-511/18, C-512/18 és C-520/18, EU:C:2020:791, 112. és 113. pont).
68 A 2002/58 irányelv 15. cikke (1) bekezdésének értelmezése során tehát figyelembe kell venni mind a Charta 7. cikkében biztosított, magánélet tiszteletben tartásához való jognak, mind pedig a Charta 8. cikkében biztosított, személyes adatok védelméhez való jognak a Bíróság ítélkezési gyakorlata szerint fennálló jelentőségét, valamint a véleménynyilvánítás szabadságához való jog jelentőségét, amely a Charta 11. cikkében biztosított alapvető jogként a demokratikus és pluralista társadalom egyik lényegi alapját képezi, és azon értékek közé tartozik, amelyen az EUSZ 2. cikk értelmében az Unió alapul (2020. október 6-i La Quadrature du Net és társai ítélet, C-511/18, C-512/18 és C-520/18, EU:C:2020:791, 114. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
69 E tekintetben hangsúlyozni kell, hogy a forgalmi és helymeghatározó adatok megőrzése önmagában egyrészt eltérésnek minősül a 2002/58 irányelv 5. cikkének (1) bekezdésében előírt tilalom alól, amely a felhasználókon kívül bármely más személy számára megtiltja ezen adatok tárolását, másrészt pedig a magánélet tiszteletben tartásához és a személyes adatok védelméhez való, a Charta 7. és 8. cikkében foglalt alapvető jogokba történő beavatkozásnak minősül, és ennek kapcsán nem bír jelentőséggel az, hogy a magánéletre vonatkozó, érintett információk különlegesnek minősülnek-e, vagy hogy az érintetteknek ez a beavatkozás okozott-e esetleges kellemetlenséget. Annak sincs jelentősége, hogy a tárolt adatokat a későbbiekben felhasználják-e, mivel az ilyen adatokhoz való hozzáférés az adatok későbbi felhasználásától függetlenül különálló beavatkozást jelent az előző pontban említett alapvető jogokba (2020. október 6-i La Quadrature du Net és társai ítélet, C-511/18, C-512/18 és C-520/18, EU:C:2020:791, 115. és 116. pont).
70 Mindemellett, a 2002/58 irányelv 15. cikkének (1) bekezdése, amennyiben lehetővé teszi a tagállamok számára a jelen ítélet 34–37. pontjában említett eltérések bevezetését, azt a körülményt tükrözi, hogy a Charta 7., 8. és 11. cikkében foglalt jogok nem korlátlan jogosultságként jelennek meg, hanem a társadalomban betöltött szerepükre tekintettel kell őket figyelembe venni. Amint ugyanis az a Charta 52. cikkének (1) bekezdéséből kitűnik, e rendelkezés lehetővé teszi e jogok gyakorlásának korlátozását, feltéve hogy a korlátozást törvény írja elő, hogy arra az említett jogok lényeges tartalmának és az arányosság elvének tiszteletben tartásával kerül sor, továbbá hogy a korlátozás elengedhetetlen, és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja (2020. október 6-i La Quadrature du Net és társai ítélet, C-511/18, C-512/18 és C-520/18, EU:C:2020:791, 120. és 121. pont).
71 A jelen ügyben meg kell jegyezni, hogy bár a Hadopi formálisan csak az IP-címnek megfelelő, személyazonosságra vonatkozó adatokhoz férhet hozzá, e hozzáférés azzal a sajátossággal bír, hogy az érintett elektronikus hírközlési szolgáltatást nyújtóknak előzetesen össze kell egyeztetniük az IP-címet és a jogosultjának személyazonosító adatait. Az említett hozzáférés tehát szükségképpen azt feltételezi, hogy a szolgáltatók rendelkeznek az IP-címekkel, valamint a jogosultjaik kilétére vonatkozó adatokkal.
72 Ezenkívül e hatóság kizárólag abból a célból kér hozzáférést ezekhez az adatokhoz, hogy azonosítsa a szerzői vagy szomszédos jogokat esetlegesen sértő tevékenységekhez használt IP-cím jogosultját, amennyiben védett műveket jogellenesen tett hozzáférhetővé az interneten, hogy azokat más személyek letölthessék. E körülmények között a személyazonosságra vonatkozó adatokat úgy kell tekinteni, mint amelyek szorosan kapcsolódnak mind az IP-címhez, mind pedig a Hadopi rendelkezésére álló, az interneten hozzáférhetővé tett művel kapcsolatos információkhoz.
73 Márpedig a személyes adatok megőrzésére vonatkozó intézkedésnek a 2002/58 irányelv Charta 7., 8. és 11. cikkével összefüggésben értelmezett 15. cikkének (1) bekezdése alapján történő igazolásának vizsgálata keretében nem lehet elvonatkoztatni e sajátos összefüggéstől (lásd analógia útján: EJEB, 2018. április 24., Benedik kontra Szlovénia, CE:ECHR:2018:0424JUD006235714, 109. §).
74 Következésképpen az IP-címek megőrzése területén az említett 15. cikknek a Charta 7., 8. és 11. cikkével összefüggésben értelmezett (1) bekezdéséből eredő követelményekre tekintettel kell megvizsgálni a Charta ez utóbbi cikkeiben biztosított alapvető jogokba való, a Hadopi által hozzáférhető adatoknak a nyilvánosság számára elérhető elektronikus hírközlési szolgáltatások nyújtói által történő megőrzése jelentette beavatkozás esetleges igazolását.
75 Ebben az összefüggésben meg kell jegyezni, hogy a Bíróság ítélkezési gyakorlata szerint, noha – amint arra a jelen ítélet 60. pontja emlékeztet – az IP-címek a 2002/58 irányelv alkalmazásában forgalmi adatoknak minősülnek, e címek különböznek a forgalmi adatok, valamint a helymeghatározó adatok más kategóriáitól.
76 E tekintetben a Bíróság megállapította, hogy az IP-címek anélkül jönnek létre, hogy meghatározott közléshez kapcsolódnának, és elsősorban arra szolgálnak, hogy az elektronikus hírközlési szolgáltatók közvetítésével azonosítsák azon végberendezés tulajdonosát, amelyről internetes hírközlés megy végbe. Így az elektronikus levelezés és az internetes telefonálás területén, amennyiben csak a közlés forrásának IP-címeit őrizték meg, a közlés címzettjének IP-címeit pedig nem, önmagukban az IP-címek nem tartalmaznak semmiféle információt azon harmadik személyekkel kapcsolatban, akik a közlés forrásának személyével kapcsolatban álltak. Ez az adatkategória tehát a többi forgalmi adatnál kevésbé érzékeny (lásd ebben az értelemben: 2020. október 6-i La Quadrature du Net és társai ítélet, C-511/18, C-512/18 és C-520/18, EU:C:2020:791, 152. pont).
77 Kétségtelen, hogy a 2020. október 6-i La Quadrature du Net és társai ítélet (C-511/18, C-512/18 és C-520/18, EU:C:2020:791) 156. pontjában a Bíróság kimondta, hogy annak ellenére, hogy az IP-címek kevésbé érzékenyek, amennyiben azok kizárólag az elektronikus hírközlési szolgáltatás felhasználójának azonosítására szolgálnak, a 2002/58 irányelv 15. cikkének (1) bekezdésével ellentétes az, ha a kizárólag a csatlakozási forráshoz hozzárendelt IP-címek általános és különbségtétel nélküli megőrzését a súlyos bűncselekmények elleni küzdelemtől, a közbiztonságot fenyegető súlyos veszélyek megelőzésétől vagy a nemzetbiztonság védelmétől eltérő célokból végzik. A Bíróság azonban e következtetés levonásakor kifejezetten a Charta 7., 8. és 11. cikkében biztosított alapvető jogokba való olyan beavatkozás súlyos jellegére támaszkodott, amelyet az IP-címek megőrzése jelenthet.
78 A Bíróság ugyanis ugyanezen ítélet 153. pontjában megállapította, hogy mivel az IP-címek többek között „az internethasználó böngészési útvonalának, és ebből következően online tevékenységének kimerítő nyomon követésére is használhatók”, ezek az adatok lehetővé tehetik az internethasználó „részletes profiljának” megállapítását, így az említett IP-címeknek az ilyen nyomon követéshez szükséges megőrzése és elemzése az érintett személynek a Charta 7. és 8. cikkében biztosított alapvető jogaiba történő olyan súlyos beavatkozásnak minősül, amely az elektronikus hírközlési eszközök felhasználói tekintetében visszatartó hatást gyakorolhat a Charta 11. cikkében biztosított véleménynyilvánítási szabadságuk gyakorlására.
79 Hangsúlyozni kell azonban, hogy az adott időszakban valamely személy által használt statikus és dinamikus IP-címek – adott esetben széles – körének általános és különbségtétel nélküli megőrzése nem minősül szükségszerűen a Charta 7., 8. és 11. cikkében biztosított alapvető jogokba való súlyos beavatkozásnak.
80 E tekintetben mindenekelőtt a 2020. október 6-i La Quadrature du Net és társai ítélet (C-511/18, C-512/18 és C-520/18, EU:C:2020:791) alapjául szolgáló ügyek olyan nemzeti szabályozásokra vonatkoztak, amelyek a közlés napjának, időpontjának, időtartamának és típusának meghatározásához, az alkalmazott hírközlési eszközök azonosításához, valamint a végberendezések és a közlések helyének meghatározásához szükséges adatok – amelyek között szerepel többek között a felhasználó neve és címe, a hívó és a hívott fél telefonszáma, valamint az internetes szolgáltatásoknál használt IP-cím – megőrzésére vonatkozó kötelezettséget tartalmaztak. Ráadásul ezen ügyek közül kettőben úgy tűnt, hogy a szóban forgó nemzeti szabályozások azáltal, hogy az elektronikus hírközlés hálózaton keresztül történő lebonyolítására vonatkozó adatokra is kiterjed, lehetővé teszi az online megtekintett információk jellegének azonosítását is (lásd ebben az értelemben: 2020. október 6-i La Quadrature du Net és társai ítélet, C-511/18, C-512/18 és C-520/18, EU:C:2020:791, 82. és 83. pont).
81 Az IP-címeknek az ilyen nemzeti szabályozások keretében végzett megőrzése tehát – az e szabályozás értelmében megőrzendő egyéb adatokra, és e különböző adatok összekapcsolásának lehetőségére tekintettel – lehetővé tette az adatok kapcsán érintett személyek magánéletére vonatkozó pontos következtetések levonását, és ennélfogva a Charta 7. és 8. cikkében foglalt, e személyek magánéletének és személyes adatainak védelmére vonatkozó, valamint a Charta 11. cikkében biztosított, e személyek véleménynyilvánítási szabadságára vonatkozó alapvető jogokba való súlyos beavatkozáshoz vezethetett.
82 Ezzel szemben az elektronikus hírközlési szolgáltatókkal szemben a 2002/58 irányelv 15. cikkének (1) bekezdése alapján jogszabályi intézkedéssel előírt azon kötelezettséget, hogy biztosítsák az IP-címek általános és különbségtétel nélküli megőrzését, adott esetben igazolhatja az általánosságban a bűncselekmények elleni küzdelemre irányuló célkitűzés, amennyiben ténylegesen kizárt, hogy e megőrzés az érintett személy magánéletébe való súlyos beavatkozásokat eredményezzen azáltal, hogy ezen adatok segítségével – többek között ezen IP-címeknek az e szolgáltatók által szintén megőrzött forgalmi vagy helymeghatározó adatok összességével való összekapcsolása révén – pontos következtetések vonhatók le az érintett személy magánéletére vonatkozóan.
83 Következésképpen annak a tagállamnak, amely az elektronikus hírközlési szolgáltatókkal szemben az IP-címek általános és különbségtétel nélküli megőrzésére vonatkozó kötelezettséget kíván előírni általánosságban a bűncselekmények elleni küzdelemre irányuló cél elérése érdekében, meg kell győződnie arról, hogy ezen adatok megőrzésének módjai biztosítják, hogy az említett IP-címek más megőrzött adatokkal való bármiféle olyan összekapcsolása – a 2002/58 irányelvet tiszteletben tartva – kizárt legyen, amely lehetővé tehetné az adatmegőrzés kapcsán érintett személyek magánéletére vonatkozó pontos következtetések levonását.
84 Annak biztosítása érdekében, hogy kizárt legyen az adatok olyan összekapcsolása, amely lehetővé tehetné a szóban forgó személy magánéletére vonatkozó pontos következtetések levonását, a megőrzésre vonatkozó részletszabályoknak magára a megőrzési rendszerre kell vonatkozniuk, amelyet lényegében úgy kell kialakítani, hogy biztosítsa a megőrzött adatok különböző kategóriáinak valóban teljes elkülönítését.
85 E tekintetben kétségtelen, hogy azon tagállam feladata, amely az IP-címek általános és különbségtétel nélküli megőrzésére vonatkozó kötelezettséget kíván előírni az elektronikus hírközlési szolgáltatókkal szemben általánosságban a bűncselekmények elleni küzdelemre irányuló cél elérése érdekében, hogy jogszabályaiban egyértelmű és pontos szabályokat írjon elő az említett megőrzési módokra vonatkozóan, és e módoknak szigorú követelményeknek kell megfelelniük. A Bíróság azonban pontosításokkal szolgálhat e módokra vonatkozóan.
86 Először is, az előző pontban említett nemzeti szabályoknak biztosítaniuk kell, hogy minden adatkategóriát, beleértve a személyazonosságra és az IP-címekre vonatkozó adatokat is, a megőrzött adatok egyéb kategóriáitól teljes mértékben elkülönítve tároljanak.
87 Másodszor, e szabályoknak biztosítaniuk kell, hogy a megőrzött adatok különböző kategóriáinak – többek között a személyazonosságra vonatkozó adatok, az IP-címek, az IP-címeken és a különböző helymeghatározó adatokon kívüli egyéb forgalmi adatok – elkülönítése technikai szempontból, egy biztonságos és megbízható informatikai eszköz segítségével valóban teljes legyen.
88 Harmadszor, amennyiben az említett szabályok lehetővé teszik a megőrzött IP-címeknek az érintett személy személyazonosságával való összekapcsolását a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével összefüggésben értelmezett (1) bekezdéséből eredő követelmények tiszteletben tartása mellett, e szabályoknak csak olyan jól működő technikai eljárás alkalmazásával tehetik lehetővé az ilyen összekapcsolást, amely nem teszi kérdésessé ezen adatkategóriák teljes elkülönítésének hatékonyságát.
89 Negyedszer, e teljes elkülönítés megbízhatóságát rendszeresen felül kell vizsgálnia az elektronikus hírközlési szolgáltatók által megőrzött személyes adatokhoz való hozzáférést kérő hatóságtól eltérő hatóságnak.
90 Amennyiben az alkalmazandó nemzeti szabályozás ilyen szigorú követelményeket ír elő az IP-címek és az elektronikus hírközlési szolgáltatók által megőrzött egyéb adatok általános és különbségtétel nélküli megőrzésének módjaira vonatkozóan, az IP-címek ilyen megőrzésében rejlő beavatkozás – az említett megőrzés szerkezeténél fogva – nem minősülhet „súlyosnak”.
91 Ilyen jogszabályi rendelkezés bevezetése esetén ugyanis az IP-címek ily módon meghatározott megőrzési módjai kizárják, hogy ezeket az adatokat más megőrzött adatokkal – a 2002/58 irányelv tiszteletben tartása mellett – oly módon összekapcsolják, amelyek lehetővé tehetné az érintett személy magánéletére vonatkozó pontos következtetések levonását.
92 Következésképpen a jelen ítélet 86–89. pontjában kifejtett követelményeknek megfelelő olyan jogszabályi rendelkezés esetén, amely biztosítja, hogy az adatok összekapcsolása ne tegye lehetővé az érintett személy magánéletére vonatkozó pontos következtetések levonását, a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével összefüggésben értelmezett (1) bekezdésével nem ellentétes, ha az érintett tagállam az IP-címek általános és különbségtétel nélküli megőrzésére vonatkozó kötelezettséget ír elő általánosságban a bűncselekmények elleni küzdelemre irányuló célból.
93 Mindazonáltal az ilyen jogszabályi rendelkezésnek – amint az a 2020. október 6-i La Quadrature du Net és társai ítélet (C-511/18, C-512/18 és C-520/18, EU:C:2020:791) 168. pontjából kitűnik – a feltétlenül szükséges mértékre korlátozott megőrzési időtartamot kell előírnia, valamint egyértelmű és pontos szabályok révén biztosítania kell, hogy a szóban forgó adatok megőrzésére az erre vonatkozó anyagi jogi és eljárásjogi feltételek betartása mellett kerüljön sor, és hogy az érintett személyek hatékony biztosítékokkal rendelkezzenek a visszaélések veszélyeivel, valamint az ezen adatokhoz való bármilyen hozzáféréssel és azok jogellenes felhasználásával szemben.
94 A kérdést előterjesztő bíróság feladata annak vizsgálata, hogy az alapügyben szereplő nemzeti szabályozás megfelel-e a jelen ítélet 85–93. pontjában kifejtett követelményeknek.
Az elektronikus hírközlési szolgáltatók által megőrzött IP-címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hozzáférést övező követelményekről
95 A Bíróság ítélkezési gyakorlatából következik, hogy a bűncselekmények elleni küzdelem területén kizárólag a súlyos bűncselekmények elleni küzdelem vagy a közbiztonságot érintő súlyos fenyegetések megelőzésének célja igazolhatja a Charta 7. és 8. cikkében biztosított alapvető jogokba történő azon súlyos beavatkozást, amelyet a hatóságok olyan forgalmi vagy helymeghatározó adatok összességéhez való hozzáférése jelent, amelyek információkat szolgáltathatnak az elektronikus hírközlési eszköz felhasználója által lebonyolított közlésekről vagy az általa használt végberendezések helyéről, és amelyek lehetővé teszik az érintett személyek magánéletére vonatkozó pontos következtetések levonását, anélkül hogy a hozzáférés iránti kérelem arányosságát érintő egyéb tényezők – így például azon időszak hossza, amelyre vonatkozóan az ilyen adatokhoz való hozzáférést igénylik – azzal a hatással járnának, hogy általában a bűncselekmények megelőzésére, kivizsgálására, felderítésére és üldözésére irányuló cél igazolhatná az ilyen hozzáférést (2021. március 2-i Prokuratuur [Az elektronikus hírközlési adatokhoz való hozzáférés feltételei] ítélet, C-746/18, EU:C:2021:152, 35. pont).
96 Ezzel szemben, amennyiben a Charta 7. és 8. cikkében biztosított alapvető jogokba való olyan beavatkozás, amelyet a hatóságoknak az elektronikus hírközlési szolgáltatók által megőrzött, személyazonosságra vonatkozó adatokhoz való, anélkül történő hozzáférése jelent, hogy ezek az adatok összekapcsolhatók lennének a lebonyolított közlésekre vonatkozó információkkal, nem súlyos, mivel ezen adatok összességükben véve nem teszik lehetővé azon személyek magánéletére vonatkozó pontos következtetések levonását, akiknek az adatairól szó van, az említett hozzáférést igazolhatja általában a bűncselekmények megelőzésére, kivizsgálására, felderítésére és üldözésére irányuló cél (lásd ebben az értelemben: 2018. október 2-i Ministerio Fiscal ítélet, C-207/16, EU:C:2018:788, 54., 57. és 60. pont).
97 Hozzá kell tenni továbbá, hogy a Bíróság állandó ítélkezési gyakorlatában rögzített elv szerint a forgalmi és helymeghatározó adatokhoz való hozzáférés a 2002/58 irányelv 15. cikkének (1) bekezdése alapján csak azon közérdekű céllal igazolható, amelynek érdekében az adatmegőrzést az elektronikus hírközlési szolgáltatókkal szemben előírták, kivéve ha e hozzáférés jelentősebb közérdekű céllal igazolható. Ebből az elvből többek között az következik, hogy a bűncselekmények elleni küzdelem céljából általában véve semmiképpen nem adható hozzáférés abban az esetben, ha az adatok megőrzését a súlyos bűncselekmények elleni küzdelemmel, vagy a fortiori a nemzetbiztonság védelmével indokolták (lásd ebben az értelemben: 2020. október 6-i La Quadrature du Net és társai ítélet, C-511/18, C-512/18 és C-520/18, EU:C:2020:791, 166. pont).
98 Ezzel szemben általánosságban a bűncselekmények elleni küzdelemre irányuló céllal igazolható, hogy a szolgáltatások értékesítéséhez, a számlázáshoz és az értéknövelt szolgáltatások nyújtásához szükséges mértékben és ideig hozzáférést biztosítsanak a tárolt és így megőrzött forgalmi és helymeghatározó adatokhoz, amint azt a 2002/58 irányelv 6. cikke lehetővé teszi (lásd ebben az értelemben: 2020. október 6-i La Quadrature du Net és társai ítélet, C-511/18, C-512/18 és C-520/18, EU:C:2020:791, 108. és 167. pont).
99 A jelen ügyben először is az alapügyben szóban forgó nemzeti szabályozásból kitűnik, hogy a Hadopi nem fér hozzá a jelen ítélet 95. pontjában felidézett ítélkezési gyakorlat értelmében vett „forgalmi vagy helymeghatározó adatok összességéhez”, így főszabály szerint nem vonhat le pontos következtetéseket az érintett személyek magánéletére vonatkozóan. Márpedig az olyan hozzáférés, amely nem teszi lehetővé ilyen következtetések levonását, nem minősül a Charta 7. és 8. cikkében biztosított alapvető jogokba való súlyos beavatkozásnak.
100 E szabályozás és a francia kormány által e tárgyban nyújtott magyarázatok szerint ugyanis az e hatóság számára biztosított hozzáférés szigorúan az IP-cím jogosultjának személyazonosságára vonatkozó bizonyos adatokra korlátozódik, és kizárólag abból a célból engedélyezett, hogy azonosítani tudja a szerzői vagy szomszédos jogokat sértő tevékenység folytatásával gyanúsítható jogosultat, amennyiben védett műveket jogellenesen tett hozzáférhetővé az interneten, hogy azokat más személyek letölthessék. E hozzáférés célja adott esetben az, hogy e jogosulttal szemben a fokozatos válaszadási eljárás keretében előírt nevelési vagy megtorló intézkedések egyikét alkalmazhassák, nevezetesen az első és a második ajánlás megküldését, majd a jogosultat arról tájékoztató levél megküldését, hogy e tevékenység súlyos gondatlanság bűncselekményének minősülhet, végül pedig az ügyészséghez fordulást az e szabálysértés vagy a hamisítás vétsége miatti eljárás megindítása céljából.
101 Az is szükséges továbbá, hogy az említett nemzeti szabályozás olyan egyértelmű és pontos szabályokat írjon elő, amelyek biztosítják, hogy a 2002/58 irányelv tiszteletben tartása mellett megőrzött IP-címeket kizárólag azon személy azonosítására lehessen használni, akinek a részére egy adott IP-címet rendeltek, kizárva ugyanakkor minden olyan felhasználást, amely lehetővé teszi ezen személy online tevékenységének egy vagy több ilyen cím segítségével történő nyomon követését. Amennyiben az IP-címet ily módon kizárólag arra használják, hogy egy olyan különleges közigazgatási eljárás keretében azonosítsák e cím jogosultját, amely vele szemben büntetőeljárást vonhat maga után, nem pedig – például – e jogosult kapcsolatainak felfedésére vagy helymeghatározására irányuló célból, az e címhez kizárólag e célból való hozzáférés az említett címre mint személyazonossággal kapcsolatos adatra, nem pedig forgalommal kapcsolatos adatra vonatkozik.
102 Ráadásul a jelen ítélet 97. pontjában felidézett állandó ítélkezési gyakorlatban rögzített elvből az következik, hogy az olyan hozzáférés, mint amellyel a Hadopi az alapügyben szóban forgó nemzeti szabályozás értelmében rendelkezik, mivel általánosságban a bűncselekmények elleni küzdelem célját követi, csak akkor igazolható, ha olyan IP-címekre vonatkozik, amelyeket az elektronikus hírközlési szolgáltatóknak ugyanezen cél érdekében kell megőrizniük, nem pedig olyan jelentősebb cél érdekében, mint a súlyos bűncselekmények elleni küzdelem, ugyanakkor ez nem érinti az általánosságban a bűncselekmények elleni küzdelem céljával igazolható hozzáférést, amennyiben az a tárolt, vagyis a 2002/58 irányelv 6. cikkében előírt feltételek szerint megőrzött IP-címekre vonatkozik.
103 Ezenkívül, amint az a jelen ítélet 85–92. pontjából kitűnik, az IP-címeknek a 2002/58 irányelv 15. cikkének (1) bekezdése szerinti jogszabályi intézkedésen alapuló megőrzése az általánosságban a bűncselekmények elleni küzdelemre irányuló céllal igazolható, ha e megőrzésnek az érintett jogszabályi rendelkezés által bevezetett módjai megfelelnek a lényegében a megőrzött adatok különböző kategóriái valóban teljes elkülönítésének biztosítására irányuló követelmények összességének, és így a különböző kategóriákba tartozó adatok összekapcsolása ténylegesen kizárt. Abban az esetben ugyanis, ha az elektronikus hírközlési szolgáltatókkal szemben ilyen megőrzési feltételeket írnak elő, az IP-címek általános és különbségtétel nélküli megőrzése nem minősül a jogosultjaik magánéletébe történő súlyos beavatkozásnak, mivel ezek az adatok nem teszik lehetővé a magánéletükre vonatkozó pontos következtetések levonását.
104 Következésképpen, tekintettel a jelen ítélet 95–97. pontjában felidézett ítélkezési gyakorlatra, az ilyen jogszabályi rendelkezés bevezetése esetén a megőrzött IP-címekhez az általánosságban a bűncselekmények elleni küzdelemre irányuló célból való hozzáférés a 2002/58 irányelv 15. cikkének (1) bekezdése alapján akkor igazolható, ha e hozzáférés kizárólag az ilyen bűncselekményekben való részvétellel gyanúsítható személy azonosítása céljából engedélyezett.
105 Végezetül, annak lehetővé tétele, hogy egy, a Hadopihoz hasonló hatóság hozzáférjen a nyilvános IP-címnek megfelelő, személyazonosságra vonatkozó adatokhoz, amelyet a jogtulajdonosok szervezetei kizárólag abból a célból továbbítottak a részére, hogy azonosítsa az interneten elkövetett és a szerzői vagy szomszédos jogokat esetlegesen sértő tevékenységekhez használt cím jogosultját annak érdekében, hogy vele szemben a fokozatos válaszadási eljárás keretében előírt intézkedések egyikét alkalmazzák, összhangban áll a Bíróságnak a 2004/48 irányelv 8. cikkében előírt, szellemi tulajdonjog megsértése miatt indított keresettel összefüggő „tájékoztatáshoz való joggal” kapcsolatos ítélkezési gyakorlatával (lásd ebben az értelemben: 2008. január 29-i Promusicae ítélet, C-275/06, EU:C:2008:54, 47. és azt követő pontok).
106 Ezen ítélkezési gyakorlat keretében ugyanis a Bíróság – hangsúlyozva, hogy a 2004/48 irányelvben előírt intézkedések alkalmazása nem érintheti sem az általános adatvédelmi rendeletet, sem pedig a 2002/58 irányelvet – úgy ítélte meg, hogy a 2004/48 irányelv 8. cikkének a 2002/58 irányelv 15. cikkének (1) bekezdésével és a 95/46 irányelv 7. cikkének f) pontjával összefüggésben értelmezett (3) bekezdésével nem ellentétes az, ha a tagállamok az elektronikus hírközlési szolgáltatókra nézve a személyes adatok magánszemélyekkel való közlésére vonatkozó kötelezettséget állapítanak meg a szerzői jogok megsértése miatti polgári peres eljárás indításának lehetővé tétele érdekében, azonban nem is ír elő ilyen kötelezettséget a tagállamok számára (lásd ebben az értelemben: 2021. június 17-i M. I. C. M. ítélet, C-579/19, EU:C:2021:492, 124. és 125. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
107 Mindemellett, másodszor, a magánéletbe való, valamely hatóság személyes adatokhoz való hozzáférésével járó beavatkozás mértékének konkrét értékelése céljából nem lehet elvonatkoztatni a hozzáférést övező kontextus sajátosságaitól, különösen pedig az alkalmazandó nemzeti szabályozás alapján az e hatósággal közölt adatok és információk – ideértve a már létező, tartalmat feltáró adatokat és információkat is – összességének sajátosságaitól (lásd analógia útján: EJEB, 2018. április 24., Benedik kontra Szlovénia, CE:ECHR:2018:0424JUD006235714, 109. §).
108 Így a jelen ügyben az említett értékelés céljából figyelembe kell venni azt a tényt, hogy a Hadopi az őt megillető, a szóban forgó, személyazonosságra vonatkozó adatokhoz való hozzáférést megelőzően a 2010-236. sz. rendelet melléklete 1. pontjának megfelelően a jogtulajdonosok szervezeteitől többek között „a tényekkel érintett védett művekre vagy alkotásokra vonatkozó információkat”, és „ha van ilyen” „a fájl nevét az előfizető számítógépén” megkapja.
109 A Bíróság rendelkezésére álló iratokból – a kérdést előterjesztő bíróság által elvégzendő vizsgálat függvényében – az következik, hogy az érintett műre vonatkozó, a CNIL 2010. június 10-i tanácskozása alkalmával tartalmilag átvett jegyzőkönyvben rögzített információk lényegében az érintett mű címére, valamint egy „chunk” elnevezésű, alfanumerikus sorozat, nem pedig a mű audio- vagy videofelvétel formájában megjelenő részletére korlátozódnak.
110 E tekintetben természetesen nem zárható ki általános jelleggel, hogy valamely hatóság korlátozott számú, az elektronikus hírközlési szolgáltató által vele közölt IP-cím jogosultjának személyazonosságára vonatkozó adathoz való kizárólag e jogosult azonosítása céljából történő hozzáférése abban az esetben, ha e címet valószínűleg szerzői vagy szomszédos jogokat sértő tevékenységekhez használták, ha ezeket az adatokat az interneten jogellenesen hozzáférhetővé tett, a jogtulajdonosok szervezetei által számára továbbított, a mű tartalmára vonatkozó, akár korlátozott számú információ elemzésével kombinálják, az alkalmas lehet arra, hogy e hatóságot e jogosult magánéletének bizonyos vonatkozásairól tájékoztassa, akár olyan érzékeny információkról is, mint a szexuális irányultság, a politikai vélemény, a vallási, világnézeti, társadalmi vagy egyéb meggyőződés, valamint az egészségi állapot, holott az ilyen adatok az uniós jogban egyébként különleges védelmet élveznek.
111 A jelen ügyben azonban a Hadopi rendelkezésére álló korlátozott adatok és információk jellegére tekintettel azok csak atipikus helyzetekben fedhetnek fel a szóban forgó személy magánéletének egyes vetületeire vonatkozó olyan, adott esetben érzékeny információkat, amelyek együttesen lehetővé tehetik e hatóság számára, hogy e személy magánéletére vonatkozóan pontos következtetéseket vonjon le, például részletes profiljának megállapítása révén.
112 Ez lehet a helyzet többek között egy olyan személy esetében, akinek IP-címét ismétlődően, sőt nagy számban szerzői vagy szomszédos jogokat sértő tevékenységekre használták a peer-to-peer hálózatokon olyan különleges típusú, védett művekkel kapcsolatban, amelyeket címük szerint olyan csoportokba lehet sorolni, amelyek akár érzékeny információkat is felfedhetnek a magánéletének egyes vonatkozásairól.
113 Mindemellett különböző tényezők alapján megállapítható, hogy a jelen ügyben a szerzői vagy szomszédos jogokat sértő tevékenységet folytató személy magánéletébe történő, az alapügy tárgyát képezőhöz hasonló szabályozás által lehetővé tett beavatkozás nem szükségszerűen súlyos. Mindenekelőtt e szabályozásnak megfelelően a Hadopi – amely szerv egyébként a CPI L. 331-12. cikkének megfelelően független jogállással bír – a szóban forgó személyes adatokhoz csak korlátozott számú, felhatalmazott és felesketett tisztviselője révén fér hozzá. Továbbá e hozzáférés kizárólagos célja a szerzői vagy szomszédos jogokat sértő tevékenység folytatásával gyanúsítható személy azonosítása, amennyiben megállapítást nyer, hogy a védett művet jogellenesen tették hozzáférhetővé az internethozzáférésén keresztül. Végül a Hadopinak a szóban forgó személyes adatokhoz való hozzáférése szigorúan az e célból szükséges adatokra korlátozódik (lásd analógia útján: EJEB, 2019. október 17., López Ribalda és társai kontra Spanyolország, CE:ECHR:2019:1017JUD000187413, 126. és 127. §).
114 Egy másik olyan körülmény, amely tovább csökkentheti a Hadopi említett hozzáféréséből eredő, a magánélet védelméhez és a személyes adatok védelméhez való alapvető jogokba való beavatkozás mértékét, amely a Bíróság rendelkezésére álló iratokból kitűnni látszik, de amelynek vizsgálata a kérdést előterjesztő bíróság feladata, arra a tényre vonatkozik, hogy az alkalmazandó nemzeti szabályozás értelmében a Hadopinak az érintett adatokhoz és információkhoz hozzáféréssel rendelkező tisztviselőit titoktartási kötelezettség terheli, amely megtiltja számukra, hogy ezeket bármilyen formában – az ügyészséghez fordulást mint egyetlen célt kivéve – nyilvánosságra hozzák, és hogy ezen adatokat és információkat az IP-cím szerzői vagy szomszédos jogot sértő tevékenység elkövetésével gyanúsítható tulajdonosának a vele szemben a fokozatos válaszadási eljárás keretében előírt intézkedések valamelyikének alkalmazásától eltérő célokra használják fel (lásd analógia útján: EJEB, 2009. december 17., Gardel kontra Franciaország, CE:ECHR:2009:1217JUD001642805, 70. §).
115 Így, amennyiben valamely nemzeti szabályozás megfelel a jelen ítélet 101. pontjában felidézett feltételeknek, a Hadopihoz hasonló hatósággal közölt IP-címek nem teszik lehetővé a jogosult böngészési útvonalának nyomon követését, ami megerősíti azt a megállapítást, amely szerint az e hatóságnak az alapügyben szóban forgó, személyazonosságra vonatkozó adatokhoz való hozzáférése jelentette beavatkozás nem minősíthető súlyosnak.
116 Harmadszor emlékeztetni kell arra, hogy a szóban forgó jogoknak és érdekeknek a 2002/58 irányelv 15. cikke (1) bekezdésének első mondatában előírt arányossági követelménynek megfelelően szükséges összeegyeztetése érdekében, még ha a véleménynyilvánítás szabadsága és a személyes adatok bizalmas jellege kiemelkedően fontos is, és még ha a távközlési és internetes szolgáltatások felhasználói számára garantálni is kell, hogy a magánéletüket és a véleménynyilvánítási szabadságukat tiszteletben tartják, ezek az alapvető jogok nem abszolút jogok. A szóban forgó jogok és érdekek egymással szembeni mérlegelése keretében ugyanis azoknak néha háttérbe kell szorulniuk más alapvető jogokkal és olyan közérdeken alapuló nyomós okokkal szemben, mint a közrend védelme és a bűncselekmények megelőzése vagy mások jogainak és szabadságainak védelme. Igaz ez különösen akkor, ha az említett kiemelkedően fontos kérdéseknek tulajdonított jelentőség akadályozhatja a bűnügyi nyomozás hatékonyságát, különösen azáltal, hogy lehetetlenné vagy rendkívül nehézzé teszi a bűncselekmény elkövetőjének hatékony azonosítását, illetve vele szemben szankció kiszabását (lásd analógia útján: EJEB, 2009. március 2., K. U. kontra Finnország, CE:ECHR:2008:1202JUD000287202, 49. §).
117 Ebben az összefüggésben kellően figyelembe kell venni azt, amit a Bíróság az interneten elkövetett bűncselekményekkel kapcsolatban már kimondott, hogy az IP-cím lehet az egyetlen olyan nyomozati eszköz, amely lehetővé teszi annak a személynek az azonosítását, akihez az IP-címet a jogsértés elkövetésének időpontjában rendelték (lásd ebben az értelemben: 2020. október 6-i La Quadrature du Net és társai ítélet, C-511/18, C-512/18 és C-520/18, EU:C:2020:791, 154. pont).
118 E körülmény annak megállapítását támasztja alá, amint azt lényegében a főtanácsnok is hangsúlyozta a 2023. szeptember 28-i indítványának 59. pontjában, hogy e címeknek az online elkövetett, a szerzői vagy szomszédos jogokat sértőhöz hasonló bűncselekmények elleni küzdelemre irányuló megőrzése és az azokhoz való hozzáférés feltétlenül szükséges a kitűzött cél eléréséhez, és így megfelel a 2002/58 irányelv 15. cikkének az ezen irányelv (11) preambulumbekezdésével, valamint a Charta 52. cikkének (2) bekezdésével összefüggésben értelmezett (1) bekezdése szerinti arányosság követelményének.
119 Amint azt lényegében a főtanácsnok is hangsúlyozta a 2022. október 27-i indítványának 78–80. pontjában, valamint a 2023. szeptember 28-i indítványának 80. és 81. pontjában, az ilyen hozzáférés lehetőségének megtagadása nemcsak a szerzői vagy szomszédos jogokat sértő bűncselekmények, hanem az online elkövetett vagy az internet sajátos jellemzői által elkövetésében, illetve magvalósításában megkönnyített más típusú bűncselekmények esetében is a rendszerszintű büntetlenség valós kockázatával járna. Márpedig az ilyen kockázat fennállása releváns körülménynek minősül a szóban forgó különböző jogok és érdekek egymással szembeni mérlegelése keretében annak értékelése szempontjából, hogy a Charta 7., 8. és 11. cikkében biztosított jogokba való beavatkozás a bűncselekmények elleni küzdelem céljára tekintettel arányos intézkedésnek minősül-e.
120 Igaz, hogy a Hadopihoz hasonló hatóságnak az online jogsértés elkövetéséhez használt IP-címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hozzáférése nem feltétlenül az egyetlen olyan nyomozati eszköz, amely lehetővé teszi e cím jogosultjának azonosítását e bűncselekmény elkövetésének időpontjában. Az azonosítás ugyanis a priori az érintett személy valamennyi online tevékenységének vizsgálatával is lehetséges lehet, többek között az e személy által a közösségi hálózatokon hagyott „nyomok”, így például az e hálózatokon használt azonosító vagy elérhetőségek elemzésével.
121 Mindazonáltal, amint azt a főtanácsnok a 2023. szeptember 28-i indítványának 83. pontjában megjegyezte, az ilyen nyomozati eszköz különösen beavatkozó jellegű lenne, mivel pontos információkat fedhet fel az érintett személyek magánéletére vonatkozóan. E személyek tekintetében ez a Charta 7., 8. és 11. cikkében biztosított jogokba való súlyosabb beavatkozást vonna maga után, mint az alapügyben szereplőhöz hasonló szabályozásból eredő beavatkozás.
122 A fentiekből következik, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben úgy kell értelmezni, hogy azzal főszabály szerint nem ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a szerzői és szomszédos jogoknak az interneten elkövetett jogsértésekkel szembeni védelméért felelős hatóság számára a nyilvánosan elérhető elektronikus hírközlési szolgáltatás nyújtója által valóban teljesen elkülönítetten megőrzött, az IP-címnek megfelelő, személyazonosságra vonatkozó, a jogtulajdonosok szervezetei által előzetesen gyűjtött adatokhoz való hozzáférést kizárólag annak érdekében, hogy e hatóság azonosítani tudja e címek ezen jogsértések elkövetésével gyanúsítható jogosultjait, és adott esetben velük szemben intézkedéseket hozhasson. Ilyen esetben az alkalmazandó nemzeti szabályozásnak meg kell tiltania az ilyen hozzáféréssel rendelkező tisztviselők számára először is azt, hogy az általuk megtekintett fájlok tartalmára vonatkozó információkat bármilyen formában – az ügyészséghez fordulást mint egyetlen célt kivéve – nyilvánosságra hozzák, másodszor hogy e jogosultak böngészési útvonalát nyomon kövessék, harmadszor pedig, hogy ezen IP-címeket az ezen intézkedések elfogadásától eltérő célokra használják fel.
A valamely IP-címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hatósági hozzáférést megelőző, bíróság vagy független közigazgatási szerv általi előzetes felülvizsgálat követelményéről
123 Felmerül azonban a kérdés, hogy a hatóságnak az IP-címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hozzáférését ezenkívül bírósági vagy független közigazgatási szerv általi előzetes felülvizsgálattól kell-e függővé tenni.
124 E tekintetben a Bíróság a tagállamok által a hozzáférés feltétlenül szükséges mértékre való korlátozása érdekében előírandó feltételek gyakorlatban történő, teljes körű betartásának biztosítása érdekében megállapította, hogy „alapvető fontosságú” az, hogy az illetékes nemzeti hatóságoknak a forgalmi és helymeghatározó adatokhoz való hozzáférését bíróság vagy független közigazgatási szerv előzetesen felülvizsgálja (lásd ebben az értelemben: 2016. december 21-i Tele2 Sverige és Watson és társai ítélet, C-203/15 és C-698/15, EU:C:2016:970, 120. pont; 2020. október 6-i La Quadrature du Net és társai ítélet, C-511/18, C-512/18 és C-520/18, EU:C:2020:791, 189. pont; 2021. március 2-i Prokuratuur [Az elektronikus hírközlési adatokhoz való hozzáférés feltételei] ítélet, C-746/18, EU:C:2021:152, 51. pont; 2022. április 5-i Commissioner of An Garda Síochána és társai ítélet, C-140/20, EU:C:2022:258, 106. pont).
125 Ezen előzetes felülvizsgálathoz elsősorban az szükséges, hogy azon bíróság vagy szerv, amelynek feladata az említett előzetes felülvizsgálat elvégzése, minden ehhez szükséges hatáskörrel rendelkezzen, és minden szükséges garanciát megadjon a szóban forgó különböző érdekek és jogok összehangolásának biztosítása érdekében. Közelebbről a felderítést illetően az ilyen felülvizsgálat megköveteli, hogy az említett bíróság vagy szerv alkalmas legyen arra, hogy megfelelő egyensúlyt teremtsen egyrészt a bűnözés elleni küzdelem keretében a felderítés szükségleteihez fűződő érdekek, másrészt az azon személyek magánéletének tiszteletben tartásához és személyes adatainak védelméhez fűződő alapvető jogok között, akiknek az adatait a hozzáférés érinti (2022. április 5-i Commissioner of An Garda Síochána és társai ítélet, C-140/20, EU:C:2022:258, 107. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
126 Másodsorban, amennyiben e felülvizsgálatot nem bíróság, hanem független közigazgatási szerv végzi, e szervnek olyan jogállással kell rendelkeznie, amely lehetővé teszi számára, hogy feladatai ellátása során objektív és pártatlan módon járjon el, és e célból minden külső befolyástól mentesnek kell lennie. Így a függetlenség követelménye, amelynek az előzetes felülvizsgálat elvégzésére köteles hatóságnak meg kell felelnie, megköveteli, hogy e hatóság harmadik félnek minősüljön az adatokhoz való hozzáférést kérő hatósághoz képest oly módon, hogy az előbbi képes legyen e felülvizsgálatot minden külső befolyástól mentesen, objektíven és pártatlanul elvégezni. Közelebbről, a büntetőjog területén a függetlenség követelménye azt jelenti, hogy az ezen előzetes felülvizsgálat elvégzésére köteles hatóság egyrészt nem vesz részt a szóban forgó felderítés lefolytatásában, másrészt pedig eljárásjogi helyzete semleges a büntetőeljárás felei irányában (lásd ebben az értelemben: 2022. április 5-i Commissioner of An Garda Síochána és társai ítélet, C-140/20, EU:C:2022:258, 108. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
127 Harmadsorban, a 2002/58 irányelv 15. cikkének (1) bekezdése által megkövetelt független felülvizsgálatnak bármely hozzáférést megelőzően kell sorra kerülnie, a kellően indokolt sürgős eseteket kivéve, amikor a felülvizsgálatot rövid határidőn belül el kell végezni. A későbbi felülvizsgálat ugyanis nem teszi lehetővé az előzetes felülvizsgálat céljának való megfelelést, amely annak megakadályozásában áll, hogy a szóban forgó adatokhoz olyan hozzáférést engedélyezzenek, amely túllépi a szigorúan szükséges mértéket (2022. április 5-i Commissioner of An Garda Síochána és társai ítélet, C-140/20, EU:C:2022:258, 110. pont).
128 Mindemellett, noha – amint az a jelen ítélet 124. pontjában felidézett ítélkezési gyakorlatból kitűnik – a Bíróság „alapvető jelentőségűnek” ítélte, hogy az illetékes nemzeti hatóságoknak a forgalmi és helymeghatározó adatokhoz való hozzáférését bíróság vagy független közigazgatási szerv előzetesen felülvizsgálja, ez az ítélkezési gyakorlat olyan nemzeti intézkedésekkel összefüggésben alakult ki, amelyek a súlyos bűncselekmények elleni küzdelemhez kapcsolódó cél érdekében általános, az elérni kívánt céllal fennálló bármilyen – akár közvetett – kapcsolattól független hozzáférést tesznek lehetővé valamennyi megőrzött forgalmi és helymeghatározó adathoz, és amelyek így az érintett alapvető jogokba való súlyos, sőt „különösen súlyos” beavatkozásokkal járnak.
129 Ezzel szemben, a személyazonosságra vonatkozó adatokhoz való hozzáférésnek a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével összefüggésben értelmezett (1) bekezdésére tekintettel történő igazolhatóságára vonatkozó feltételek kapcsán a Bíróság semmilyen kifejezett utalást nem tett az ilyen előzetes felülvizsgálat követelményére (lásd ebben az értelemben: 2018. október 2-i Ministerio Fiscal ítélet, C-207/16, EU:C:2018:788, 59., 60. és 62. pont; 2020. október 6-i La Quadrature du Net és társai ítélet, C-511/18, C-512/18 és C-520/18, EU:C:2020:791, 157. és 158. pont; 2021. március 2-i Prokuratuur [Az elektronikus hírközlési adatokhoz való hozzáférés feltételei] ítélet, C-746/18, EU:C:2021:152, 34. pont).
130 Márpedig a Bíróságnak a 2002/58 irányelv 15. cikke (1) bekezdésének első mondatában megkövetelt arányosság elvére vonatkozó ítélkezési gyakorlatából, különösen pedig azon ítélkezési gyakorlatból, amely szerint a tagállamok azon lehetőségét, hogy a többek között az ezen irányelv 5., 6. és 9. cikkében előírt jogok és kötelezettségek korlátozását igazolják, a Charta 7., 8. és 11. cikkében biztosított alapvető jogokba történő, az ilyen korlátozással járó beavatkozás súlyosságának felmérésével, valamint annak ellenőrzésével kell értékelni, hogy a korlátozás által elérni kívánt közérdekű cél jelentősége összefügg-e a beavatkozás súlyosságával (2020. október 6-i La Quadrature du Net és társai ítélet, C-511/18, C-512/18 és C-520/18, EU:C:2020:791, 131. pont), az következik, hogy az érintett alapvető jogokba való, a szóban forgó személyes adatokhoz való hozzáféréssel járó beavatkozás mértékének, valamint az adatok érzékenységi szintjének ki kell hatnia a hozzáféréssel kapcsolatos anyagi jogi és eljárásjogi garanciákra is, amelyek között a bíróság vagy független közigazgatási szerv általi előzetes felülvizsgálat követelménye is szerepel.
131 Következésképpen az arányosság elvére tekintettel meg kell állapítani, hogy a bíróság vagy független közigazgatási szerv általi előzetes felülvizsgálat követelménye kötelező akkor, ha a hatóság személyes adatokhoz való hozzáférését előíró nemzeti szabályozás összefüggésében e hozzáférés az érintett személy alapvető jogaiba való súlyos beavatkozás kockázatával jár abban az értelemben, hogy lehetővé teheti e hatóság számára, hogy pontos következtetéseket vonjon le e személy magánéletére vonatkozóan, és adott esetben meghatározza részletes profilját.
132 Ezzel szemben az előzetes felülvizsgálat e követelménye nem alkalmazandó, ha az érintett alapvető jogokba való, a hatóságnak a személyes adatokhoz való hozzáférése jelentette beavatkozás nem minősíthető súlyosnak.
133 Ez a helyzet áll fenn az elektronikus hírközlési eszközök felhasználóinak személyazonosságára vonatkozó adatokhoz kizárólag az érintett felhasználó azonosítása céljából való, anélkül történő hozzáférés esetén, hogy ezek az adatok összekapcsolhatók lennének a lebonyolított közlésekre vonatkozó információkkal, mivel a Bíróság ítélkezési gyakorlata szerint az említett adatok ilyen kezelésével járó beavatkozás főszabály szerint nem minősíthető súlyosnak (lásd ebben az értelemben: 2020. október 6-i La Quadrature du Net és társai ítélet, C-511/18, C-512/18 és C-520/18, EU:C:2020:791, 157. és 158. pont).
134 Következésképpen, amennyiben egy, a jelen ítélet 86–89. pontjában leírt adatmegőrzési rendelkezést vezetnek be, a hatóságnak az így megőrzött IP-címeknek megfelelő, személyazonosságra vonatkozó adatokhoz való hozzáférésére főszabály szerint nem vonatkozik a bíróság vagy független közigazgatási szerv általi előzetes felülvizsgálat követelménye.
135 Mindemellett, amint az a jelen ítélet 110. és 111. pontjában már megállapításra került, nem zárható ki, hogy atipikus helyzetekben az alapügyben szóban forgó fokozatos válaszadási eljáráshoz hasonló eljárás keretében a hatóság rendelkezésére bocsátott, korlátozott adatok és információk alkalmasak arra, hogy az érintett személy magánéletének egyes vonatkozásairól olyan, adott esetben érzékeny információkat tárjanak fel, amelyek összességükben véve lehetővé tehetik e hatóság számára, hogy pontos következtetéseket vonjon le e személy magánéletére vonatkozóan, és adott esetben megállapítsa a részletes profilját.
136 Amint az a jelen ítélet 112. pontjából kitűnik, a magánéletet fenyegető ilyen veszély többek között akkor merülhet fel, ha valamely személy a szerzői vagy szomszédos jogokat sértő tevékenységet ismétlődően, sőt nagy számban folytat a peer-to-peer hálózatokon olyan különleges típusú, védett művekkel kapcsolatban, amelyeket címük szerint olyan csoportokba lehet sorolni, amelyek akár érzékeny információkat is felfedhetnek a magánéletére vonatkozóan.
137 Így a jelen ügyben a fokozatos válaszadásra irányuló közigazgatási eljárás keretében az IP-cím jogosultja különösen ki lehet téve a magánéletét fenyegető ilyen veszélynek, amint ez az eljárás abba a szakaszba ér, amikor a Hadopinak arról kell döntenie, hogy súlyos gondatlanság szabálysértésének vagy hamisítás vétségének minősíthető cselekmények miatt az ügyészséghez fordul-e az e jogosult elleni eljárás lefolytatása céljából.
138 Az ügyészséghez fordulás előfeltétele az, hogy az IP-cím jogosultja már két ajánlást és egy, őt arról tájékoztató levelet kapott, hogy tevékenysége büntetőeljárást vonhatnak maguk után, amely intézkedések azzal járnak, hogy a Hadopi minden alkalommal hozzáfért a szerzői vagy szomszédos jogokat sértő tevékenységekhez használt IP-cím jogosultjának személyazonosságára vonatkozó adatokhoz, valamint az e műre vonatkozó, lényegében a címét tartalmazó fájlhoz.
139 Márpedig nem zárható ki, hogy a fokozatos válaszadásra irányuló közigazgatási eljárás során az eljárás különböző szakaszaiban folyamatosan szolgáltatott adatok összességükben véve egybevágó és adott esetben érzékeny információkat tárhatnak fel az érintett személy magánéletének egyes vonatkozásairól, amelyek adott esetben lehetővé teszik profiljának megállapítását.
140 Így a magánélet tiszteletben tartásához való jog megsértésének intenzitása a fokozatos válaszadási – lépcsőzetesen felépülő – eljárás egyes szakaszainak előrehaladtával egyre fokozódhat.
141 A jelen ügyben a Hadopinak az érintett személyre vonatkozó, az ezen eljárás különböző szakaszaiban összegyűjtött adatok összességéhez való hozzáférése – ezen adatok összekapcsolása révén – lehetővé teheti e személy magánéletére vonatkozó pontos következtetések levonását. Ennélfogva az alapügyben szóban forgóhoz hasonló fokozatos válaszadási eljárás keretében a nemzeti szabályozásnak elő kell írnia, hogy az említett eljárás egy bizonyos szakaszában valamely bíróságnak vagy független közigazgatási szervnek a jelen ítélet 125–127. pontjában felidézett feltételeknek megfelelő előzetes felülvizsgálatot kell lefolytatnia az érintett személy magánéletének és személyes adatainak védelméhez való alapvető jogaiba történő aránytalan beavatkozás kizárása érdekében. Ez gyakorlatilag azt jelenti, hogy az ilyen felülvizsgálatot azt megelőzően kell elvégezni, hogy a Hadopi össze tudná kapcsolni az elektronikus hírközlési szolgáltatótól kapott IP-címnek megfelelő személy – aki már két ajánlást kapott – személyazonosságára vonatkozó adatokat, valamint az interneten annak érdekében hozzáférhetővé tett műre vonatkozó fájlt, hogy azt más személyek letölthessék. Következésképpen az említett felülvizsgálatot a CPI R. 331-40. cikke szerinti, azt megállapító tájékoztató levél esetleges megküldése előtt kell elvégezni, hogy e személy olyan cselekményeket követett el, amelyek súlyos gondatlanságnak minősülhetnek. A Hadopi csak a bíróság vagy független közigazgatási hatóság által végzett ilyen előzetes felülvizsgálatot és megadott engedélyt követően küldhet ilyen levelet, és fordulhat adott esetben az ügyészséghez e bűncselekmény elleni eljárás lefolytatása érdekében.
142 A Hadopi számára lehetővé kell tenni, hogy azonosítsa azokat az eseteket, amelyekben az érintett IP-cím jogosultja eléri a fokozatos válaszadási eljárás harmadik szakaszát. Ennélfogva ezt az eljárást úgy kell felépíteni és megszervezni, hogy az elektronikus hírközlési szolgáltatóktól begyűjtött, az interneten korábban gyűjtött IP-címeknek megfelelő, személyazonosságra vonatkozó adatokat a Hadopinak a tényállás kivizsgálásával megbízott tisztviselői ne kapcsolhassák össze automatikusan azon védett művek címének megismerését lehetővé tévő elemeket tartalmazó fájlokkal, amelyek interneten való hozzáférhetővé tétele az adatgyűjtést indokolta.
143 Így a fokozatos válaszadás harmadik szakasza céljából történő összekapcsolást fel kell függeszteni, ha az említett személyazonosságra vonatkozó, a szerzői vagy szomszédos jogokat sértő tevékenység második lehetséges megismétléséhez rendelhető adatok gyűjtése a jelen ítélet 141. pontjában leírt, bíróság vagy független közigazgatási szerv általi előzetes felülvizsgálat követelményét vonja maga után.
144 Egyébiránt az előzetes felülvizsgálat követelményének a jelen ítélet 141–143. pontjában kifejtett olyan módosítása, amely szerint az a fokozatos válaszadási eljárás harmadik szakaszára korlátozódik, és nem alkalmazandó annak korábbi szakaszaira, lehetővé teszi azon érv figyelembevételét is, amely szerint fenn kell tartani ezen eljárás gyakorlati megvalósíthatóságát, amely eljárásra – különösen a tájékoztató levél esetleges megküldését és adott esetben az ügyészséghez fordulást megelőző szakaszokban – az jellemző, hogy a hatóság tömegesen nyújt be hozzáférés iránti kérelmeket a jogtulajdonosok szervezetei által hozzá benyújtott jegyzőkönyvek ugyancsak jelentős számából fakadóan.
145 Ami továbbá a jelen ítélet 141–143. pontjában említett előzetes felülvizsgálat tárgyát illeti, a jelen ítélet 95. és 96. pontjában felidézett ítélkezési gyakorlatból az következik, hogy abban az esetben, ha az érintett személyt azzal gyanúsítják, hogy a CPI R. 335-5. cikkében meghatározott, az általános bűncselekmények körébe tartozó „súlyos gondatlanságot” követett el, az ezen felülvizsgálatot végző bíróságnak vagy független közigazgatási szervnek meg kell tagadnia a hozzáférést, ha ez lehetővé tenné a hozzáférést kérő hatóság számára, hogy pontos következtetéseket vonjon le az említett személy magánéletére vonatkozóan.
146 Ezzel szemben még az ilyen pontos következtetések levonását lehetővé tévő hozzáférést is meg kell engedni abban az esetben, ha az ezen bíróság vagy független közigazgatási szerv tudomására hozott bizonyítékok alapján felmerül a gyanú, hogy az érintett személy a CPI L. 335-2. cikkében vagy e törvénykönyv L. 335-4. cikkében meghatározott hamisítás vétségét követte el, mivel a tagállamnak lehetősége van arra, hogy az ilyen bűncselekményt, mivel a társadalom valamely alapvető érdekét sérti, a súlyos bűncselekménynek körébe tartozónak tekintse.
147 Végül, ami az előzetes felülvizsgálat módjait illeti, a francia kormány úgy véli, hogy a Hadopi szóban forgó adatokhoz való hozzáférésének sajátos jellemzőire, különösen annak tömeges jellegére tekintettel helyénvaló lenne, hogy az előzetes felülvizsgálat – amennyiben szükséges – teljes mértékben automatizált legyen. Ugyanis az ilyen, tisztán objektív jellegű felülvizsgálat lényegében annak ellenőrzéséből áll, hogy a Hadopi elé terjesztett jegyzőkönyvek tartalmazzák-e a szükséges információk és adatok összességét, anélkül hogy e hatóságnak ezeket értékelnie kellene.
148 Mindazonáltal az előzetes felülvizsgálat semmi esetre sem lehet teljesen automatizált, mivel – amint az a jelen ítélet 125. pontjában felidézett ítélkezési gyakorlatból kitűnik – az ilyen felülvizsgálat egy bűnügyi nyomozás esetében mindenképpen megköveteli, hogy az érintett bíróság vagy független közigazgatási szerv megfelelő egyensúlyt teremthessen egyrészt a bűnözés elleni küzdelem keretében a felderítés szükségleteihez fűződő jogos érdekek, másrészt az azon személyek magánéletének tiszteletben tartásához és személyes adatainak védelméhez fűződő alapvető jogok között, akiknek az adatait a hozzáférés érinti.
149 A különböző jogos érdekek és az érintett jogok ilyen egymással szembeni mérlegelése ugyanis természetes személy beavatkozását teszi szükségessé, ami annál is inkább szükséges, mivel a szóban forgó adatkezelés automatizmusa és nagymértékű volta kockázatot jelent a magánéletre nézve.
150 Ezenkívül a teljesen automatizált felülvizsgálat főszabály szerint nem alkalmas annak biztosítására, hogy a hozzáférés ne haladja meg a feltétlenül szükséges mértéket, és hogy a személyes adataik kapcsán érintett személyek hatékony biztosítékokkal rendelkezzenek a visszaélések veszélyeivel, valamint az ezen adatokhoz való bármely hozzáféréssel és azok jogellenes felhasználásával szemben.
151 Így, noha az automatizált felülvizsgálat lehetővé teheti a jogtulajdonosok szervezeteinek jegyzőkönyveiben szereplő bizonyos információk ellenőrzését, az ilyen felülvizsgálatnak mindenképpen a természetes személyek által végzett, a jelen ítélet 125–127. pontjában felidézett követelményeknek teljes mértékben megfelelő felülvizsgálat mellé kell párosulnia.
Az IP-címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hatósági hozzáférés tekintetében az anyagi jogi és eljárásjogi feltételekre, valamint a visszaélések veszélyével, illetve az ezen adatokhoz való bármely hozzáféréssel és azok jogellenes felhasználásával szembeni biztosítékokra vonatkozó követelményekről
152 A Bíróság ítélkezési gyakorlatából kitűnik, hogy a személyes adatokhoz való hozzáférés csak akkor felelhet meg a 2002/58 irányelv 15. cikkének (1) bekezdésében előírt arányossági követelménynek, ha az azt engedélyező jogszabályi intézkedés egyértelmű és pontos szabályokkal előírja, hogy az említett hozzáférésre a vonatkozó anyagi jogi és eljárásjogi feltételek betartása mellett kerüljön sor, és hogy az érintett személyek hatékony biztosítékokkal rendelkezzenek az ezen adatokhoz való hozzáféréssel és azok visszaélésszerű vagy jogellenes felhasználásának veszélyével szemben (lásd ebben az értelemben: 2020. október 6-i La Quadrature du Net és társai ítélet, C-511/18, C-512/18 és C-520/18, EU:C:2020:791, 132. és 173. pont; 2021. március 2-i Prokuratuur [Az elektronikus hírközlési adatokhoz való hozzáférés feltételei] ítélet, C-746/18, EU:C:2021:152, 49. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
153 Amint azt a Bíróság hangsúlyozta, az ilyen biztosítékokkal való rendelkezés szükségessége még fontosabb abban az esetben, ha a személyes adatokat automatizált módon kezelik (2020. július 16-i Facebook Ireland és Schrems ítélet, C-311/18, EU:C:2020:559, 176. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
154 E tekintetben a Bíróság által a 2022. július 5-i tárgyalásra tekintettel feltett kérdésre válaszolva a francia kormány megerősítette, hogy – amint arra egyébként a CPI L. 331-29. cikke is utal – a Hadopinak a személyazonosságra vonatkozó adatokhoz való, a fokozatos válaszadási eljárás keretében történő hozzáférése alapvetően automatizált adatkezelésen alapul, amelyre a jogtulajdonosok szervezetei által a peer-to-peer hálózatokon megállapított hamisítások tömeges jellege ad magyarázatot, amely megállapításokat jegyzőkönyv formájában továbbítják a Hadopinak.
155 Konkrétabban, a Bíróság rendelkezésére álló iratokból kitűnik, hogy ezen adatkezelés során a Hadopi tisztviselői alapvetően automatizált módon és az érintett tényállások értékelése nélkül azt ellenőrzik, hogy az elé terjesztett jegyzőkönyvek tartalmazzák-e a 2010-236. sz. rendelet mellékletének 1. pontjában említett valamennyi információt és adatot, különösen az interneten való jogellenes hozzáférhetővé tétel konkrét tényállását és az e célból használt IP-címeket. Márpedig az ilyen adatkezeléseknek a természetes személyek által végzett felülvizsgálat mellé kell párosulniuk.
156 Mivel az ilyen automatizált adatkezelés magában foglalhat bizonyos számú fals pozitív esetet, és különösen annak kockázatát, hogy harmadik személyek esetlegesen nagyon magas számú személyes adatot kezelnek visszaélésszerűen vagy jogellenes célból, fontos, hogy valamely jogalkotási intézkedés értelmében a hatóság által alkalmazott adatkezelési rendszert egy e hatósághoz képest harmadik félként eljáró független szerv rendszeresen ellenőrizze, a rendszer integritásának – beleértve az e rendszer által biztosítandó, a visszaélések veszélyeivel, valamint az ezen adatokhoz való bármely hozzáféréssel és azok jogellenes felhasználásával szembeni tényleges garanciákat –, valamint a rendszernek a bűnismétlés esetén súlyos gondatlanságnak vagy hamisításnak minősíthető jogsértések felderítését illető hatékonyságának és megbízhatóságának vizsgálatára kiterjedően.
157 Végül hozzá kell tenni, hogy a személyes adatok olyan hatósági kezelésének, mint amelyet a Hadopi a fokozatos válaszadási eljárás keretében végez, tiszteletben kell tartania az e személyes adatok védelmére vonatkozóan a 2016/680 irányelvben előírt különös szabályokat, amely irányelv célja az 1. cikke szerint az, hogy szabályokat állapítson meg a természetes személyek védelmére a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – így többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végzett kezelése tekintetében.
158 A jelen ügyben ugyanis a Hadopinak, még ha az alkalmazandó nemzeti jog értelmében nem is rendelkezik saját döntéshozatali jogkörrel, a személyes adatoknak a fokozatos válaszadási eljárás keretében történő kezelésekor, és az olyan intézkedések elfogadásakor, mint az érintett személy részére megküldött ajánlás vagy arról való tájékoztatás, hogy a szóban forgó cselekmények büntetőeljárást vonhatnak maguk után, a 2016/680 irányelv 3. cikke értelmében vett, a bűncselekmények – vagyis a súlyos gondatlanság szabálysértése vagy a hamisítás vétsége – megelőzésében és felderítésében közreműködő „hatóságnak” kell minősülnie, és így az 1. cikkének megfelelően ezen irányelv hatálya alá tartozik.
159 E tekintetben a francia kormány a Bíróság által a 2022. július 5-i tárgyalás céljából feltett kérdésre válaszolva kifejtette, hogy mivel a Hadopi által a fokozatos válaszadási eljárás keretében elfogadott intézkedések „a bírósági eljáráshoz közvetlenül kapcsolódó, büntetőeljárást megelőző jellegűek”, a Hadopi által bevezetett, az internetes művek védelmét szolgáló intézkedések kezelésére szolgáló rendszer – amint az a kérdést előterjesztő bíróság ítélkezési gyakorlatából kitűnik – a 2016/680 irányelv átültetésére irányuló nemzeti jogi rendelkezések hatálya alá tartozik.
160 Ezzel szemben a Hadopi által végzett ilyen adatkezelés nem tartozik az általános adatvédelmi rendelet hatálya alá. E tekintetben ugyanis az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontja úgy rendelkezik, hogy e rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.
161 Amint arra a főtanácsnok a 2022. október 27-i indítványának 104. pontjában rámutatott, mivel a 2016/680 irányelv tiszteletben tartása ennélfogva kötelező a Hadopira a fokozatos válaszadási eljárás keretében, az ilyen eljárás alá vont személyek számára egy sor anyagi jogi és eljárásjogi garanciát kell biztosítani, ami magában foglalja a Hadopi által kezelt személyes adatokhoz való hozzáféréshez, azok helyesbítéséhez és törléséhez való jogot, valamint panasznak egy független felügyeleti hatósághoz történő benyújtásának lehetőségét, amelyet adott esetben az általános szabályok szerinti bírósági jogorvoslat követ.
162 Ebben az összefüggésben az alapügyben szóban forgó nemzeti szabályozásból kitűnik, hogy a fokozatos válaszadási eljárás keretében, pontosabban a második ajánlás és az ezt követő, arról való tájékoztatás megküldésekor, hogy a megállapított tényállás bűncselekménynek minősülhet, e közlések címzettje bizonyos eljárási garanciákat élvez, így például megilleti az észrevételek benyújtásához való jog, a neki felrótt jogsértéssel kapcsolatos felvilágosításhoz való jog, valamint az említett tájékoztatás kapcsán a meghallgatáshoz való jog, illetve az ügyvédi segítség igénybevételéhez való jog.
163 Mindenesetre a kérdést előterjesztő bíróság feladata annak vizsgálata, hogy e nemzeti szabályozás a 2016/680 irányelv által előírt valamennyi anyagi jogi és eljárásjogi biztosítékot előírja-e.
164 A fenti megfontolások összességére tekintettel az előzetes döntéshozatalra előterjesztett három kérdésre azt a választ kell adni, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben úgy kell értelmezni, hogy azzal nem ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a szerzői és szomszédos jogoknak az interneten elkövetett jogsértésekkel szembeni védelméért felelős hatóság számára a nyilvánosan elérhető elektronikus hírközlési szolgáltatást nyújtók által megőrzött, az IP-címnek megfelelő, személyazonosságra vonatkozó, a jogtulajdonosok szervezetei által előzetesen gyűjtött adatokhoz való hozzáférést annak érdekében, hogy e hatóság azonosítani tudja a valószínűsíthetően jogsértésnek minősülő tevékenységekhez használt címek jogosultjait, és adott esetben velük szemben intézkedéseket hozhasson, feltéve hogy e szabályozás értelmében
– ezeket az adatokat olyan feltételek és technikai eljárások mellett őrzik meg, amelyek biztosítják annak kizárását, hogy e megőrzés lehetővé tegye az e jogosultak magánéletére vonatkozó pontos következtetések levonását, például részletes profiljuk megállapítása révén, ami különösen azáltal érhető el, hogy az elektronikus hírközlési szolgáltatók számára a személyes adatok különböző kategóriáinak – mint például a személyazonosságra vonatkozó adatok, az IP-címek, valamint a forgalmi és helymeghatározó adatok – oly módon történő megőrzésére vonatkozó kötelezettséget írnak elő, amely biztosítja a különböző adatkategóriák valóban teljes elkülönítését, megakadályozva az adatmegőrzés szakaszában e különböző adatkategóriák bármilyen összekapcsolt felhasználását, és a megőrzés időtartama a szigorúan szükséges mértéket nem haladja meg,
– e hatóságnak az ilyen, valóban teljesen elkülönítetten megőrzött adatokhoz való hozzáférése kizárólag a bűncselekmény elkövetésével gyanúsítható személy azonosítására szolgál, és azt az annak kizárásához szükséges garanciák övezik, hogy az atipikus helyzetek kivételével e hozzáférés lehetővé tegye az IP-címek jogosultjainak magánéletére vonatkozó pontos következtetések levonását, például részletes profiljuk megállapítása révén, ami különösen azt jelenti, hogy e hatóság ilyen hozzáférésre jogosult tisztviselői számára tilos, hogy az általuk megtekintett fájlok tartalmára vonatkozó információkat bármilyen formában – az ügyészséghez fordulást mint egyetlen célt kivéve – nyilvánosságra hozzák, e jogosultak böngészési útvonalát nyomon kövessék, és általánosabban, hogy ezen IP-címeket a jogosultjaiknak a velük szembeni esetleges intézkedések elfogadása végett történő azonosításától eltérő célra használják fel,
– az említett hatóságnak a tényállás kivizsgálásával megbízott tisztviselőit megillető azon lehetőség, hogy ezeket az adatokat összekapcsolják azon védett művek címének megismerését lehetővé tévő elemeket tartalmazó fájlokkal, amelyek interneten való hozzáférhetővé tétele az IP-címeknek a jogtulajdonosok szervezetei általi gyűjtését indokolta, a szerzői vagy szomszédos jogokat sértő tevékenység ugyanazon személy általi megismétlése esetén bírósági vagy független közigazgatási szerv általi olyan felülvizsgálattól függ, amely nem lehet teljesen automatizált, és amelyet az összekapcsolást megelőzően végeznek el, mivel ez az összekapcsolás ilyen esetben lehetővé teheti a valószínűsíthetően szerzői vagy szomszédos jogokat sértő tevékenységhez használt IP-cím jogosultjának magánéletére vonatkozó pontos következtetések levonását,
– a hatóság által alkalmazott adatkezelési rendszert egy, e hatósághoz képest harmadik félként eljáró független szerv rendszeresen ellenőrzi, a rendszer integritásának – beleértve az ilyen adatokhoz való hozzáférés és azok visszaélésszerű vagy jogellenes felhasználásának kockázatával szembeni tényleges garanciákat –, valamint a rendszernek az esetleges jogsértések felderítését illető hatékonyságának és megbízhatóságának vizsgálatára kiterjedően.