–

az Österreichische Datenschutzbehörde képviseletében A. Jelinek és M. Schmidl, meghatalmazotti minőségben,

–

WK képviseletében M. Sommer Rechtsanwalt,

–

a Präsident des Nationalrates képviseletében C. Neugebauer és R. Posnik, meghatalmazotti minőségben,

–

az osztrák kormány képviseletében A. Posch, J. Schmoll, S. Dörnhöfer és C. Leeb, meghatalmazotti minőségben,

–

a cseh kormány képviseletében O. Serdula, M. Smolek és J. Vláčil, meghatalmazotti minőségben,

–

az Európai Bizottság képviseletében A. Bouchagiar, M. Heller és H. Kranenborg, meghatalmazotti minőségben,

1

Az előzetes döntéshozatal iránti kérelem az EUMSZ 16. cikk (2) bekezdése első mondatának, valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 2. cikke (2) bekezdése a) pontjának, 51. cikke (1) bekezdésének, 55. cikke (1) bekezdésének és 77. cikke (1) bekezdésének az értelmezésére vonatkozik.

2

E kérelmet az Österreichische Datenschutzbehörde (adatvédelmi hatóság, Ausztria; a továbbiakban: Datenschutzbehörde) és WK között az utóbbi által a személyes adatai védelméhez való jogának állítólagos megsértése miatt benyújtott panasz elutasítása tárgyában folyamatban lévő jogvitában terjesztették elő.

3

A GDPR (16), (20) és (117) preambulumbekezdésének szövege a következő:

[…]

[…]

4

A GDPR „Tárgyi hatály” című 2. cikke a következőképpen rendelkezik:

„(1)   E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(2)   E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:

[…]

(3)   A személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelésére [a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló, 2000. december 18‑i 45/2001/EK európai parlamenti és tanácsi rendeletet (HL 2001. L 8., 1. o.; magyar nyelvű különkiadás 13. fejezet, 26. kötet, 102. o.)] kell alkalmazni. A 45/2001/EK rendeletet, valamint a személyes adatok ilyen kezelésére vonatkozó egyéb uniós jogi aktusokat a 98. cikkel összhangban hozzá kell igazítani az e rendeletben foglalt elvekhez és szabályokhoz.

[…]”

5

A GDPR „Fogalommeghatározások” című 4. cikkének szövege a következő:

„E rendelet alkalmazásában:

[…]

[…]”

6

A GDPR „Korlátozások” című 23. cikkének (1) bekezdése a következőképpen rendelkezik:

„Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

[…]

[…]”

7

A GDPR „Felügyeleti hatóság” című 51. cikkének (1) bekezdése a következőképpen rendelkezik:

„A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam előírja, hogy e rendelet alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv (felügyeleti hatóság) felel.”

8

A GDPR „A felügyeleti hatóság létrehozására vonatkozó szabályok” című 54. §‑ának (1) bekezdése kimondja:

„A tagállamok jogszabályban rendelkeznek:

[…]”

9

A GDPR „Illetékesség” című 55. cikkének szövege a következő:

„(1)   A felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.

(2)   Ha az adatkezelést a 6. cikk (1) bekezdésének c) vagy e) pontja alapján eljáró közhatalmi szervek vagy magánfél szervezetek végzik, az érintett tagállam felügyeleti hatósága az illetékes. Ezekben az esetekben az 56. cikk nem alkalmazandó.

(3)   A felügyeleti hatóságok hatásköre nem terjed ki a bíróságok által igazságügyi feladataik ellátása során végzett adatkezelési műveletek felügyeletére.”

10

A GDPR-nek „A felügyeleti hatóságnál történő panasztételhez való jog” című 77. cikke a következőképpen rendelkezik:

„(1)   Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.

(2)   Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni.”

11

Az 1930. január 2‑án újból kihirdetett Bundes‑Verfassungsgesetz (szövetségi alkotmánytörvény) (BGBl. 1/1930.) alapügy tényállására alkalmazandó változatának (a továbbiakban: B‑VG) 53. cikke a következőképpen rendelkezik:

„(1) A Nationalrat [(nemzeti tanács, Ausztria)] vizsgálóbizottságok létrehozásáról határozhat. Ezenkívül a nemzeti tanács tagjai egynegyedének kérelmére vizsgálóbizottságot kell létrehozni.

(2) A vizsgálat tárgya minden esetben egy konkrét befejezett cselekmény a szövetségi állam végrehajtása területén. Ide tartozik a szövetségi szervek minden olyan tevékenysége, amelyen keresztül a szövetségi állam – a részvételének mértékétől függetlenül – részvételi és felügyeleti jogokat gyakorol. Az ítélkezési gyakorlat felülvizsgálata kizárt.

(3) A szövetségi állam, a tartományok, az önkormányzatok és önkormányzati társulások, valamint más önkormányzati testületek valamennyi szervének kérésre be kell nyújtania a vizsgálóbizottsághoz az aktáit és dokumentumait, amennyiben azok a vizsgálat tárgyának körébe tartoznak, és kötelesek a vizsgálóbizottság vizsgálat tárgyával összefüggő, bizonyítékok összegyűjtésére irányuló felhívásának eleget tenni. Ez a kötelezettség nem vonatkozik az olyan iratok és dokumentumok benyújtására, amelyek hozzáférhetővé tétele veszélyeztetné az 52a. cikk (2) bekezdése szerinti forrásokat.

(4) A (3) bekezdésben foglalt kötelezettség nem alkalmazandó, amennyiben az a szövetségi kormány vagy egyes tagjai törvényes döntéshozatali folyamatát vagy annak közvetlen előkészítését hátrányosan érinti.

[…]”

12

A B‑VG rendelkezik a törvényhozó, végrehajtó és bírói hatalmi ágak elválasztásáról. Az elválasztás ezen elvétől való bármilyen eltéréshez alkotmányos alapra van szükség.

13

Az 1999. augusztus 17‑i Datenschutzgesetz (az adatvédelemről szóló törvény, BGBl. 1999. I, 165. o.) alapügy tényállására alkalmazandó változata (a továbbiakban: DSG) 1. §‑ának (1) bekezdése a következőképpen rendelkezik:

„Mindenkinek joga van a rá vonatkozó személyes adatok bizalmas kezeléséhez, különös tekintettel a magán‑ és családi élete tiszteletben tartására, amennyiben védelemre méltó érdek áll fenn. Az ilyen érdek fennállása kizárt, ha az adatok bizalmas kezeléséhez való jog azok nyilvános hozzáférhetősége miatt, vagy azért nem érvényesíthető, mert az adatok nem vezethetők vissza az érintettig.”

14

A DSG 18. §‑ának (1) bekezdése értelmében:

„A GDPR 51. cikke szerinti nemzeti felügyeleti hatóságként létrehozott hatóság a Datenschutzbehörde.”

15

A DSG 24. §‑a (1) bekezdésének szövege a következő:

„Minden érintett jogosult arra, hogy panaszt tegyen a Datenschutzbehördénél, ha megítélése szerint a rá vonatkozó személyes adatok kezelése sérti a GDPR‑t vagy e törvény 1. §‑át vagy 2. §‑ának első részét.”

16

A DSG 35. §‑a a következőképpen rendelkezik:

„(1) A Datenschutzbehörde feladata az adatvédelem biztosítása a GDPR és a jelen szövetségi törvény rendelkezéseinek megfelelően.

(2) A Datenschutzbehörde a végrehajtó hatalom B‑VG 19. §‑a szerinti legfőbb végrehajtó szervekkel, valamint a B‑VG 30. §‑ának (3)–(6) bekezdése, 125. §‑a és 134. §‑ának (8) bekezdése, valamint 148h. §‑ának (1) és (2) bekezdése szerinti legfőbb szervekkel szemben is gyakorolja hatáskörét az e szervek hatáskörébe tartozó közigazgatási ügyek kapcsán.”

17

2018. április 20‑i határozatával a nemzeti tanács a B‑VG 53. cikke alapján vizsgálóbizottságot alakított, amelynek feladata a Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (szövetségi alkotmányvédelmi és terrorelhárítási hivatal, Ausztria; a továbbiakban: BVT) – amelynek jogutódja 2021. december 1‑jétől a Direktion Staatsschutz und Nachrichtendienst (állambiztonsági és hírszerző szolgálat, Ausztria) – fölötti esetleges politikai befolyás létének feltárása volt.

18

2018. szeptember 19‑én e vizsgálóbizottság (a továbbiakban: BVT vizsgálóbizottság) tanúként hallgatta meg WK‑t egy olyan meghallgatáson, amely a média képviselői számára hozzáférhető volt. A WK által benyújtott anonimizálás iránti kérelem ellenére az e meghallgatásról készült összefoglalót, amely teljes egészében tartalmazta WK vezetéknevét és keresztneveit, közzétették a Parlament Österreich (osztrák parlament, Ausztria) honlapján.

19

2019. április 2‑án WK panaszt nyújtott be a Datenschutzbehördéhez, amelyben arra hivatkozott, hogy az említett meghallgatásról készült, a személyazonosító adatát is tartalmazó összefoglaló akarata ellenére történő közzététele ellentétes a GDPR rendelkezéseivel és a DSG 1. §‑ával. Panasza alátámasztása érdekében előadta, hogy fedett rendőrként dolgozott a rendőrség utcai bűnözés elleni küzdelemért felelős csoportjánál.

20

2019. szeptember 18‑i határozatával a Datenschutzbehörde elutasította a panaszt. Álláspontja szerint a GDPR alapján ugyan főszabály szerint nincs akadálya annak, hogy a felügyeleti hatóságok a törvényhozás szervei fölött felügyeletet gyakoroljanak, a hatalmi ágak elválasztásának elve alapján azonban a törvényhozó hatalomnak a végrehajtó hatalom ellenőrzése alá vonása kizárt. E körülmények között, és mivel a BVT vizsgálóbizottság a törvényhozó hatalom része, a végrehajtó hatalom szerveként működő Datenschutzbehörde nem jogosult arra, hogy az említett bizottság tevékenysége fölött felügyeletet gyakoroljon, és ezért WK panaszának elbírálására nincs hatásköre.

21

2020. november 23‑i határozatával a Bundesverwaltungsgericht (szövetségi közigazgatási bíróság, Ausztria) helyt adott a WK által benyújtott keresetnek, és megsemmisítette a Datenschutzbehörde határozatát. Ítéletében lényegében megállapította, hogy a GDPR‑t a törvényhozó aktusaira, így a BVT vizsgálóbizottság aktusaira is alkalmazni kell. A GDPR tárgyi hatályának meghatározása ugyanis – a 2. cikk (1) bekezdésének szövegezése szerint – kimerítő jellegű, és az kiterjed minden adatkezelésre, függetlenül az adatkezelő jogalany személyétől, vagy attól, hogy e jogalany melyik állami funkcióhoz kapcsolódik. Emellett a GDPR 2. cikkének (2) bekezdéséből sem vezethető le olyan kivétel, amely alapján bizonyos állami funkciók – például a törvényhozás – tekintetében e rendelet ne lenne alkalmazandó, mivel az e rendelkezés a) pontjában foglalt kivételt megszorítóan kell értelmezni. Következésképpen a Bundesverwaltungsgericht (szövetségi közigazgatási bíróság) álláspontja szerint a Datenschutzbehördének az említett rendelet 77. cikke alapján hatásköre volt WK panaszának elbírálására.

22

A Datenschutzbehörde által a Bundesverwaltungsgericht (szövetségi közigazgatási bíróság) e határozata ellen előterjesztett felülvizsgálat iránti kérelem alapján eljáró Verwaltungsgerichtshof (legfelsőbb közigazgatási bíróság, Ausztria), amely a jelen ügyben a kérdést előterjesztő bíróság, elsőként azt kérdezi, hogy a GDPR 2. cikke (2) bekezdésének a) pontja és az EUMSZ 16. cikk (2) bekezdésének első mondata értelmében egy tagállami parlament által létrehozott vizsgálóbizottság aktusai – a vizsgálat tárgyától függetlenül – ki vannak‑e zárva a GDPR tárgyi hatálya alól azon indoknál fogva, hogy egy ilyen vizsgálóbizottság tevékenysége jellegénél fogva az uniós jog hatályán kívül esik.

23

Ezzel összefüggésben e bíróság mindenekelőtt előadja, hogy a Bíróság által többek között a 2020. július 9‑iLand Hessen ítélet (C‑272/19, EU:C:2020:535) nyomán kialakított tárgybeli ítélkezési gyakorlat alapján a GDPR alkalmazása szempontjából nem lehet megkövetelni, hogy a szóban forgó személyes adatok kezelésére az uniós jog hatálya alá tartozó célból kerüljön sor, az határokon átnyúló legyen, vagy hogy az konkrétan és közvetlenül érintse a tagállamok közötti szabad mozgást. Ellenkezőleg, e rendelet alkalmazása csak akkor kizárt, ha a kivétel alkalmazását megalapozó, e rendelet 2. cikke (2) bekezdésének a)–d) pontjában foglalt feltételek valamelyike teljesül.

24

Ezzel összefüggésben a kérdést előterjesztő bíróság emlékeztet arra, hogy a Bíróság ítélkezési gyakorlata szerint a GDPR 2. cikke (2) bekezdésének az e rendelet (16) preambulumbekezdésével összefüggésben értelmezett a) pontját úgy kell tekinteni, hogy annak egyedüli célja az, hogy kizárja az említett rendelet hatálya alól a személyes adatok olyan kezelését, amelyet az állami hatóságok a nemzetbiztonság megóvására irányuló vagy ugyanezen kategóriába tartozónak tekinthető tevékenység keretében végeznek. A nemzetbiztonság védelmére irányuló tevékenységek, amelyekre a GDPR 2. cikke (2) bekezdésének a) pontja vonatkozik, különösen azokat a tevékenységeket foglalják magukba, amelyek célja az alapvető állami funkcióknak és a társadalom alapvető érdekeinek a védelme (2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 62–67. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

25

Ezt követően az előterjesztő bíróság rámutat a 2020. július 9‑iLand Hessen ítélet (C‑272/19, EU:C:2020:535) alapjául szolgáló ügyben szereplő parlamenti bizottság, azaz a Land Hessen (Hessen tartomány, Németország) közgyűlésének petíciós bizottsága és a BVT vizsgálóbizottság közötti bizonyos különbségekre. Különösen arra, hogy ez utóbbi munkája nem csupán közvetett módon járul hozzá a parlamenti tevékenységhez, hanem e tevékenység lényegi részét képezi, tekintettel a B‑VG‑ben a nemzeti tanács által felállított vizsgálóbizottságokra ruházott ellenőrzési feladatra.

26

Végül az előterjesztő bíróság hivatkozik a törvényhozó, végrehajtó és bírói hatalom elválasztásának elvére, amely mind az egyes tagállamok, mind az Unió jogán belül érvényesülő alapelv. Kétségtelen, hogy a GDPR 55. cikkének (3) bekezdése csupán a bíróságok által az igazságügyi feladataik ellátása során végzett adatkezelési műveletek felügyeletére vonatkozóan zárja ki a felügyeleti hatóságok hatáskörét, és nem vonatkozik az alapvető parlamenti tevékenységhez kapcsolódóan végzett adatkezelésekre. Ezt a hiányt azonban magyarázhatja az a tény, hogy az uniós jogalkotó szempontjából ez utóbbi tevékenység már a rendelet 2. cikke (2) bekezdésének a) pontja alapján az uniós jog hatályán kívül esik.

27

Másodsorban az előterjesztő bíróság hangsúlyozza, hogy a BVT vizsgálóbizottság vizsgálatának tárgya nemzetbiztonsági tevékenységekhez kapcsolódik, amelyek a GDPR (16) preambulumbekezdésére tekintettel az uniós jog hatályán kívül esnek, és így e rendelet tárgyi hatálya alól annak 2. cikke (2) bekezdésének a) pontja alapján ki vannak zárva.

28

Így, feltéve hogy a vizsgálóbizottság parlamenti ellenőrzési tevékenysége az EUMSZ 16. cikk (2) bekezdése értelmében főszabály szerint az uniós jog alkalmazási körébe tartozik, még azt is meg kell vizsgálni, hogy e bizottság tevékenységei nem tartoznak‑e mindazonáltal a GDPR 2. cikke (2) bekezdésének a) pontjában foglalt kivétel hatálya alá, figyelemmel arra a körülményre, hogy a vizsgálat tárgya a végrehajtó hatalom olyan tevékenységeihez kapcsolódik, amelyek – mint a jelen ügyben – az uniós jog hatályán kívül esnek.

29

Harmadsorban az előterjesztő bíróság arra keresi a választ, hogy – különösen a hatalmi ágak elválasztásának osztrák alkotmányos elvére tekintettel – a Datenschutzbehörde, amely az egyedüli, GDPR 51. cikke szerinti nemzeti felügyeleti hatóság, rendelkezik‑e hatáskörrel a WK által benyújtotthoz hasonló panasz elbírálására pusztán e rendelet alapján, anélkül hogy e hatáskör megállapításának a nemzeti jog szerint bármiféle alkotmányos megalapozottsága lenne.

30

E körülmények között határozott úgy a Verwaltungsgerichtshof (legfelsőbb közigazgatási bíróság), hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

Az első kérdésre adott igenlő válasz esetén:

A második kérdésre adott nemleges válasz esetén:

31

Első kérdésével az előterjesztő bíróság lényegében azt kérdezi, hogy az EUMSZ 16. cikk (2) bekezdésének első mondatát és a GDPR 2. cikke (2) bekezdésének a) pontját úgy kell‑e értelmezni, hogy egy tevékenység az uniós jog hatályán kívül esik, és ennélfogva e rendelet nem alkalmazandó rá, önmagában azért, mert e tevékenységet olyan vizsgálóbizottság végzi, amelyet a végrehajtó hatalom fölötti ellenőrzési jogkörének gyakorlása körében hozott létre egy tagállami parlament.

32

A GDPR jogalapját képező EUMSZ 16. cikk (2) bekezdése úgy rendelkezik, hogy a természetes személyeknek a személyes adataiknak többek között a tagállamok által az uniós jog alkalmazási körébe tartozó tevékenységeik során végzett feldolgozása tekintetében történő védelmére vonatkozó szabályokat az Európai Parlament és az Európai Unió Tanácsa állapítja meg.

33

E rendelkezésnek megfelelően a GDPR 2. cikkének (1) bekezdése rendkívül tágan határozza meg a rendelet tárgyi hatályát (2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 61. pont). E rendelkezés alapján ugyanis „e rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni”.

34

A GDPR ugyanezen 2. cikkének (2) és (3) bekezdése továbbá kimerítő jelleggel állapítja meg az e rendelet tárgyi hatályát meghatározó (1) bekezdésben foglalt szabály alóli kivételeket. Az említett rendelet 2. cikke (2) bekezdésének a) pontja rögzíti, hogy e rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt „az uniós jog hatályán kívül eső tevékenységek során végzik”.

35

Ebben az összefüggésben az előterjesztő bíróság arra keresi a választ, hogy a személyes adatok olyan kezelése, amely egy tagállami parlament által a végrehajtó hatalom fölötti ellenőrzési jogkörének gyakorlása körében létrehozott vizsgálóbizottság tevékenységéhez kapcsolódik, mindenképpen – és a vizsgálat tárgyától függetlenül – az utóbbi rendelkezésben foglalt kivétel hatálya alá tartozik‑e.

36

E tekintetben emlékeztetni kell arra, hogy a GDPR‑t – a 2. cikk (2) és (3) bekezdésében említett esetek kivételével – mind a magánszemélyek, mind a hatóságok által végzett adatkezelésekre alkalmazni kell (lásd ebben az értelemben: 2022. március 24‑iAutoriteit Persoonsgegevens ítélet, C‑245/20, EU:C:2022:216, 25. pont).

37

A Bíróság ítélkezési gyakorlatából kitűnik, hogy a GDPR 2. cikkének (2) bekezdésében foglalt kivételt szigorúan kell értelmezni (lásd ebben az értelemben: 2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 62. pont, valamint az ott hivatkozott ítélkezési gyakorlat). Ezzel összefüggésben a Bíróságnak már alkalma nyílt arra, hogy megállapítsa, hogy e rendelet 2. cikke (2) bekezdése a) pontjának – azt a (16) preambulumbekezdésével összefüggésben értelmezve – az egyedüli célja az, hogy kizárja a rendelet hatálya alól a személyes adatok olyan kezelését, amelyet az állami hatóságok a nemzetbiztonság megóvására irányuló vagy ugyanezen kategóriába tartozónak tekinthető tevékenység keretében végeznek, így önmagában az, hogy egy tevékenység az állam vagy valamely közhatalmi szerv sajátos tevékenysége, nem elegendő ahhoz, hogy ezt a kivételt automatikusan alkalmazni lehessen erre a tevékenységre (2021. június 22‑iLatvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 66. pont; 2022. október 20‑iKoalitsiaDemokratichna Bulgaria – Obedinenie ítélet, C‑306/21, EU:C:2022:813, 39. pont).

38

Ezt az értelmezést, amely már abból a körülményből is következik, hogy a GDPR 2. cikkének (1) bekezdése nem tesz különbséget az érintett adatkezelő személye szerint, megerősíti e rendelet 4. cikkének 7. pontja, amely az „adatkezelő” fogalmát úgy határozza meg, mint „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza”.

39

A Bíróság éppen ez utóbbi rendelkezés értelmezése során állapította meg, hogy amennyiben egy tagállam szövetségi tartományi közgyűlésének petíciós bizottsága önállóan vagy másokkal együtt meghatározza a személyes adatok kezelésének céljait és eszközeit, ennek a bizottságnak az e rendelkezés értelmében vett „adatkezelőnek” kell minősülnie, és ily módon az e bizottság által végzett személyesadat‑kezelés e rendeletnek a hatálya alá tartozik (2020. július 9‑iLand Hessen ítélet, C‑272/19, EU:C:2020:535, 74. pont).

40

A Präsident des Nationalrates (a nemzeti tanács elnöke, Ausztria) által hangsúlyozott azon körülményből, hogy a 2020. július 9‑iLand Hessen ítélet (C‑272/19, EU:C:2020:535) alapjául szolgáló ügyben szereplő – a parlamenti tevékenységhez csupán közvetetten hozzájáruló – petíciós bizottsággal ellentétben a BVT vizsgálóbizottság olyan szerv, amelynek tevékenysége közvetlenül és kizárólag parlamenti jellegű, nem következik, hogy ez utóbbi bizottság tevékenységei ki lennének zárva a GDPR hatálya alól.

41

Amint ugyanis arra a főtanácsnok az indítványának 84. pontjában lényegében rámutatott, a GDPR hatálya alóli, e rendelet 2. cikke (2) bekezdésének a) pontjában foglalt kivétel kizárólag a jellegüknél fogva az uniós jog hatályán kívül eső tevékenységek kategóriáit említi, és nem tartalmaz utalást magán‑ vagy közjogi jellegük szerint megkülönböztetett személyek kategóriáira, mint ahogy arra a körülményre sem, hogy abban az esetben, ha az adatkezelő közhatalmi szerv, annak célja és feladatköre közvetlenül és kizárólagosan egy adott közhatalmi jogosítvány körébe tartozik, hacsak e jogosítvány egyébként nem az uniós jog hatályán kívül eső tevékenységhez kapcsolódik.

42

Ebből következően az a körülmény, hogy a személyes adatok kezelését olyan vizsgálóbizottság végzi, amelyet a végrehajtó hatalom fölötti ellenőrzési jogkörének gyakorlása körében hozott létre egy tagállami parlament, önmagában nem teszi lehetővé annak megállapítását, hogy ez az adatkezelés olyan tevékenységhez kapcsolódik, amely a GDPR 2. cikke (2) bekezdésének a) pontja értelmében az uniós jog hatályán kívül esik.

43

A fentiekre tekintettel az első kérdésre azt a választ kell adni, hogy az EUMSZ 16. cikk (2) bekezdésének első mondatát és a GDPR 2. cikke (2) bekezdésének a) pontját úgy kell értelmezni, hogy nem tekinthető úgy, hogy egy tevékenység az uniós jog hatályán kívül esik, és ennélfogva e rendelet nem alkalmazandó rá, önmagában azért, mert e tevékenységet olyan vizsgálóbizottság végzi, amelyet a végrehajtó hatalom fölötti ellenőrzési jogkörének gyakorlása körében hozott létre egy tagállami parlament.

44

Második kérdésével az előterjesztő bíróság lényegében azt kérdezi, hogy a GDPR 2. cikke (2) bekezdésének a) pontját a (16) preambulumbekezdésével összefüggésben úgy kell‑e értelmezni, hogy nem tekinthetők az e rendelkezés értelmében az uniós jog hatályán kívül eső nemzetbiztonsággal kapcsolatos tevékenységnek az olyan vizsgálóbizottság tevékenységei, amelyet a végrehajtó hatalom fölötti ellenőrzési jogkörének gyakorlása körében hozott létre egy tagállami parlament, és amelynek célja egy rendőri államvédelmi hatóság tevékenységének vizsgálata az e hatóság fölötti politikai befolyás gyanúja miatt.

45

Amint arra a jelen ítélet 37. pontja emlékeztet, a GDPR 2. cikke (2) bekezdésének a) pontját szigorúan kell értelmezni, és annak egyedüli célja az, hogy kizárja e rendelet hatálya alól a személyes adatok olyan kezelését, amelyet az állami hatóságok a nemzetbiztonság megóvására irányuló vagy ugyanezen kategóriába tartozónak tekinthető tevékenység keretében végeznek.

46

A nemzetbiztonság védelmére irányuló tevékenységek, amelyekre a GDPR 2. cikke (2) bekezdésének a) pontja vonatkozik, különösen azokat a tevékenységeket foglalják magukban, amelyek célja az alapvető állami funkcióknak és a társadalom alapvető érdekeinek a védelme (2022. június 22‑i Latvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 67. pont; 2022. október 20‑iKoalitsia Demokratichna Bulgaria – Obedinenie ítélet, C‑306/21, EU:C:2022:813, 40. pont).

47

Az EUSZ 4. cikk (2) bekezdésének megfelelően az ilyen tevékenység a tagállamok kizárólagos feladata marad (lásd ebben az értelemben: 2021. július 15‑iMinistrstvo za obrambo ítélet, C‑742/19, EU:C:2021:597, 36. pont).

48

A jelen ügyben a Bíróság rendelkezésére álló iratokból kitűnik, hogy a BVT vizsgálóbizottságot a nemzeti tanács hozta létre annak kivizsgálása céljából, hogy volt‑e esetleges politikai befolyás a BVT fölött, amelynek az alapügyben szóban forgó időszakban az alkotmány védelmének biztosítása és a terrorizmus elleni küzdelem volt a feladata.

49

A nemzeti tanács elnöke és a cseh kormány álláspontja lényegében az, hogy mivel a BVT feladatai „a nemzetbiztonsággal kapcsolatos tevékenységeket” foglaltak magukban, ezért tevékenységei a GDPR 2. cikke (2) bekezdésének a) pontjában meghatározott kivétel hatálya alá tartoznak. Márpedig egy tagállami parlamenti vizsgálóbizottság azon tevékenységei, amelyek olyan állami szervek ellenőrzésére irányulnak, amelyek feladata – mint a BVT esetében – a nemzetbiztonság védelme, maguk is a nemzetbiztonsággal kapcsolatos tevékenységek fogalma alá tartoznak. Egy ilyen vizsgálóbizottság ellenőrzési tevékenységének célja ugyanis az, hogy meggyőződjön arról, hogy az ellenőrzött hatóságok megfelelően biztosítják a nemzetbiztonságot.

50

Ezzel összefüggésben fontos megjegyezni, hogy noha az EUSZ 4. cikk (2) bekezdése alapján alapvető biztonsági érdekeik meghatározása, valamint a külső és belső biztonságukat szolgáló, megfelelő intézkedések meghozatala a tagállamok feladatkörébe tartozik, önmagában az a tény, hogy egy nemzeti intézkedést a nemzeti biztonság védelme érdekében fogadtak el, még nem eredményezi az uniós jog alkalmazhatatlanságát és nem mentesíti a tagállamokat az uniós jog kellő tiszteletben tartása alól (lásd ebben az értelemben: 2021. július 15‑iMinistrstvo za obrambo ítélet, C‑742/19, EU:C:2021:597, 40. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

51

Márpedig, amint arra a jelen ítélet 41. pontja emlékeztet, a GDPR hatálya alóli, az e rendelet 2. cikke (2) bekezdésének a) pontjában foglalt kivétel kizárólag a jellegüknél fogva az uniós jog hatályán kívül eső tevékenységek kategóriáit említi, és nem tartalmaz utalást magán‑ vagy közjogi jellegük szerint megkülönböztetett személyek kategóriáira, mint ahogy arra a körülményre sem, hogy abban az esetben, ha az adatkezelő közhatalmi szerv, annak célja és feladatköre közvetlenül és kizárólagosan egy adott közhatalmi jogosítvány körébe tartozik, hacsak e jogosítvány egyébként nem az uniós jog hatályán kívül eső tevékenységhez kapcsolódik. E tekintetben az a körülmény, hogy az adatkezelő olyan hatóság, amelynek fő tevékenysége a nemzetbiztonság védelme, önmagában nem elegendő ahhoz, hogy kizárja a GDPR hatálya alól azokat a személyes adatokat érintő adatkezeléseket, amelyeket e hatóság más tevékenységei keretében végez.

52

A jelen ügyben a Bíróság rendelkezésére álló iratokból kitűnik, hogy az alapügyben szóban forgó vizsgálóbizottság célja a BVT tevékenységének politikai ellenőrzése volt az e szervezetre gyakorolt politikai befolyás gyanúja miatt, ugyanakkor ez az ellenőrzés önmagában nem tűnik a jelen ítélet 45. pontjában felidézett ítélkezési gyakorlat szerinti nemzetbiztonság megóvására irányuló vagy ugyanezen kategóriába tartozónak tekinthető tevékenységnek. Ebből következik, hogy – a kérdést előterjesztő bíróság által elvégzendő vizsgálat függvényében – e tevékenység nem esik a GDPR tárgyi hatályán kívül annak 2. cikke (2) bekezdésének a) pontja alapján.

53

Mindemellett az alapügyben szereplőhöz hasonló parlamenti vizsgálóbizottság a munkája során hozzáférhet olyan információkhoz, különösen személyes adatokhoz, amelyek nemzetbiztonsági okokból különleges védelmet igényelnek, amely jelentheti például az érintettek számára nyújtandó, ezen adatok gyűjtésével kapcsolatos tájékoztatás korlátozását, vagy e személyek említett adatokhoz való hozzáférésének korlátozását.

54

Ezzel összefüggésben a GDPR 23. cikke úgy rendelkezik, hogy a rendelet 5., 12–22. és 34. cikkében foglalt jogok és kötelezettségek jogalkotási intézkedésekkel korlátozhatók, többek között a nemzetbiztonság vagy a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési tevékenység biztosítása érdekében, különösen a nemzetbiztonság körében.

55

Így a nemzetbiztonság védelmének követelménye igazolhatja a GDPR‑ból eredő kötelezettségek és jogok jogalkotási intézkedések útján történő korlátozását, többek között a személyes adatok gyűjtésével, az érintettek tájékoztatásával és az említett adatokhoz való hozzáférésével, illetve az ilyen adatoknak az érintettek hozzájárulása nélküli, az adatkezelőtől eltérő személyekkel történő közlésével kapcsolatban, feltéve hogy e korlátozások tiszteletben tartják az érintettek alapvető jogainak és szabadságainak lényeges tartalmát, valamint egy demokratikus társadalomban szükséges és arányos intézkedésnek minősülnek.

56

A jelen ügyben azonban a Bíróság rendelkezésére álló iratokból nem tűnik ki, hogy a BVT vizsgálóbizottság azt állította volna, hogy WK személyes adatainak közlése – amelyre az e bizottság előtti meghallgatásáról szóló összefoglalónak az osztrák parlament honlapján való közzététele alkalmával, és e személy hozzájárulása nélkül került sor – szükséges volt a nemzetbiztonság védelme érdekében, és az az e célból hozott nemzeti jogalkotási intézkedésen alapult. Mindazonáltal a nemzeti bíróság feladata, hogy adott esetben elvégezze az ezzel összefüggésben szükséges vizsgálatokat.

57

A fentiekre tekintettel a második kérdésre azt a választ kell adni, hogy a GDPR 2. cikke (2) bekezdésének a) pontját a (16) preambulumbekezdésével összefüggésben úgy kell értelmezni, hogy önmagukban nem tekinthetők az e rendelkezés értelmében az uniós jog hatályán kívül eső nemzetbiztonsággal kapcsolatos tevékenységnek az olyan vizsgálóbizottság tevékenységei, amelyet a végrehajtó hatalom fölötti ellenőrzési jogkörének gyakorlása körében hozott létre egy tagállami parlament, és amelynek célja egy rendőri államvédelmi hatóság tevékenységének vizsgálata az e hatóság fölötti politikai befolyás gyanúja miatt.

58

Harmadik kérdésével az előterjesztő bíróság lényegében azt kérdezi, hogy a GDPR 77. cikkének (1) bekezdését és 55. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy abban az esetben, ha egy tagállam e rendelet 51. cikkének (1) bekezdése alapján úgy döntött, hogy egyetlen felügyeleti hatóságot hoz létre, de annak nem biztosított a GDPR olyan vizsgálóbizottság általi alkalmazására vonatkozó felügyeleti hatáskört, amelyet a végrehajtó hatalom fölötti ellenőrzési jogkörének gyakorlása körében hozott létre e tagállam parlamentje, akkor e rendelkezések közvetlenül megalapozzák e hatóság hatáskörét a személyes adatok említett vizsgálóbizottság általi kezelésével kapcsolatos panaszok elbírálására.

59

E kérdés megválaszolása érdekében emlékeztetni kell arra, hogy az EUMSZ 288. cikk második bekezdése értelmében a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

60

Az állandó ítélkezési gyakorlat értelmében e rendelkezés szerint és a rendeletek jellegéből, valamint az uniós jogforrások rendszerében betöltött szerepükből fakadóan a rendeletek előírásainak főszabály szerint közvetlen hatályuk van a nemzeti jogrendszerekben, anélkül hogy szükség lenne arra, hogy a nemzeti hatóságok végrehajtási intézkedéseket fogadjanak el (2021. június 15‑iFacebook Ireland és társai ítélet, C‑645/19, EU:C:2021:483, 110. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

61

Márpedig egyrészt a GDPR 77. cikkének (1) bekezdése alapján minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet. Másrészt az említett rendelet 55. cikkének (1) bekezdése értelmében a felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.

62

E rendelkezések szövegéből kitűnik, hogy – amint arra a főtanácsnok az indítványának 132. pontjában lényegében rámutatott – a GDPR 77. cikke (1) bekezdésének és 55. cikke (1) bekezdésének végrehajtása nem igényel nemzeti végrehajtási intézkedéseket, továbbá e rendelkezések kellően egyértelműek, pontosak és feltétel nélküliek ahhoz, hogy közvetlen hatállyal bírjanak.

63

Ebből következik, hogy bár a GDPR az 51. cikke (1) bekezdésének megfelelően elismeri a tagállamok mérlegelési mozgásterét a létrehozandó felügyeleti hatóságok számát illetően, másrészt viszont meghatározza azon hatáskör terjedelmét, amelyet e rendelet alkalmazásának felügyelete érdekében e hatóságok számára – számuktól függetlenül – biztosítani kell.

64

Így, amint arra a főtanácsnok az indítványának 137. pontjában lényegében rámutatott, amennyiben egy tagállam úgy dönt, hogy egyetlen felügyeleti hatóságot hoz létre, e hatóság szükségképpen rendelkezik a GDPR által a felügyeleti hatóságokra ruházott valamennyi hatáskörrel.

65

Bármely, ettől eltérő értelmezés megkérdőjelezné a GDPR 55. cikke (1) bekezdésének és 77. cikke (1) bekezdésének a közvetlen hatályát, és azzal a kockázattal járna, hogy gyengíti e rendelet minden más, panasz által esetlegesen érintett rendelkezésének hatékony érvényesülését.

66

Egyébként azokban az esetekben, amelyekben az uniós jogalkotó korlátozni kívánta a felügyeleti hatóságok hatáskörét a közhatalmi szervek által végzett adatkezelési műveletek felügyeletére vonatkozóan, ezt kifejezett rendelkezéssel tette, amint azt a GDPR 55. cikkének (3) bekezdése is tanúsítja, amelynek értelmében e hatóságok hatásköre nem terjed ki a bíróságok által igazságügyi feladataik ellátása során végzett adatkezelési műveletek felügyeletére.

67

A Datenschutzbehörde, a nemzeti tanács elnöke és az osztrák kormány megjegyzi, hogy az osztrák jog alkotmányos szintű rendelkezései tiltják, hogy a végrehajtó hatalom bármilyen ellenőrzést gyakoroljon a törvényhozó hatalom fölött. E rendelkezések tehát kizárják annak lehetőségét, hogy a végrehajtó hatalomtól függő Datenschutzbehörde felügyelje a GDPR‑nak a BVT vizsgálóbizottság általi alkalmazását, amely a törvényhozó hatalom alá tartozó szerv.

68

A jelen ügyben azonban a GDPR 51. cikkének (1) bekezdése éppen a tagállamok alkotmányos szerkezetének tiszteletben tartása érdekében csupán azt a követelményt támasztja, hogy a tagállamok legalább egy felügyeleti hatóságot felállítsanak, ugyanakkor lehetőséget biztosít számukra arra, hogy egynél több felügyeleti hatóságot hozzanak létre. Egyébiránt e rendelet (117) preambulumbekezdése is rögzíti, hogy a tagállamok saját alkotmányos, szervezeti és közigazgatási szerkezetükhöz igazodva egynél több felügyeleti hatóságot is létrehozhatnak.

69

A GDPR 51. cikkének (1) bekezdése ily módon elismeri az egyes tagállamok mérlegelési mozgásterét, amely lehetővé teszi, hogy annyi felügyeleti hatóságot hozzanak létre, amennyi – többek között az alkotmányos szerkezetükből következő követelményekre tekintettel – szükséges.

70

Emlékeztetni kell továbbá arra, hogy nem sértheti az uniós jog egységességét és tényleges érvényesülését az, hogy a tagállam nemzeti jogi rendelkezésekre hivatkozik. Az uniós jog elsőbbségének elvéhez kapcsolódó hatások ugyanis a tagállamok valamennyi szervére vonatkoznak, anélkül hogy többek között a belső rendelkezések – ideértve az alkotmányos jellegűeket is – akadályozhatnák azt (2022. február 22‑iRS [Alkotmánybírósági ítéletek hatása] ítélet, C‑430/21, EU:C:2022:99, 51. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

71

Amennyiben egy tagállam mérlegelési mozgásterén belül úgy dönt, hogy egyetlen felügyeleti hatóságot hoz létre, nem hivatkozhat a nemzeti jog rendelkezéseire – legyen szó bár alkotmányos jellegű rendelkezésekről – annak érdekében, hogy a személyes adatok GDPR hatálya alá tartozó kezelését kivonja e hatóság felügyelete alól.

72

A fentiekre tekintettel a harmadik kérdésre azt a választ kell adni, hogy a GDPR 77. cikkének (1) bekezdését és 55. cikkének (1) bekezdését úgy kell értelmezni, hogy abban az esetben, ha egy tagállam e rendelet 51. cikkének (1) bekezdése alapján úgy döntött, hogy egyetlen felügyeleti hatóságot hoz létre, de annak nem biztosított az említett rendelet olyan vizsgálóbizottság általi alkalmazására vonatkozó felügyeleti hatáskört, amelyet a végrehajtó hatalom fölötti ellenőrzési jogkörének gyakorlása körében hozott létre e tagállam parlamentje, akkor e rendelkezések közvetlenül megalapozzák e hatóság hatáskörét a személyes adatok említett vizsgálóbizottság általi kezelésével kapcsolatos panaszok elbírálására.

73

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott: