Language of document : ECLI:EU:C:2024:291

Ideiglenes változat

PRIIT PIKAMÄE

FŐTANÁCSNOK INDÍTVÁNYA

Az ismertetés napja: 2024. április 11.(1)

C768/21. sz. ügy

TR

kontra

Land Hessen

(a Verwaltungsgericht Wiesbaden [wiesbadeni közigazgatási bíróság, Németország] által benyújtott előzetes döntéshozatal iránti kérelem)

„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – Az 57. cikk (1) bekezdésének a) és f) pontja – A felügyeleti hatóság feladatai – Az 58. cikk (2) bekezdése – A felügyeleti hatóság hatáskörei – A 77. cikk (1) bekezdése – Panasztételhez való jog – Adatvédelmi incidens – A felügyeleti hatóság intézkedések elfogadására vonatkozó kötelezettsége”






I.      Bevezetés

1.        A Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság, Németország) által az EUMSZ 267. cikk alapján előterjesztett jelen előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet(2) (a továbbiakban: általános adatvédelmi rendelet) 57. cikke (1) bekezdése a) és f) pontjának, 58. cikke (2) bekezdésének, valamint 77. cikke (1) bekezdésének értelmezésére vonatkozik.

2.        E kérelmet a TR és a Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Hessen szövetségi tartomány adatvédelmi biztosa, a továbbiakban: HBDI) által képviselt Land Hessen (Hessen szövetségi tartomány, Németország) közötti jogvita keretében terjesztették elő, amelynek tárgyát az képezi, hogy a HBDI megtagadta, hogy adatvédelmi incidens miatt fellépjen a Sparkassével (takarékpénztár) szemben. A kérdést előterjesztő bíróság arra keresi a választ, hogy abban az esetben, ha a felügyeleti hatóság az érintett jogait sértő adatkezelést állapít meg, mindenképpen köteles‑e az általános adatvédelmi rendelet 58. cikkének (2) bekezdése által számára biztosított hatáskör keretében fellépni, vagy adott esetben – a jogsértés ellenére – eltekinthet‑e attól, hogy fellépjen.

3.        A jelen ügy több új jogkérdést vet fel, amelyek alapos megfontolást igényelnek. A Bíróságnak lényegében arról kell állást foglalnia, hogy milyen szerepet játszik a jogszerűség és a célszerűség elve a felügyeleti hatóságok közigazgatási gyakorlatában, és különösen arra irányuló feladatuk ellátásában, hogy nyomon kövessék és kikényszerítsék az általános adatvédelmi rendelet alkalmazását. A Bíróság ítélkezési gyakorlatából eredő értelmező iránymutatások hatással lesznek erre a közigazgatási gyakorlatra, hozzájárulva ezáltal e rendelet Unión belüli következetes alkalmazásához.

II.    Jogi háttér

4.        Az általános adatvédelmi rendelet (129), (141), (148) és (150) preambulumbekezdésének szövege a következő:

„(129)      E rendelet Unió‑szerte következetes végrehajtásának és e végrehajtás következetes nyomon követésének biztosítása érdekében a felügyeleti hatóságokat minden tagállamban ugyanazokkal a feladatokkal és tényleges hatáskörökkel kell felruházni, ideértve a vizsgálati hatáskört, a korrekciós és szankciós hatáskört és a szankciókat, valamint az engedélyezési és a tanácsadási hatáskört, különösen a természetes személyek panaszaival kapcsolatos ügyekben, továbbá – az ügyészi hatóságok tagállami jog szerinti hatásköreinek sérelme nélkül – az arra vonatkozó hatáskört, hogy e rendelet megsértése esetén az igazságügyi hatóságokhoz forduljanak, és bírósági eljárást kezdeményezzenek. E hatáskörök magukban foglalják az adatkezelés átmeneti vagy végleges korlátozását, ideértve az adatkezelés tilalmának elrendelésére vonatkozó jogosultságot. A személyes adatok e rendelet szerinti védelmével kapcsolatos egyéb feladatokat a tagállamok is meghatározhatnak. A felügyeleti hatóságok hatásköreiket az uniós és a tagállami jogban foglalt megfelelő eljárási garanciáknak megfelelően, pártatlanul, tisztességesen és észszerű határidőn belül gyakorolják. Különösen, az e rendeletnek való megfelelés biztosítása érdekében minden egyes intézkedésnek megfelelőnek, szükségesnek és arányosnak kell lennie, és azok kapcsán figyelembe kell venni az adott eset körülményeit, tiszteletben kell tartani azt, hogy minden személynek joga van ahhoz, hogy az őt esetleg hátrányosan érintő egyedi intézkedés meghozatala előtt meghallgassák, továbbá kerülni kell, hogy az intézkedés az érintett személynek felesleges költségeket és túlzott kényelmetlenséget okozzon. […]

[…]

(141)      Minden érintett jogosult arra, hogy panaszt tegyen egy – különösen a szokásos tartózkodási helye szerinti tagállambeli – felügyeleti hatóságnál, és [az Európai Unió Alapjogi Chartájának (a továbbiakban: Charta)] 47. cikkével összhangban hatékony bírósági jogorvoslattal éljen, ha az úgy ítéli meg, hogy az e rendelet alapján elfogadott rendelkezések értelmében őt megillető jogokat megsértették, vagy ha a felügyeleti hatóság nem jár el valamely panasza alapján, illetve részben vagy egészben elutasítja vagy megalapozatlannak tekinti a panaszát, vagy nem jár el olyan esetben, amikor fellépése az érintett jogainak védelmében szükséges lenne. A panasz benyújtását követően – a konkrét esethez szükséges mértékben – vizsgálatot kell lefolytatni, amely bírósági felülvizsgálat tárgyát képezheti. A felügyeleti hatóság észszerű határidőn belül tájékoztatja az érintettet a panaszhoz fűződő fejleményekről és eredményekről. […]

[…]

(148)      Az e rendelet által előírt szabályok betartatásának erősítése érdekében e rendelet bármely megsértése esetén a felügyeleti hatóság által e rendelet alapján előírt megfelelő intézkedéseken felül vagy azok helyett szankciókat – ideértve a közigazgatási bírságokat is – kell kiszabni. E rendelet kisebb megsértése esetén, illetve ha a valószínűsíthetően kiszabásra kerülő bírság egy természetes személy számára aránytalan terhet jelentene, a bírság helyett megrovás is alkalmazható. Kellő figyelmet kell azonban fordítani a jogsértés természetére, súlyosságára, időtartamára, szándékos jellegére és arra, hogy tettek‑e intézkedéseket az elszenvedett kár mértékének csökkentésére, továbbá a felelősség mértékére, a korábban e téren elkövetett jogsértésekre, arra, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, valamint arra, hogy az adatkezelő vagy adatfeldolgozó betartja‑e a vele szemben elrendelt intézkedéseket és hogy alkalmaz‑e valamely magatartási kódexet, valamint minden egyéb súlyosbító vagy enyhítő körülményre. […]

[…]

(150)      Az e rendelet megsértése esetén alkalmazott közigazgatási szankciók szigorítása és harmonizálása érdekében minden felügyeleti hatóság hatáskörrel rendelkezik a közigazgatási bírság kiszabására. E rendeletben kell meghatározni a jogsértéseket, valamint a kapcsolódó közigazgatási bírságok összegének felső határát és azok megállapításának szempontjait; a közigazgatási bírságot az egyes esetekben az illetékes felügyeleti hatóság állapítja meg a konkrét helyzet valamennyi releváns körülményét figyelembe véve, és kellő figyelmet fordítva különösen a jogsértés természetére, súlyosságára és időtartamára, továbbá a jogsértés következményeire, valamint az e rendelet szerinti kötelezettségek teljesítésének biztosítása és a jogsértés következményeinek megelőzése vagy enyhítése érdekében tett intézkedésekre. […]”

5.        E rendelet 33. cikkének (1) bekezdése szerint:

„Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. […]”

6.        Az említett rendelet 34. cikkének (1) bekezdése szerint:

„Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.”

7.        Ugyanezen rendelet 57. cikkének (1) bekezdése a következőket mondja ki:

„Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, a felügyeleti hatóság a saját területén ellátja a következő feladatokat:

a)      nyomon követi és kikényszeríti e rendelet alkalmazását;

[…]

f)      kezeli az érintett vagy valamely szerv, szervezet vagy egyesület által a 80. cikkel összhangban benyújtott panaszokat, a panasz tárgyát a szükséges mértékben kivizsgálja, továbbá észszerű határidőn belül tájékoztatja a panaszost a vizsgálattal kapcsolatos fejleményekről és eredményekről, különösen, ha további vizsgálat vagy egy másik felügyeleti hatósággal való együttműködés válik szükségessé;

[…]”

8.        Az általános adatvédelmi rendelet 58. cikke értelmében:

„(1)      A felügyeleti hatóság vizsgálati hatáskörében eljárva:

a)      utasítja az adatkezelőt és az adatfeldolgozót, illetve adott esetben az adatkezelő vagy az adatfeldolgozó képviselőjét, hogy számára a feladatai elvégzéséhez szükséges tájékoztatást megadja;

[…]

(2)      A felügyeleti hatóság korrekciós hatáskörében eljárva:

a)      figyelmezteti az adatkezelőt vagy az adatfeldolgozót, hogy egyes tervezett adatkezelési tevékenységei valószínűsíthetően sértik e rendelet rendelkezéseit;

b)      elmarasztalja az adatkezelőt vagy az adatfeldolgozót, ha adatkezelési tevékenysége megsértette e rendelet rendelkezéseit;

c)      utasítja az adatkezelőt vagy az adatfeldolgozót, hogy teljesítse az érintettnek az e rendelet szerinti jogai gyakorlására vonatkozó kérelmét;

d)      utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időn belül – hozza összhangba e rendelet rendelkezéseivel;

e)      utasítja az adatkezelőt, hogy tájékoztassa az érintettet az adatvédelmi incidensről;

f)      átmenetileg vagy véglegesen korlátozza az adatkezelést, ideértve az adatkezelés megtiltását is;

[…]

i)      a 83. cikknek megfelelően közigazgatási bírságot szab ki, az adott eset körülményeitől függően az e bekezdésben említett intézkedéseken túlmenően vagy azok helyett;

[…]”

9.        E rendelet 77. cikke a következőképpen rendelkezik:

„(1)      Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.

(2)      Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni.”

10.      Az említett rendelet 78. cikkének (1) és (2) bekezdése a következőképpen rendelkezik:

„(1)      Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.

(2)      Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha az 55. vagy 56. cikk alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a 77. cikk alapján benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.”

11.      Az általános adatvédelmi rendelet 83. cikkének (1) és (2) bekezdése szerint:

„(1)      Valamennyi felügyeleti hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.

(2)      A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van‑e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:

a)      a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;

b)      a jogsértés szándékos vagy gondatlan jellege;

c)      az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;

d)      az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa a 25. és 32. cikk alapján foganatosított technikai és szervezési intézkedéseket;

e)      az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések;

f)      a felügyeleti hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;

g)      a jogsértés által érintett személyes adatok kategóriái;

h)      az, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette‑e be a jogsértést, és ha igen, milyen részletességgel;

i)      ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendelték az 58. cikk (2) bekezdésében említett intézkedések valamelyikét, a szóban forgó intézkedéseknek való megfelelés;

j)      az, hogy az adatkezelő vagy az adatfeldolgozó tartotta‑e magát a 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmusokhoz; valamint

k)      az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.”

III. A jogvita alapjául szolgáló tények, az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdés

12.      A Sparkasse egy önkormányzati közintézet, amely többek között banki és hitelügyletekkel foglalkozik. 2019. november 15‑én az általános adatvédelmi rendelet 33. cikkének megfelelően adatvédelmi incidenst jelentett be a HBDI‑nek, mivel az egyik alkalmazottja több alkalommal jogosulatlanul hozzáfért TR‑nek, a Sparkasse egyik ügyfelének személyes adataihoz. Mivel a Sparkasse úgy ítélte meg, hogy nem olyan adatvédelmi incidensről van szó, amely valószínűsíthetően magas kockázattal jár TR‑re nézve, mellőzte TR‑nek az e rendelet 34. cikke szerinti tájékoztatását.

13.      Miután TR tudomást szerzett erről az incidensről, 2020. július 27‑i levelével a HBDI‑hez fordult, bejelentette az általános adatvédelmi rendelet 34. cikkének megsértését, és kifogásolta a Sparkasse naplófájljainak rövid megőrzési idejét és azt a körülményt is, hogy a Sparkasse minden alkalmazottja átfogó hozzáférési jogokkal rendelkezik.

14.      A HBDI előtti eljárásban a Sparkasse jelezte, hogy adatvédelmi tisztviselője abból indult ki, hogy nem áll fenn kockázat TR tekintetében, mivel az érintett alkalmazottal szemben fegyelmi intézkedéseket hoztak, aki írásban megerősítette, hogy a megismert adatokat nem másolta le, nem tárolta el, és nem továbbította harmadik feleknek, és ígéretet tett arra, hogy a jövőben sem tesz ilyet. Ezenkívül a hozzáférési adatok megőrzési idejét felülvizsgálják.

15.      2020. szeptember 3‑i határozatában a HBDI arról tájékoztatta TR‑t, hogy a Sparkasse a jelen esetben nem sértette meg az általános adatvédelmi rendelet 34. cikkét. E hatóság szerint e rendelkezés alapján előrejelzésen alapuló döntést kell hozni. Adatvédelmi felügyeleti jogi szempontból meg kell vizsgálni, hogy e döntés nyilvánvalóan téves volt‑e. Márpedig a Sparkasse kifejtette, hogy bár hozzáférésre került sor, semmi nem utalt arra, hogy az az alkalmazott, aki az adatokhoz hozzáfért, azokat harmadik feleknek továbbította volna, vagy azokat TR‑re nézve hátrányosan használta volna fel. Ezért nem valószínűsíthető magas kockázat. Ezenkívül a Sparkassét felszólították arra, hogy a naplófájlokat ezentúl hosszabb ideig őrizze meg. A HBDI szerint főszabály szerint nem kell minden egyes hozzáférést ellenőrizni, és főszabály szerint széles körű hozzáférési jogok adhatók, ha biztosított, hogy minden egyes felhasználót tájékoztatnak arról, hogy milyen feltételek mellett milyen adatokhoz férhetnek hozzá.

16.      TR a 2020. szeptember 3‑i határozattal szemben keresetet indított a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság), a kérdést előterjesztő bíróság előtt, és kérte, hogy e bíróság a HBDI‑t kötelezze arra, hogy lépjen fel a Sparkasséval szemben.

17.      Keresete alátámasztása érdekében TR arra hivatkozik, hogy a HBDI nem az általános adatvédelmi rendelet rendelkezéseinek megfelelően bírálta el a panaszát. Azt állítja, hogy joga van ahhoz, hogy ezt a panaszt elbírálják, és erről tájékoztassák. A HBDI köteles lett volna megállapítani a Sparkasse általi kockázatértékelés ténybeli körülményeit, anélkül, hogy a kifejezetten kért intézkedésekre szorítkozott volna, és a HBDI‑nek bírságot kellett volna kiszabnia a Sparkasséval szemben. TR szerint megállapított incidens esetén nem érvényesül a célszerűség elve, így a HBDI‑t nem illeti meg az eljárással kapcsolatos mérlegelési jogkör, hanem legfeljebb azzal kapcsolatban rendelkezik mérlegelési jogkörrel, hogy milyen intézkedéseket kíván hozni.

18.      A kérdést előterjesztő bíróság kifejti, hogy a szóban forgó esetben a HBDI mint felügyeleti hatóság arra a következtetésre jutott, hogy bár megsértették az adatvédelmi rendelkezéseket, még sincs szükség az általános adatvédelmi rendelet 58. cikkének (2) bekezdése szerinti fellépésre. Márpedig ez a megközelítés csak akkor jogszerű, ha a felügyeleti hatóság megállapított adatvédelmi incidens esetén sem köteles fellépni. Ha elfogadjuk TR álláspontját, amely szerint a felügyeleti hatóság nem rendelkezik mérlegelési jogkörrel, ez azzal a következménnyel jár, hogy megállapított incidens esetén minden esetben fennáll a fellépés és a korrekció követeléséhez való jog, és a felügyeleti hatóságnak minden esetben intézkedést kell hoznia. Ennek megtagadása esetén a bíróságnak köteleznie kell a felügyeleti hatóságot, hogy hozzon egy vagy több intézkedést.

19.      A kérdést előterjesztő bíróság kifejti, hogy ez az érvelés, amelyet a szakirodalom egy része is képvisel, azon alapul, hogy az általános adatvédelmi rendelet 58. cikkének (2) bekezdése szerinti korrekciós hatáskörök a jogszerű állapot helyreállítását szolgálják, ha a polgárok jogait sérti az adatkezelés. Ezt a rendelkezést így olyan kötelezettséget megállapító normaként kell értelmezni, amely jogosultságot teremt a polgár számára a hatósági eljárás követelésére, ha valamely vállalkozás vagy hatóság jogellenesen kezelte a polgár személyes adatait, vagy más módon megsértette a jogait. Adatvédelmi incidens megállapítása esetén a felügyeleti hatóság köteles a korrekcióra, és kizárólag azzal kapcsolatban rendelkezik mérlegelési jogkörrel, hogy mely intézkedést hozza meg.

20.      A kérdést előterjesztő bíróságnak ugyanakkor kétségei vannak ezen értelmezéssel kapcsolatban, és túl szélesnek tartja azt. Sokkal inkább afelé hajlik, hogy elismerje a felügyeleti hatóság arra vonatkozó mérlegelési jogkörét, hogy megállapított jogsértések esetén is eltekintsen szankciók kiszabásától. Az általános adatvédelmi rendelet 57. cikke (1) bekezdésének f) pontja ugyanis csupán azt írja elő, hogy a felügyeleti hatóság kezeli a panaszokat, a panasz tárgyát a szükséges mértékben kivizsgálja, továbbá észszerű határidőn belül tájékoztatja a panaszost a vizsgálattal kapcsolatos fejleményekről és eredményekről. Ebből a felügyeleti hatóságnak a gondos tartalmi vizsgálatra és a konkrét eset vizsgálatára vonatkozó kötelezettsége következik, az azonban nem, hogy jogsértés megállapítása esetén minden esetben és kivétel nélkül fel kell lépni.

21.      E körülmények között a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdést terjeszti a Bíróság elé:

„Úgy kell‑e értelmezni az [általános adatvédelmi] rendelet 77. cikkének (1) bekezdésével összefüggésben értelmezett 57. cikke (1) bekezdésének a) és f) pontját, valamint 58. cikke (2) bekezdésének a)–j) pontját, hogy abban az esetben, ha a felügyeleti hatóság az érintett jogait sértő adatkezelést állapít meg, köteles e rendelet 58. cikkének (2) bekezdése alapján fellépni?”

IV.    A Bíróság előtti eljárás

22.      A 2021. december 10‑én kelt előzetes döntéshozatalra utaló határozat 2021. december 14‑én érkezett meg a Bíróság Hivatalához.

23.      Az alapeljárás felei, az osztrák, a portugál, a román és a norvég kormány, valamint az Európai Bizottság az Európai Unió Bírósága alapokmányának 23. cikkében előírt határidőn belül írásbeli észrevételeket terjesztettek elő.

24.      A 2024. január 16‑i általános értekezleten a Bíróság úgy határozott, hogy az ügyben nem tart tárgyalást.

V.      Jogi elemzés

A.      Előzetes megjegyzések

25.      Az általános adatvédelmi rendelet hatálybalépése óta több szervnek kellett számos intézkedést meghoznia annak érdekében, hogy megfeleljen a személyes adatok kezelésére vonatkozó új szabályozásnak. Amennyiben a szervek nem tartják be ezeket az intézkedéseket, a jogsértés súlyosságától függően többé vagy kevésbé súlyos szankciókkal sújthatók. Az általános adatvédelmi rendelet által bevezetett végrehajtási rendszerben a közigazgatási bírságok központi szerepet töltenek be. Ezek e rendelet 58. cikkének (2) bekezdése által biztosított egyéb korrekciós intézkedésekkel együtt hatékony elemét képezik a felügyeleti hatóságok rendelkezésére álló végrehajtási eszköztárnak. Mivel e rendelet lehetővé teszi a felügyeleti hatóságok számára, hogy olykor igen magas összegű bírságokat szabjanak ki, a jogbiztonság érdekében célszerűnek tűnik pontosítani, hogy mely körülmények indokolják e korrekciós intézkedés alkalmazását. A jelen indítványt tehát e célkitűzéshez való hozzájárulásként kell értelmezni.

26.      A jelen ügyre vonatkozó indítvány mondhatni ott folytatódik, ahol a C‑26/22. és C‑64/22. sz. (SCHUFA Holding) egyesített ügyekre (a továbbiakban: SCHUFA ügyek) vonatkozó indítványom(3) véget ért. Míg ez utóbbi ügyekben kifejtettem, hogy milyen kötelezettségek terhelik a felügyeleti hatóságot az általános adatvédelmi rendelet 77. cikke alapján benyújtott panasz vizsgálata során, a jelen ügyben az adatvédelmi incidens észlelése során fennálló kötelezettségeit, valamint a korrekciós intézkedések elfogadására, többek között a közigazgatási bírságok kiszabására vonatkozó hatáskörét fogom tárgyalni. Majd megvizsgálom, hogy a rendelet előírja‑e a felügyeleti hatóság számára azt a kötelezettséget, hogy minden esetben, vagy legalábbis akkor, ha a panaszos ezt kifejezetten kéri, ilyen bírságot szabjon ki. Elemzésem összefoglalása alapján megválaszolom az előterjesztő bíróság által feltett kérdést, amely a felügyeleti hatóság azon lehetőségére vonatkozik, hogy lemondjon a korrekciós intézkedések elfogadásáról.

B.      Az előzetes döntéshozatal iránti kérelem elfogadhatóságáról

27.      Mindezen szempontok vizsgálata előtt azonban TR‑nek az előzetes döntéshozatal iránti kérelem elfogadhatatlanságára alapított érvével kell foglalkozni. TR konkrétan azt állítja, hogy az előterjesztett kérdés megválaszolása nem szükséges az alapjogvita eldöntéséhez. Keresete kizárólag arra irányul, hogy a kérdést előterjesztő bíróság kötelezze a HBDI‑t a hozzá benyújtott panaszban felhozott kifogások elbírálására, nem pedig arra, hogy a HBDI‑t kötelezzék az általános adatvédelmi rendelet 58. cikkének (2) bekezdése által biztosított hatáskörök gyakorlására.

28.      E tekintetben emlékeztetni kell arra, hogy a Bíróság és a nemzeti bíróságok között az EUMSZ 267. cikk által létrehozott együttműködés keretében kizárólag az ügyben eljáró és a meghozandó határozatért felelős nemzeti bíróság feladata annak eldöntése, hogy az ügy sajátos jellemzőire tekintettel az ítélet meghozatalához szükség van‑e az előzetes döntéshozatalra, és hogy a Bíróságnak feltett kérdések relevánsak‑e. Következésképpen, ha a feltett kérdések az uniós jog értelmezésére vonatkoznak, a Bíróság főszabály szerint köteles határozatot hozni.(4)

29.      Ebből következik, hogy a nemzeti bíróság által saját felelősségére meghatározott jogszabályi és ténybeli háttér alapján – amelynek helytállóságát a Bíróság nem vizsgálhatja – az uniós jog értelmezésére vonatkozóan előterjesztett kérdések releváns voltát vélelmezni kell. A nemzeti bíróság által előterjesztett előzetes döntéshozatal iránti kérelem Bíróság általi elutasítása csak abban az esetben lehetséges, amennyiben nyilvánvaló, hogy az uniós jog kért értelmezése semmilyen összefüggésben nincs az alapügy tényállásával vagy tárgyával, ha a probléma hipotetikus jellegű, vagy ha nem állnak a Bíróság rendelkezésére azok a ténybeli vagy jogi elemek, amelyek szükségesek ahhoz, hogy az elé terjesztett kérdésekre hasznos választ adhasson.(5)

30.      A jelen ügyben a kérdést előterjesztő bíróság – világosan kifejtve azokat az okokat, amelyek miatt az előzetes döntéshozatalra előterjesztett kérdésében megjelölt uniós jogi rendelkezések értelmezését kéri – egyértelművé tette, hogy az e kérdésre adandó válasz meghatározó az alapügy eldöntése szempontjából, mivel TR azt kérte a HBDI‑től, hogy lépjen fel a Sparkasséval szemben. Amint az az előzetes döntéshozatal iránti kérelemben szereplő indokolásból kitűnik, TR arra hivatkozott, hogy „jogosult” ilyen fellépést követelni. Közelebbről, TR szerint „[a HBDI‑]nek bírságot kellett volna kiszabnia a Sparkasséval szemben”. A kérdést előterjesztő bíróság ebben az összefüggésben hivatkozik a kiszabandó bírságok összegének meghatározása érdekében TR által végzett számításokra.

31.      A kérdést előterjesztő bíróság által szolgáltatott mindezen információk egyértelműen ellentmondanak TR előzetes döntéshozatal iránti kérelem állítólagos elfogadhatatlanságára vonatkozó állításainak. E körülményekre figyelemmel véleményem szerint nem kétséges, hogy az előterjesztő bíróság által feltett kérdésre adandó válasz szükséges a jogvita eldöntéséhez. Alapvető fontosságúnak tűnik ugyanis a felügyeleti hatóság hatásköre, valamint a panaszossal szemben fennálló kötelezettségei terjedelmének megállapítása. Következésképpen meg kell állapítani, hogy az előzetes döntéshozatal iránti kérelem elfogadható.

C.      Az előzetes döntéshozatalra előterjesztett kérdés vizsgálata

32.      Az ügy érdemét illetően az előzetes döntéshozatalra előterjesztett kérdés lényegében annak meghatározására irányul, hogy melyek a felügyeleti hatóság kötelezettségei adatvédelmi incidens észlelése esetén. Ez az eset általában azt feltételezi, hogy a szóban forgó incidenst panasz alapján indított vizsgálat keretében megállapították.

33.      A kérdést előterjesztő bíróság nyilatkozatai némi bizonytalanságot mutatnak az általános adatvédelmi rendelet által a felügyeleti hatóság számára a panasz vizsgálata során előírt kötelezettségeket illetően, ami véleményem szerint azzal magyarázható, hogy az előzetes döntéshozatal iránti kérelmet a SCHUFA ítélet(6) kihirdetését megelőzően terjesztették elő, amelyben a Bíróság a panaszeljárásra irányadó számos fontos elvet határozott meg. Ennélfogva észszerűen feltételezhető, hogy a kérdést előterjesztő bíróságnak nem volt lehetősége arra, hogy megismerje ezt az ítélkezési gyakorlatot.

34.      Az általános adatvédelmi rendelet által létrehozott felügyeleti rendszerre vonatkozó jogi keret lehető legteljesebb körű bemutatása érdekében, valamint annak érdekében, hogy a kérdést előterjesztő bíróságnak hasznos választ lehessen adni, álláspontom szerint először emlékeztetni kell arra, hogy melyek a panaszeljárásra(7) alkalmazandó elvek, másodszor pedig ki kell fejteni, hogy a felügyeleti hatóságnak hogyan kell eljárnia, amikor adatvédelmi incidenst azonosított.(8)

1.      A felügyeleti hatóságnak a panasz kezelése során fennálló kötelezettségeiről

35.      Amint azt a Bíróság a SCHUFA ítéletben megállapította, a Charta 8. cikke (3) bekezdésének, valamint az általános adatvédelmi rendelet 51. cikke (1) bekezdésének és 57. cikke (1) bekezdése a) pontjának megfelelően a nemzeti felügyeleti hatóságok feladata a személyes adatok kezelése vonatkozásában a természetes személyek védelmére vonatkozó uniós szabályok tiszteletben tartásának ellenőrzése.(9)

36.      Közelebbről, az általános adatvédelmi rendelet 57. cikke (1) bekezdésének f) pontja értelmében minden felügyeleti hatóság a saját területén köteles kezelni azokat a panaszokat, amelyeket bármely személy e rendelet 77. cikke (1) bekezdésének megfelelően jogosult benyújtani, amennyiben úgy ítéli meg, hogy a rá vonatkozó személyes adatok kezelése sérti az említett rendeletet, továbbá a szükséges mértékben köteles kivizsgálni e panaszok tárgyát.(10)

37.      A felügyeleti hatóságnak az ilyen panaszt a kellő gondossággal kell kezelnie. A Bíróság arra is rámutatott, hogy a benyújtott panaszok elbírálása érdekében az általános adatvédelmi rendelet 58. cikkének (1) bekezdése az egyes felügyeleti hatóságokat jelentős vizsgálati hatáskörökkel ruházza fel.(11)

38.      Ebben az összefüggésben megjegyzendő, hogy a Bíróság csatlakozott a SCHUFA ügyekben ismertetett indítványban általam képviselt értelmezéshez, amely szerint a panaszeljárást, amely nem hasonlít a petíciós eljáráshoz, olyan mechanizmusként alakították ki, amely alkalmas az érintett személyek jogainak és érdekeinek hatékony védelmére.(12)

39.      Meg kell továbbá jegyezni, hogy a Bíróság az általános adatvédelmi rendelet 78. cikkének (1) bekezdésére vonatkozó értelmezésemet is osztotta, mivel úgy ítélte meg, hogy a felügyeleti hatóság által elfogadott, panaszról szóló határozat teljes körű bírósági felülvizsgálat alá tartozik.(13)

2.      A felügyeleti hatóságnak az adatvédelmi incidens azonosítása során fennálló kötelezettségeiről

40.      Amennyiben a felügyeleti hatóság a panasz vizsgálata során adatvédelmi incidenst állapít meg, felmerül a kérdés, hogy hogyan kell eljárnia. Amint azt az alábbiakban kifejtem, az ilyen megállapítás mindenekelőtt – a jogszerűség elve érdekében – a fellépésre vonatkozó kötelezettséget keletkeztet a felügyeleti hatóság számára. Általánosságban az incidens kezelése érdekében a legmegfelelőbb korrekciós intézkedés(ek) azonosításáról van szó.(14) Ez az értelmezés számomra észszerűnek tűnik, figyelemmel arra, hogy az általános adatvédelmi rendelet 57. cikke (1) bekezdésének a) pontja azon feladattal ruházza fel a hatóságot, hogy „nyomon kövesse” és „kikényszerítse e rendelet alkalmazását”. E megbízatással összeegyeztethetetlen lenne, ha a felügyeleti hatóság egyszerűen figyelmen kívül hagyhatná a megállapított incidenst.(15)

41.      Ráadásul a felügyeleti hatóságot az általános adatvédelmi rendelet 58. cikkének (1) bekezdése alapján megillető vizsgálati hatáskör nem érne sokat, ha a felügyeleti hatóságnak a személyes adatokkal kapcsolatos jogok megsértésének megállapítása ellenére arra kellene szorítkoznia, hogy vizsgálatot folytasson. A személyes adatok védelmére vonatkozó uniós jog végrehajtása ugyanis az EUMSZ 16. cikk (2) bekezdésében és a Charta 8. cikkének (3) bekezdésében szereplő „ellenőrzés” fogalmának lényeges összetevőjét alkotja.(16) Ebben az összefüggésben nem szabad elfelejteni, hogy a felügyeleti hatóság azon személy vagy szervezet érdekében is eljár, akinek vagy amelynek a jogait megsértették. E tekintetben megjegyzendő, hogy a rendelet 57. cikke (1) bekezdésének f) pontja és 77. cikkének (2) bekezdése a panaszos tekintetében bizonyos kötelezettségeket ír elő, így azt, hogy „tájékoztassák a panaszost a vizsgálattal kapcsolatos fejleményekről és eredményekről”.

42.      Ez az utolsó mondat azt jelenti, hogy a felügyeleti hatóságnak az azonosított adatvédelmi incidens tekintetében hozott intézkedésekről is be kell számolnia. Nyilvánvaló, hogy a panaszeljárásnak semmilyen haszna nem lenne, ha a felügyeleti hatóság egy, az uniós joggal ellentétes jogi helyzettel szembesülve tétlen maradhatna. Ezért annak érdekében, hogy a felügyeleti hatóság számára hatékony eszközt biztosítson az ilyen típusú jogsértések kezelésére, az általános adatvédelmi rendelet 58. cikkének (2) bekezdése fokozatosan növekvő intenzitású beavatkozással járó korrekciós intézkedések felsorolását tartalmazza. A jogsértés súlyától függetlenül minden esetben történő fellépésre vonatkozó kötelezettség azt jelenti, hogy a felügyeleti hatóságnak e korrekciós intézkedésekhez kell folyamodnia az uniós jognak megfelelő helyzet helyreállítása érdekében.(17)

3.      A felügyeleti hatóság korrekciós hatásköréről

43.      Mindemellett egyértelművé kell tenni, hogy azt a kérdést, hogy a hatóságnak fel kelle lépnie adatvédelmi incidens esetén, egyértelműen meg kell különböztetni attól a kérdéstől, hogy konkrétan hogyan kell eljárnia. Ami ez utóbbi kérdést illeti, több jel utal arra, hogy a felügyeleti hatóság bizonyos mozgástérrel rendelkezik, azt azonban az általános adatvédelmi rendelet célkitűzéseinek megfelelően és az az által meghatározott korlátokon belül kell gyakorolni. Bár a SCHUFA ügyekben(18) már kifejtettem néhány érvet ezen értelmezés alátámasztására, mindazonáltal szükséges a jelen indítványban is részletesen foglalkozni ezzel a kérdéssel.

44.      Mindenekelőtt meg kell jegyezni, hogy az általános adatvédelmi rendelet 58. cikke (2) bekezdésének megfelelően a felügyeleti hatóság „hatáskörében eljárva” az e rendelkezésben felsorolt bármely korrekciós intézkedést elfogadhatja, ami lehetőség fennállását jelenti, amint arra a kérdést előterjesztő bíróság helyesen rámutat. Ez a konnotáció egyébiránt minden olyan nyelvi változatban megtalálható, amelyet elemzésem keretében megvizsgáltam.(19)

45.      Az általános adatvédelmi rendelet 58. cikkének (2) bekezdését a (129) preambulumbekezdésének fényében kell értelmezni, amelyből kitűnik, hogy „az e rendeletnek való megfelelés biztosítása érdekében minden egyes intézkedésnek megfelelőnek, szükségesnek és arányosnak kell lennie, és azok kapcsán figyelembe kell venni az adott eset körülményeit” (kiemelés tőlem). Másként fogalmazva, a felügyeleti hatóság számára biztosított azon „hatáskör”, hogy az e rendelkezésben említett korrekciós intézkedésekhez folyamodjon, számos feltételtől függ, többek között attól, hogy az e hatóság által hozott intézkedés „megfelelő” legyen. Ezt a – hatóság számára mozgásteret biztosító – meghatározatlan jogi fogalmat úgy értelmezem, hogy a választott intézkedésnek tulajdonságaiból és hatásmechanizmusából adódóan helyre kell tudnia állítani az uniós jognak megfelelő helyzetet.(20)

46.      Ez az értelmezés összhangban áll a Bíróság ítélkezési gyakorlatával, amely kimondta, hogy amennyiben a felügyeleti hatóság megállapítja, hogy valamely személyesadat‑kezelés sérti az általános adatvédelmi rendeletet, „köteles megfelelően reagálni a megállapított hiányosság orvoslására”.(21) Amint azt a Bizottság megjegyzi, a felügyeleti hatóságot terhelő kötelezettség tehát mindenekelőtt az elérendő eredményre vonatkozik, vagyis arra, hogy a megállapított jogsértést az e célra „megfelelő” intézkedés elfogadásával orvosolja. Ezenkívül rá kell mutatni arra, hogy a meghozandó intézkedésre vonatkozó döntés az egyes esetek konkrét körülményeitől függ, amint az a rendelet fent hivatkozott (129) preambulumbekezdéséből egyértelműen kitűnik. Következésképpen a felügyeleti hatóság által a közigazgatási gyakorlata keretében hozott döntések az adott helyzettől függően jelentősen eltérhetnek egymástól.

47.      Mivel az általános adatvédelmi rendelet 58. cikkének (2) bekezdése annak kimondására szorítkozik, hogy a felügyeleti hatóság „hatáskörében eljárva” az e rendelkezésben felsorolt bármely korrekciós intézkedést elfogadhatja, a felügyeleti hatóság mozgástérrel rendelkezik, mivel a megállapított jogsértés orvoslása érdekében főszabály szerint szabadon választhat ezen korrekciós intézkedések közül. Amint azt a Bíróság a C‑311/18. sz. (Facebook Ireland és Schrems) ügyben hozott ítéletben hangsúlyozta, „a megfelelő és szükséges eszköz megválasztása a felügyeleti hatóság feladata”, és e hatóságnak e választást a konkrét eset valamennyi körülményének figyelembevételével kell meghoznia.(22)

48.      A diszkrecionális jogkör elismerése véleményem szerint az arra vonatkozó jogkört is magában foglalja, hogy az általános adatvédelmi rendelet 58. cikkének (2) bekezdésében említett korrekciós intézkedések egyikét se hozzák meg, ha ezt a megközelítést indokolják az adott eset sajátos körülményei. Mivel ugyanis a korrekciós intézkedések alkalmazásának az is feltétele, hogy a szóban forgó intézkedés az e rendeletnek való megfelelés biztosítása érdekében „szükséges” legyen, nem zárható ki, hogy a felügyeleti hatóság valamely konkrét fellépése nem felel meg ennek a feltételnek, például ha a probléma időközben megoldódott vagy azt elhárították, és a jogsértés megszűnt. Nyilvánvaló, hogy a felügyeleti hatóság fellépése ilyen körülmények között értelmetlen lenne.

49.      Hasonlóképpen, amint arra a portugál kormány helyesen rámutat, a korrekciós intézkedések alkalmazása már nem igazolható, ha az adatkezelő vagy az adatfeldolgozó magatartása kifogásolhatóságának mértéke nyilvánvalóan alacsony, vagy ha az ügy körülményei önmagukban enyhítő jellegűek, többek között azért, mert bizonyos mértékben a panaszossal megosztott felelősségről van szó. Márpedig ez azt feltételezi, hogy a felügyeleti hatóságnak lehetősége legyen arra, hogy meghatározzon egy küszöböt, amely alatt a fellépés az általános adatvédelmi rendelet értelmében nem tekinthető „szükségesnek”.

50.      Ebben az összefüggésben felhívom a figyelmet a rendelet (141) preambulumbekezdésére, amely kifejezetten hivatkozik arra a lehetőségére, hogy a felügyeleti hatóság úgy dönt, hogy nem jár el azokban az esetekben, amikor úgy ítéli meg, hogy fellépése az érintett jogainak védelme érdekében nem „szükséges” („ha […] nem jár el olyan esetben, amikor fellépése […] szükséges lenne”) (kiemelés tőlem). Ez a preambulumbekezdés rögzíti, hogy a felügyeleti hatóság határozata az ott felsorolt egyéb eseteken kívül – vagyis ha e rendelet alapján a panaszost megillető jogokat megsértették, vagy ha a felügyeleti hatóság nem jár el valamely panasza alapján, illetve részben vagy egészben elutasítja vagy megalapozatlannak tekinti a panaszát – akkor is bírósági felülvizsgálat tárgyát képezheti, ha a panaszos nem osztja a felügyeleti hatóságnak a fellépés „szükségességére” vonatkozó értékelését.

51.      A felügyeleti hatóságot az általános adatvédelmi rendelet 58. cikkének (2) bekezdése alapján megillető diszkrecionális jogkör magában foglalja, hogy a kisebb súlyú jogsértések a maga az adatkezelő által hozott más intézkedésekkel is orvosolhatók. Amint azt a jelen ügy körülményei is mutatják, a felelős vállalkozások által „önállóan” meghozandó korrekciós intézkedések állhatnak a jogsértést elkövető munkavállalókkal szembeni fegyelmi intézkedések meghozatalában. Olyan körülmények között, amikor a jogsértésért való felelősséget elismerték, és biztosították, hogy nem kerül sor új adatvédelmi incidensre, szükségtelennek tűnhet, hogy a felügyeleti hatóság további korrekciós intézkedéseket írjon elő.

52.      A korrekciós hatáskör adatkezelővel szembeni gyakorlása bizonyos körülmények között még kontraproduktívnak is bizonyulhat, amennyiben ez nem megfelelő és nem is szükséges. Ha a felügyeleti hatóság minden egyes jogsértés esetén köteles lenne az általános adatvédelmi rendelet 58. cikkének (2) bekezdése szerinti korrekciós hatáskörét gyakorolni, ez az adatvédelem szempontjából nagyobb figyelmet érdemlő más ügyek és feladatok nyomon követésére rendelkezésre álló erőforrások csökkenését eredményezné. Ennélfogva úgy vélem, hogy a maga az adatkezelő által hozott „önálló” intézkedések alkalmazása lehetővé tenné a felügyeleti hatóság számára, hogy az elsőbbséget érdemlő súlyos esetekre összpontosítson, miközben biztosítja az adatvédelmi incidensek elleni folyamatos, de decentralizált módon – azaz feladatainak részleges átruházása révén – folytatott küzdelmet.

53.      Ha a felügyeleti hatóság úgy dönt, hogy eltekint az általános adatvédelmi rendelet 58. cikkének (2) bekezdésében említett korrekciós intézkedések alkalmazásától, ugyanakkor előnyben részesíti az adatkezelő által hozott „önálló” intézkedések alkalmazását, számomra elengedhetetlennek tűnik néhány jogi követelmény tiszteletben tartása. Elsősorban a rendelettel létrehozott felügyeleti rendszer megkerülésének elkerülése érdekében a felügyeleti hatóságnak kifejezett hozzájárulását kell adnia az ilyen intézkedéshez. Másodsorban e hozzájárulást a helyzetnek e rendelet (129) preambulumbekezdésében említett feltételekre tekintettel történő alapos vizsgálatának kell megelőznie annak érdekében, hogy a felügyeleti hatóság ne mentesüljön a rendeletnek való megfelelés biztosításával kapcsolatos felelőssége alól. Harmadsorban, az azon jogalannyal kötött megállapodásnak, amelynek az „önálló” intézkedést végre kell hajtania, rendelkeznie kell a felügyeleti hatóság fellépéshez való jogáról, amennyiben az utasításait nem tartják be. Ha a Bíróság elfogadja ezt az értelmezést, és úgy ítéli meg, hogy az ilyen „önálló” intézkedések főszabály szerint összeegyeztethetők az általános adatvédelmi rendelettel, úgy vélem, hogy a Bíróságnak a felügyeleti rendszer koherenciája érdekében a fent említett követelmények tiszteletben tartásának szükségességét is hangsúlyoznia kell.

54.      Mivel az általános adatvédelmi rendelet 58. cikkének (2) bekezdése diszkrecionális jogkört biztosít a felügyeleti hatóság számára az adott esetben „megfelelő” korrekciós intézkedés megválasztását illetően, logikus kizárni a panaszos ahhoz való jogát, hogy valamely meghatározott intézkedés elfogadását követelje. Ugyanis, bár a panaszos ezen eljárás keretében rendelkezik bizonyos jogokkal a felügyeleti hatósággal szemben, többek között a vizsgálattal kapcsolatos fejleményekről és annak eredményéről észszerű határidőn belül történő tájékoztatáshoz való joggal, e jogok ugyanakkor nem foglalják magukban a valamely konkrét intézkedés meghozatalának megköveteléséhez való jogot.

55.      E jog abból sem vezethető le, hogy a panaszost az általános adatvédelmi rendelet 78. cikke értelmében a felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog illeti meg, mivel e hatóságnak a panaszeljárás keretében a panaszossal szemben fennálló fő kötelezettségét az jelenti, hogy kellően pontosan és részletesen megindokolja azon döntését, hogy – a hatóság által folytatott vizsgálat keretében tett megállapításokra figyelemmel – az adott esetben fellép‑e, vagy sem.

56.      Egyébiránt meg kell jegyezni, hogy az általános adatvédelmi rendelet 78. cikkének (2) bekezdése értelmében bírósági jogorvoslattal lehet élni azzal az indokkal, hogy az illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet e rendelet 77. cikke alapján benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről. Márpedig meg kell állapítani, hogy az említett indokok egyike sem utal arra, hogy az érintettnek bármilyen alanyi joga lenne ahhoz, hogy a bírósági jogorvoslat keretében valamely meghatározott intézkedés elfogadását kérje.

57.      Ugyanez vonatkozik az általános adatvédelmi rendelet (141) preambulumbekezdésében említett azon lehetőségre, hogy bírósági jogorvoslat útján vitassák a felügyeleti hatóságnak a fellépés érintett jogainak védelme érdekében való „szükségességére” vonatkozó értékelését. Még ha a hatáskörrel rendelkező bíróság végül meg is állapítaná az adott esetben való fellépés „szükségességét”, ez nem feltétlenül jelenti azt, hogy a felügyeleti hatóságnak valamely meghatározott intézkedést kellene elfogadnia. Ez utóbbinak inkább diszkrecionális jogkörét kell gyakorolnia, adott esetben figyelembe véve az e bíróság által elvégzett értékelést.

58.      Mindezekre tekintettel pontosítani kell, hogy az is elképzelhető, hogy a felügyeleti hatóság, mint közigazgatási szerv, az eset sajátos körülményei miatt köteles egy adott intézkedést elfogadni, különösen akkor, ha fennáll az érintett személy alapvető jogai súlyos megsértésének veszélye. Pontosan erre a forgatókönyvre hivatkoztam a SCHUFA ügyekre vonatkozó indítványomban.(23) A jelen előzetes döntéshozatal iránti kérelem így lehetőséget nyújt e téma kifejtésére.

59.      E tekintetben mindenekelőtt emlékeztetni kell a C‑311/18. sz. (Facebook Ireland és Schrems) ügyben hozott ítéletre, amelyben a Bíróság utalt arra, hogy ilyen eset ténylegesen fennállhat. Így a Bíróság megállapította, hogy a felügyeleti hatóság adott esetben köteles meghozni az általános adatvédelmi rendelet 58. cikkének (2) bekezdésében felsorolt bizonyos intézkedéseket, különösen akkor, ha úgy ítéli meg, hogy az uniós jog által megkövetelt védelem más módon nem biztosítható. Következésképpen e tekintetben a felügyeleti hatóság diszkrecionális jogköre az e rendelkezésben említett bizonyos intézkedésekre, vagy akár azok egyikére korlátozódik.(24)

60.      Amint arra az osztrák kormány helyesen rámutat, számos hasonló eset állhat fenn, amelyek meghatározott korrekciós intézkedés elfogadását követelik meg, például amikor a felügyeleti hatóság panaszeljárás keretében megállapítja a törlési kötelezettség fennállását, de az adatkezelő még nem törölte az adatokat. A leírt helyzetben a felügyeleti hatóságnak az általános adatvédelmi rendelet 58. cikke (2) bekezdésének g) pontja alapján mindenképpen el kell rendelnie az adatok törlését.

61.      Az előző pontokban említett példák azt mutatják, hogy nem zárható ki, hogy az adott eset sajátos körülményeitől függően az uniós jognak megfelelő helyzet helyreállítása csak meghatározott korrekciós intézkedés elfogadásával érhető el. Közelebbről, számomra úgy tűnik, hogy olyan körülmények között, amikor egyébként fennállna az érintett jogai súlyos megsértésének veszélye, a felügyeleti hatóság diszkrecionális jogköre az érintett jogainak védelme céljából megfelelő, egyetlen intézkedés elfogadására korlátozódhat.

62.      Minden más értelmezés véleményem szerint összeegyeztethetetlen lenne a Chartában foglalt alapvető jogok tiszteletben tartásának biztosítására irányuló kötelezettséggel, amely jogok a Charta 51. cikke (1) bekezdésének megfelelően az uniós jog végrehajtása során kötik a tagállami hatóságokat. Ez a kötelezettség a felügyeleti hatóságokat is terheli, amint az az általános adatvédelmi rendelet 58. cikkének (4) bekezdéséből következik.(25) Ebből a szempontból észszerűen képviselhető az az álláspont, hogy az uniós jog alanyi jogot biztosít az érintettnek arra, hogy megkövetelje a hatóságtól a szóban forgó intézkedés elfogadását. Mindazonáltal szeretném kiemelni, hogy a jelen ügyben nem látom jelét annak, hogy teljesülnének a felügyeleti hatóság diszkrecionális jogköre ilyen korlátozásának feltételei.

63.      Összefoglalva, meg kell állapítani, hogy amennyiben a felügyeleti hatóság, amelyhez az általános adatvédelmi rendelet 77. cikke szerinti panaszt benyújtottak, megállapítja az érintett jogainak megsértését, köteles megfelelően reagálni a megállapított és még fennálló hiányosságok orvoslása és az érintett jogai védelmének biztosítása érdekében. Amennyiben a felügyeleti hatóság fellép e tekintetben, e rendelet 58. cikkének (2) bekezdésében említett hatáskörök közül ki kell választania a megfelelő, szükséges és arányos intézkedést. Az eszközök megválasztása terén fennálló e diszkrecionális jogkör következésképpen korlátozott, mivel az előírt védelem csak konkrét intézkedések meghozatala révén biztosítható.

4.      A felügyeleti hatóság azon kötelezettségének hiányáról, hogy minden esetben közigazgatási bírságot szabjon ki

64.      A felügyeleti hatóság korrekciós hatáskörére vonatkozó ezen általános ismertetést követően azt kell megvizsgálni, hogy a felügyeleti hatóság minden esetben köteles‑e közigazgatási bírságot kiszabni. Bár e kérdés egyes vonatkozásai a fenti észrevételek alapján tisztázhatók, véleményem szerint bizonyos további magyarázatra van szükség. Ugyanis, noha az uniós jogalkotó a közigazgatási bírságokat az általános adatvédelmi rendelet 58. cikkének (2) bekezdése szerinti „korrekciós intézkedések” közé sorolta, megállapítható, hogy ezek a többi intézkedéshez képest néhány sajátos jellemzővel rendelkeznek. Ezért az elemzés e része a 58. cikke (2) bekezdésének i) pontjában és 83. cikkében említett különös szabályozásokra összpontosít.

65.      Amint arra a Bíróság nemrégiben emlékeztetett, a közigazgatási bírság az általános adatvédelmi rendelet által kialakított szankciórendszer részét képezi, amely az adatkezelők és az adatfeldolgozók számára ösztönzést jelent a rendeletnek való megfelelésre. A közigazgatási bírságok visszatartó hatásuk révén elősegítik az egyének személyes adatok kezelése vonatkozásában való védelmének megerősítését, és ezért kulcsfontosságú szerepet játszanak az egyének jogai tiszteletben tartásának biztosításában, összhangban a rendelet azon céljával, hogy magas szintű védelmet biztosítson az egyének személyes adatainak kezelése vonatkozásában.(26)

66.      Az általános adatvédelmi rendelet 83. cikke kétszintű rendszert ír elő, kifejezetten jelezve, hogy bizonyos jogsértések súlyosabbak, mint mások. Az első szint a különböző szereplők (adatkezelő, adatfeldolgozó, tanúsító szervek stb.) felelősségi körére vonatkozó cikkek megsértését foglalja magában. A második szint az e rendelet által védett egyéni jogok – például az alapvető jogok, az adatkezelés elvei, az érintettek tájékoztatáshoz való joga, az adattovábbításra vonatkozó szabályok stb. – megsértését foglalja magában. Mindkét szinten két értékelést kell elvégezni: először is annak eldöntése érdekében, hogy bírságot kelle kiszabni, másodszor pedig a közigazgatási bírság összegének meghatározása érdekében. A felügyeleti hatóságoknak mindkét értékelés során figyelembe kell venniük az általános adatvédelmi rendelet 83. cikkének (2) bekezdésében felsorolt valamennyi egyedi tényezőt. Ugyanakkor az első szakaszban levont következtetések felhasználhatóak a közigazgatási bírság összegének megállapítására szolgáló második szakasz során, ezáltal elkerülve, hogy ugyanazon szempontok alapján kétszer kelljen értékelni.(27)

67.      Ezen előzetes magyarázatokat követően az alábbiakban megvizsgálom a közigazgatási bírság minden esetben történő kiszabására vonatkozó esetleges kötelezettség kérdését. E tekintetben először is meg kell jegyezni, hogy a rendelet 58. cikke (2) bekezdésének i) pontja úgy rendelkezik, hogy a felügyeleti hatóság „az adott eset körülményeitől függően” közigazgatási bírságot szab ki. Ezt a rendelkezést e rendelet 83. cikkének (2) bekezdésével összefüggésben kell értelmezni, amely nemcsak az ilyen korrekciós intézkedés alkalmazásának ugyanilyen korlátozását írja elő, hanem azt is sugallja, hogy a felügyeleti hatóság eltekinthet ettől („[a]nnak eldöntésekor, hogy szükség vane közigazgatási bírság kiszabására”) (kiemelés tőlem), ha a körülmények indokolják ezt a megközelítést. Ez a megfogalmazás – többé‑kevésbé hasonló formában – más nyelvi változatokban is megtalálható.(28) Összefoglalva, a rendelet 83. cikke (2) bekezdésének a szövege is jelzi, hogy a közigazgatási bírság kiszabása nem minden esetben kötelező.

68.      Ráadásul meg kell jegyezni, hogy e rendelkezés arra kötelezi a felügyeleti hatóságot, hogy minden egyes esetben egy sor tényezőt vegyen figyelembe annak eldöntése során, hogy szükség van‑e közigazgatási bírság kiszabására. Lényegében olyan – súlyosító és enyhítő – körülményekről van szó, amelyek befolyásolják a felügyeleti hatóság döntését, így például a jogsértés jellege, súlyossága és időtartama, de az adatkezelő magatartásával kapcsolatos körülményekről is, mint például a jogsértés szándékos vagy gondatlanság jellege.(29)

69.      Ebben az összefüggésben az általános adatvédelmi rendelet (148) preambulumbekezdésének második és harmadik mondata számomra relevánsnak tűnik e rendelet 83. cikke (2) bekezdésének értelmezése szempontjából, mivel iránymutatással szolgál arra vonatkozóan, hogy milyen jellemzőket kell figyelembe venni a döntéshozatal során. Ez a preambulumbekezdés bevezeti a rendelet „kisebb megsértésének” fogalmát, ami fontos következményekkel jár a felügyeleti hatóság közigazgatási gyakorlatára nézve.(30) E preambulumbekezdésben többek között az szerepel, hogy „[e] rendelet kisebb megsértése esetén, illetve ha a valószínűsíthetően kiszabásra kerülő bírság egy természetes személy számára aránytalan terhet jelentene, a bírság helyett megrovás is alkalmazható” (kiemelés tőlem).

70.      Véleményem szerint ebből arra lehet következtetni, hogy az uniós jogalkotó tudatában volt annak, hogy a közigazgatási bírság különösen szigorú korrekciós intézkedésnek minősül, amelyet nem kell minden esetben alkalmazni, mivel ellenkező esetben csökkenne a hatékonysága, hanem csak akkor, ha ezt az adott eset körülményei szükségessé teszik. A rendelet (148) preambulumbekezdése ugyanis hivatkozik az arányosság elvére, amelyet a felügyeleti hatóságoknak tiszteletben kell tartaniuk, amikor a rendeletet a szankciók – többek között a közigazgatási bírságok – sajátos összefüggésében alkalmazzák. Amint arra elemzésemben már rámutattam, ezt az elvet tükrözi a (129) preambulumbekezdés, amely általánosságban a korrekciós intézkedések elfogadására vonatkozik.(31) A jogalkotó tehát a szankciók rugalmas és differenciált rendszerét kívánta létrehozni.(32)

71.      Az általános adatvédelmi rendelet 83. cikke (2) bekezdésének a (148) preambulumbekezdésével összefüggésben történő értelmezéséből az következik, hogy a felügyeleti hatóság az e rendelkezésben foglalt szempontok mérlegelése során juthat olyan következtetésre, hogy például az incidens az adott eset konkrét körülményei között nem jelent jelentős kockázatot a szóban forgó érintettek jogaira nézve, és nem befolyásolja a kérdéses kötelezettség lényegét. Az ilyen esetekben – azonban nem minden esetben – bírság helyett megrovás is alkalmazható.(33)

72.      Pontosítani kell azonban, hogy a (148) preambulumbekezdés nem kötelezi a felügyeleti hatóságot arra, hogy kisebb jogsértés esetén bírság helyett mindig megrovást alkalmazzon, hanem inkább egy lehetőségről rendelkezik, amely az eset valamennyi körülményének konkrét értékelését követően rendelkezésre áll. Végül a (148) preambulumbekezdésből kitűnik, hogy a felügyeleti hatóság tartózkodhat a bírság kiszabásától, még akkor is, ha az ilyen korrekciós intézkedés alkalmazása az általa végzett értékelés alapján a priori szükséges lenne, amennyiben ez a bírság egy természetes személy számára aránytalan terhet jelentene.(34)

73.      Így végső soron az adott eset általános adatvédelmi rendelet 83. cikkének (2) bekezdésében említett körülményei határozzák meg, hogy bírságot kelle kiszabni, és ha igen, annak összegét. Mindezek a körülmények megerősítik azon álláspontomat, amely szerint ez a döntés végső soron a felügyeleti hatóság diszkrecionális döntésének minősül.(35) Ez utóbbi felelős azért, hogy lelkiismeretesen és az általános adatvédelmi rendelet követelményeinek megfelelően gyakorolja a ráruházott diszkrecionális jogkört. E diszkrecionális jogkör korlátai az uniós jog és a tagállamok jogának általános elveiből, különösen az egyenlő bánásmód elvéből erednek. Ebből következően olyan bírságkiszabási közigazgatási gyakorlat kialakítására van szükség, amely a hasonló eseteket hasonló módon kezeli.

74.      Szeretném továbbá azt is megjegyezni, hogy a büntető jellegű pénzügyi szankciók halmozott kiszabása esetén még a Bíróság értelmezése szerinti „ne bis in idem” elv megsértésének veszélye is fennáll, amint az az általános adatvédelmi rendelet (149) preambulumbekezdéséből kitűnik. Márpedig ez az elv a Charta 50. cikke által védett alapvető jognak minősül, és csak a Charta 52. cikkében említett szigorú feltételek mellett korlátozható. Másként fogalmazva, jogi jellegű akadályok is kizárhatják a közigazgatási bírságok kiszabását.

5.      A felügyeleti hatóság azon kötelezettségének hiányáról, hogy közigazgatási bírságot szabjon ki, amennyiben a panaszos ezt kifejezetten kéri

75.      Az utolsó vizsgálandó szempont arra vonatkozik, hogy a felügyeleti hatóság köteles‑e közigazgatási bírságot kiszabni, ha a panaszos ezt kifejezetten kéri. Amint arra az előzetes döntéshozatal iránti kérelem elfogadhatóságának vizsgálata során rámutattam, az iratokból kitűnik, hogy TR azt kérte a HBDI‑től, hogy lépjen fel a Sparkasséval szemben és szabjon ki vele szemben közigazgatási bírságot. Kérelme alátámasztására TR számításokat végzett a kiszabandó bírság összegének meghatározása érdekében.(36) Ez a kérelem nyilvánvalóan azon az állásponton alapul, amely szerint a panaszosnak a felügyeleti hatósággal szemben alanyi joga van arra, hogy valamely meghatározott intézkedés elfogadását kérje. Ugyanakkor, amint azt az alábbiakban ki fogom fejteni, úgy vélem, hogy ennek az álláspontnak nincs semmilyen jogi alapja.

76.      Először is, elemzésem során rámutattam arra, hogy a felügyeleti hatóság diszkrecionális jogkörrel rendelkezik a tekintetben, hogy minden egyes esetben megválassza a megfelelő intézkedést. A felügyeleti hatóság az olyan sajátos körülményektől eltekintve, amelyek e diszkrecionális jogkör korlátozásához vezethetnek, mint például az adatvédelmi incidens súlyossága vagy tartós hatása – amelyek véleményem szerint a jelen esetben nem állnak fenn – megőrzi e diszkrecionális jogkörét. Tekintettel arra, hogy a közigazgatási bírságok a felügyeleti hatóság által az általános adatvédelmi rendelet 58. cikkének (2) bekezdése alapján elfogadható korrekciós intézkedések közé tartoznak, logikus azt a következtetést levonni, hogy e diszkrecionális jogkör ezekre a korrekciós intézkedésekre is kiterjed. Ebből következik, hogy a felügyeleti hatóság egyáltalán nem köteles arra, hogy a panaszos érdekében meghatározott korrekciós intézkedés elfogadása útján járjon el.

77.      Másodszor, még abban az esetben is, ha a jelen ügy körülményei olyannyira különbözőek lennének, hogy igazolnák valamely meghatározott korrekciós intézkedés elfogadását, számomra úgy tűnik, hogy nem lehet érvényesen azt állítani, hogy közigazgatási bírság kiszabására lenne szükség. Az osztrák kormányhoz hasonlóan úgy vélem, hogy figyelembe kell venni a rendelet 58. cikkének (2) bekezdésében felsorolt különböző korrekciós intézkedések, és különösen a közigazgatási bírság célját. Konkrétabban, számomra úgy tűnik, hogy annak jogi természetével ellentétes az érintett személy fent említett értelemben vett alanyi jogának elismerése, mivel ezen intézkedés egyik célja az uniós joggal ellentétesnek tekintett magatartás szankcionálása. Véleményem szerint a közigazgatási bírság, a – legalábbis bizonyos helyzetekben fennálló(37) – büntető célja miatt, valamint esetleges nagyfokú súlyosságára figyelemmel, büntető jellegű lehet.(38) Márpedig emlékeztetni kell arra, hogy a büntetéshez való jog („ius puniendi”) kizárólag az államot és annak szerveit illeti meg.

78.      Ebben az összefüggésben meg kell jegyezni, hogy az általános adatvédelmi rendelet 83. cikkének (1) bekezdése többek között megköveteli, hogy a bírságok minden egyes esetben „hatékonyak, arányosak és visszatartó erejűek” legyenek. Annak értékelése, hogy a tervezett bírság egy adott esetben megfelele ezeknek a feltételeknek, a felügyeleti hatóság feladata, amely hatóság a saját felelősségére jár el. Az ő feladata annak eldöntése, hogy az adott esetben a közigazgatási bírság eszközét kell‑e alkalmazni. E célra az uniós jogalkotó részletes jogi keretet biztosít számára. Így a rendelet 83. cikke meghatározza az ilyen bírságok kiszabására vonatkozó általános feltételeket, amelyeket kiegészít az Európai Adatvédelmi Testület által a rendelet 70. cikke (1) bekezdésének k) pontjának megfelelően kidolgozott, az általános adatvédelmi rendelet szerinti közigazgatási bírságok alkalmazásáról és megállapításáról szóló iránymutatás. E tekintetben meg kell jegyezni, hogy e szabályokból és az iránymutatásból sem lehet arra következtetni, hogy a panaszos, akinek jogait megsértették, különleges jogállással rendelkezne, amely lehetővé tenné számára, hogy a felügyeleti hatóságtól közigazgatási bírság kiszabását kérje a jogsértővel szemben.

79.      Kétségtelen, hogy az általános adatvédelmi rendelet 83. cikkének (2) bekezdésében említett bizonyos kritériumok – így például az elszenvedett kár mértéke – arra utalnak, hogy a felügyeleti hatóságnak a döntéshozatal során az érintett helyzetét is figyelembe kell vennie. Ezek a kritériumok azonban önmagukban nem tekinthetők elegendőnek annak megállapításához, hogy a bírság kiszabásának követeléséhez való alanyi jog áll fenn. Amint az e rendelkezésnek a rendelet (75) preambulumbekezdésének fényében történő értelmezéséből következik, az említett kritériumok célja, hogy hasznos információkkal szolgáljanak a felügyeleti hatóság számára, lehetővé téve számára a jogsértés jellegének, súlyosságának és időtartamának értékelését, valamint a megfelelő korrekciós intézkedés megválasztását.(39) Következésképpen az egyes esetektől függően a felügyeleti hatóság különböző korrekciós intézkedéseket – és nem csupán közigazgatási bírságot – irányozhat elő, anélkül azonban, hogy az érintett meghatározott intézkedés elfogadását követelhetné. Kizárólag a felügyeleti hatóság feladata annak eldöntése, hogy a szabályok betartásának helyreállítására vagy a jogellenes magatartás büntetésére irányuló intézkedést kell‑e elfogadni.

80.      Harmadszor, abból sem lehet ettől eltérő következtetést levonni, hogy az uniós jogalkotó a felügyeleti hatóságnak az általános adatvédelmi rendelet által létrehozott bírságolási rendszerben betöltött szerepét a Bizottságot a versenyjog területén megillető hatáskörökre támaszkodva határozta meg.(40) E tekintetben emlékeztetek arra, hogy ezen intézmény azon hatásköre, miszerint bírságot szabhat ki az EUMSZ 101.  vagy EUMSZ 102. cikket megsértő vállalkozásokra, egyike azoknak a Bizottságra ruházott eszközöknek, amelyek lehetővé teszik az uniós jog által rábízott felügyeleti funkció ellátását.(41) Meg kell azonban jegyezni, hogy a Bizottság olyan diszkrecionális jogkörrel rendelkezik, amelynek gyakorlását csak az uniós jog általános elveinek, többek között az arányosság és az egyenlő bánásmód elvének a tiszteletben tartása korlátozza.(42) Egyébiránt meg kell jegyezni, hogy a versenyszabályok végrehajtásáról szóló 1/2003/EK rendelet(43) a panaszosok vagy azon harmadik felek számára, akiknek az érdekeit a Bizottság által indított közigazgatási eljárás keretében hozott határozat érintheti, nem biztosít ahhoz való jogot, hogy e rendelet 23. cikke alapján bírság kiszabását kérjék,(44) mivel a Bizottság az említett rendelet 27. cikke értelmében csupán arra köteles, hogy helyt adjon az előbbiek által szankció elfogadása előtt előterjesztett, meghallgatás iránti esetleges kérelmeknek.

81.      A fentiekben kifejtettek alapján úgy vélem, hogy az uniós jog fejlődésének jelenlegi állapotában nem lehet azt a következtetést levonni, hogy a panaszos, akinek jogait megsértették, alanyi joggal rendelkezik arra, hogy közigazgatási bírság kiszabását kérje. Ez nem érinti annak lehetőségét, hogy – az álláspontját alátámasztó érveket és bizonyítékokat szolgáltatva – ezen korrekciós intézkedés alkalmazását javasolja. A végleges döntés azonban a felügyeleti hatóság diszkrecionális jogkörébe tartozik.

D.      Az előzetes döntéshozatalra előterjesztett kérdés vizsgálatának összefoglalása

82.      A fenti elemzésből az következik, hogy a felügyeleti hatóság köteles fellépni, ha a panasz vizsgálata keretében adatvédelmi incidenst állapít meg. Különösen meg kell határoznia a jogsértés orvoslása és az érintett jogainak érvényesítése érdekében legmegfelelőbb korrekciós intézkedést vagy intézkedéseket. E tekintetben az általános adatvédelmi rendelet – amellett, hogy bizonyos diszkrecionális jogkört biztosít a felügyeleti hatóság számára – megköveteli, hogy ezek az intézkedések megfelelőek, szükségesek és arányosak legyenek. Bizonyos feltételek mellett a felügyeleti hatóság a maga az adatkezelő által hozott „önálló” intézkedések javára eltekinthet az általános adatvédelmi rendelet 58. cikkének (2) bekezdésében említett intézkedésektől. Az érintett semmiképp nem jogosult valamely meghatározott intézkedés meghozatalát követelni. Ezek az elvek a közigazgatási bírságok rendszerére is vonatkoznak.

VI.    Végkövetkeztetés

83.      A fenti megfontolások fényében azt javaslom, hogy a Bíróság a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság, Németország) által előzetes döntéshozatalra előterjesztett kérdésre a következő választ adja:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 57. cikke (1) bekezdése a) és f) pontjának, 58. cikke (2) bekezdése a)–j) pontjának, valamint 77. cikke (1) bekezdésének együttes rendelkezéseit

a következőképpen kell értelmezni:

amennyiben a felügyeleti hatóság az érintett jogait sértő adatkezelést állapít meg, a 2016/679 rendelet 58. cikkének (2) bekezdése alapján köteles fellépni, amennyiben ez a rendeletnek való teljes körű megfelelés biztosításához szükséges. E tekintetben az egyes esetek konkrét körülményeinek figyelembevételével ki kell választania a – különösen a jogsértés orvoslása és az érintett jogainak érvényesítése érdekében – megfelelő, szükséges és arányos eszközt.

1      Eredeti nyelv: francia.

2      HL 2016. L 119., 1. o.; helyesbítések: HL 2021. L 74., 35. o.; HL 2018. L 127., 2. o.; HL 2016. L 314., 72. o.

3      A SCHUFA Holding (A fennálló tartozás elengedése) egyesített ügyekre vonatkozó indítvány (C‑26/22 és C‑64/22, EU:C:2023:222).

4      Lásd: 2020. december 10‑i J & S Service ítélet (C‑620/19, EU:C:2020:1011, 31. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

5      Lásd: 2022. július 14‑i Sense Visuele Communicatie en Handel vof ítélet (C‑36/21, EU:C:2022:556, 22. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

6      2023. december 7‑i SCHUFA Holding (A fennálló tartozás elengedése) ítélet (C‑26/22 és C‑64/22, a továbbiakban: SCHUFA ítélet, EU:C:2023:958).

7      Lásd a jelen indítvány 35–39. pontját.

8      Lásd a jelen indítvány 40. és azt követő pontjait.

9      SCHUFA ítélet (55. pont).

10      SCHUFA ítélet (56. pont).

11      SCHUFA ítélet (56. és 57. pont).

12      SCHUFA ítélet (58. pont).

13      SCHUFA ítélet (70. pont).

14      Lásd: a 29. cikk szerinti adatvédelmi munkacsoport által 2017. október 3‑án elfogadott „Iránymutatás a[z általános adatvédelmi] rendelet szerinti közigazgatási bírság alkalmazásáról és megállapításáról” (a továbbiakban: az általános adatvédelmi rendelet szerinti közigazgatási bírság alkalmazásáról és megállapításáról szóló iránymutatás), 5. o. E munkacsoportot később felváltotta az Európai Adatvédelmi Testület. Iránymutatásai azonban továbbra is érvényesek.

15      Lásd ebben az értelemben: Chamberlain, J., Reichel, J., „The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation”, Mississippi Law Journal, 2020, 89(4) kötet, 686. o., amely szintén a fent hivatkozott iránymutatásra támaszkodik.

16      Hijmans, H., „Article 57. Tasks”; Kuner, C., Bygrave, L. A. Docksey, C., (szerk.), The EU General Data Protection Regulation (GDPR), Oxford, 2020, 934. o.

17      Lásd ebben az értelemben: Härting, N., Flisek, C., Thiess, L., „DSGVO: Der Verwaltungsakt wird zum Normalfall – Das neue Beschwerderecht des Bürgers”, Computer und Recht, 5/2018, 299. o.

18      Lásd: a SCHUFA ügyekre vonatkozó indítványom, 41. és azt követő pontok.

19      Lásd a spanyol („dispondrá de […] los […] poderes correctivos”), dán („har […] korrigerende beføjelser”), német („verfügt über […] Abhilfebefugnisse, die es ihr gestatten”), észt („on […] parandusvolitused”), angol („shall have […] corrective powers”), olasz („ha […] i poteri correttivi”), holland („heeft […] bevoegdheden tot het nemen van corrigerende maatregelen”), lengyel („przysługują […] uprawnienia naprawcze”), portugál („dispõe dos […] poderes de correção”) és svéd („ska ha […] korrigerande befogenheter”) nyelvi változatot.

20      Lásd ebben az értelemben: Härting, N., Flisek, C., Thiess, L., „DSGVO: Der Verwaltungsakt wird zum Normalfall – Das neue Beschwerderecht des Bürgers”, Computer und Recht, 5/2018, 299. o.

21      Lásd: SCHUFA ítélet (57. pont); 2020. július 16‑i Facebook Ireland és Schrems ítélet (C‑311/18, EU:C:2020:559, 111. pont). Kiemelés tőlem.

22      2020. július 16‑i Facebook Ireland és Schrems ítélet (C‑311/18, EU:C:2020:559, 112. pont). Kiemelés tőlem.

23      Lásd ezen indítvány 42. pontját.

24      2020. július 16‑i Facebook Ireland és Schrems ítélet (C‑311/18, EU:C:2020:559, 113. pont). A Bíróság megállapította, hogy a felügyeleti hatóság az általános adatvédelmi rendelet 58. cikke (2) bekezdésének f) és j) pontja értelmében köteles felfüggeszteni vagy megtiltani a személyes adatok harmadik országba irányuló továbbítását, ha az e továbbítás sajátos körülményeinek összességére tekintettel úgy ítéli meg, hogy az általános adatvédelmi kikötéseket e harmadik országban nem tartják be, vagy azokat ott nem lehet tiszteletben tartani, és hogy a továbbított adatok uniós jog által megkövetelt védelme más eszközzel nem biztosítható, amennyiben az Unióban letelepedett adatkezelő vagy az ott letelepedett adatfeldolgozója maga nem függesztette fel vagy fejezte be az adattovábbítást.

25      Lásd ebben az értelemben: Georgieva, L., Schmidl, M., „Article 58. Powers”; Kuner, C., Bygrave, L. A. Docksey, C., (szerk.), The EU General Data Protection Regulation (GDPR), Oxford, 2020, 945. o.

26      Lásd: 2023. december 5‑i Nacionalinis visuomenės sveikatos centras ítélet (C‑683/21, EU:C:2023:949, 78. pont).

27      Lásd: az általános adatvédelmi rendelet szerinti közigazgatási bírság alkalmazásáról és megállapításáról szóló iránymutatás, 9. o.

28      Lásd a spanyol („Al decidir la imposición”), dán („Når der træffes afgørelse om, hvorvidt der skal pålægges”), német („Bei der Entscheidung über die Verhängung”), észt („Otsustades igal konkreetsel juhul”), angol („When deciding whether to impose”), olasz („Al momento di decidere se infliggere”), holland („Bij het besluit over de vraag of […] wordt opgelegd”), lengyel („Decydując, czy nałożyć”), portugál („Ao decidir sobre a aplicação”) és svéd („Vid beslut om huruvida […] ska påföras”) nyelvi változatot.

29      Lásd e tekintetben: 2023. december 5‑i Deutsche Wohnen ítélet (C‑807/21, EU:C:2023:950, 61. és azt követő pontok).

30      2023. december 5‑i Nacionalinis visuomenės sveikatos centras ítélet (C‑683/21, EU:C:2023:949, 76. pont).

31      Lásd a jelen indítvány 45. pontját.

32      Lásd: Emiliou főtanácsnok Nacionalinis visuomenės sveikatos centras ügyre vonatkozó indítványa (C‑683/21, EU:C:2023:376, 78. pont), ahol a főtanácsnok kifejti, hogy az általános adatvédelmi rendelet elfogadásakor az uniós jogalkotónak nem állt szándékában, hogy az adatvédelmi szabályok minden megsértése közigazgatási bírsággal legyen büntethető.

33      Lásd: az általános adatvédelmi rendelet szerinti közigazgatási bírság alkalmazásáról és megállapításáról szóló iránymutatás, 9. o.

34      Lásd: az általános adatvédelmi rendelet szerinti közigazgatási bírság alkalmazásáról és megállapításáról szóló iránymutatás, 9. o.

35      Holländer, C., Beck’scher Online-Kommentar Datenschutzrecht (Wolff/Brink/Ungern‑Sternberg), 46. kiadás, München, 2017, az általános adatvédelmi rendelet 83. cikke, 22. pont; Frenzel, E. Datenschutz-Grundverordnung Kommentar (Paal/Pauly/Frenzel), 3. kiadás, München, 2021, az általános adatvédelmi rendelet 83. cikke, 8–12. pont, ahol kifejtik, hogy a felügyeleti hatóság diszkrecionális jogkörrel rendelkezik, és következésképpen nem köteles minden esetben közigazgatási bírságot kiszabni.

36      Lásd a jelen indítvány 30. pontját.

37      Az az általános adatvédelmi rendelet szerinti közigazgatási bírság alkalmazásáról és megállapításáról szóló iránymutatás, 6. o., értelmében a közigazgatási bírság olyan „korrekciós intézkedés”, amelynek célja lehet „szabályok betartásának helyreállítása, vagy a jogellenes magatartás büntetése […] (vagy mindkettő)” (kiemelés tőlem).

38      Emlékeztetek arra, hogy három kritérium releváns annak értékelése során, hogy a szankciók büntető jellegűek‑e: az első a jogsértés belső jog szerinti jogi minősítése, a második a jogsértés jellege, a harmadik pedig az érintett személlyel szemben kiszabható szankció súlya (lásd: 2012. június 5‑i Bonda ítélet [C‑489/10, EU:C:2012:319, 37. pont]; 2021. február 2‑i Consob ítélet [C‑481/19, EU:C:2021:84, 42. pont]; lásd még: EJEB, 1976. június 8., Engel és társai kontra Hollandia, CE:ECHR:1976:0608JUD000510071, 82. §). Nem kell minden kritériumnak teljesülnie ahhoz, hogy valamely bírságot büntető jellegűnek lehessen tekinteni (lásd e tekintetben: Bot főtanácsnok ThyssenKrupp Nirosta kontra Bizottság ügyre vonatkozó indítványa [C‑352/09 P, EU:C:2010:635, 50. pont, valamint az ott hivatkozott ítélkezési gyakorlat]).

39      Lásd: a[z általános adatvédelmi] rendelet szerinti közigazgatási bírság alkalmazásáról és megállapításáról szóló iránymutatás, 12. o, amelyből egyrészt kitűnik, hogy „a korrekciós intézkedés kiválasztása során” figyelembe kell venni a kár mértékét, ami nem zárja ki a közigazgatási bírságtól eltérő korrekciós intézkedések elfogadását. Másrészt ott az szerepel, hogy „[a] bírság kiszabása nem függ attól, hogy a felügyeleti hatóság képes‑e okozati összefüggést megállapítani a jogsértés és a vagyoni kár között”. Ebből következik, hogy a közigazgatási bírság kiszabására vonatkozó döntés az egyes egyedi esetektől, és nem csupán a kár fennállásától függ.

40      Lásd e tekintetben: Emiliou főtanácsnok Nacionalinis visuomenės sveikatos centras ügyre vonatkozó indítványa (C‑683/21, EU:C:2023:376, 84. pont), ahol a főtanácsnok felhívja a figyelmet a két rendszer közötti hasonlóságokra. Lásd még: 2023. december 5‑i Deutsche Wohnen ítélet (C‑807/21, EU:C:2023:950, 55. és azt követő pontok).

41      Lásd ebben az értelemben: 2009. június 11‑i X ítélet (C‑429/07, EU:C:2009:359, 35. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

42      Kokott főtanácsnok Alliance One International és Standard Commercial Tobacco kontra Bizottság és Bizottság kontra Alliance One International és társai egyesített ügyekre vonatkozó indítványa (C‑628/10 P és C‑14/11 P, EU:C:2012:11, 48. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

43      A Szerződés 81. és 82. cikkében meghatározott versenyszabályok végrehajtásáról szóló, 2002. december 16‑i tanácsi rendelet (HL 2003. L 1., 1. o.; magyar nyelvű különkiadás 8. fejezet, 2. kötet, 205. o.).

44      Lásd ebben az értelemben: Wils, W., „Procedural rights and obligations of third parties in antitrust investigation and proceedings by the European Commission”, Concurrences, 2‑2022. sz., 50. o.