CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:531

A BÍRÓSÁG ÍTÉLETE (harmadik tanács)

2024. június 20.(*)

„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – 82. cikk – Az e rendeletet sértő adatkezeléssel okozott kár megtérítéséhez való jog – A »nem vagyoni kár« fogalma – Büntető jellegű vagy tisztán kompenzációs és elégtételi jellegű kártérítés – Csekély vagy jelképes kártérítés – Kereskedési alkalmazásban rögzített személyes adatok ellopása – Személyazonosság‑lopás vagy azzal való visszaélés”

A C‑182/22. és C‑189/22. sz. egyesített ügyekben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet az Amtsgericht München (müncheni helyi bíróság, Németország) a Bírósághoz 2022. március 10‑én, illetve 11‑én érkezett, 2022. március 3‑i határozataival terjesztett elő a

JU (C‑182/22)

SO (C‑189/22)

és

a Scalable Capital GmbH

között folyamatban lévő eljárásokban,

A BÍRÓSÁG (harmadik tanács),

tagjai: K. Jürimäe tanácselnök, N. Piçarra és N. Jääskinen (előadó) bírák,

főtanácsnok: A. M. Collins,

hivatalvezető: A. Calot Escobar,

tekintettel az írásbeli szakaszra,

figyelembe véve a következők által előterjesztett észrevételeket:

– SO képviseletében M. Ruigrok van de Werve Rechtsanwalt,

– a Scalable Capital GmbH képviseletében M. C. Mekat Rechtsanwalt,

– Írország képviseletében M. Browne Chief State Solicitor, A. Joyce és M. Tierney, meghatalmazotti minőségben, segítőjük: D. Fennelly BL,

– az Európai Bizottság képviseletében A. Bouchagiar, M. Heller és H. Kranenborg, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2023. október 26‑i tárgyaláson történt meghallgatását követően,

meghozta a következő

Ítéletet

1 Az előzetes döntéshozatal iránti kérelmek a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet, HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 82. cikkének értelmezésére vonatkoznak.

2 E kérelmeket a JU, illetve SO, valamint a Scalable Capital GmbH között azon nem vagyoni kár megtérítése tárgyában folyamatban lévő két jogvita keretében terjesztették elő, amely JU és SO állítása szerint az e társaság által kezelt kereskedési alkalmazáson rögzített személyes adataik ismeretlen személyazonosságú harmadik személyek általi ellopása miatt érte őket.

Jogi háttér

3 A GDPR (75), (85) és (146) preambulumbekezdésének szövege a következő:

„(75) A természetes személyek jogait és szabadságait érintő – változó valószínűségű és súlyosságú – kockázatok származhatnak a személyes adatok kezeléséből, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek, különösen, ha az adatkezelésből hátrányos megkülönböztetés, személyazonosság‑lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség, a jó hírnév sérelme, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése, az álnevesítés engedély nélkül történő feloldása, vagy bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat; vagy ha az érintettek nem gyakorolhatják jogaikat és szabadságaikat, vagy nem rendelkezhetnek saját személyes adataik felett; vagy ha olyan személyes adatok kezelése történik, amelyek faji vagy etnikai származásra, vagy politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utalnak, valamint ha a kezelt adatok genetikai adatok, egészségügyi adatok vagy a szexuális életre, büntetőjogi felelősség megállapítására, illetve bűncselekményekre, vagy ezekhez kapcsolódó biztonsági intézkedésekre vonatkoznak; vagy ha személyes jellemzők értékelésére, így különösen munkahelyi teljesítménnyel kapcsolatos jellemzők, gazdasági helyzet, egészségi állapot, személyes preferenciák vagy érdeklődési körök, megbízhatóság vagy viselkedés, tartózkodási hely vagy mozgás elemzésére vagy előrejelzésére kerül sor személyes profil létrehozása vagy felhasználása céljából; vagy ha kiszolgáltatott személyek – különösen, ha gyermekek – személyes adatainak a kezelésére kerül sor; vagy ha az adatkezelés nagy mennyiségű személyes adat alapján zajlik, és nagyszámú érintettre terjed ki.

[…]

(85) Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság‑lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt. […]

[…]

(146) […] Az adatkezelőt vagy az adatfeldolgozót a kártérítési kötelezettség alól abban az esetben mentesíteni kell, ha bizonyítja, hogy a kár bekövetkeztéért őt semmilyen felelősség nem terheli. A kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze e rendelet célkitűzéseit. […] Az érintetteket az őket ért kárért teljes és tényleges kártérítés illeti meg. […]”

4 E rendelet „Fogalommeghatározások” című 4. cikke a következőket írja elő:

„E rendelet alkalmazásában:

1. »személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; […]

[…]

7. »adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; […]

[…]

10. »harmadik fél«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

[…]

12. »adatvédelmi incidens«: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

[…]”

5 E rendeletnek „A kártérítéshez való jog és a felelősség” című 82. cikke (1)–(3) bekezdésében a következőképpen rendelkezik:

„(1) Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

(2) Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be az e rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.

(3) Az adatkezelő, illetve az adatfeldolgozó mentesül az e cikk (2) bekezdése szerinti felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.”

Az alapeljárások és az előzetes döntéshozatalra előterjesztett kérdések

6 A német jog szerinti Scalable Capital társaság „trading app”‑ot (kereskedési alkalmazás) működtet, amelyen az alapeljárás felperesei, JU és SO számlát nyitottak. E célból ez utóbbiak a saját számlájukon személyes adatokat rögzítettek, így többek között a nevüket, születési idejüket, postacímüket, elektronikus levelezési címüket, valamint személyazonosító igazolványuk digitális másolatát. Az alapeljárás felperesei átutalták az e számlák megnyitásához szükséges több ezer eurót.

7 2020‑ban ismeretlen harmadik személyek megszerezték az alapeljárás felpereseinek személyes adatait, valamint értékpapír‑portfóliójukra vonatkozó adatokat. A Scalable Capital szerint az említett személyes adatokat még nem használták fel csalárd módon.

8 Az alapeljárás felperesei e körülmények között keresetet indítottak az Amtsgericht München (müncheni helyi bíróság, Németország), a kérdést előterjesztő bíróság előtt azon nem vagyoni kár megtérítése iránt, amely állításuk szerint személyes adataik ellopása miatt érte őket.

9 Először is, az előterjesztő bíróság kérdései abból erednek, hogy a német bíróságok megközelítései eltérnek az ilyen helyzetben megítélendő kártérítés megállapítása tekintetében. Emiatt az alapügyben szóban forgóhoz hasonló esetekben megítélt pénzbeli kártérítés összege jelentősen különbözik, különösen attól függően, hogy figyelembe vették‑e az esetleges elrettentő hatást, vagy sem. A kérdést előterjesztő bíróság rámutat arra, hogy a jelen ügyben szóban forgó adatvesztés több tízezer személyt érint, ezért egységes értékelési módot kell alkalmazni.

10 Másodszor e bíróság a nem vagyoni kár értékelését illetően a német jogra támaszkodik, megkülönböztetve egymástól a „kompenzációs” és a „személyes elégtételi” funkciót. A kompenzációs funkció az állítólagos kár miatt elszenvedett, előre látható következmények ellensúlyozására irányul, míg a személyes elégtételi funkció az említett kár bekövetkezése miatti igazságtalanságérzés semlegesítésére irányul. Rámutat arra, hogy a német jogban ezen elégtételi funkciónak csak járulékos szerepe van, és megítélése szerint a jelen ügyben e funkció nem befolyásolja a felperesek által követelt kártérítés kiszámítását.

11 Harmadszor, a német jogban nincs olyan táblázat, amely meghatározná az egyes helyzetekben megítélendő, követelt kártérítés összegét. A meghozott egyedi határozatok nagy száma ugyanakkor lehetővé teszi egy olyan hivatkozható keret meghatározását, amely a kompenzációk rendszerezhetőségéhez vezet. E tekintetben a német jogrendben a személyiségi jogok megsértésének kompenzálására csak akkor ítélhető meg pénzbeli kártérítés, ha e jogsértés különösen súlyos. A testi sérülések kompenzációja esetén objektivizálhatóbb a pénzbeli értékelés. A kérdést előterjesztő bíróság véleménye szerint ezért az adatvesztés kevésbé súlyos, mint a fizikai sérülés.

12 Negyedszer a kérdést előterjesztő bíróság arra keresi a választ, hogy lehet‑e csekély összegű, jelképesnek tekinthető kártérítést megítélni abban az esetben, ha a GDPR megsértése miatt bekövetkezett kár minimális.

13 Ötödsorban megjegyzi, hogy az alapeljárás felei eltérően értelmezik a „személyazonosság‑lopás” fogalmát. E tekintetben úgy véli, hogy csak akkor áll fenn személyazonosság‑lopás, ha a jogellenesen szerzett adatokat a harmadik személy az érintett személyazonosságával való visszaélés céljából használja fel.

14 E körülmények között az Amtsgericht München (müncheni helyi bíróság) a C‑182/22. és a C‑189/22. sz. ügyben úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő, a két ügyben egyformán megfogalmazott kérdéseket terjeszti a Bíróság elé:

„1) Úgy kell‑e értelmezni [a GDPR] 82. cikkét, hogy a kártérítési igénynek még az összeg megállapítása során sincs szankciós jellege, különösen nincs általános vagy egyedi elrettentő funkciója, hanem a kártérítési igénynek csak kompenzációs és esetleg elégtételi funkciója van?

2) A nem vagyoni kártérítési igény értékelése során abból az értelmezésből kell‑e kiindulni, hogy a kártérítéshez való jognak van egy egyéni elégtételi funkciója is – jelen esetben a károsult magánszférájába tartozó azon érdekként értve, hogy a károkozó magatartás szankcionálását láthassa –, vagy a kártérítéshez való jognak csak kompenzációs funkciója van, ami alatt jelen esetben az elszenvedett sérelmek kompenzálásának funkcióját kell érteni?

Amennyiben úgy kell tekinteni, hogy a nem vagyoni kártérítéshez való jognak kompenzációs és elégtételi funkciója is van: az értékelés során abból kell‑e kiindulni, hogy a kompenzációs funkciónak rendszertani vagy legalábbis főszabály‑kivétel viszony szempontjából elsőbbséget kell tulajdonítani az elégtételi funkcióval szemben? Ez azt jelenti‑e, hogy az elégtételi funkció csak szándékos vagy súlyosan gondatlan jogsértések esetén jöhet szóba? Ha a nem vagyoni kártérítési igénynek nincs elégtételi funkciója: az értékelés során csak az okozati közrehatásként értékelendő szándékos vagy súlyos gondatlanságból elkövetett adatvédelmi incidenseknek van nagyobb súlyuk?

Ha a nem vagyoni kártérítési igénynek nincs elégtételi funkciója: az értékelés során csak az okozati közrehatásként értékelendő szándékos vagy súlyos gondatlanságból elkövetett adatvédelmi incidenseknek van nagyobb súlyuk?

3) A nem vagyoni kártérítési igény értékelése során ki lehet‑e indulni abból az értelmezésből, hogy létezik egy olyan rendszerszintű vagy legalábbis olyan főszabály‑kivétel viszonyon alapuló hierarchia, amely alapján a személyes adatok védelméhez való jog megsértéséből eredő sérelem megélését kisebb súlyúnak kell értékelni, mint a testi sértéssel együtt járó sérülés és fájdalom érzését?

4) Kár megállapítása esetén a súlyosság hiányára tekintettel van‑e lehetősége a nemzeti bíróságnak egy összegszerűségében a csekély mértéket meg nem haladó és így az ügy körülményeihez képest a károsult által vagy általánosságban véve is jelképesnek tekintett kártérítést megítélni?

5) A nem vagyoni kártérítés következményeinek megítélése során abból az értelmezésből kell‑e kiindulni, hogy a [GDPR] (75) preambulumbekezdése értelmében vett személyazonosság‑lopás csak akkor valósul meg, ha az elkövető ténylegesen felvette az érintett személyazonosságát, azaz valamilyen formában az érintettnek adta ki magát, vagy az ilyen személyazonosság‑lopás már azáltal is bekövetkezik, hogy az elkövetők immár olyan adatokkal rendelkeznek, amelyekkel az érintett azonosíthatóvá válik?”

A Bíróság előtti eljárás

15 A Bíróság elnöke a 2022. április 19‑i határozatával az eljárás írásbeli és a szóbeli szakaszának lefolytatása, valamint az ítélet meghozatala céljából egyesítette a C‑182/22. és C‑189/22. sz. ügyet.

16 A Bíróság elnöke 2022. június 1‑jén elutasította a Scalable Capital által a Bíróság eljárási szabályzata 95. cikkének (2) bekezdése alapján benyújtott azon kérelmet, hogy a jelen eljárásban biztosítson névtelenséget.

Az előzetes döntéshozatal iránti kérelmek elfogadhatóságáról

17 A Scalable Capital lényegében azt állítja, hogy a jelen előzetes döntéshozatal iránti kérelmek elfogadhatatlanok, mivel nem befolyásolják az alapjogviták kimenetelét. Úgy véli, hogy az adatok feletti rendelkezés absztrakt elvesztése, amilyenről a jelen ügyben is szó van, nem minősíthető a GDPR 82. cikkének (1) bekezdése értelmében vett „kárnak”, amennyiben az ilyen ellenőrzésvesztésnek nincs konkrét következménye, és így a 82. cikk alkalmazási feltételei nem teljesülnek. Az ilyen minősítés ugyanis annak megállapítását jelentené, hogy a rendelet bármely megsértése a kár vélelmét keletkezteti, a GDPR 82. cikkének szövegével, általános rendszerével és keletkezéstörténetével szemben.

18 E tekintetben az állandó ítélkezési gyakorlat szerint kizárólag a jogvitában eljáró és a meghozandó bírósági határozatért felelős nemzeti bíróság feladata annak értékelése, hogy az ügy sajátosságaira figyelemmel az ítéletének meghozatalához szükség van‑e az előzetes döntéshozatalra, és a Bíróság elé terjesztett kérdések – amelyek relevanciáját vélelmezni kell – valóban relevánsak‑e. Ennélfogva, amikor az előterjesztett kérdés az uniós jog valamely szabályának értelmezésére vagy érvényességére vonatkozik, a Bíróság főszabály szerint köteles a kérelmet elbírálni, kivéve ha a kért értelmezés nyilvánvalóan semmilyen összefüggésben nincs az alapeljárás tényállásával vagy tárgyával, ha a probléma hipotetikus jellegű, vagy ha nem állnak a Bíróság rendelkezésére azok a ténybeli és jogi elemek, amelyek szükségesek ahhoz, hogy az említett kérdésre hasznos választ adhasson (lásd: 2022. május 5‑i Zagrebačka banka ítélet, C‑567/20, EU:C:2022:352, 43. pont; 2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 23. pont).

19 A jelen ügyben elegendő emlékeztetni arra, hogy amennyiben nem nyilvánvaló, hogy valamely uniós jogi rendelkezés értelmezése semmilyen összefüggésben nincs az alapügy tényállásával vagy tárgyával, az e rendelkezésnek az alapügyre való alkalmazhatatlanságára alapított kifogás nem az előzetes döntéshozatal iránti kérelem elfogadhatóságára vonatkozik, hanem a kérdések érdemét érinti (lásd ebben az értelemben: 2006. július 13‑i Manfredi és társai ítélet, C‑295/04–C‑298/04, EU:C:2006:461, 30. pont; 2019. július 4‑i Kirschstein‑ítélet, C‑393/17, EU:C:2019:563, 28. pont; 2023. július 24‑i Lin ítélet, C‑107/23 PPU, EU:C:2023:606, 66. pont).

20 Ebből következik, hogy a jelen előzetes döntéshozatal iránti kérelmek elfogadhatók.

Az előzetes döntéshozatalra előterjesztett kérdésekről

Az első kérdésről és a második kérdés első részéről

21 Első kérdésével és második kérdésének első részével, amelyeket együttesen kell megvizsgálni, az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy az e rendelkezésben előírt kártérítéshez való jog kompenzációs funkciót tölt be, amennyiben az említett rendelkezésen alapuló pénzbeli kártérítésnek lehetővé kell tennie az e rendelet megsértése miatt elszenvedett kár teljes megtérítését, vagy olyan büntető funkciót is betölt, amely többek között az érintett személy egyéni érdekeinek kielégítésére irányul.

22 E tekintetben a Bíróság már megállapította, hogy a GDPR 82. cikke nem büntető, hanem kompenzációs funkciót tölt be, ellentétben e rendelet más, szintén annak VIII. fejezetében szereplő rendelkezéseivel, nevezetesen a 83. és a 84. cikkel, amelyeknek alapvetően büntető célja van, mivel lehetővé teszik közigazgatási bírságok, illetve egyéb szankciók kiszabását. A 82. cikkben megállapított szabályok és a 83. és 84. cikkben megállapított szabályok egymáshoz való viszonya azt bizonyítja, hogy van némi eltérés a rendelkezések e két csoportja között, de ugyanakkor egymást kiegészítő jelleg is a GDPR betartására való ösztönzés terén, megjegyezve, hogy a mindenkit megillető kártérítéshez való jog az e rendelet által előírt védelmi szabályok működőképességét erősíti, és alkalmas arra, hogy visszatartson a jogellenes magatartások megismétlésétől (lásd különösen: 2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 38. és 40. pont; 2024. április 11‑i juris ítélet, C‑741/21, EU:C:2024:288, 59. pont).

23 Ezért a GDPR 82. cikkének (1) bekezdését a Bíróság úgy értelmezte, hogy az e rendelkezésben – különösen nem vagyoni kár esetén – biztosított kártérítéshez való jog kizárólag kompenzációs funkciót és nem büntető funkciót tölt be, mivel az említett rendelkezésen alapuló pénzbeli kártérítésnek lehetővé kell tennie az e rendelet megsértése következtében ténylegesen elszenvedett kár teljes megtérítését (lásd ebben az értelemben: 2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 57. és 58. pont; 2024. április 11‑i juris ítélet, C‑741/21, EU:C:2024:288, 61. pont).

24 Következésképpen az első kérdésre és a második kérdés első részére azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy az e rendelkezésben előírt kártérítéshez való jog kizárólag kompenzációs funkciót tölt be, amennyiben az említett rendelkezésen alapuló pénzbeli kártérítésnek lehetővé kell tennie az elszenvedett kár teljes megtérítését.

A második kérdés második részéről

25 Az első kérdésre és a második kérdés első részére adott válaszra tekintettel a második kérdés második részére nem szükséges válaszolni.

A második kérdés harmadik részéről

26 Második kérdésének harmadik részével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy az megköveteli, hogy e rendelet adatkezelő általi megsértésének súlyossági fokát és esetleges szándékosságát figyelembe vegyék az e rendelkezés alapján megítélendő kártérítés szempontjából.

27 Ami a GDPR 82. cikke alapján esetlegesen járó kártérítés vizsgálatát illeti, mivel az említett rendelet nem tartalmaz erre vonatkozó rendelkezést, a nemzeti bíróságoknak kell e vizsgálat során az egyes tagállamoknak a pénzbeli kártérítés mértékére vonatkozó belső szabályait alkalmazniuk, amennyiben azok tiszteletben tartják az uniós jog egyenértékűségének és tényleges érvényesülésének elvét (lásd ebben az értelemben: 2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 53., 54. és 59. pont; 2024. január 25‑i MediaMarktSaturn ítélet, C‑687/21, EU:C:2024:72, 53. pont).

28 Hangsúlyozni kell azonban, hogy egyrészt az adatkezelő GDPR 82. cikke szerinti felelősségének megállapításához szükséges a vétkessége, amelyet vélelmezni kell, kivéve ha ezen utóbbi bizonyítja, hogy a kárt okozó esemény neki semmilyen módon nem róható fel, és másrészt e 82. cikk nem követeli meg e vétkesség súlyossági fokának a nem vagyoni kár megtérítéseként e rendelkezés alapján megítélt kártérítés összegének meghatározásakor való figyelembevételét (lásd: 2023. december 21‑i ítélet, Krankenversicherung Nordrhein ítélet, C‑667/21, EU:C:2023:1022, 103. pont; 2024. január 25‑i MediaMarktSaturn ítélet, C‑687/21, EU:C:2024:72, 52. pont).

29 Ezenkívül a GDPR 82. cikkének (1) bekezdésében előírt kártérítéshez való jog kizárólagosan kompenzációs funkciója kizárja, hogy a nem vagyoni kár megtérítéseként az említett rendelkezés alapján megítélendő kártérítés összegének meghatározása során figyelembe vegyék e rendelet adatkezelő általi vélelmezett megsértésének esetlegesen szándékos jellegét. Ezt az összeget azonban úgy kell meghatározni, hogy az teljes egészében kompenzálja az e rendelet megsértése miatt konkrétan elszenvedett kárt (lásd analógia útján: 2023. december 21‑i Krankenversicherung Nordrhein ítélet, C‑667/21, EU:C:2023:1022, 102. pont; 2024. január 25‑i MediaMarktSaturn ítélet, C‑687/21, EU:C:2024:72, 54. pont).

30 A fenti indokokra tekintettel a második kérdés harmadik részére azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy az nem követeli meg, hogy e rendelet adatkezelő általi megsértésének súlyossági fokát és esetleges szándékosságát figyelembe vegyék az e rendelkezés alapján megítélendő kártérítés szempontjából.

A harmadik kérdésről

31 Harmadik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy a nem vagyoni kár megtérítéséhez való jog címén járó kártérítés összegének meghatározása keretében úgy kell tekinteni, hogy az adatvédelmi incidens által okozott nem vagyoni kár jellegénél fogva kevésbé jelentős, mint az egészségkárosodás.

32 E tekintetben emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint az adott területre vonatkozó uniós szabályozás hiányában a jogalanyok számára biztosított jogok védelmének garantálására irányuló bírósági felülvizsgálatra vonatkozó eljárási szabályok meghozatala az eljárási autonómia elve alapján az egyes tagállamok belső jogrendjére tartozik, azzal a feltétellel azonban, hogy e szabályok nem lehetnek kedvezőtlenebbek a hasonló jellegű belső jogi helyzetekre vonatkozókhoz képest (az egyenértékűség elve), és nem tehetik gyakorlatilag lehetetlenné vagy rendkívül nehézzé az uniós jog által biztosított jogok gyakorlását (a tényleges érvényesülés elve) (lásd ebben az értelemben: 2017. december 13‑i El Hassani ítélet, C‑403/16, EU:C:2017:960, 26. pont; 2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 53. pont).

33 A jelen esetben hangsúlyozni kell, hogy a GDPR nem tartalmaz olyan rendelkezést, amelynek az lenne a célja, hogy meghatározza az azon kártérítés megítélésére vonatkozó szabályokat, amelyet az e rendelet 4. cikkének 1. pontja értelmében vett érintettek a rendelet 82. cikke alapján olyan esetben igényelhetnek, amikor az említett rendelet megsértése számukra kárt okoz. Ennélfogva, az adott területre vonatkozó uniós jogi szabályok hiányában az egyes tagállamok belső jogrendjére tartozik az azon keresetekre vonatkozó részletes szabályok meghatározása, amelyek azon jogok védelmének biztosítását szolgálják, amelyeket a jogalanyok a 82. cikkre alapítanak, és különösen az ennek keretében járó kártérítés terjedelmének meghatározását lehetővé tevő szempontok meghatározása, az egyenértékűség és a hatékony érvényesülés elveinek tiszteletben tartása mellett (2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 54. pont).

34 Mivel a Bíróság rendelkezésére álló egyetlen irat sem utal arra, hogy az egyenértékűség elve releváns lehet a jelen alapeljárás keretében, a tényleges érvényesülés elvére kell összpontosítani. E tekintetben a kérdést előterjesztő bíróság feladata annak meghatározása, hogy a német jog által a GDPR 82. cikkében említett kártérítéshez való jog alapját képező károk bírósági meghatározása érdekében előírt részletes szabályok nem teszik‑e a gyakorlatban lehetetlenné vagy túlságosan nehézzé az uniós jog, illetve konkrétan az e rendelet által biztosított jogok gyakorlását.

35 E tekintetben a jelen ítélet 23. pontjában felidézett ítélkezési gyakorlatból az következik, hogy tekintettel az e rendelet 82. cikkének (1) bekezdésében előírt kártérítéshez való jog kizárólagosan kompenzációs funkciójára, az e rendelkezésen alapuló pénzbeli kártérítést akkor kell „teljesnek és ténylegesnek” tekinteni, ha lehetővé teszi az említett rendelet megsértése miatt konkrétan elszenvedett kár teljes megtérítését.

36 E tekintetben a GDPR (146) preambulumbekezdése egyébiránt kimondja, hogy „[a] kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze e rendelet célkitűzéseit”, és „[a]z érintetteket az őket ért kárért teljes és tényleges kártérítés illeti meg.”

37 Arra is rá kell mutatni, hogy a GDPR (75) és (85) preambulumbekezdése, amely különböző, „fizikai, vagyoni vagy nem vagyoni károknak” minősíthető körülményeket határoz meg anélkül, hogy alá‑ és fölérendeltségi viszonyt állapítana meg közöttük, vagy utalna arra, hogy az adatvédelmi incidensből eredő sérelmek jellegüknél fogva kevésbé jelentősek, mint a testi sérülések.

38 Márpedig ha feltételeznénk, hogy az egészségkárosodás főszabály szerint jellegénél fogva jelentősebb, mint a nem vagyoni kár, az azzal a kockázattal járna, hogy megkérdőjeleződne az elszenvedett kár teljes és tényleges megtérítésének elve.

39 A fenti indokokra tekintettel a harmadik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy a nem vagyoni kár megtérítéséhez való jog címén járó kártérítés összegének meghatározása keretében úgy kell tekinteni, hogy az adatvédelmi incidens által okozott ilyen kár jellegénél fogva nem kevésbé jelentős, mint az egészségkárosodás.

A negyedik kérdésről

40 Negyedik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy olyan kár megállapítása esetén, amely nem súlyos, a nemzeti bíróság megítélhet az érintettnek csekély, jelképesnek is tekinthető kártérítést.

41 Emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlatból az következik, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy e rendelet egyszerű megsértése nem elegendő a kártérítéshez való jog megalapozásához, mivel a vagyoni vagy nem vagyoni „kár” vagy az „elszenvedett kár” megléte az említett 82. cikk (1) bekezdésében foglalt kártérítéshez való jog egyik feltételét képezi, akárcsak e rendelet megsértésének fennállása, valamint az e kár és az e jogsértés közötti okozati kapcsolat megléte, mivel e három feltétel együttes (2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 32. pont; 2024. április 11‑i juris ítélet, C‑741/21, EU:C:2024:288, 34. pont).

42 Tehát az e rendelkezés alapján nem vagyoni kára megtérítését kérő személy nemcsak e rendelet rendelkezéseinek megsértését köteles bizonyítani, hanem azt is, hogy e jogsértés ilyen kárt okozott neki, e kár tehát nem vélelmezhető csupán az említett jogsértés bekövetkezése miatt (lásd ebben az értelemben: 2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 42. és 50. pont; 2024. április 11‑i juris ítélet, C‑741/21, EU:C:2024:288, 35. pont).

43 Amennyiben a személy bizonyítani tudja, hogy a GDPR megsértése e rendelet 82. cikke értelmében kárt okozott neki, a jelen ítélet 33. pontjából lényegében az következik, hogy az a jogalanyokat e cikk alapján megillető jogok védelmének biztosítására szolgáló keresetek keretében megítélendő kártérítés értékelési szempontjait az egyes tagállami jogrendekben kell meghatározni úgy, hogy az ilyen kártérítés teljes és tényleges legyen.

44 A Bíróság e tekintetben kimondta, hogy a GDPR 82. cikkének (1) bekezdése nem követeli meg, hogy e rendelet rendelkezéseinek bizonyított megsértéséből következően az érintett által hivatkozott „nem vagyoni kárnak” el kell érnie egy „de minimis küszöbértéket” a kártérítéshez való jogosultsághoz (lásd ebben az értlemben: 2023. december 14‑i Gemeinde Ummendorf ítélet, C‑456/22, EU:C:2023:988, 18. pont).

45 E megfontolások azonban nem zárják ki azt, hogy a nemzeti bíróságok igen csekély összegű kártérítést ítélhessenek meg, amennyiben e kártérítés teljes mértékben megtéríti az említett kárt, amit a kérdést előterjesztő bíróságnak a jelen ítélet 43. pontjában felidézett elveket tiszteletben tartva kell megvizsgálnia.

46 A fenti indokokra tekintettel a negyedik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy olyan kár megállapítása esetén, amely nem súlyos, a nemzeti bíróság megítélhet csekély kártérítést az érintettnek, amennyiben e kártérítés lehetővé teszi az elszenvedett kár teljes megtérítését.

Az ötödik kérdésről

Az elfogadhatóságról

47 Írásbeli észrevételeiben az Európai Bizottság azt a kérdést vetette fel, hogy az ötödik kérdés releváns‑e az alapjogviták eldöntése szempontjából, mivel megállapítja, hogy az előterjesztő bíróság nem hivatkozott az uniós jog egyetlen konkrét rendelkezésére sem.

48 E tekintetben az ötödik kérdés a GDPR (75) preambulumbekezdése értelmében vett „személyazonosság‑lopás” fogalmára vonatkozik, és nem érinti kifejezetten e rendelet 82. cikkét. Azonban önmagában az, hogy a Bíróságnak elvont és általános értelemben kell döntenie, nem eredményezheti az előzetes döntéshozatal iránti kérelem elfogadhatatlanságát (2007. november 15‑i International Mail Spain ítélet, C‑162/06, EU:C:2007:681, 24. pont).

49 Az előterjesztő bíróság ugyanis azt kéri a Bíróságtól e kérdéssel, hogy értelmezze a GDPR (75) preambulumbekezdésében szereplő „személyazonosság‑lopás” fogalmát a GDPR 82. cikke szerinti pénzbeli kártérítés összegének meghatározása érdekében. Az említett kérdés tehát igenis egy uniós jogi rendelkezésre vonatkozik. Ezen felül az e kérdésre adandó válasz azért is releváns, mert az előterjesztő bíróság és az alapeljárás felei nem értenek egyet e fogalomnak az alapügyekben elszenvedett kár értékelése céljából történő meghatározásában.

50 Ilyen körülmények között az ötödik kérdés elfogadható.

Az ügy érdeméről

51 Az állandó ítélkezési gyakorlat szerint a nemzeti bíróságok és a Bíróság között az EUMSZ 267. cikkel bevezetett együttműködési eljárás keretében a Bíróság feladata, hogy a nemzeti bíróságnak az előtte folyamatban lévő ügy eldöntéséhez érdemi választ adjon. Ennek érdekében adott esetben a Bíróságnak át kell fogalmaznia az elé terjesztett kérdéseket. A Bíróság ezenkívül figyelembe vehet olyan uniós jogi szabályokat, amelyekre a nemzeti bíróság kérdéseiben nem hivatkozott (2023. szeptember 7‑i Groenland Poultry ítélet, C‑169/22, EU:C:2023:638, 47. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

52 A jelen ügyben az ötödik kérdés a GDPR 82. cikkének (1) bekezdése szerinti kártérítéshez való jogra, és különösen a GDPR (75) preambulumbekezdésében szereplő „személyazonosság‑lopás” fogalmára vonatkozik. Márpedig meg kell állapítani, hogy e preambulumbekezdésen kívül e fogalom szerepel e rendelet (85) preambulumbekezdésében is.

53 Következésképpen meg kell állapítani, hogy ötödik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR (75) és (85) preambulumbekezdésével összefüggésben úgy kell‑e értelmezni e rendelet 82. cikkének (1) bekezdését, hogy ahhoz, hogy megállapítható legyen a „személyazonosság‑lopás” fogalma és e rendelkezés alapján nem vagyoni kártérítésre való jogosultság keletkezzen, e fogalom feltételezi, hogy a személyes adatok ellopásával érintett személy személyazonosságával egy harmadik személy ténylegesen visszaél, vagy ilyen személyazonosság‑lopásnak minősül, ha e harmadik személy olyan adatokkal rendelkezik, amelyek alapján az érintett azonosíthatóvá válik.

54 A GDPR nem határozza meg a személyazonosság‑lopás fogalmát. A „személyazonosság‑lopást” vagy az azzal való „visszaélést” azonban e rendelet (75) preambulumbekezdése a személyes adatok olyan feldolgozása következményeinek nem kimerítő felsorolásaként említi, amely fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek. Az említett rendelet (85) preambulumbekezdése a „személyazonosság‑lopást” vagy az azzal való „visszaélést” ismét együttesen említi a személyes adatok megsértésével esetlegesen okozott fizikai, vagyoni vagy nem vagyoni károk felsorolásában.

55 Amint arra a főtanácsnok az indítványának 29. pontjában rámutatott, a GDPR (75) és (85) preambulumbekezdésének különböző nyelvi változataiban a „személyazonosság‑lopás”, „személyazonossággal való visszaélés”, a „személyazonosság visszaélésszerű felhasználása”, a „személyazonosság jogosulatlan felhasználása” és a „személyazonosság bitorlása” kifejezések különbségtétel nélkül szerepelnek. Következésképpen a „személyazonosság‑lopás” és az azzal való „visszaélés” fogalma felcserélhető egymással, és semmilyen különbséget sem lehet közöttük tenni. Az utóbbi két fogalom alapján vélelmezhető az olyan személy személyazonosságának kisajátítására irányuló szándék, akinek személyes adatait korábban ellopták.

56 Ezenfelül, amint arra a főtanácsnok az indítványának 30. pontjában szintén rámutatott, a GDPR (75) és (85) preambulumbekezdésében szereplő felsorolásokban említett különböző fogalmak közül a személyes adatok feletti „rendelkezés elvesztése”, illetve az azok feletti „rendelkezés” lehetetlensége különbözik a „személyazonosság‑lopástól”, illetve az azzal való „visszaéléstől”. Ebből következik, hogy az ilyen adatokhoz való hozzáférés és az azok feletti ellenőrzés megszerzése, amely az adatok ellopásához hasonló, önmagában nem azonos a „személyazonosság‑lopással” vagy az azzal való „visszaéléssel”. Másként fogalmazva, a személyes adatok ellopása önmagában nem minősül személyazonosság‑lopásnak vagy azzal való visszaélésnek.

57 Mindazonáltal e tekintetben pontosítani kell, hogy a személyes adatok ellopásával okozott nem vagyoni kárnak a GDPR 82. cikkének (1) bekezdése alapján történő megtérítése nem korlátozható azokra az esetekre, amelyekben bizonyítást nyer, hogy az ilyen adatlopás ezt követően személyazonosság‑lopáshoz vagy azzal való visszaéléshez vezetett. Az érintett személyes adatainak ellopása ugyanis a GDPR 82. cikkének (1) bekezdése alapján akkor keletkeztet jogot az elszenvedett nem vagyoni kár megtérítésére, ha az e rendelkezésben meghatározott három feltétel – nevezetesen a személyes adatoknak a GDPR rendelkezéseit sértő kezelése, az érintett által elszenvedett kár, és az e jogellenes kezelés és e kár közötti okozati kapcsolat – teljesül (lásd ebben az értelemben: 2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 32. és 36. pont).

58 Ezen indokok alapján az ötödik kérdésre azt a választ kell adni, hogy a GDPR (75) és (85) preambulumbekezdésével összefüggésben úgy kell értelmezni e rendelet 82. cikkének (1) bekezdését, hogy ahhoz, hogy megállapítható legyen a „személyazonosság‑lopás” fogalma és e rendelkezés alapján nem vagyoni kártérítésre való jogosultság keletkezzen, e fogalom feltételezi, hogy a személyes adatok ellopásával érintett személy személyazonosságával egy harmadik személy ténylegesen visszaél. A személyes adatok ellopásával okozott nem vagyoni kárnak az említett rendelkezés alapján történő megtérítése ugyanakkor nem korlátozható azokra az esetekre, amelyekben bizonyítást nyer, hogy az ilyen adatlopás ezt követően személyazonosság‑lopáshoz vagy azzal való visszaéléshez vezetett.

A költségekről

59 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (harmadik tanács) a következőképpen határozott:

1) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 82. cikkének (1) bekezdését