A BÍRÓSÁG ÍTÉLETE (harmadik tanács)
2024. június 20.(*)
„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – A 82. cikk (1) bekezdése – Az e rendeletet sértő adatkezeléssel okozott kár megtérítéséhez való jog – A »nem vagyoni kár« fogalma – Az elszenvedett kár súlyosságának hatása – A kártérítés összegének megállapítása – Félelemre alapított, nem vagyoni kár megtérítése iránti kérelem – A közigazgatási bírságokkal kapcsolatban a 83. cikkben megállapított szempontok alkalmazhatatlansága – Elrettentő funkció – Az említett rendelet és a nemzeti jog együttes megsértése esetén történő értékelés”
A C‑590/22. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet az Amtsgericht Wesel (weseli helyi bíróság, Németország) a Bírósághoz 2022. szeptember 9‑én érkezett, 2022. augusztus 5‑i határozatával terjesztett elő az
AT,
BT
és
a PS GbR,
VG,
MB,
DH,
WB,
GS
között folyamatban lévő eljárásban,
A BÍRÓSÁG (harmadik tanács),
tagjai: K. Jürimäe tanácselnök, K. Lenaerts, a Bíróság elnöke, a harmadik tanács bírájaként eljárva, N. Piçarra, N. Jääskinen (előadó) és M. Gavalec bírák,
főtanácsnok: M. Campos Sánchez‑Bordona,
hivatalvezető: A. Calot Escobar,
tekintettel az írásbeli szakaszra,
figyelembe véve a következők által előterjesztett észrevételeket:
– Írország képviseletében M. Browne Chief State Solicitor, A. Joyce és M. Tierney, meghatalmazotti minőségben, segítőjük: D. Fennelly BL,
– az Európai Bizottság képviseletében A. Bouchagiar, M. Heller és H. Kranenborg, meghatalmazotti minőségben,
tekintettel a főtanácsnok meghallgatását követően hozott határozatra, miszerint az ügy elbírálására a főtanácsnok indítványa nélkül kerül sor,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 82. cikke (1) bekezdésének értelmezésére vonatkozik.
2 E kérelmet az egyfelől AT és BT, az alapeljárás felperesei, másfelől a PS GbR adótanácsadó társaság, valamint a PS tagjai, VG, MB, DH, WB és GS között, az alapeljárás felpereseinek ahhoz való joga tárgyában folyamatban lévő jogvita keretében terjesztették elő, hogy a GDPR 82. cikkének (1) bekezdése alapján kártérítést kapjanak azon szenvedés kompenzálásaként, amely állításuk szerint amiatt érte őket, hogy a PS által elkövetett hiba következtében személyes adatokat tartalmazó adóbevallásukat harmadik személyekkel hozzájárulásuk nélkül közölték.
Jogi háttér
3 Az általános adatvédelmi rendelet (85), (146) és (148) preambulumbekezdéseinek szövege a következő:
„(85) Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság‑lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt. […]
[…]
(146) Az adatkezelő vagy az adatfeldolgozó az e rendeletet sértő adatkezelés miatt okozott kárt köteles megtéríteni. Az adatkezelőt vagy az adatfeldolgozót a kártérítési kötelezettség alól abban az esetben mentesíteni kell, ha bizonyítja, hogy a kár bekövetkeztéért őt semmilyen felelősség nem terheli. A kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze e rendelet célkitűzéseit. Ez nem érinti a más uniós vagy tagállami jog megsértéséből eredő károkkal kapcsolatos esetleges kártérítési igényeket. Az e rendeletet sértő adatkezelés magában foglalja az e rendelettel összhangban elfogadott, felhatalmazáson alapuló jogi aktusokat és végrehajtási jogi aktusokat, valamint az e rendeletben foglalt szabályokat pontosító tagállami jogot sértő adatkezelést is. Az érintetteket az őket ért kárért teljes és tényleges kártérítés illeti meg. […]
[…]
(148) Az e rendelet által előírt szabályok betartatásának erősítése érdekében e rendelet bármely megsértése esetén […] szankciókat – ideértve a közigazgatási bírságokat is – kell kiszabni. Kellő figyelmet kell azonban fordítani a jogsértés természetére, súlyosságára, időtartamára, szándékos jellegére és arra, hogy tettek‑e intézkedéseket az elszenvedett kár mértékének csökkentésére, továbbá a felelősség mértékére, a korábban e téren elkövetett jogsértésekre, arra, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, valamint arra, hogy az adatkezelő vagy adatfeldolgozó betartja‑e a vele szemben elrendelt intézkedéseket és hogy alkalmaz‑e valamely magatartási kódexet, valamint minden egyéb súlyosbító vagy enyhítő körülményre. […]”
4 E rendelet „Fogalommeghatározások” című 4. cikke a következőket írja elő:
„E rendelet alkalmazásában:
1. »személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; […]
[…]
7. »adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; […]
[…]
10. »harmadik fél«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;
[…]
12. »adatvédelmi incidens«: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
[…]”
5 Az említet rendelet 79. cikkének (1) bekezdése értelmében:
„A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.”
6 E rendeletnek „A kártérítéshez való jog és a felelősség” című 82. cikke az (1)–(3) bekezdésében a következőképpen rendelkezik:
„(1) Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.
(2) Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. […]
(3) Az adatkezelő, illetve az adatfeldolgozó mentesül az e cikk (2) bekezdése szerinti felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.”
7 Ugyanezen rendelet „A közigazgatási bírságok kiszabására vonatkozó általános feltételek” című 83. cikkének (2), (3) és (5) bekezdése kimondja:
„(2) […] Annak eldöntésekor, hogy szükség van‑e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:
a) a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;
b) a jogsértés szándékos vagy gondatlan jellege;
[…]
k) az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.
(3) Ha egy adatkezelő vagy adatfeldolgozó egyazon adatkezelési művelet vagy egymáshoz kapcsolódó adatkezelési műveletek tekintetében – szándékosan vagy gondatlanságból – e rendelet több rendelkezését is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.
[…]
(5) Az alábbi rendelkezések megsértését – a (2) bekezdéssel összhangban – legfeljebb 20 000 000 [euró] összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%‑át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni:
a) az adatkezelés elvei – ideértve a hozzájárulás feltételeit – az 5., 6., 7. és 9. cikknek megfelelően;
b) az érintettek jogai a 12–22. cikknek megfelelően;
[…]”
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
8 Az alapeljárás felperesei, AT és BT egy adótanácsadó iroda, a PS ügyfelei. E tanácsadó céget tájékoztatták levelezési címük megváltozásáról, amelyet a PS számítógépes adatkezelési rendszerében rögzítettek. Az alapeljárás felpereseinek új címét ezt követően a PS használta, több levelet küldött e címre.
9 2020 júliusában az alapeljárás felperesei azt kérték a PS‑től, hogy készítse el a 2019. évre vonatkozó adóbevallásukat. Mivel semmilyen választ nem kaptak, felvették a kapcsolatot a PS‑sel, aki tájékoztatta őket arról, hogy az adóbevallást 2020. szeptember 29‑én levélben megküldte nekik, azonban nem jelölte meg azt a címet, amelyre az említett levelet küldte.
10 A korábbi lakcímükön lakó új lakók tájékoztatták őket, hogy a nevükre címzett boríték érkezett erre a címre, és azt tévedésből felbontották. Ezen új lakók egyike jelezte, hogy miután észlelte, hogy a szóban forgó levelet nem neki címezték, az abban talált iratokat visszatette a borítékokba. E borítékot az alapeljárás felpereseinek korábbi lakcíme közelében lakó rokonainak adta át, hogy a felperesek hozzájussanak.
11 Amikor az alapeljárás felperesei megkapták az érintett borítékot, megállapították, hogy abban csak az adóbevallás másolata és egy kísérőlevél van. Feltételezésük szerint azonban e boríték tartalmazta ezen adóbevallás eredeti változatát is, amely olyan személyes adatokat tartalmazott, mint például a nevük és születési idejük, valamint gyermekeik neve és születési ideje, adóazonosító számuk, banki adataik, továbbá vallási közösséghez való tartozásukra, családtagjuk fogyatékos személyi minőségére, foglalkozásukra és munkahelyükre, illetve a különböző kiadásaikra vonatkozó adatok.
12 E tekintetben a kérdést előterjesztő bíróság pontosítja, hogy nem lehetett megállapítani, hogy eredetileg mely dokumentumok voltak az említett borítékban, és azt sem lehetett meghatározni, hogy az alapeljárás felpereseinek korábbi lakcímét használó új személyek tudomást szereztek‑e a boríték tartalmáról, vagy sem, illetve ha igen, milyen mértékben. Arra is rámutat, hogy a szóban forgó levelet azért küldte a PS téves címre, mert olyan adatbázisból származó adatokat használt, amelyben még az alapeljárás felpereseinek korábbi címe szerepelt.
13 Az alapeljárás felperesei e körülmények között keresetet indítottak a kérdést előterjesztő bíróság, az Amtsgericht Wesel (weseli helyi bíróság, Németország) előtt a GDPR 82. cikkének (1) bekezdése alapján azon nem vagyoni kár megtérítése iránt, amelyet álláspontjuk szerint személyes adataik harmadik személyekkel való közlése miatt szenvedtek el, és amelyet 15 000 euróra becsülnek.
14 A kérdést előterjesztő bíróság először is arra keresi a választ, hogy abban az esetben, ha nem vagyoni kárra hivatkoznak, a GDPR 82. cikke szerinti kártérítéshez való jog alapítható‑e kizárólag e rendelet rendelkezéseinek megsértésére, azzal, hogy a német jogban csak abban az esetben ismerhető el a kár pénzbeli megtérítéshez való jog, ha a valamely jogi rendelkezés megsértésén túl olyan jelentős kárt is bizonyítanak, amely más módon nem hozható helyre.
15 Másodszor e bíróság arra keresi a választ, hogy önmagában az attól való félelem, hogy személyes adatok hozzájárulással nem rendelkező személyek birtokába kerültek, olyan nem vagyoni kárnak minősülhet‑e, amely a GDPR 82. cikke alapján pénzbeli kártérítéshez való jogot alapozhat meg.
16 Harmadszor az említett bíróság rámutat arra, hogy a GDPR 83. cikke felsorolja az e rendelet megsértése esetén kiszabandó közigazgatási bírságok összegének egységes meghatározását lehetővé tévő szempontokat. E cikk azonban nem tartalmaz hasonló rendelkezést a nem vagyoni kár pénzbeli megtérítése tekintetében. E bíróság tehát arra keresi a választ, hogy e szempontok átültethetők‑e a nem vagyoni kár után a GDPR 82. cikke szerint fizetendő pénzbeli kártérítésére.
17 Negyedszer az előterjesztő bíróság emlékeztet arra, hogy a GDPR (146) preambulumbekezdése szerint a „kár” fogalmát tágan kell értelmezni az elszenvedett kár teljes és tényleges megtérítésének biztosítása érdekében. Ugyanakkor arra is választ keres, hogy a „tényleges” kártérítésre való hivatkozás azt jelenti‑e, hogy a nem vagyoni kártérítési igények meghatározásának elrettentő hatást is el kell érni. Elképzelhető, hogy adott esetben az adatkezelők hajlanának arra, hogy ne tartsák tiszteletben a GDPR‑ban előírt kötelezettségeket abban az esetben, ha e rendelet szigorú betartásának költsége magasabb lenne, mint az említett rendelet megsértése esetén általuk fizetendő kártérítés összege.
18 Ötödször és utolsósorban a kérdést előterjesztő bíróság arra keresi a választ, hogy a GDPR‑ból eredő rendelkezéseknek és a német jogból eredő, bizonyos hivatást gyakorló szakemberekkel szemben titoktartási kötelezettséget előíró rendelkezéseknek az egyidejű megsértését figyelembe kell‑e venni a GDPR 82. cikke alapján a nem vagyoni kár címén fizetendő kártérítés értékelése során. E bíróságnak kétségei vannak e tekintetben, mivel a jelen ügyben szóban forgó releváns német jogi rendelkezések már hatályban voltak a GDPR elfogadásakor, és ezért nem tekinthetők az e rendelet (146) preambulumbekezdése értelmében az e rendelettel összhangban elfogadott, felhatalmazáson alapuló jogi aktusoknak és végrehajtási jogi aktusoknak.
19 E körülmények között az Amtsgericht Wesel (weseli helyi bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
„1) Elegendő‑e [a GDPR] 82. cikkének (1) bekezdése szerinti kártérítési igény megalapozásához az, ha [e] rendeletnek valamely az igényérvényesítő személyt védő rendelkezését megsértették, vagy pedig szükséges az, hogy az igényérvényesítő személyt a rendelkezések megsértésén túl további sérelem érje?
2) Az uniós jog alapján szükséges‑e [a GDPR] 82. cikkének (1) bekezdése szerinti nem vagyoni kártérítési igény megalapozásához az, hogy egy bizonyos súlyú sérelem álljon fenn?
3) Különösen: Elegendő‑e [a GDPR] 82. cikkének (1) bekezdése szerinti nem vagyoni kártérítés iránti igény megállapításához az, hogy az igényérvényesítő személynek attól kell tartania, hogy [a GDPR] rendelkezéseinek megsértése következtében személyes adatai harmadik személyek kezébe kerültek, anélkül, hogy ez egyértelműen megállapítható lenne?
4) Megfelel‑e az uniós jognak, ha a nemzeti bíróság [a GDPR] 82. cikkének (1) bekezdése szerinti nem vagyoni kártérítés megállapítása során [a GDPR] 83. cikke (2) bekezdésének második mondata szerinti, a szövegnél fogva kizárólag pénzbírságokra vonatkozó szempontokat megfelelően alkalmazza?
5) Arra is figyelemmel kell‑e megállapítani [a GDPR] 82. cikkének (1) bekezdése szerinti nem vagyoni kártérítési igény mértékét, hogy a megítélt igény mértéke elrettentő hatást is elérjen, illetve megakadályozza a jogsértések »elüzletiesedését« (pénzbírságok/kártérítési kifizetések tervezett számításba vételét)?
6) Megfelel‑e az uniós jognak az, ha [a GDPR] 82. cikkének (1) bekezdése szerinti nem vagyoni kártérítési igény mértékének meghatározása során figyelembe veszik azon nemzeti előírások egyidejű megsértését, amelyek célja ugyan a személyes adatok védelme, de nem minősülnek az e rendelettel összhangban elfogadott, felhatalmazáson alapuló jogi aktusoknak és végrehajtási jogi aktusoknak, valamint az e rendeletben foglalt szabályokat pontosító tagállami jognak?”
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az első és a második kérdésről
20 Az együttesen megvizsgálandó első és második kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy e rendelet megsértése önmagában elegendő az e rendelkezés szerinti kártérítési igény megalapozásához, vagy az érintett személynek az e jogsértés által okozott, bizonyos súlyossági küszöböt elérő kár fennállását is bizonyítania kell.
21 A GDPR 82. cikkének (1) bekezdése értelmében „[m]inden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult”.
22 A Bíróság már megállapította, hogy e rendelkezés szövegéből világosan kiderül, hogy a vagyoni vagy nem vagyoni „kár” vagy az „elszenvedett kár” megléte a 82. cikk (1) bekezdésében említett kártérítéshez való jog egyik feltételét képezi, akárcsak a GDPR megsértésének fennállása, valamint az e kár és az e jogsértés közötti okozati kapcsolat megléte, mivel e három feltétel együttes feltétel (lásd ebben az értelemben: 2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 32. pont; 2024. április 11‑i juris ítélet, C‑741/21, EU:C:2024:288, 34. pont).
23 Ennélfogva nem lehet úgy tekinteni, hogy a GDPR rendelkezéseinek bármely „megsértése” önmagában megnyitja a kártérítéshez való jogot az e rendelet 4. cikkének 1. pontjában meghatározott érintett javára. Egyébiránt a „kárnak” és a „megsértésnek” a GDPR 82. cikkének (1) bekezdésében külön történő említése felesleges lenne, ha az uniós jogalkotó úgy ítélte volna meg, hogy e rendelkezés rendelkezéseinek önmagában és minden egyes esetben való megsértése elegendő ahhoz, hogy megalapozza a kártérítéshez való jogot (lásd ebben az értelemben: 2023. május 4‑i Österreichische Post Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 33. és 34. pont).
24 Ebből következően a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy e rendelet rendelkezéseinek puszta megsértése nem elegendő a kártérítéshez való jog megalapozásához (2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 42. pont).
25 Az e rendelkezés alapján nem vagyoni kára megtérítését kérő személy tehát nemcsak e rendelet rendelkezéseinek megsértését köteles bizonyítani, hanem azt is, hogy e jogsértés ilyen kárt okozott neki (lásd ebben az értelemben: 2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 42. és 50. pont; 2024. április 11‑i juris ítélet, C‑741/21, EU:C:2024:288, 35. pont).
26 Ez utóbbi feltételt illetően, a GDPR 82. cikkének (1) bekezdésével ellentétes az olyan nemzeti szabály vagy gyakorlat, amely az e rendelkezés értelmében vett „nem vagyoni kár” megtérítését annak a feltételnek rendeli alá, hogy az érintett által elszenvedett kárnak el kell érnie egy bizonyos súlyossági küszöböt (2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 51. pont; 2024. április 11‑i juris ítélet, C‑741/21, EU:C:2024:288, 36. pont).
27 Így tehát e személy a GDPR 82. cikkének (1) bekezdése alapján köteles bizonyítani, hogy ténylegesen vagyoni vagy nem vagyoni kárt szenvedett el (lásd ebben az értelemben: 2024. április 11‑i juris ítélet, C‑741/21, EU:C:2024:288, 39. pont).
28 A fenti megfontolásokra tekintettel az első és a második kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy e rendelet rendelkezéseinek megsértése önmagában nem elegendő az e rendelkezés szerinti kártérítéshez való jog megalapozásához. Az érintett személynek bizonyítania kell az e jogsértés által okozott kár fennállását is, e kárnak azonban nem kell elérnie egy bizonyos súlyossági küszöböt.
A harmadik kérdésről
29 Harmadik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy a nem vagyoni kár megtérítéséhez való jog megalapozásához elegendő az, hogy valamely személy attól tart, hogy személyes adatait e rendelet megsértése miatt harmadik személyekkel közölték, anélkül hogy megállapítható lenne, hogy erre ténylegesen sor került.
30 Az előzetes döntéshozatalra utaló határozatból kitűnik, hogy az alapeljárás felperesei a GDPR alapján nem vagyoni kár megtérítését kérik az adatkezelés tárgyát képező személyes adataik feletti ellenőrzés elvesztése címén, anélkül hogy bizonyítani tudnák, hogy harmadik személyek ténylegesen milyen mértékben szereztek tudomást az említett adatokról.
31 Tekintettel arra, hogy a GDPR 82. cikkének (1) bekezdése egyáltalán nem utal a tagállamok belső jogára, a „nem vagyoni kár” e rendelkezés értelmében vett fogalmának az uniós jog saját fogalmaként önálló és egységes definíciót kell adni (lásd ebben az értelemben: 2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 30. és 44. pont; 2024. január 25‑i MediaMarktSaturn ítélet, C‑687/21, EU:C:2024:72, 64. pont).
32 A Bíróság megállapította, hogy nemcsak a GDPR 82. cikke (1) bekezdésének az e rendelet (85) és (146) preambulumbekezdésének fényében értelmezett szövegéből tűnik ki, amely preambulumbekezdések az ezen előbbi rendelkezés értelmében vett „nem vagyoni kár” fogalmának tág értelmezését írják elő, hanem a természetes személyeknek a személyes adatok kezelése tekintetében történő magas szintű védelmére irányuló, e rendeletben említett célkitűzésből is, hogy az érintett azon félelme, hogy a személyes adataival ugyanezen rendelet megsértését követően esetleges harmadik fél visszaél, önmagában alkalmas arra, hogy e 82. cikk (1) bekezdése értelmében vett „nem vagyoni kárnak” minősüljön (lásd ebben az értelemben: 2023. december 14‑i Natsionalna agentsia za prihodite ítélet, C‑340/21, 79–86. pont; 2024. január 25‑i MediaMarktSaturn ítélet, C‑687/21, EU:C:2024:72, 65. pont).
33 A személyes adatok feletti ellenőrzés rövid időn keresztül történő elvesztése a GDPR 82. cikkének (1) bekezdése értelmében vett, kártérítéshez való jogosultságot keletkeztető „nem vagyoni kárnak” minősülhet, feltéve hogy az említett személy bizonyítja, hogy ténylegesen ilyen kárt szenvedett el, bármilyen minimális is legyen az, emlékeztetve arra, hogy e rendelet rendelkezéseinek egyszerű megsértése nem elegendő ahhoz, hogy ezen az alapon kártérítéshez való jogot keletkeztessen (lásd ebben az értelemben: 2024. január 25‑i MediaMarktSaturn ítélet, C‑687/21, EU:C:2024:72, 66. pont; 2024. április 11‑i juris ítélet, C‑741/21, EU:C:2024:288, 42. pont).
34 Annak a személynek tehát, aki úgy véli, hogy személyes adatait a GDPR vonatkozó rendelkezéseinek megsértésével kezelték, és e rendelet 82. cikkének (1) bekezdése alapján kártérítést kér, bizonyítania kell, hogy ténylegesen vagyoni vagy nem vagyoni kár érte.
35 Így a félelemre vonatkozó egyszerű állítás – bizonyított negatív következmény nélkül – nem alapozhatja meg az e rendelkezés szerinti kártérítést.
36 A fenti indokokra tekintettel a harmadik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy a kártérítéséhez való jog megalapozásához elegendő az, hogy valamely személy attól tart, hogy személyes adatait e rendelet megsértése miatt harmadik személyekkel közölték, anélkül hogy megállapítható lenne, hogy erre ténylegesen sor került, amennyiben e félelem – annak negatív következményeivel együtt – megfelelően bizonyított.
A negyedik és az ötödik kérdésről
37 Az együttesen megvizsgálandó negyedik és ötödik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy az e rendelkezésen alapuló kártérítés címén fizetendő összeg megállapítására egyrészt a közigazgatási bírságok összegének megállapítására vonatkozó, e rendelet 83. cikkében meghatározott szempontokat kell értelemszerűen alkalmazni, másrészt e kártérítéshez való jognak elrettentő funkciót kell tulajdonítani.
38 Először is, ami a GDPR 83. cikkében meghatározott szempontoknak a 82. cikke alapján fizetendő kártérítés összegének megállapítása érdekében való esetleges figyelembevételét illeti, nem vitatott, hogy e két rendelkezés célja eltérő. Míg ugyanis e rendelet 83. cikke „[a] közigazgatási bírságok kiszabására vonatkozó általános feltételek[et]” határozza meg, addig az említett rendelet 82. cikke a „kártérítéshez való jog és a felelősség” kérdését szabályozza.
39 Ebből az következik, hogy a közigazgatási bírságok összegének megállapításához a GDPR 83. cikkében meghatározott szempontok, amelyeket e rendelet (148) preambulumbekezdése is említ, nem alkalmazhatók a 82. cikk szerinti kártérítés összegének megállapítása során (2024. április 11‑i juris ítélet, C‑741/21, EU:C:2024:288, 57. pont).
40 A GDPR nem tartalmaz olyan rendelkezést, amelynek az lenne a célja, hogy meghatározza az azon kártérítés meghatározására vonatkozó szabályokat, amelyet az e rendelet 4. cikkének 1. pontja értelmében vett érintettek a rendelet 82. cikke alapján olyan esetben követelhetnek, amikor az említett rendelet megsértése számukra kárt okoz. Az adott területre vonatkozó uniós jogi szabályok hiányában ezért az egyes tagállamok belső jogrendjére tartozik az azon keresetekre vonatkozó részletes szabályok meghatározása, amelyek azon jogok védelmének biztosítását szolgálják, amelyeket a jogalanyok a 82. cikkre alapítanak, és különösen az ennek keretében járó kártérítés terjedelmének meghatározását lehetővé tevő szempontok meghatározása, az egyenértékűség és a hatékony érvényesülés elveinek tiszteletben tartása mellett (2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 54. pont; 2024. április 11‑i juris ítélet, C‑741/21, EU:C:2024:288, 58. pont).
41 Másodszor, a GDPR 82. cikkének (1) bekezdésében előírt kártérítéshez való jognak nincs elrettentő vagy büntető funkciója. E rendelet megsértésének – amely az érintett vagyoni vagy nem vagyoni kárt okozta – súlyossága nem befolyásolhatja az e rendelkezés alapján megítélt kártérítés összegét, így ezen összeget nem lehet olyan szinten rögzíteni, amely meghaladja e kár teljes megtérítését (lásd ebben az értelemben: 2023. december 21‑i Krankenversicherung Nordrhein ítélet, C‑667/21, EU:C:2023:1022, 86. pont; 2024. április 11‑i juris ítélet, C‑741/21, EU:C:2024:288, 60. pont).
42 A GDPR 82. cikke szerinti kártérítéshez való jognak – az ugyanezen rendelet (146) preambulumbekezdésének hatodik mondatában kimondott – kompenzációs funkcióját figyelembe véve „teljesnek és ténylegesnek” kell tekinteni az e cikken alapuló pénzbeli kártérítést, ha lehetővé teszi az e rendelet megsértése miatt konkrétan elszenvedett kár teljes egészében való kompenzálását, anélkül hogy az ilyen teljes egészében való kompenzáláshoz szükséges lenne büntető jellegű kártérítést előírni (lásd ebben az értelemben: 2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 57. és 58. pont; 2024. április 11‑i juris ítélet, C‑741/21, EU:C:2024:288, 61. pont).
43 Ily módon, tekintettel egyrészt a GDPR (146) preambulumbekezdésével összefüggésben értelmezett 82. cikkének, másrészt a (148) preambulumbekezdésével összefüggésben értelmezett 83. cikkének szövege és céljai között fennálló különbségekre, nem lehet úgy tekinteni, hogy az e 83. cikkben kifejezetten meghatározott értékelési szempontok e 82. cikk keretében is megfelelően alkalmazandók, annak ellenére, hogy az e két rendelkezésben foglalt jogorvoslati lehetőségek ugyanezen rendelet tiszteletben tartásának biztosítása szempontjából kiegészítik egymást (2024. április 11‑i juris ítélet, C‑741/21, EU:C:2024:288, 62. pont).
44 A fenti indokokra tekintettel a negyedik és ötödik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy az e rendelkezésen alapuló kártérítés címén fizetendő összeg megállapítására egyrészt nem alkalmazhatók értelemszerűen a közigazgatási bírságok összegének megállapítására vonatkozó, e rendelet 83. cikkében meghatározott szempontok, másrészt nem lehet elrettentő funkciót tulajdonítani e kártérítéshez való jognak.
A hatodik kérdésről
45 Hatodik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy az e rendelkezés alapján kártérítés címén fizetendő összeg meghatározásához figyelembe kell venni a személyes adatok védelmére vonatkozó, de nem e rendelet szabályainak pontosítására irányuló nemzeti rendelkezések együttes megsértését.
46 Ezt a kérdést arra tekintettel terjesztették elő, hogy az alapeljárás felperesei úgy vélik, hogy a GDPR‑ból eredő rendelkezések, valamint az adótanácsadókra vonatkozó, e rendelet hatálybalépése előtt elfogadott és nem e rendelet szabályainak pontosítására irányuló német jogszabályokból eredő rendelkezések együttes megsértésének az kell legyen a következménye, hogy magasabb lesz az általuk állítólagosan elszenvedett nem vagyoni kár megtérítéseként a GDPR 82. cikkének (1) bekezdése alapján követelt kártérítés összege.
47 E tekintetben nem vitatott, hogy a GDPR (146) preambulumbekezdésének ötödik mondatából lényegében az következik, hogy a személyes adatok e rendeletet sértő kezelése „magában foglalja az e rendelettel összhangban elfogadott, felhatalmazáson alapuló jogi aktusokat és végrehajtási jogi aktusokat, valamint az e rendeletben foglalt szabályokat pontosító tagállami jogot sértő adatkezelést is.”
48 Mindazonáltal az a körülmény, hogy az ilyen adatkezelés a személyes adatok védelmére vonatkozó, olyan nemzeti jogi rendelkezéseket is sérti, amelyeknek nem célja e rendelet szabályainak pontosítása, nem minősül releváns tényezőnek a GDPR 82. cikkének (1) bekezdése alapján megítélendő kártérítés meghatározása szempontjából. Az ilyen nemzeti rendelkezések megsértése ugyanis nem tartozik e rendelet (146) preambulumbekezdésével összefüggésben értelmezett 82. cikke (1) bekezdésének hatálya alá.
49 Ez nem érinti azt a tényt, hogy amennyiben a nemzeti jog lehetővé teszi, a nemzeti bíróság nagyobb kártérítést ítélhet meg az érintett számára, mint a GDPR 82. cikkének (1) bekezdésében előírt teljes és tényleges kártérítés, amennyiben – tekintettel arra, hogy a kárt az előző pontban említetthez hasonló nemzeti jogi rendelkezések megsértése okozta – ez utóbbi kártérítés nem bizonyul elegendőnek vagy megfelelőnek.
50 A fenti indokokra tekintettel a hatodik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy az e rendelkezés alapján kártérítés címén fizetendő összeg meghatározásához nem kell figyelembe venni a személyes adatok védelmére vonatkozó, de nem e rendelet szabályainak pontosítására irányuló nemzeti rendelkezések együttes megsértését.
A költségekről
51 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (harmadik tanács) a következőképpen határozott:
1) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 82. cikkének (1) bekezdését
a következőképpen kell értelmezni:
e rendelet rendelkezéseinek megsértése önmagában nem elegendő az e rendelkezés szerinti kártérítéshez való jog megalapozásához. Az érintett személynek bizonyítania kell az e jogsértéssel okozott kár fennállását is, e kárnak azonban nem kell elérnie egy bizonyos súlyossági küszöböt.
2) A 2016/679 rendelet 82. cikkének (1) bekezdését
a következőképpen kell értelmezni:
a kártérítéséhez való jog megalapozásához elegendő az, hogy valamely személy attól tart, hogy személyes adatait e rendelet megsértése miatt harmadik személyekkel közölték, anélkül hogy megállapítható lenne, hogy erre ténylegesen sor került, amennyiben e félelem – annak negatív következményeivel együtt – megfelelően bizonyított.
3) A 2016/679 rendelet 82. cikkének (1) bekezdését
a következőképpen kell értelmezni:
az e rendelkezésen alapuló kártérítés címén fizetendő összeg megállapítására egyrészt nem alkalmazhatók értelemszerűen a közigazgatási bírságok összegének megállapítására vonatkozó, e rendelet 83. cikkében meghatározott szempontok, másrészt nem lehet elrettentő funkciót tulajdonítani e kártérítéshez való jognak.
4) A 2016/679 rendelet 82. cikkének (1) bekezdését
a következőképpen kell értelmezni:
az e rendelkezés alapján kártérítés címén fizetendő összeg meghatározásához nem kell figyelembe venni a személyes adatok védelmére vonatkozó, de nem e rendelet szabályainak pontosítására irányuló nemzeti rendelkezések együttes megsértését.
Aláírások