A BÍRÓSÁG ÍTÉLETE (nagytanács)
2024. március 5.(*)
„Fellebbezés – Bűnüldözési együttműködés – (EU) 2016/794 rendelet – A 49. cikk (3) bekezdése és az 50. cikk – A személyes adatok védelme – Jogszerűtlen adatkezelés – Szlovákiában a fellebbező ellen indított büntetőeljárás – A Bűnüldözési Együttműködés Európai Uniós Ügynöksége (Europol) által végzett szakértői vizsgálat – Adatoknak a fellebbező mobiltelefonjaiból és USB adathordozójából való kinyerése – Ezen adatok hozzáférhetővé tétele – Nem vagyoni kár – Kártérítési kereset – A szerződésen kívüli felelősség jellege”
A C‑755/21. P. sz. ügyben,
Marián Kočner (lakóhelye: Pozsony [Szlovákia], képviselik: M. Mandzák és M. Para advokáti)
fellebbezőnek
az Európai Unió Bírósága alapokmányának 56. cikke alapján 2021. december 8‑án benyújtott fellebbezése tárgyában,
a másik fél az eljárásban:
a Bűnüldözési Együttműködés Európai Uniós Ügynöksége (Europol) (képviseli: A. Nunzi, meghatalmazotti minőségben, segítői: M. Kottmann és G. Ziegenhorn Rechtsanwälte)
alperes az elsőfokú eljárásban,
támogatják:
a Szlovák Köztársaság (képviseli kezdetben: S. Ondrášiková, később: E. V. Drugda és S. Ondrášiková, meghatalmazotti minőségben)
beavatkozó fél a fellebbezési eljárásban,
a Spanyol Királyság
beavatkozó fél az elsőfokú eljárásban,
A BÍRÓSÁG (nagytanács),
tagjai: K. Lenaerts elnök, L. Bay Larsen elnökhelyettes, A. Arabadjiev, A. Prechal, E. Regan, F. Biltgen, N. Piçarra és O. Spineanu‑Matei (előadó) tanácselnökök, S. Rodin, P. G. Xuereb, L. S. Rossi, N. Wahl, I. Ziemele, J. Passer és D. Gratsias bírák,
főtanácsnok: A. Rantos,
hivatalvezető: A. Calot Escobar,
tekintettel az írásbeli szakaszra,
a főtanácsnok indítványának a 2023. június 15‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Fellebbezésével Marián Kočner az Európai Unió Törvényszéke 2021. szeptember 29‑i Kočner kontra Europol ítéletének (T‑528/20, a továbbiakban: megtámadott ítélet, EU:T:2021:631) hatályon kívül helyezését kéri, amely ítéletben a Törvényszék elutasította a fellebbezőnek az EUMSZ 268. cikken alapuló, személyes adatoknak a Bűnüldözési Együttműködés Európai Uniós Ügynöksége (Europol) általi hozzáférhetővé tételével és nevének a „maffialistákra” való felvételével állítólagosan okozott nem vagyoni kár megtérítése iránt kérelmét.
Jogi háttér
2 A Bűnüldözési Együttműködés Európai Uniós Ügynökségéről (Europol), valamint a 2009/371/IB, a 2009/934/IB, a 2009/935/IB, a 2009/936/IB és a 2009/968/IB tanácsi határozat felváltásáról és hatályon kívül helyezéséről szóló, 2016. május 11‑i (EU) 2016/794 európai parlamenti és tanácsi rendelet (HL 2016. L 135., 53. o.) (23), (45), (56), (57) és (65) preambulumbekezdése értelmében:
(23) Az Europol céljai körébe tartozó bűncselekmények megelőzése és az ellenük való küzdelem céljából az Europolnak a lehető legteljesebb körű és legnaprakészebb információkkal kell rendelkeznie. Ezért az Europol számára lehetővé kell tenni a tagállamok […] által szolgáltatott adatok […] kezelését.
[…]
(45) A személyes adatok biztonságának garantálása érdekében az Europolnak és a tagállamoknak végre kell hajtaniuk a szükséges technikai és szervezési intézkedéseket.
[…]
(56) Az Europolra az uniós intézményekre, ügynökségekre és szervekre alkalmazandó, szerződéses és a szerződésen kívüli felelősségről szóló általános szabályok vonatkoznak, a jogszerűtlen adatkezelésre vonatkozó felelősségről szóló szabályok kivételével.
(57) Előfordulhat, hogy az érintett személy számára nem egyértelmű, hogy a jogszerűtlen adatkezelés következtében elszenvedett kár az Europol vagy a tagállam intézkedésének a következménye‑e. Az Europol és az elszenvedett kárt okozó esemény helye szerinti tagállam ezért egyetemlegesen felelős.
[…]
(65) Az Europol különös védelmet igénylő adatokat kezel, mivel azok különleges, nem minősített és EU‑minősített adatokat is magukban foglalnak. Az Europolnak ezért szabályokat kell kidolgoznia az ilyen adatok bizalmas jellegére és kezelésére vonatkozóan. Az EU‑minősített adatok védelmére vonatkozó szabályoknak összhangban kell lenniük [az EU‑minősített adatok védelmét szolgáló biztonsági szabályokról szóló, 2013. szeptember 23‑i] 2013/488/EU tanácsi határozattal [HL 2013. L 274., 1. o.].”
3 E rendelet „Fogalommeghatározások” című 2. cikke a következőképpen rendelkezik:
„E rendelet alkalmazásában:
[…]
h) »személyes adat«: egy érintettre vonatkozó bármely információ;
i) »érintett«: azonosított vagy azonosítható természetes személy; azonosítható személy az a személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
[…]
k) »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
[…]”
4 Az említett rendelet „Célok” című 3. cikkének (1) bekezdése kimondja:
„Az Europol támogatja és megerősíti a tagállamok illetékes hatóságainak fellépését és kölcsönös együttműködésüket a két vagy több tagállamot érintő súlyos bűncselekmények, a terrorizmus és, valamint az uniós politikák alkalmazási körébe tartozó közös érdekeket sértő, az I. mellékletben felsorolt bűncselekményformák megelőzése és az azok elleni küzdelem terén.«
5 Ugyanezen rendelet „Információforrások” című 17. cikkének (1) bekezdése értelmében:
„Az Europol csak azokat az információkat kezeli, amelyeket
a) nemzeti jogukkal és a 7. cikkel összhangban a tagállamok szolgáltatnak;
[…]”
6 A 2016/794 rendeletnek „Az információkezelési tevékenységek célja” című 18. cikke az (1) bekezdésében a következőképpen rendelkezik:
„Az Europol akkor kezelhet információkat, ideértve a személyes adatokat is, ha az a 3. cikkben megállapított céljai eléréséhez szükséges.”
7 E rendeletnek „Általános adatvédelmi elvek” című 28. cikkének (1) bekezdése kimondja:
„A személyes adatok(nak)
a) kezelését tisztességesen és jogszerűen kell végezni;
b) gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további kezelése nem végezhető e célokkal összeegyeztethetetlen módon. […]
[…]
f) kezelését oly módon kell végezni, hogy az biztosítsa a személyes adatok megfelelő biztonságát.”
8 Ugyanezen rendelet „Az adatkezelés biztonsága” című 32. cikkének (1) bekezdése a következőket írja elő:
„Az Europol megfelelő technikai és szervezeti intézkedéseket hajt végre a személyes adatok véletlen vagy jogszerűtlen megsemmisítése, véletlen elvesztése vagy jogosulatlan közlése, megváltoztatása és az azokhoz való jogosulatlan hozzáférés vagy bármely más jogellenes kezelése elleni védelme érdekében.”
9 Ugyanezen rendelet „Adatvédelmi felelősség” című 38. cikkének (4), (5) és (7) bekezdése kimondja:
„[…]
(4) Az Europol a felelős a 28. cikk (1) bekezdésének a), b),[.] és f) pontjában említett elveknek való megfelelésért.
(5) Az adattovábbítás jogszerűségével kapcsolatos felelősség az alábbiakat terheli:
a) a tagállamot, amely a személyes adatokat az Europolnak szolgáltatta;
b) az Europolt az Europol által a tagállamoknak […] szolgáltatott személyes adatok esetében.
[…]
(7) Az Europol felelős az általa végzett adatkezelési műveletekért […].”
10 A 2016/794 rendelet „Általános rendelkezések a felelősségről és a kártérítéshez való jogról” című 49. cikkének (3) bekezdése kimondja:
A 49. cikk sérelme nélkül, a szerződésen kívüli felelősség esetében az Europol – a tagállamok jogában foglalt közös, általános elveknek megfelelően – megtéríti a szervezeti egységei vagy alkalmazottai által feladataik ellátása során okozott kárt.”
11 E rendeletnek a „Felelősség a személyes adatok helytelen kezeléséért és a kártérítéshez való jog” című 50. cikke értelmében:
„(1) Minden olyan egyén, aki jogszerűtlen adatkezelési művelet eredményeképpen kárt szenvedett, az elszenvedett kárért az EUMSZ 340. cikkével összhangban kártérítésre jogosult az Europoltól, vagy a nemzeti joggal összhangban azon tagállamtól, amelyben a kárt okozó esemény történt. Az egyén az Europol ellen az Európai Unió Bíróságán, a tagállam ellen pedig a tagállam illetékes nemzeti bíróságán indíthat keresetet.
(2) Az egyének számára az (1) bekezdéssel összhangban megítélt kártérítéssel kapcsolatos végső felelősséget illetően az Europol és a tagállamok között felmerülő jogvitákat az igazgatótanács elé kell utalni, amely tagjainak kétharmados többségével hoz határozatot az arra vonatkozó jog sérelme nélkül, hogy az említett határozat az [EUMSZ] 263. cikkével összhangban megtámadható.”
A jogvita előzményei
12 A jogvitának a megtámadott ítélet 1–16. pontjában ismertetett előzményei a jelen eljárás szempontjából a következőképpen foglalhatók össze.
13 A szlovák hatóságok által egy újságíró és menyasszonya 2018 februárjában Szlovákiában történt meggyilkolását követően folytatott nyomozás keretében az Europol a Národná kriminálna agentúra (nemzeti bűnüldöző hivatal, Szlovákia) (a továbbiakban: NAKA) felkérésére támogatást nyújtott e hatóságoknak azáltal, hogy adatokat nyert ki egyrészt két mobiltelefonból, amelyek állítólagosan a fellebbező tulajdonában álltak és amelyeket a NAKA 2018. október 10‑én visszaadott (a továbbiakban: szóban forgó mobiltelefonok), másrészt egy USB adathordozóról.
14 Az Europol 2019. június 21‑én közölte a NAKA‑val a szóban forgó mobiltelefonok tekintetében végzett műveletekről szóló végleges tudományos jelentéseket.
15 Az Europol szerint e közlést megelőzően, 2018. október 23‑án ezen ügynökség átadott a NAKA‑nak egy merevlemezt, amely többek között az említett mobiltelefonokból kinyert titkosított adatokat tartalmazta, 2019. február 13‑án pedig az Europol átadta a NAKA‑nak e mobiltelefonokat.
16 Ezen átadások bizonyítékaként az Europol benyújtotta a NAKA hivatalos fejlécével ellátott papíron készült, 2018. október 23‑án kelt, PPZ‑203/NKA‑PZ‑ZA‑2018 hivatkozási számmal ellátott és a nyomozócsoport vezetője, A által aláírt jegyzőkönyv másolatát, valamint a 2019. február 13‑án kelt, ugyanezen hivatkozási számmal ellátott, a bizonyítékok átadásáról/átvételéről szóló nyomtatványt, amely felsorolta többek között a szóban forgó mobiltelefonokat, és amelyet a bizonyítékok átadója és átvevője is aláírt.
17 E 2018. október 23‑i jegyzőkönyv az alábbiak szerint fogalmazott:
„A mai napon, 2018. október 23‑án 1 óra 30 perckor átadtak nekem egy fekete színű HDD külső merevlemezt, amely tartalmazta az Europol vizsgálatának előzetes eredményeit, amelynek beszerzését a 2018. október 8‑i és 2018. október 10‑i határozattal rendeltek el. Az említett külső merevlemezt az Europol alkalmazottja, B személyesen hozta el az Europol hágai [Hollandia] székhelyéről.
A szóban forgó merevlemez a rögzítés és a memóriából történő kinyerés előzetes eredményeit tartalmazza az 1Z (kizárólag SIM‑kártya), 2Z, 3Z, 4Z (kizárólag SIM‑kártya), 5Z, 6Z, 7Z, 8Z, 1K, 2K bizonyítékok tekintetében.
Az említett HDD merevlemez tartalmát jelszó védi, amelyet közöltek velem.”
18 Az USB adathordozót illetően a NAKA 2018. október 17‑én az Europol segítségét kérte, különösen az azon található adatok vizsgálata érdekében.
19 Az Europol 2019. január 13‑i jelentése (a továbbiakban: Europol‑jelentés), amelyet 2019. február 14‑én továbbítottak a NAKA‑nak, a „Háttér (előzmények)” cím alatt megemlíti, hogy „[a fellebbezőt] 2018. június 20. óta pénzügyi bűncselekmény elkövetésének gyanúja miatt fogva tartják. Neve többek között közvetlenül kapcsolódik az »úgynevezett maffialistákhoz« és a »Panama‑iratokhoz«.”
20 2019. április 1‑jén a szlovák bűnüldöző hatóságok a fellebbezővel szemben indított büntetőeljárás keretében felhasználták a szóban forgó mobiltelefonokon található információkat. Hasonlóképpen, a szlovák rendőrség 2019. június 18‑i jegyzőkönyvéből kitűnik, hogy e hatóságok elvégezték az e telefonokon szereplő adatok teljes körű elemzését.
21 Ezenkívül különböző újságcikkek, valamint internetes oldalak, köztük oknyomozó újságírók nemzetközi hálózatának egy honlapja is a fellebbezőre vonatkozó, többek között a szóban forgó mobiltelefonokból származó, igen jelentős mennyiségű információról számoltak be, és ezeket az információkat a nyilvánosság számára hozzáférhetővé tették. Közelebbről, 2019. május 20‑án és 29‑én több újságcikk is hivatkozott az e telefonokból származó adatokra. Ehhez hasonlóan 2020. május 19‑én egy internetes oldal közzétett egy válogatást a fellebbezőre vonatkozó dokumentumokból, és különösen a fellebbező és egy barátja között egy titkosított üzenetküldő szolgáltatáson keresztül folytatott intim beszélgetések átiratát, amely az említett telefonokon volt megtalálható. A szlovák sajtó állítólag ezt a válogatást használta fel 2020. május 21‑én.
22 2020. május 4‑i levelében a fellebbező a 2016/794 rendelet 50. cikkének (1) bekezdése alapján 100 000 euró összegű kártérítést követelt az Europoltól azon nem vagyoni kár megtérítéseként, amelyet álláspontja szerint őt kétszeres jogcímen, a magán‑ és családi élete tiszteletben tartásához való jogának megsértése miatt érte. Ez a kár egyrészt a személyes adatoknak a sajtóban és az interneten történő közzétételéből, különösen az intim és szexuális jellegű beszélgetések átiratainak közzétételéből ered. Másrészt az említett kár abból ered, hogy a fellebbező neve állítólagosan az Europol jelentése miatt felkerült a „maffialistákra”, ugyanis a sajtó erről cikkezett azt követően, hogy információk szivárogtak ki az újságíró és menyasszonya meggyilkolása ügyében indított, a jelen ítélet 13. pontjában említett nemzeti büntetőeljárásra vonatkozó aktával kapcsolatban, amely akta e jelentést is tartalmazta.
23 A szlovák hatóságok által folytatott, a jelen ítélet 13. pontjában említett nyomozást követően a fellebbezőt eljárás alá vonták megbízóként, emberölésben való bűnrészesség miatt.
24 2020. szeptember 3‑án az illetékes szlovák bíróság első fokon felmentette a fellebbezőt. 2021. június 15‑én a Najvyšší súd Slovenskej republiky (a Szlovák Köztársaság legfelsőbb bírósága) hatályon kívül helyezte az elsőfokú ítéletet, és visszautalta az ügyet az első fokon eljáró bíróság elé.
A Törvényszék előtti eljárás és a megtámadott ítélet
25 A Törvényszék Hivatalához 2020. augusztus 18‑án benyújtott keresetlevélben a fellebbező az EUMSZ 268. cikk és az EUMSZ 340. cikk, valamint a 2016/794 rendelet 50. cikkének (1) bekezdése alapján keresetet indított azon nem vagyoni károk megtérítése iránt, amelyek állítása szerint őt az Europol magatartása miatt érték. Első kereseti kérelmében 50 000 euró kártérítést kért azon kár megtérítéseként, amely őt a szóban forgó mobiltelefonokból származó személyes adatok hozzáférhetővé tétele miatt érte, amely adatokat később közzétették az interneten, és amelyeket a szlovák sajtó átvett. A személyes adatok e hozzáférhetővé tétele sértette a fellebbező becsületét és szakmai hírnevét, a magán‑ és családi élete tiszteletben tartásához való jogot, valamint a kapcsolattartása tiszteletben tartásához való jogot, amelyeket az Európai Unió Alapjogi Chartájának (a továbbiakban: Charta) 7. cikke biztosít. Második kereseti kérelmében a fellebbező ugyanilyen összegű kártérítést kért azon kár megtérítéseként, amely őt állítólag annak következtében érte, hogy az Europol felvette a nevét a „maffialistákra”.
26 A megtámadott ítéletben először is a Törvényszék, miután megvizsgálta az Europol által a fellebbező első kereseti kérelmével kapcsolatban felhozott elfogadhatatlansági kifogásokat, úgy ítélte meg, hogy e kereseti kérelem kizárólag annyiban elfogadható, amennyiben abban a fellebbező nem vagyoni kárra hivatkozott, amely abból eredt, hogy az Europol állítólag hozzáférhetővé tette a közte és barátnője közötti, a szóban forgó mobiltelefonokból származó intim és szexuális jellegű beszélgetések átiratait. E tekintetben a Törvényszék az állítólagos kár terjedelmét illetően megállapította, hogy noha a fellebbező azt rótta fel az Europolnak, hogy jelentős mennyiségű, e telefonokból származó személyes adatot tett hozzáférhetővé, okirati bizonyítékok kizárólag ezen átiratok hozzáférhetővé tételét támasztják alá, ellentétben a „rendkívül bizalmas jellegű” fényképek állítólagos hozzáférhetővé tételével, amelyek közül néhányon az említett barátnő ruha nélkül látható.
27 Ezt követően a Törvényszék érdemben elutasította az így körülhatárolt első kereseti kérelmet. Először is a megtámadott ítélet 58–91. pontjában a Törvényszék megállapította, hogy a fellebbező nem szolgált az állítólagos kár és az Europol esetleges magatartása közötti „kellően megalapozott okozati összefüggés bizonyítékával”. Közelebbről, a fellebbező nem bizonyította, hogy a szóban forgó mobiltelefonokon található adatok vagy a fellebbező és barátnője közötti beszélgetések átiratainak hozzáférhetővé tétele az Europolnak tudható be.
28 Másodszor, ezen ítélet 92–95. pontjában a Törvényszék megállapította, hogy e következtetést, amely a szóban forgó adatok hozzáférhetővé tétele Europolnak való betudhatóságának hiányára vonatkozik, nem cáfolja sem a 2016/794 rendelet (57) preambulumbekezdése, sem 49. cikkének (3) bekezdése, sem pedig 50. cikke, amelyekre a fellebbező hivatkozott.
29 E tekintetben egyrészt a Törvényszék a megtámadott ítélet 93–95. pontjában kimondta, hogy a 2016/794 rendelet 49. cikkének (3) bekezdése és 50. cikkének (1) bekezdése annak pontosítására szorítkozik, hogy a szerződésen kívüli felelősség, és különösen a jogszerűtlen adatkezelési műveletekből eredő felelősség területén az Europolnak az EUMSZ 340. cikkben meghatározott feltételeknek megfelelően meg kell térítenie a szervezeti egységei vagy alkalmazottai által feladataik ellátása során okozott kárt. Márpedig a Törvényszék szerint e feltételek a jelen ügyben nem teljesültek. Másrészt a Törvényszék emlékeztetett arra, hogy bár kétségtelen, hogy a 2016/794 rendelet (57) preambulumbekezdése lényegében azt mondja ki, hogy az Europol és a kár bekövetkezésének helye szerinti tagállam egyetemlegesen felelősek az ezen ügynökség vagy e tagállam által végzett jogszerűtlen adatkezelésből eredő kárért, meg kell állapítani, hogy ezen egyetemlegességi mechanizmusnak sem kifejeződése, sem alapja nem található e rendelet rendelkezéseiben. Továbbá a Törvényszék hangsúlyozta, hogy a Bíróság állandó ítélkezési gyakorlata szerint egy uniós jogi aktus preambulumának nincs kötelező ereje, és nem lehet rá hivatkozni annak igazolása érdekében, hogy eltérhessenek a kérdéses aktus tényleges rendelkezéseitől. Így a Törvényszék megállapította, hogy „a 2016/794 rendelet (57) preambulumbekezdése a jelen ügyben nem keletkeztethet az Europolt terhelő egyetemleges felelősséget”.
30 Következésképpen a Törvényszék az első kereseti kérelmet mint megalapozatlant elutasította, mivel úgy ítélte meg, hogy nem szükséges megvizsgálni, hogy az Unió szerződésen kívüli felelőssége megállapításának egyéb feltételei teljesülnek‑e.
31 A második, a fellebbező nevének a „maffialistákra” való felvétele miatt az Europol által állítólagosan okozott kár megtérítésére irányuló kereseti kérelmet illetően a Törvényszék a megtámadott ítélet 102. és 105. pontjában megállapította, hogy nem bizonyított, hogy e listákat az EUMSZ 340. cikk második bekezdése értelmében valamely uniós intézmény, közelebbről az Europol készítette és vezette volna, és hogy e következtetést nem vonta kétségbe sem a 2016/794 rendelet (57) preambulumbekezdése, sem 49. cikkének (3) bekezdése, sem pedig 50. cikke, mégpedig a megtámadott ítélet 92–95. pontjában kifejtettekkel azonos és a jelen ítélet 29. pontjában összefoglalt okok miatt.
32 A Törvényszék ezenkívül a megtámadott ítélet 106–109. pontjában pontosította, hogy még ha feltételezzük is, hogy a második kereseti kérelmet „úgy kell tekinteni, mint amely azt rója fel az Europolnak, hogy miatta változtak meg a szlovák sajtó által a fellebbezővel szemben használt jelzők, mivel a fellebbezőre többé nem „ellentmondásos vállalkozóként”, hanem immár „maffiózóként” vagy „a maffialistákon szereplő személyként” hivatkoztak, e kereseti kérelem ugyancsak megalapozatlan. E tekintetben a Törvényszék többek között megállapította, hogy a fellebbező nem terjesztett elő egyetlen olyan bizonyítékot sem, amely alátámaszthatná, hogy a szlovák sajtóban közzétett információk az Europol jelentéséből származnak, és nem bizonyította a jogilag megkövetelt módon okozati összefüggés fennállását e jelentés kiszivárogtatása és azon tény között, hogy a szlovák sajtó 2019 elejétől változtatott a fellebbező minősítésének módján. Az állítólagos időbeli egybeesésnek ellentmondanak mind a fellebbező, mind pedig az Europol által szolgáltatott bizonyítékok, amelyekből az derült ki, hogy jóval 2019 eleje előtt a szlovák sajtó alkalmanként „maffiózóként” utalt a fellebbezőre, ami kizárja, hogy ez a jellemzés a fellebbezőre vonatkozó és az említett jelentést tartalmazó nemzeti bűnügyi akta kiszivárogtatásából eredhessen.
33 Következésképpen a Törvényszék a második kereseti kérelmet, valamint a keresetet teljes egészében mint megalapozatlant elutasította.
A Bíróság előtti eljárás és a felek kérelmei
34 A Bíróság Hivatalához 2021. december 8‑án érkezett beadványában a fellebbező fellebbezést nyújtott be a megtámadott ítélet ellen.
35 Fellebbezésében a fellebbező azt kéri, hogy a Bíróság:
– helyezze hatályon kívül a megtámadott ítéletet;
– utalja vissza az ügyet a Törvényszék elé; és
– a költségekre vonatkozó határozatot az alapeljárás keretében hozzák meg.
36 Az Europol azt kéri, hogy a Bíróság:
– utasítsa el a fellebbezést, és
– a fellebbezőt kötelezze a költségek viselésére.
37 A Bíróság elnöke 2022. április 1‑jén hozott határozatával megengedte, hogy a Szlovák Köztársaság az Europol kereseti kérelmeinek támogatása végett beavatkozzon.
A fellebbezésről
38 Fellebbezésének alátámasztása érdekében a fellebbező hat jogalapra hivatkozik. Az első, második, harmadik és negyedik jogalap az első kereseti kérelem elutasítására vonatkozik, amely azon nem vagyoni kár megtérítésére irányul, amely a fellebbezőt a szóban forgó mobiltelefonokból származó személyes adatok nyilvánosság számára való hozzáférhetővé tétele következtében érte. Az ötödik és a hatodik jogalap a második kereseti kérelem elutasítására vonatkozik, amely azon nem vagyoni kár megtérítésére irányul, amely a fellebbezőt amiatt érte, hogy nevét felvették a „maffialistákra”.
Az első és az ötödik jogalap elfogadhatóságáról
A felek érvei
39 Az Europol arra hivatkozik, hogy az első és az ötödik jogalap, amelyek azon alapulnak, hogy a Törvényszék tévesen alkalmazta a jogot, amikor kizárta az Europol és az érintett tagállam egyetemleges felelősségét a jogszerűtlen adatkezelés által okozott károkért, elfogadhatatlan, mivel a fellebbező által a Törvényszék előtt késedelmesen, azaz a válasz szakaszában előterjesztett jogalapra vonatkoznak. Ez utóbbinak hivatalból figyelembe kellett volna vennie e jogalap elfogadhatatlanságát.
40 A fellebbező az elfogadhatatlansági kifogás elutasítását kéri.
A Bíróság álláspontja
41 A Törvényszék eljárási szabályzata 84. cikkének (1) és (2) bekezdéséből következik, hogy elfogadhatatlannak kell nyilvánítani azokat a jogalapokat, amelyeket először a válasz szakaszában terjesztettek elő, és amelyek nem olyan jogi vagy ténybeli helyzetből származnak, amely az eljárás során merült fel. Mindazonáltal a Bíróság e tekintetben már kimondta, hogy elfogadhatónak kell tekinteni azt a jogalapot vagy érvet, amely a keresetlevélben korábban felhozott jogalap kiegészítését képezi (lásd ebben az értelemben: 2007. április 26‑i Alcon kontra OHIM ítélet, C‑412/05 P, EU:C:2007:252, 38–40. pont, valamint az ott hivatkozott ítélkezési gyakorlat). Következésképpen az ilyen jogalapot nem lehet elkésettség miatt elfogadhatatlannak nyilvánítani.
42 A jelen ügyben a Törvényszékhez benyújtott keresetlevelének 58. pontjában a fellebbező előadta, hogy a 2016/794 rendelet 49. cikkének (3) bekezdésében és 50. cikkében előírt egyetemleges felelősség alapján, valamint e rendelet (57) preambulumbekezdésére tekintettel az Europolt akkor is felelősségre kell vonni az őt ért kárért, ha a kárt okozó cselekményeket a szlovák hatóságokkal együtt követték el. A válasz 24. pontjában a fellebbező ezt az érvelést arra hivatkozva fejtette ki, hogy e rendelkezések értelmében, és különösen e preambulumbekezdésre tekintettel az Europol az érintett tagállammal egyetemlegesen felelős a jogszerűtlen adatkezeléssel okozott kárért.
43 Ezáltal a fellebbező a keresetlevelében kifejezetten hivatkozott az Europol egyetemleges felelősségére vonatkozó, a 2016/794 rendelet (57) preambulumbekezdésének, valamint 49. és 50. cikkének együttes értelmezésén alapuló mechanizmus fennállására, így a Törvényszék helyesen állapította meg, hogy e keresettel az említett egyetemleges felelősség kérdését a jelen ügy összefüggésében elé terjesztették. A válasz 24. pontját tehát a keresetlevélben kifejtett érvelés e tekintetben történő kiegészítésének kell tekinteni.
44 E körülmények között a Törvényszék helyesen elemezte a fellebbező által ezen érvelés keretében hivatkozott rendelkezéseket és preambulumbekezdést.
45 Következésképpen az Europol által emelt elfogadhatatlansági kifogást el kell utasítani.
Az első jogalapról
A felek érvei
46 Első jogalapjával a fellebbező azt rója fel a Törvényszéknek, hogy tévesen alkalmazta a jogot, amikor a megtámadott ítélet 94. és 95. pontjában úgy határozott, hogy nem veszi figyelembe a 2016/794 rendelet (57) preambulumbekezdését az Europol e rendelet 50. cikkének (1) bekezdésén alapuló felelősségének meghatározása céljából, mivel valamely rendelet preambuluma nem rendelkezik kötelező jogi erővel. Ebből következik, hogy a Törvényszék tévesen utasította el az első kereseti kérelmet annak megállapításával, hogy e preambulumbekezdés nem alapozhatja meg az Europol egyetemleges felelősségét az adatoknak az ügynökség vagy az érintett tagállam általi jogszerűtlen kezelése miatt.
47 E tekintetben a fellebbező lényegében azt állítja, hogy a Törvényszék úgy ítélte meg, hogy a kárt annak kell viselnie, akinek az betudható, vagyis vagy az Europolnak, vagy az érintett tagállamnak, miközben a 2016/794 rendelet 49. cikkének (3) bekezdéséből és 50. cikkéből – a rendelet (57) preambulumbekezdésével és az általa követett célokkal összefüggésben értelmezve – az következik, hogy e rendelet az Europol és azon tagállam egyetemleges felelősségét állapítja meg, amelyben az ezen ügynökség vagy e tagállam által végzett jogszerűtlen adatkezelésből eredő kár bekövetkezett.
48 A Szlovák Köztársaság által támogatott Europol arra hivatkozik, hogy az első jogalap nem megalapozott.
49 Ezen ügynökség azt állítja, hogy az Unió EUMSZ 340. cikk szerinti felelősségének megállapításához több feltétel együttes fennállása szükséges, köztük az érintett uniós intézménynek felrótt magatartás jogellenessége. Az Europol azt állítja továbbá, hogy az Unió valamely intézménye jogellenes magatartásának hiányában az Unió felelőssége nem állapítható meg, és a tagállamok által okozott károk nem alapozhatják meg e felelősséget. Egyébiránt olyan helyzetekben, amikor az uniós és a tagállami hatóságok együttműködnek egymással, a Bíróság többek között pontosította, hogy az Unió és valamely tagállam által együttesen okozott kár esetén az uniós bíróság csak azt követően határozhat a kárról, hogy a nemzeti bíróság e tekintetben határozatot hozott. Főszabály szerint az EUMSZ 340. cikk második bekezdése keretében nem ismerhető el az Unió és az érintett tagállam egyetemleges felelőssége abban az esetben, ha a kettő együttesen jár el, hanem az uniós jogalkotó részéről erre vonatkozó kifejezett utalásra van szükség.
50 Ezenkívül a 2016/794 rendelet 50. cikke nem alkalmazható a jelen ügyben szóban forgó adatkezelésre, mivel az kizárólag az Europol műveletei és feladatai keretében végzett adatkezelésre alkalmazandó. Mivel a kárt okozó állítólagos események a nemzeti vizsgálati iratanyag megőrzése során következtek be, nem minősülnek az e cikk értelmében vett, e rendelet hatálya alá tartozó „jogszerűtlen adatkezelési műveleteknek”.
51 Egyébiránt a 2016/794 rendelet 50. cikkének (1) bekezdése nem írja elő kifejezetten az Europol és az érintett tagállam egyetemleges felelősségét. E rendelkezés értelmében ugyanis az Europol kizárólag „az EUMSZ 340. cikkével összhangban” tartozik felelősséggel, ami azt jelenti, hogy e felelősség csak akkor állapítható meg, ha az e rendelkezésből eredő három feltétel teljesül. Következésképpen, még ha ezen 50. cikk (1) bekezdése alkalmazandó lenne is a jelen ügyben, az Europol felelőssége nem állapítható meg az általa tanúsított bármilyen jogellenes magatartás, valamint az e magatartás és a bekövetkezett kár közötti okozati összefüggés hiányában. Ezen túlmenően az Unió nem kötelezhető valamely tagállam intézkedéséből eredő kár megtérítésére az 50. cikk (1) bekezdése alapján, amely csak az Unió és valamely tagállam által közösen okozott kárra vonatkozik, ahogyan azt az említett rendelet 50. cikke (2) bekezdésének szövege is megerősíti.
52 Az Europol szerint a 2016/794 rendelet (57) preambulumbekezdéséből nem következik, hogy a helyzet más lenne. Az e preambulumbekezdésben említett „egyetemleges felelősség” fogalma azt feltételezi, hogy egynél több jogalany felelős ugyanazon kárért, nem pedig azt, hogy az Europol – bármilyen jogellenes magatartás hiányában – felelősségre vonható valamely tagállam magatartásáért. Az említett preambulumbekezdés fellebbező általi értelmezése ellentétes e rendelet hatályával és 50. cikkének szövegével. Márpedig, mivel az uniós jogi aktusok preambulumának nincs kötelező hatálya, arra nem lehet hivatkozni valamely rendelkezés egyértelmű megfogalmazásától való eltérés érdekében.
A Bíróság álláspontja
53 Először is meg kell vizsgálni, hogy a 2016/794 rendelet 50. cikkének (1) bekezdése az Europolnak és az érintett tagállamnak a jogszerűtlen adatkezelés tekintetében fennálló egyetemleges felelősségére vonatkozó rendszert vezet‑e be. Igenlő válasz esetén ezt követően meg kell határozni, hogy melyek e felelősség megállapításának feltételei.
– A 2016/794 rendelet 50. cikkének (1) bekezdése szerinti felelősségi rendszer jellege
54 A 2016/794 rendelet 50. cikke (1) bekezdésének értelmezése céljából, különösen az ott előírt felelősségi rendszer jellegének meghatározása céljából a Bíróság állandó ítélkezési gyakorlatának megfelelően nemcsak annak kifejezéseit, hanem szövegkörnyezetét, és annak a szabályozásnak a célkitűzéseit is figyelembe kell venni, amelynek az részét képezi (lásd ebben az értelemben: 2021. június 3‑i TEAM POWER EUROPE ítélet, C‑784/19, EU:C:2021:427, 43. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
55 Ami a 2016/794 rendelet 50. cikkének (1) bekezdését illeti, az kimondja, hogy minden olyan egyén, aki jogszerűtlen adatkezelési művelet eredményeképpen kárt szenvedett, az elszenvedett kárért […] kártérítésre jogosult „az Europoltól, vagy […] azon tagállamtól, amelyben a kárt okozó esemény történt”. Ahogyan arra a főtanácsnok indítványának 38. pontjában rámutatott, e kifejezések nem egyértelműek a szóban forgó felelősség jellegét illetően. Jelezhetik ugyanis azt, hogy a károsult természetes személynek az Europolhoz kell fordulnia az egészben vagy részben annak betudható kár esetén, vagy a tagállamhoz, az egészben vagy részben annak betudható kár esetén. Mindazonáltal, mivel az említett kifejezésekből az is következhet, hogy a károsult személy megkülönböztetés nélkül fordulhat bármely szervezethez – vagyis akár az Europolhoz, akár az érintett tagállamhoz – az Europol és e tagállam közötti együttműködés keretében történt jogszerűtlen adatkezelés következtében bekövetkezett teljes kár megtérítése érdekében, ugyanezek a kifejezések nem zárják ki, hogy az említett rendelkezés e tekintetben az említett szervezetek egyetemleges felelősségét hozza létre.
56 Meg kell tehát vizsgálni, hogy a 2016/794 rendelet 50. cikkének (1) bekezdése által követett célra és szövegkörnyezetére tekintettel e rendelkezés az Europol és az érintett tagállam egyetemleges felelősségének rendszerét hozza‑e létre az Europol és e tagállam között az e rendelet alapján folytatott együttműködés keretében történt jogszerűtlen adatkezelés miatt bekövetkezett károk tekintetében.
57 A 2016/794 rendelet e célt kifejező (57) preambulumbekezdése szerint „[e]lőfordulhat, hogy az érintett személy számára nem egyértelmű, hogy a jogszerűtlen adatkezelés következtében elszenvedett kár az Europol vagy a tagállam intézkedésének a következménye‑e[, a]z Europol és az elszenvedett kárt okozó esemény helye szerinti tagállam ezért egyetemlegesen felelős”.
58 Ebből következik, hogy figyelembe véve azt a helyzetet, amelyben a jogszerűtlen adatkezelés folytán károsult természetes személy nem tudja meghatározni, hogy a kára az Europol vagy azon tagállam cselekményének tudható‑e be, amellyel az Europol együttműködött, az uniós jogalkotó egyetemleges felelősségi rendszert hozott létre az Europol és azon tagállam között, amelyben a kárt okozó esemény bekövetkezett, annak érdekében, hogy teljes védelmet biztosítson e természetes személy számára abban az esetben, ha e személy ilyen helyzetbe kerül.
59 E tekintetben emlékeztetni kell arra, hogy valamely uniós jogi aktus preambulumbekezdésének, noha nincs kötelező jogi ereje, fontos értelmezési értékkel bír, mivel pontosíthatja az érintett jogi aktus valamely rendelkezésének tartalmát, és megvilágíthatja e jogi aktus kibocsátójának szándékát (lásd ebben az értelemben: 2023. július 13‑i Bizottság kontra CK Telecoms UK Investments ítélet, C‑376/20 P, EU:C:2023:561, 104. és 105. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
60 Kétségtelen, hogy valamely uniós jogi aktus preambulumbekezdésére nem lehet hivatkozni sem az adott jogi aktus rendelkezéseitől való eltérés, sem az e rendelkezések szövegétől nyilvánvalóan eltérő értelmezés céljából (lásd ebben az értelemben: 2014. június 19‑i Karen Millen Fashions ítélet, C‑345/13, EU:C:2014:2013, 31. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2022. február 16‑i Magyarország kontra Parlament és Tanács ítélet, C‑156/21, EU:C:2022:97, 191. pont).
61 A jelen ügyben azonban a 2016/794 rendelet (57) preambulumbekezdése egyáltalán nem mond ellent e rendelet 50. cikke (1) bekezdése szövegének. Ugyanis, ahogyan az a jelen ítélet 55. pontjában szerepel, e kifejezések többek között olyan értelmezésre alkalmasak, amely szerint e rendelkezés az Europol és az érintett tagállam egyetemleges felelősségi rendszerét vezeti be azon természetes személy javára, akit a közöttük fennálló együttműködés keretében történt jogszerűtlen adatkezelés következtében kár ért.
62 Ezen elemzésből kitűnik, hogy a 2016/794 rendelet 50. cikkének az e rendelet (57) preambulumbekezdésével összefüggésben értelmezett (1) bekezdése az uniós jogalkotó azon szándékával összhangban, hogy előnyben részesítse a károsult természetes személyt, az Europolnak és az érintett tagállamnak az ilyen bánásmód miatt keletkezett károk tekintetében fennálló egyetemleges felelősségi rendszert hoz létre.
63 Ezt az értelmezést megerősíti az a szövegkörnyezet, amelybe e rendelkezés illeszkedik, különösen a 2016/794 rendelet 49. cikke és 50. cikkének (2) bekezdése.
64 Egyrészt ugyanis a 2016/794 rendelet 49. cikke a címe szerint a felelősségre és a kártérítéshez való jogra vonatkozó általános rendelkezéseket állapít meg. Ezzel szemben e rendelet 50. cikkének címéből kitűnik, hogy e cikk kifejezetten az adatok helytelen kezeléséért való felelősségre és az abból eredő kártérítéshez való jogra vonatkozik. Az említett 50. cikknek az Unió szerződésen kívüli felelősségének általános elveitől való eltérést engedő jellegét különösen az említett rendeletnek az (56) preambulumbekezdésével összefüggésben értelmezett 49. cikkének (3) bekezdése hangsúlyozza.
65 Ez utóbbi rendelkezés értelmében a szerződésen kívüli felelősség esetében az Europol – a tagállamok jogában foglalt közös, általános elveknek megfelelően – megtéríti a szervezeti egységei vagy alkalmazottai által feladataik ellátása során okozott kárt. E szabályt azonban a 2016/794 rendelet „49. cikk[ének] sérelme nélkül” fogalmazták meg.
66 E tekintetben meg kell jegyezni, hogy a rendelet 49. cikkének (3) bekezdésében a „49. cikkre” való hivatkozás egyértelmű szövegezési hiba. E hivatkozás ugyanis értelmetlen lenne, ha arra a cikkre utalna, amelynek részét képezi. Következésképpen, és tekintettel arra, hogy ugyanezen rendelet 50. cikke az Unió szerződésen kívüli felelősségére vonatkozó, az említett 49. cikk (3) bekezdésében foglalt általános szabályoktól eltérő rendszert hoz létre, ez utóbbi rendelkezést a „sérelme nélkül” kifejezést tartalmazó eredeti részét illetően úgy kell értelmezni, mint amely ezen 50. cikkre vonatkozik.
67 A 2016/794 rendelet (56) preambulumbekezdése megerősíti az előző pontban elfogadott értelmezést, amikor kimondja, hogy az Europolra az uniós intézményekre, ügynökségekre és szervekre alkalmazandó, szerződéses és szerződésen kívüli felelősségről szóló általános szabályok vonatkoznak, a jogszerűtlen adatkezelésre vonatkozó felelősségről szóló szabályok kivételével.
68 Ebből következik, hogy a 2016/794 rendelet 50. cikke a jogszerűtlen adatkezelési műveletekre vonatkozó olyan, szerződésen kívüli felelősségre vonatkozó különös rendszer létrehozására irányul, amely eltér az e rendeletben előírt általános felelősségi rendszertől.
69 Másrészt a 2016/794 rendelet 50. cikkének (2) bekezdéséből kitűnik, hogy az Europolnak vagy az érintett tagállamnak a köztük folytatott együttműködés keretében végzett jogszerűtlen adatkezelésért fennálló felelősségének az Európai Unió Bírósága vagy az illetékes nemzeti bíróság előtti vitatása csak az első lépés az e rendelet 50. cikkében előírt felelősségi mechanizmus két szakasza közül. Az 50. cikk (2) bekezdése szerint ugyanis e mechanizmus második szakasza az Europolt és/vagy az érintett tagállamot az e rendelet 50. cikkének (1) bekezdésével összhangban a természetes személyekkel szemben terhelő, a kártérítésért fennálló „végső felelősség” meghatározásából áll, és az Europol, valamint a tagállamok között felmerülő jogvitákat az Europol igazgatótanácsa elé kell utalni, az arra vonatkozó jog sérelme nélkül, hogy annak határozata az EUMSZ 263. cikkével összhangban az Európai Unió Bírósága előtt megtámadható.
70 Márpedig a 2016/794 rendelet 50. cikkének (2) bekezdésében előírt azon lehetőségnek, hogy e második szakasz keretében az Europol igazgatótanácsa határozza meg az azon jogalanyt terhelő „végső felelősséget”, amelynek a kárt okozó jogellenes magatartás betudható, sőt akár az egyes jogalanyokat a jogellenes magatartások együttes hatása esetén terhelő felelősség részét, e jogalanyok egyetemleges felelősségének hiányában nem lenne létjogosultsága.
71 A fentiekre tekintettel meg kell állapítani, hogy a 2016/794 rendeletnek az e rendelet 49. cikkének (3) bekezdésével, valamint (56) és (57) preambulumbekezdésével összefüggésben értelmezett 50. cikke az Europol és azon tagállam egyetemleges felelősségének rendszerét vezeti be, amelyben az e rendelet szerinti együttműködés keretében történt jogszerűtlen adatkezelésből eredő kár bekövetkezett.
72 Ahogyan arra a főtanácsnok indítványának 51. pontjában rámutatott, ez az egyetemleges felelősségi rendszer nem idegen az adatkezelésre vonatkozó uniós jogtól. Így a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 4. o.; HL 2021. L 74., 35. o.) 82. cikkének (4) bekezdése ilyen felelősséget ír elő több adatkezelő esetében.
– A 2016/794 rendelet 50. cikkének (1) bekezdése szerinti felelősség megállapításának feltételei
73 Az EUMSZ 340. cikkből eredő feltételeknek megfelelően, amely cikkre a 2016/794 rendelet 50. cikkének (1) bekezdése hivatkozik abban az esetben, ha a károsult személy keresetet indít az Europollal szemben, az Unió e 340. cikk szerinti szerződésen kívüli felelőssége több feltétel együttes fennállását feltételezi, nevezetesen az érintett uniós intézménynek, szervnek vagy hivatalnak felrótt magatartás jogellenességét, a kár tényleges bekövetkezését, valamint e magatartás és a hivatkozott kár közötti okozati összefüggés fennállását (lásd ebben az értelemben: 2020. december 16‑i Tanács kontra K. Chrysostomides & Co. és társai ítélet, C‑597/18 P, C‑598/18 P, C‑603/18 P és C‑604/18 P, EU:C:2020:1028, 79. és 80. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
74 A 2016/794 rendelet sajátos összefüggésében e rendelet 50. cikke (1) bekezdésének szövegéből kitűnik, hogy annak a természetes személynek, aki e rendelkezés alapján kívánja érvényesíteni akár az Europollal, akár az általa megtámadott tagállammal szemben a kártérítéshez való jogát, bizonyítania kell a „jogszerűtlen adatkezelés”, a „kár”, valamint az ezen adatkezelés és e kár közötti okozati összefüggés fennállását. Így az előző pontban említett feltételek közül az elsőre tekintettel e személynek csak azt kell bizonyítania, hogy a jogszerűtlen adatkezelésre olyan együttműködés keretében került sor, amelyben az Europol és valamely tagállam az említett rendelet alapján vett részt.
75 Ahogyan az a jelen ítélet 57. és 58. pontjában megállapítást nyert, a 2016/794 rendelet 50. cikke (1) bekezdésének célja e rendelet (57) preambulumbekezdése értelmében azon nehézségek kezelése, amelyek az érintett természetes személy számára annak meghatározása során felmerülhetnek, hogy az ilyen együttműködés keretében végzett jogszerűtlen adatkezelés következtében bekövetkezett kár az Europol vagy az érintett tagállam intézkedésének következménye‑e.
76 Márpedig e személytől nem követelhető meg annak bizonyítása, hogy kinek, az Europolnak vagy az érintett tagállamnak tudható be ez a kár, illetve nem várható el tőle, hogy a bíróság előtt keresetet indítson e két jogalannyal szemben kárának teljes megtérítése érdekében, anélkül hogy ezáltal ne fosztanánk meg a hatékony érvényesüléstől az említett 50. cikknek az ezen (57) preambulumbekezdés fényében értelmezett (1) bekezdését.
77 Ez utóbbi tekintetben meg kell állapítani, hogy a 2016/794 rendelet 50. cikkének (1) bekezdése nem írja elő, hogy az érintett természetes személy a jogszerűtlen adatkezelésért potenciálisan felelős két jogalanyt ugyanazon bíróság előtt perelheti, mivel e rendelkezés arra kötelezi e személyt, hogy az Europollal szemben az Európai Unió Bírósága előtt indítson keresetet, vagy a tagállammal szemben annak illetékes bíróságához forduljon.
78 Következésképpen először is, noha az érintett tagállamnak és az Europolnak lehetősége van beavatkozni a Törvényszék, illetve e tagállam valamely bírósága előtt, nem zárható ki, hogy e személy e jogalanyok egyikének távollétében is kénytelen eljárást indítani. Továbbá, mindenesetre ha a két jogalany jelen van az eljáró bíróság előtti eljárásban, az előző pontból az következik, hogy a folyamatban lévő eljárás keretében csak az egyikük felelősségét lehet megállapítani, ami sértheti a tényállás megállapítását. Végül az érintett személy által az Europollal szemben a Törvényszék előtt, illetve az érintett tagállammal szemben e tagállam bíróságai előtt indított keresetek azzal a kockázattal járnak, hogy e két bíróság ugyanazt állapítja meg, vagyis az alperes szervezetek mindegyike felelősségének hiányát, amennyiben e személy nem bizonyítja a jogilag megkövetelt módon az e jogalanyok által állítólagosan okozott kár ez utóbbiaknak való betudhatóságát.
79 Márpedig az uniós jogalkotó éppen e bizonyítási nehézségek figyelembevétele érdekében hozott létre a 2016/794 rendelet 50. cikkében a jogszerűtlen adatkezeléssel okozott károk megtérítésére egy kétlépcsős felelősségi mechanizmust, amely egyrészt mentesíti az érintett természetes személyt azon szervezet kiléte bizonyításának kötelezettsége alól, amelynek magatartása az állítólagos kárt okozta, másrészt előírja, hogy e személy kártalanítását követően az e kárért való „végső felelősséget” adott esetben egy olyan eljárás keretében kell véglegesen megállapítani, amelyben csupán az Europol és az érintett tagállam vesz részt, és az Europol igazgatótanácsa előtt zajlik.
80 Ebből következik, hogy a 2016/794 rendelet 50. cikkének az (57) preambulumbekezdésével összefüggésben értelmezett (1) bekezdését úgy kell értelmezni, hogy az nem írja elő az Europol és valamely tagállam között az említett rendelet alapján folytatott együttműködés keretében történt jogszerűtlen adatkezelés fennállását bizonyító érintett természetes személy számára annak azonosítását, hogy az ezen együttműködésben részt vevő jogalanyok közül melyik tanúsította az e jogszerűtlen adatkezelést megvalósító magatartást.
81 Az Europol vagy az érintett tagállam egyetemleges felelősségének megállapításához, és annak lehetővé tétele érdekében, hogy az érintett természetes személy a 2016/794 rendelet 50. cikkének (1) bekezdése alapján az uniós bíróság vagy a nemzeti bíróság előtt teljes kártérítést kapjon, elegendő, ha e személy bizonyítja, hogy az Europol és az érintett tagállam között e rendelet alapján folytatott együttműködés során olyan jogszerűtlen adatkezelésre került sor, amely neki kárt okozott, anélkül hogy ezenkívül bizonyítania kellene, hogy e két szervezet közül melyiknek tudható be e jogszerűtlen adatkezelés.
82 Mindemellett az alperes jogalany bármely jogorvoslati úton bizonyíthatja annak kizártságát, hogy az állítólagos kár az ilyen együttműködés keretében történt állítólagos jogszerűtlen adatkezeléssel függ össze. Ez lenne a helyzet például akkor, ha e jogalany bizonyítja, hogy e kár a 2016/794 rendelet alapján indított együttműködést megelőzően keletkezett tényállásból ered.
83 A fentiek összességéből következik, hogy a fellebbező első kereseti kérelmének a megtámadott ítélet 91. pontjában azzal az indokkal történő elutasításával, hogy a fellebbező nem bizonyította a rá vonatkozó személyes adatok hozzáférhetővé tételének az Europolnak való betudhatóságát, és ennélfogva [e kérelem keretében] „nem bizonyította az állítólagos kár és az Europol esetleges magatartása közötti, kellően megalapozott okozati összefüggést”, valamint azáltal, hogy a megtámadott ítélet 92–95. pontjában úgy ítélte meg, hogy ezt az elutasítást nem kérdőjelezi meg a 2016/794 rendelet (57) preambulumbekezdése, 49. cikkének (3) bekezdése és 50. cikke, a Törvényszék tévesen alkalmazta a jogot, mivel helytelenül állapította meg, hogy e rendelet 50. cikkének az e rendelet (57) preambulumbekezdésével összefüggésben értelmezett (1) bekezdése nem mentesíti az érintett természetes személyt annak bizonyítása alól, hogy a két érintett jogalany közül melyiknek tudható be a jogszerűtlen adatkezelés.
84 Ebből következik, hogy az első jogalap megalapozott.
85 E téves jogalkalmazás teljes egészében érvényteleníti a megtámadott ítélet 49. pontjában körülhatárolt első kereseti kérelem Törvényszék általi elutasítását, mivel e korlátozást a fellebbezésben nem vitatták.
86 Következésképpen az első fellebbezési jogalapnak helyt kell adni, és a megtámadott ítéletet hatályon kívül kell helyezni annyiban, amennyiben a Törvényszék az így körülhatárolt első kereseti kérelmet mint megalapozatlant elutasította.
A második, harmadik és negyedik jogalapról
87 A második, harmadik és negyedik fellebbezési jogalap az első jogalaphoz hasonlóan az első kereseti kérelem elutasítására vonatkozik, amely azon nem vagyoni kár megtérítésére irányul, amely a fellebbezőt a szóban forgó mobiltelefonokból származó személyes adatok nyilvánosság számára való hozzáférhetővé tétele következtében érte.
88 Mivel a második, harmadik és negyedik jogalap vizsgálata nem vezethet a megtámadott ítéletnek az első jogalapnak való helyt adásból eredőnél szélesebb körű hatályon kívül helyezéséhez, azokat nem szükséges megvizsgálni.
A hatodik jogalapról
A felek érvei
89 Az ötödik jogalap előtt megvizsgálandó hatodik jogalap két részből áll, és a megtámadott ítélet 102. és 106–111. pontjára vonatkozik.
90 A hatodik jogalap első részében a fellebbező azt rója fel a Törvényszéknek, hogy a megtámadott ítélet e pontjaiban tévesen állapította meg, hogy nem áll fenn okozati összefüggés a második kereseti kérelem keretében hivatkozott jogellenes magatartás, vagyis a fellebbező nevének a „maffialistákra” való felvétele vagy a közte és e listák között az Europol által létrehozott kapcsolat, és azon kár között, amely a fellebbezőt állítása szerint e felvétel vagy e kapcsolat létrehozása miatt érte.
91 Ezen első rész alátámasztása érdekében a fellebbező azt állítja, hogy az Europol nem indokolta meg, hogy miért hozott létre ilyen kapcsolatot közte és a „maffialisták” között, és hogy e kapcsolat létrehozásával ezen ügynökség megsértette az arányosság elvét, mivel túllépte feladatát, amely kizárólag a szóban forgó USB adathordozó elemzéséből állt.
92 Ezenkívül, mivel az Europol jelentése a fellebbezőre vonatkozó nemzeti bűnügyi akta részét képezte, és mivel az ezen aktában szereplő információk kiszivárogtak, meg kellett volna állapítani, hogy okozati összefüggés áll fenn az Europol jogellenes magatartása és a fellebbezőt ért kár között. Az a tény, hogy a szóban forgó újságcikkek egyike sem említi ezt a jelentést, ahogyan arra a Törvényszék a megtámadott ítélet 107. pontjában rámutatott, nem kérdőjelezi meg ezen okozati összefüggés fennállását.
93 A fellebbező egyébiránt azt állítja, hogy az említett jelentésben egyedül az Europol állapította meg ezt a kapcsolatot közte és a „maffialisták” között, noha sem a nemzeti jog, sem az uniós jog nem teszi lehetővé ilyen jegyzékek összeállítását és vezetését. E tekintetben nem vehető figyelembe a szlovák média, amely szerint a „maffialistákat” a szlovák rendőrség vezeti. Egyébiránt azáltal, hogy az említett kapcsolat megállapítása érdekében nyilvánosan hozzáférhető forrásokra támaszkodott, az Europol megsértette a 2016/794 rendelet 29. cikkének (6) bekezdéséből eredő kötelezettségeit. A fellebbező szerint abból a tényből, hogy az Europol jelentése nem jelzi, hogy ez utóbbi a médiában találta volna a fellebbező és a „maffialisták” közötti kapcsolatra vonatkozó információt, valamint abból a tényből, hogy ez az információ kifejezetten szerepel ebben a jelentésben, azt a következtetést kell levonni, hogy az Europol hozta létre ezt a kapcsolatot, amely nem szerepel a „bulvársajtóban”.
94 E jogalap második része a bizonyítékok elferdítésére vonatkozik. A fellebbező azt állítja, hogy téves a Törvényszéknek a megtámadott ítélet 108. és 109. pontjában szereplő azon megállapítása, amely szerint az előtte folyamatban lévő eljárás keretében benyújtott újságcikkekből az következik, hogy a fellebbezőt már az Europol jelentésének elkészítése előtt „maffiózónak” minősítették. A 2012. február 28‑án megjelent újságcikk címe, amely a fellebbezőt úgy mutatja be, mint „[a] maffiózó, aki nem létezik”, azt bizonyítja, hogy a fellebbező semmilyen kapcsolatban nem állt a „maffialistákkal”.
95 Az Europol és a Szlovák Köztársaság a hatodik jogalap elutasítását kéri.
A Bíróság álláspontja
96 A hatodik jogalap elsőként vizsgálandó második részét illetően emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint a bizonyítékok elferdítése különösen akkor valósul meg, ha a Törvényszék nyilvánvalóan túllépi e bizonyítékok észszerű értékelésének korlátait. Az elferdítésnek nyilvánvalóan ki kell tűnnie az ügy irataiból, anélkül hogy szükséges lenne a tényállás és a bizonyítékok újbóli értékelése. E tekintetben nem elegendő azt bemutatni, hogy valamely dokumentum másként is értelmezhető, mint ahogyan azt a Törvényszék értelmezte (lásd ebben az értelemben: 2023. február 16‑i Bizottság kontra Olaszország és Spanyolország ítélet, C‑635/20 P, EU:C:2023:98, 127. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
97 A jelen ügyben a megtámadott ítélet 108. pontjában a Törvényszék megállapította, hogy „a [fellebbező] által hivatkozott időbeli egybeesésnek ellentmondanak mind a fellebbező, mind pedig az Europol által szolgáltatott bizonyítékok”. E tekintetben a Törvényszék ugyanebben a pontban rámutatott, hogy „a [fellebbező] a keresetlevélben egy 2012. február 28‑án megjelent újságcikkre utal, amelynek címe „Marián Kočner. A maffiózó, aki nem létezik”, és amely szerint „[a] rendőrségtől 2005–ben kiszivárgott, úgynevezett »maffialistákon« Marián Kočner vállalkozó neve szerepel az »érdekes gépjárművek« rovatban”, és hogy „az Europol a 2005. június 21‑én és 2017. július 9‑én megjelent újságcikkekre hivatkozott, amelyek szintén a fellebbező esetleges maffiakapcsolataira utalnak”.
98 Ily módon úgy tűnik, hogy a Törvényszék azon következtetését, amely szerint a fellebbezőt már az Europol‑jelentés elkészítése előtt „maffiózónak” minősítették, a fellebbezőre vonatkozó újságcikkek összességére alapította, nem pedig kizárólag a fellebbező által benyújtott, 2012‑ben megjelent cikkre, amely a fellebbező szerint nem társította őt a „maffialistákhoz”. A Törvényszék azáltal, hogy a fellebbező álláspontjával ellentétben így járt el, nem lépte túl e bizonyítékok összessége észszerű értékelésének korlátait, és nem ferdítette el a fellebbező által hivatkozott újságcikket azáltal, hogy azt a szövegével összeegyeztethetetlen módon értelmezte volna.
99 Következésképpen a hatodik jogalap második részét mint megalapozatlant el kell utasítani.
100 E jogalap első részét illetően emlékeztetni kell arra, hogy az Unió szerződésen kívüli felelősségének terén a kárt kiváltó tény és a kár közötti okozati összefüggés – e felelősség megállapításának feltétele – fennállásának kérdése jogi kérdésnek minősül, következésképpen a Bíróság felülvizsgálata alá tartozik (2009. július 16‑i Bizottság kontra Schneider Electric ítélet, C‑440/07 P, EU:C:2009:459, 192. pont; 2019. szeptember 3‑i FV kontra Tanács végzés, C‑188/19 P, EU:C:2019:690, 36. pont). E felülvizsgálat azonban a Bíróság számára nem jelentheti a tények Törvényszék általi megállapításának és értékelésének megkérdőjelezését (lásd ebben az értelemben: 2009. július 16‑i Bizottság kontra Schneider Electric ítélet, C‑440/07 P, EU:C:2009:459, 193. pont).
101 Márpedig meg kell állapítani, hogy ezen első résszel a fellebbező valójában a Törvényszék által az elé terjesztett bizonyítékok alapján tett bizonyos ténybeli megállapításokat kíván megkérdőjelezni. Először is a megtámadott ítélet 102. pontjában szereplő értékelésről van szó, amely szerint a fellebbező semmilyen bizonyítékot nem terjesztett elő annak alátámasztására, hogy a „maffialistákat”, amelyekre a nevét felvették, az Europol készítette és vezette. Másodszor, a fellebbező a Törvényszék azon értékelését is kétségbe vonja, amely szerint nem áll fenn okozati összefüggés az Europol állítólagosan jogellenes magatartása és az állítólagos kár között, mivel a Törvényszék megállapította egyrészt a megtámadott ítélet 107. pontjában, hogy a fellebbező semmilyen bizonyítékot nem szolgáltatott arra vonatkozóan, hogy az e tekintetben közzétett információk az Europol jelentéséből származnak, másrészt pedig ezen ítélet 108. és 109. pontjában, hogy a szlovák sajtó már jóval a 2019. év eleje előtt is maffiózóként mutatta be a fellebbezőt. Márpedig, mivel a jelen részben a fellebbező nem hivatkozik a bizonyítékok elferdítésére, az említett értékelések nem tartoznak a Bíróság felülvizsgálatának körébe.
102 Ennélfogva a hatodik jogalap első része elfogadhatatlan.
103 Ebből az következik, hogy ezt a jogalapot részben mint elfogadhatatlant, részben mint megalapozatlant el kell utasítani.
Az ötödik jogalapról
104 Ötödik jogalapjával, amely az első jogalap alátámasztása érdekében előadott érveléssel azonos érvelésen alapul, a fellebbező azt rója fel a Törvényszéknek, hogy tévesen alkalmazta a jogot, amikor a megtámadott ítélet 105. pontjában úgy határozott, hogy az Europol felelősségének meghatározásakor nem veszi figyelembe a 2016/794 rendelet (57) preambulumbekezdését, mivel valamely rendelet preambuluma nem rendelkezik kötelező jogi erővel. Ebből következik, hogy a Törvényszék tévesen utasította el a második kereseti kérelmet, amely azon kár megtérítésére irányult, amely a fellebbezőt állítása szerint nevének a „maffialistákra” való, Europol általi állítólagos felvétele következtében érte, amikor úgy ítélte meg, hogy e rendelet rendelkezéseiben nem található meg semmilyen egyetemleges felelősségi mechanizmus kifejeződése vagy alapja az Europol vagy az érintett tagállam által végzett jogszerűtlen adatkezelés esetén.
105 A Szlovák Köztársaság által támogatott Europol a fellebbező által az első jogalap keretében előadott érvelésre válaszul a jelen ítélet 49–52. pontjában említettekkel azonos érvekre hivatkozva az ötödik jogalap elutasítását kéri.
106 E tekintetben meg kell állapítani, hogy a Törvényszék – amely kizárólagos hatáskörrel rendelkezik a tényállás megállapítására és értékelésére, valamint az általa e tényállás alátámasztása érdekében elfogadott bizonyítékok megvizsgálására – több tényezőre támaszkodott a második kereseti kérelem elutasításakor, amely azon kár megtérítésére irányul, amely a fellebbezőt állítása szerint annak következtében érte, hogy nevét felvették a „maffialistákra”. Így egyrészt a megtámadott ítélet 102. pontjában – amelyre a fellebbezésnek az elutasított hatodik jogalapja vonatkozik – megállapította, hogy a fellebbező nem bizonyította, hogy azon „maffialistákat”, amelyekre a nevét felvették, az Europol készítette és vezette. Másrészt ezen ítélet 108. és 109. pontjában, amelyekre a fellebbezésnek az elutasított hatodik jogalapja ugyancsak vonatkozik, a Törvényszék, 2005‑ben, 2012‑ben és 2017‑ben megjelent sajtócikkekre utalva megállapította, hogy mind a fellebbező, mind pedig az Europol által szolgáltatott bizonyítékok ellentmondanak azon időbeli egybeesésnek, amely a fellebbező állítása szerint az Europol jelentése és a szlovák sajtóban vele szemben használt jelzőknek a rá vonatkozó nemzeti bűnügyi akta kiszivárgását követő megváltozása között áll fenn, amely sajtóban ezután rá „maffiózóként” vagy „a maffialistákon szereplő személyként” hivatkoztak. E tekintetben a Törvényszék ezenkívül a megtámadott ítélet 109. pontjában megállapította, hogy „a szlovák sajtó már jóval 2019 eleje előtt nem csupán »ellentmondásos vállalkozóként«, hanem »maffiózóként« utalt a fellebbezőre, és e bizonyítékok alapján kizárta, hogy „a [fellebbező] e bemutatása a [rá vonatkozó nemzeti] bűnügyi akta kiszivárogtatásából eredt volna, [amely tartalmazta] az Europol jelentését”.
107 Így különösen a megtámadott ítélet 108. és 109. pontjában tett megállapításokból kitűnik, hogy mivel az Europol jelentése későbbi, és már csak emiatt sem köthető a fellebbező által a második kereseti kérelemben hivatkozott, kárt okozó eseményhez, kizárt, hogy a fellebbező által hivatkozott kár kapcsolódjon az Europol és a szlovák hatóságok közötti együttműködés keretében történt esetleges jogszerűtlen adatkezeléshez. Márpedig, ahogyan az a jelen ítélet 96–102. pontjában megállapítást nyert, a fellebbező a hatodik jogalap keretében nem bizonyította, hogy a Törvényszék e megállapításokkal összefüggésben elferdítette a bizonyítékokat vagy tévesen alkalmazta a jogot.
108 Következésképpen a jelen ügyben nem teljesül a jelen ítélet 81. pontjában kimondott azon követelmény, amely az Europol egyetemleges felelősségének a 2016/794 rendelet 50. cikkének (1) bekezdése alapján történő megállapításához szükséges, így e felelősség semmi esetre sem állapítható meg a második kereseti kérelem címén.
109 Ebből következik, hogy azon téves jogalkalmazás ellenére, amelyet a Törvényszék azáltal követett el, hogy a megtámadott ítélet 105. pontjában az annak 92–95. pontjában kifejtett indokok alapján az Europol e rendelettel összefüggésben fennálló egyetemleges felelősségének még az elvét is elutasította, az ötödik jogalapot mint hatástalant el kell utasítani.
110 Mivel a Bíróság az ötödik és a hatodik jogalapot elutasította, a fellebbezést a második kereseti kérelmet érintő részében el kell utasítani.
A Törvényszékhez benyújtott keresetről
111 Az Európai Unió Bírósága alapokmánya 61. cikke első bekezdésének második mondata értelmében a Törvényszék határozatának hatályon kívül helyezése esetén a Bíróság az ügyet maga is érdemben eldöntheti, ha azt a per állása megengedi.
112 A jelen ügyben – figyelemmel különösen arra a körülményre, hogy a fellebbező keresete olyan jogalapokra épül, amelyek a Törvényszék előtt kontradiktórius vita tárgyát képezték, és amelyek vizsgálata nem igényli semmiféle további pervezető intézkedés elfogadását vagy az iratok elemzését – a Bíróság úgy véli, hogy a per állása megengedi a jogvita eldöntését, továbbá hogy arról az előtte még folyamatban lévő jogvita keretein belül érdemben kell dönteni (lásd analógia útján: 2021. március 4‑i Bizottság kontra Fútbol Club Barcelona ítélet, C‑362/19 P, EU:C:2021:169, 108. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
113 A megtámadott ítélet részleges hatályon kívül helyezésére tekintettel kizárólag a Törvényszék elé terjesztett, ezen ítélet 49. pontjában körülhatárolt első kereseti kérelemről kell határozni.
114 A fellebbező az EUMSZ 268. cikk és az EUMSZ 340. cikk, valamint a 2016/794 rendelet 50. cikkének (1) bekezdése alapján 50 000 euró összeg megfizetését kéri azon kár megtérítéseként, amely őt állítása szerint a szóban forgó mobiltelefonokból származó, az interneten hozzáférhetővé tett és a szlovák sajtó által átvett személyes adatok hozzáférhetővé tétele következtében érte. A személyes adatok ilyen hozzáférhetővé tétele a nyilvánosságra hozataluk révén sértette a fellebbező becsületét és szakmai hírnevét, valamint a magán‑ és családi élete tiszteletben tartásához való jogot, valamint a kapcsolattartása tiszteletben tartásához való jogot, amelyeket a Charta 7. cikke biztosít.
115 E tekintetben a fellebbező a 2016/794 rendelet (57) preambulumbekezdésére támaszkodva azzal érvel, hogy e rendelet 50. cikkének (1) bekezdése alapján megállapítható az Europol egyetemleges felelőssége, ha az a kár, amely állítása szerint a jogszerűtlen adatkezelés következtében érte őt, az Europol vagy valamely tagállam cselekményének következménye.
116 Az Europol azt állítja, hogy nem bizonyított, hogy jogszerűtlenül kezelt személyes adatokat, mivel nem bizonyított, hogy a fellebbezőre vonatkozó adatok kiszivárogtatása tőle származott. Mindenesetre az információk bármely kiszivárogtatása, még ha bizonyítást is nyerne, nem keletkeztetne automatikusan szerződésen kívüli felelősséget. Az Europol ugyanis arra hivatkozik, hogy a Bíróság ítélkezési gyakorlata szerint az uniós szervek szerződésen kívüli felelőssége csak azzal a feltétellel állapítható meg, többek között, hogy sor került a magánszemélyek számára jogokat keletkeztető valamely jogszabály kellően súlyos megsértésére. Márpedig a 2016/794 rendelet 32. cikkének (1) bekezdése nem ír elő abszolút eredménykötelezettséget, hanem kizárólag azt írja elő az Europol számára, hogy hajtson végre megfelelő technikai és szervezeti intézkedéseket a személyes adatoknak a jogszerűtlen adatkezelés bármely formájával szembeni védelme érdekében, amit az Europol meg is tett. Ezenkívül az Europol soha nem kezelte a szóban forgó mobiltelefonokból kinyert adatokat visszafejtett és érthető formában.
117 A Bíróság ítélkezési gyakorlata szerint az Unió szerződésen kívüli felelősségének az EUMSZ 340. cikk második bekezdése szerinti megállapításához több feltétel együttes teljesülése szükséges, nevezetesen a magánszemélyek számára jogokat keletkeztető valamely jogszabály kellően súlyos megsértésének fennállása, a kár tényleges jellege, valamint az aktus kibocsátóját terhelő kötelezettség megsértése és a sérelmet szenvedett személyek kára közötti okozati összefüggés fennállása (2019. szeptember 10‑i HTTS kontra Tanács ítélet, C‑123/18 P, EU:C:2019:694, 32. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
118 Ezen ítélkezési gyakorlatból kitűnik, hogy e felelősség megállapításának első feltétele, amely az érintett uniós intézménynek, szervnek vagy hivatalnak felrótt magatartásnak a jelen ítélet 73. pontjában felidézett ítélkezési gyakorlat értelmében vett jogellenességére vonatkozik, két részből áll, vagyis egyrészt a magánszemélyek számára jogokat keletkeztető uniós jogszabály megsértésének kell fennállnia, másrészt pedig e jogsértésnek kellően súlyosnak kell lennie (lásd ebben az értelemben: 2019. szeptember 10‑i HTTS kontra Tanács ítélet, C‑123/18 P, EU:C:2019:694, 36. pont).
119 Ami e feltétel első részét illeti, az állandó ítélkezési gyakorlat szerint a magánszemélyek jogai nemcsak akkor keletkeznek, amikor az uniós jogi rendelkezések azokat kifejezetten előírják, hanem azokból a pozitív vagy negatív kötelezettségekből eredően is, amelyeket az uniós jogi rendelkezések egyértelműen rögzítenek mind a magánszemélyek, mind pedig a tagállamok, valamint az uniós intézmények, szervek és hivatalok számára (lásd ebben az értelemben: 2022. december 22‑i Ministre de la Transition écologique et Premier ministre [Levegőszennyezéssel kapcsolatos állami felelősség] ítélet, C‑61/21, EU:C:2022:1015, 46. pont). Ez a szabály az uniós jog által az Unió valamely ügynöksége, például az Europol és a tagállamok közötti együttműködés keretében előírt kötelezettségekre is vonatkozik.
120 Az ilyen kötelezettségek megsértése sértheti azokat a jogokat, amelyeket az érintett uniós jogi rendelkezések hallgatólagosan ruháznak a magánszemélyekre. E rendelkezések teljes érvényesülése, valamint azon jogok védelme, amelyek keletkeztetésére azok irányulnak, megköveteli, hogy a magánszemélyek kártérítést követelhessenek (lásd ebben az értelemben: 2022. december 22‑i Ministre de la Transition écologique et Premier ministre [Levegőszennyezéssel kapcsolatos állami felelősség] ítélet, C‑61/21, EU:C:2022:1015, 47. pont).
121 A jelen ügyben meg kell állapítani, hogy a 2016/794 rendelet az Europollal és az ezen uniós ügynökséggel büntetőeljárás lefolytatása céljából együttműködésre felkért, hatáskörrel rendelkező tagállami hatóságokkal szemben a magánszemélyeknek a rájuk vonatkozó személyes adatok jogszerűtlen kezelésével szembeni védelmére irányuló kötelezettséget ír elő, amely különösen e rendelet 2. cikke h), i) és k) pontjának, 28. cikke (1) bekezdése a) és f) pontjának, 38. cikke (4) bekezdésének és 50. cikke (1) bekezdésének együttes értelmezéséből ered.
122 A 2016/794 rendelet 2. cikkének k) pontja ugyanis úgy határozza meg az „adatkezelést”, mint a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel. E rendelet 2. cikkének h) és i) pontja a „személyes adat” fogalmát az „érintettre” vonatkozó bármely információként határozza meg, amely utóbbi fogalom az azonosított vagy azonosítható természetes személyre vonatkozik. Egyébiránt az említett rendelet 28. cikke (1) bekezdésének a) és f) pontja megköveteli, hogy a személyes adatokat „tisztességesen és jogszerűen” kezeljék oly módon, hogy az biztosítsa a személyes adatok megfelelő biztonságát. Ugyanezen rendelet 38. cikkének (4) bekezdése szerint az Europol a felelős a 28. cikk (1) bekezdésének a) és f) pontjában említett ezen elveknek való megfelelésért. Végül a 2016/794 rendelet 50. cikkének (1) bekezdése, mivel arra kötelezi az e rendeletben előírt együttműködésben részt vevő szervezeteket, hogy térítsék meg a természetes személyt a jogszerűtlen adatkezelés következtében ért kárt, hallgatólagosan magában foglalja e szervezetek azon kötelezettségét, hogy minden természetes személyt megvédjenek a rá vonatkozó személyes adatok hozzáférhető tételének bármely jogellenes formájától.
123 Az előző két pontban említett rendelkezések együttes olvasatából az következik, hogy az Europol és az illetékes nemzeti hatóságok között a 2016/794 rendelet alapján folytatott együttműködés keretében kezelt személyes adatoknak az azok megismerésére nem jogosult személyek részére történő bármely hozzáférhetővé tétele a magánszemélyek számára jogokat keletkeztető uniós jogszabály megsértésének minősül.
124 A jelen ügyben a Törvényszék által a megtámadott ítélet 1., 2., 44., 84., 85. és 90. pontjában tett megállapításokból következik, hogy a Bíróság elfogadja, hogy a fellebbezőre vonatkozó, a fellebbező és barátnője közötti intim jellegű beszélgetések formájában megjelenő személyes adatokat, melyeket a szóban forgó mobiltelefonok tartalmaztak, a szlovák hatóságok a 2016/794 rendelet szerinti együttműködés keretében átadták az Europolnak, azokat a telefonokról kinyerték, majd ezeket az adatokat, amelyek kezdetben az Europol, 2018. október 23‑tól pedig az Europol és e hatóságok birtokában voltak, olyan személyek számára tették hozzáférhetővé, akik nem voltak jogosultak azok megismerésére, ami ezen adatoknak a szlovák sajtóban 2019. május 20‑án történő közzétételéhez vezetett. E körülmények az előző pontban említett jogsértésre utalnak.
125 E tekintetben el kell utasítani az Europol azon érvét, amely szerint ezen ügynökség tiszteletben tartotta a 2016/794 rendeletből eredő kötelezettségeit azáltal, hogy megfelelő technikai és szervezeti intézkedéseket hajtott végre a személyes adatoknak a jogszerűtlen adatkezelés bármely formájával szembeni védelme érdekében. Ugyanis, ahogyan az a jelen ítélet 80. pontjában megállapítást nyert, e rendelet 50. cikkének (1) bekezdése olyan egyetemleges felelősségi rendszert hoz létre, amelynek keretében az a személy, aki úgy véli, hogy adatait jogszerűtlenül kezelték, mentesül annak bizonyítása alól, hogy az említett rendelet szerinti együttműködésben részt vevő szervezetek közül melyiknek tudható be az ilyen adatkezelés, az Europol számára biztosított azon lehetőség sérelme nélkül, hogy adott esetben később, ugyanezen rendelet 50. cikkének (2) bekezdése alapján az igazgatótanácsához forduljon az e személynek megítélt kártérítésért való végső felelősség megállapítása érdekében.
126 Ami az Unió szerződésen kívüli felelőssége megállapításának első, a magánszemélyek számára jogokat keletkeztető uniós jogszabály kellően súlyos megsértésének követelményére vonatkozó második részét illeti, e tekintetben a döntő tényező annak megállapításához, hogy e jog megsértése kellően súlyos‑e, a megsértett szabály által előírt mérlegelési jogkör korlátainak nyilvánvaló és súlyos megsértése (lásd ebben az értelemben: 2000. július 4‑i Bergaderm és Goupil kontra Bizottság ítélet, C‑352/98 P, EU:C:2000:361, 43. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2017. április 4‑i Ombudsman kontra Staelen ítélet, C‑337/15 P, EU:C:2017:256, 31. pont, valamint az ott hivatkozott ítélkezési gyakorlat). Amennyiben az érintett hatóság csupán jelentősen korlátozott mérlegelési mozgástérrel rendelkezik, sőt nem is rendelkezik mérlegelési mozgástérrel, már az uniós jog egyszerű megsértése is elegendő lehet a kellően súlyos jogsértés megtörténtének megállapításához (2003. július 10‑i Bizottság kontra Fresh Marine ítélet, C‑472/00 P, EU:C:2003:399, 26. pont, valamint az ott hivatkozott ítélkezési gyakorlat). Különösen a nem menthető hibák, a kötelezettség teljesítése során tanúsított súlyos gondatlanság vagy a gondosság nyilvánvaló hiánya minősül ilyen jogsértésnek (lásd ebben az értelemben: 1992. január 30‑i Finsider és társai kontra Bizottság ítélet, C‑363/88 és C‑364/88, EU:C:1992:44, 22. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
127 Az elvégzendő értékelés megköveteli azon terület, feltételek és összefüggések figyelembevételét, amelyek mellett a szóban forgó kötelezettség az érintett hatóságot terheli (lásd ebben az értelemben: 2017. április 4‑i Ombudsman kontra Staelen ítélet, C‑337/15 P, EU:C:2017:256, 40. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
128 Ezenkívül figyelembe kell venni különösen a megsértett szabály egyértelműségének és pontosságának fokát, valamint az e szabály által az érintett hatóságnak biztosított mérlegelési mozgástér terjedelmét (lásd ebben az értelemben: 2017. május 30‑i Safa Nicu Sepahan kontra Tanács ítélet, C‑45/15 P, EU:C:2017:402, 30. pont, valamint az ott hivatkozott ítélkezési gyakorlat), a megoldandó helyzet összetettségét és a szövegek alkalmazásának vagy értelmezésének nehézségeit [2007. április 19‑i Holcim (Deutschland) kontra Bizottság ítélet, C‑282/05 P, EU:C:2007:226, 50. pont, valamint az ott hivatkozott ítélkezési gyakorlat].
129 A jelen ügyben meg kell állapítani egyrészt, hogy a jelen ítélet 122. és 123. pontjában említett rendelkezések nem hagynak a 2016/794 rendelet alapján együttműködésben részt vevő szervezetek számára semmilyen mérlegelési mozgásteret azon kötelezettségüket illetően, hogy minden természetes személyt megvédjenek a rá vonatkozó személyes adatok hozzáférhető tételének bármely jogellenes formájával szemben az e célból szükséges megfelelő technikai és szervezési intézkedések végrehajtása révén. Másrészt ez a kötelezettség az Europol és a tagállamok között büntetőeljárás lefolytatása céljából folytatott együttműködés érzékeny összefüggésébe illeszkedik, amelyben az ilyen adatokat az érintettek bármely közreműködés nélkül, leggyakrabban a tudtuk nélkül kezelik, tehát anélkül, hogy az érintettek bármilyen módon beavatkozhatnának adataik esetleges jogszerűtlen kezelésének megelőzése érdekében.
130 A jelen ügyben szóban forgóhoz hasonló adathordozókon található adatok intim jellege megerősíti annak szükségességét, hogy szigorúan biztosítsák ezen adatok védelmét a fellebbezőre vonatkozóan, annál is inkább, mivel az említett adatok semmilyen kapcsolatban nem álltak azon tényállással, amely miatt a fellebbezővel szemben büntetőeljárás indult.
131 E körülmények között a Törvényszéknek a jelen ítélet 124. pontjában felidézett megállapításaira tekintettel meg kell állapítani, hogy az említett adatoknak az Europol és a szlovák hatóságok között a 2016/794 rendelet alapján folytatott együttműködés keretében történő jogszerűtlen kezelése a magánszemélyek számára jogokat keletkeztető uniós jogszabály kellően súlyos megsértésének minősült.
132 Hozzá kell tenni, hogy az Europol azon érve, amely szerint soha nem rendelkezett a szóban forgó mobiltelefonokból kinyert adatokkal visszafejtett és érthető formában, nem kérdőjelezi meg magának az ilyen jogsértésnek az ezen együttműködés keretében történt jogszerűtlen adatkezelés miatti fennállását. Márpedig, ahogyan az a jelen ítélet 80. pontjából kitűnik, a 2016/794 rendelet 50. cikkének (1) bekezdése olyan egyetemleges felelősségi rendszert hoz létre, amelynek keretében az ilyen adatkezelés áldozata mentesül annak bizonyítása alól, hogy az ilyen együttműködésben részt vevő szervezetek közül melyiknek tudható be ezen adatkezelés. Ebből következik, hogy ennek az érvnek semmi esetre sem lehet helyt adni a jelen ügy összefüggésében, az Europol azon lehetőségének sérelme nélkül, hogy arra adott esetben az e rendelet 50. cikkének (2) bekezdése alapján az igazgatótanácsához fordulás keretében hivatkozzon.
133 Az Uniónak az EUMSZ 340. cikk második bekezdéséből eredő szerződésen kívüli felelőssége megállapításának második és harmadik feltételét illetően, amelyek a bekövetkezett kár, valamint az e kár és valamely uniós jogszabálynak a jelen ügyben az adatok jogszerűtlen kezelése által megvalósított kellően súlyos megsértése közötti okozati összefüggésre vonatkoznak, a fellebbező azt állítja, hogy a szóban forgó mobiltelefonokon talált, rá vonatkozó személyes adatok hozzáférhetővé tétele ezen adatok közzététele révén nemcsak a magánéletének tiszteletben tartásához való jogot sértette, hanem a családi életének tiszteletben tartásához való jogot is. E hozzáférhetővé tétel negatív hatást gyakorolt a fellebbező és a lányai közötti kapcsolatra, akiket mélyen érintett az említett adatok közzététele, amelyek többek között az apjuk és annak barátnője közötti intim kapcsolatra, valamint azok intim beszélgetéseire utalnak. Ez frusztráció és igazságtalanság érzését, valamint a fellebbező becsületének és szakmai hírnevének sérelmét eredményezte. Az említett hozzáférhetővé tétel sérti a Charta 7. cikkében biztosított, a kapcsolattartás tiszteletben tartásához való jogot is.
134 Az Europol nem adott elő semmilyen konkrét érvet a fellebbező által hivatkozott nem vagyoni kár tényleges jellegére, valamint a jogszerűtlen adatkezelés és e kár közötti okozati összefüggés fennállására vonatkozóan. Az Europol annak állítására szorítkozott, hogy a kárt okozó eseményre vagy annak az Europolnak való betudhatóságára vonatkozó bizonyíték hiányában az első kereseti kérelmet el kell utasítani.
135 Ami a kár tényleges jellegére és az okozati összefüggés fennállására vonatkozó feltételeket illeti, az Unió szerződésen kívüli felelőssége csak akkor állapítható meg, ha a fellebbezőt tényleges és biztos kár érte, és ha a kár kellően közvetlenül következik az uniós jog valamely szabályának állítólagos megsértéséből. A fellebbezőnek kell bizonyítékokat szolgáltatnia az uniós bíróság számára az általa hivatkozott kár fennállásának és mértékének, valamint az e jogsértés és az állítólagos kár közötti, kellően közvetlen okozati összefüggés fennállásának a bizonyítása érdekében (lásd ebben az értelemben: 2017. május 30‑i Safa Nicu Sepahan kontra Tanács ítélet, C‑45/15 P, EU:C:2017:402, 61. és 62. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
136 A jelen ügyben, ahogyan az a jelen ítélet 124. pontjában megállapítást nyert, a jogszerűtlen adatkezelés, amely a fellebbező és barátnője közötti intim beszélgetésekre vonatkozó adatok jogosulatlan személyek részére történő hozzáférhetővé tételében nyilvánult meg, ezen adatoknak a nyilvánosság számára történő hozzáférhetővé tételét eredményezte, ahogyan arról a szlovák sajtóban való megjelenésük tanúskodik. E beszélgetések tartalmára tekintettel meg kell állapítani, hogy e jogszerűtlen adatkezelés megsértette a fellebbező a Charta 7. cikkében biztosított, a magán‑ és családi életének, valamint a kapcsolattartásának tiszteletben tartásához való jogát, és megsértette a becsületét és jóhírnevét, ami nem vagyoni kárt okozott neki.
137 Az első kereseti kérelemben hivatkozott kár megtérítése címén a fellebbező 50 000 euró megfizetését kéri.
138 Mindazonáltal a Törvényszék úgy ítélte meg, hogy az első kereseti kérelem vizsgálatát kizárólag a fellebbező és barátnője közötti intim és szexuális jellegű beszélgetések átiratainak hozzáférhetővé tételéből eredő állítólagos kárra kell korlátozni, mivel a fellebbező nem terjesztett elő olyan bizonyítékot, amely közvetlenül vagy közvetve alátámaszthatná a jelen ítélet 26. pontjában hivatkozott fényképek hozzáférhetővé tételének megtörténtét.
139 Mivel az első kereseti kérelem e részleges elutasítását a fellebbezés keretében nem vitatták, az állítólagos kár e részének a fellebbező részére történő megtérítését ki kell zárni.
140 E körülmények között úgy kell határozni, hogy a fellebbező által a barátnőjével folytatott intim jellegű beszélgetések átiratainak hozzáférhetővé tétele miatt bekövetkezett nem vagyoni kár megfelelő jóvátételét eredményezi a méltányosan 2000 euróban megállapított kártérítésnek a fellebbező részére történő megfizetése.
A költségekről
141 A Bíróság eljárási szabályzata 184. cikkének (2) bekezdése értelmében, ha a fellebbezés megalapozatlan, vagy ha a fellebbezés megalapozott, és a Bíróság maga hoz a jogvita kapcsán végleges határozatot, a Bíróság határoz a költségekről.
142 E szabályzat 138. cikkének (1) bekezdése szerint, amelyet ugyanezen szabályzat 184. cikkének (1) bekezdése értelmében a fellebbezési eljárásban is megfelelően alkalmazni kell, a Bíróság a pervesztes felet kötelezi a költségek viselésére, ha a pernyertes fél ezt kérte. E 138. cikk (3) bekezdésének első mondata alapján részleges pernyertesség esetén mindegyik fél maga viseli saját költségeit.
143 A jelen ügyben a fellebbező azt kéri, hogy a Bíróság „az alapeljárás keretében” határozzon a költségekről. E tekintetben meg kell állapítani, hogy bár az elsőfokú eljárásban előterjesztett kérelmeiben a fellebbező azt kérte, hogy a Törvényszék az Europolt kötelezze a költségek viselésére, a fellebbezésében nem terjesztett elő semmilyen, a fellebbezési eljárás költségeire vonatkozó kérelmet.
144 Az Europol kérte, hogy a Bíróság a fellebbezőt kötelezze mind az elsőfokú eljárás, mind a fellebbezési eljárás költségeinek viselésére.
145 E körülmények között, mivel mindkét fél részlegesen pervesztes lett mind a fellebbezési szakaszban, mind az elsőfokú eljárásban előterjesztett kérelmeik tekintetében, mindegyik fél maga viseli mind az elsőfokú eljárással, mind pedig a fellebbezési eljárással összefüggésben felmerült saját költségeit.
146 Az eljárási szabályzat 140. cikkének (1) bekezdése – amelyet ugyanezen szabályzat 184. cikkének (1) bekezdése értelmében alkalmazni kell a fellebbezési eljárásban is – előírja, hogy az eljárásba beavatkozó tagállamok és intézmények maguk viselik saját költségeiket. A Bíróság előtti eljárásba beavatkozó Szlovák Köztársaság tehát maga viseli saját költségeit.
A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott:
1) A Bíróság az Európai Unió Törvényszékének 2021. szeptember 29‑i Kočner kontra Europol ítéletét (T‑528/20, EU:T:2021:631) hatályon kívül helyezi annyiban, amennyiben az elutasította az ezen ítéletben körülhatárolt első kereseti kérelmet.
2) A Bíróság a fellebbezést az ezt meghaladó részében elutasítja.
3) A Bíróság arra kötelezi a Bűnüldözési Együttműködés Európai Uniós Ügynökségét (Europol), hogy fizessen Marián Kočnernek 2000 euró kártérítést.
4) A Bíróság a keresetet az ezt meghaladó részében elutasítja.
5) Marián Kočner és az Europol maguk viselik mind az elsőfokú eljárással, mind a fellebbezési eljárással kapcsolatos saját költségeiket.
6) A Szlovák Köztársaság maga viseli saját költségeit.
Aláírások