Language of document : ECLI:EU:C:2023:370

A BÍRÓSÁG ÍTÉLETE (harmadik tanács)

2023. május 4.(*)

„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – A 82. cikk (1) bekezdése – Az e rendeletet sértő adatkezeléssel okozott kár megtérítéséhez való jog – A megtérítéshez való jog feltételei – Az említett rendelet puszta megsértésének elégtelensége – Az említett jogsértéssel okozott kár szükségessége – Az ilyen adatkezelésből eredő nem vagyoni kár megtérítése – Az ilyen kár megtérítését egy bizonyos súlyossági küszöb meghaladásának alárendelő nemzeti szabály összeegyeztethetetlensége – A károk nemzeti bíróságok általi megállapításának szabályai”

A C‑300/21. sz. ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet az Oberster Gerichtshof (legfelsőbb bíróság, Ausztria) a Bírósághoz 2021. május 12‑én érkezett, 2021. április 15‑i határozatával terjesztett elő az

UI

és

az Österreichische Post AG

között folyamatban lévő eljárásban,

A BÍRÓSÁG (harmadik tanács),

tagjai: K. Jürimäe tanácselnök, M. Safjan, N. Piçarra, N. Jääskinen (előadó) és M. Gavalec bírák,

főtanácsnok: M. Campos Sánchez‑Bordona,

hivatalvezető: A. Calot Escobar,

tekintettel az írásbeli szakaszra,

figyelembe véve a következők által előterjesztett észrevételeket:

–        UI, személyesen, Rechtsanwalt minőségben,

–        az Österreichische Post AG képviseletében R. Marko Rechtsanwalt,

–        az osztrák kormány képviseletében A. Posch, J. Schmoll és G. Kunnert, meghatalmazotti minőségben,

–        a cseh kormány képviseletében O. Serdula, M. Smolek és J. Vláčil, meghatalmazotti minőségben,

–        Írország képviseletében M. Browne, A. Joyce, M. Lane és M. Tierney, meghatalmazotti minőségben, segítőjük: D. Fennelly BL,

–        az Európai Bizottság képviseletében A. Bouchagiar, M. Heller és H. Kranenborg, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2022. október 6‑i tárgyaláson történt meghallgatását követően,

meghozta a következő

Ítéletet

1        Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet; HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 82. cikkének az egyenértékűség és a tényleges érvényesülés elveivel együttesen történő értelmezésére vonatkozik.

2        E kérelmet az UI és az Österreichische Post AG között az előbbi által azon nem vagyoni kár megtérítése iránt indított kereset tárgyában folyó eljárásban terjesztették elő, amelyet UI állítása szerint amiatt szenvedett el, hogy e társaság az Ausztriában lakóhellyel rendelkező személyek politikai kötődéseire vonatkozó adatokat kezelt, különösen rá vonatkozóan, miközben ő nem járult hozzá az ilyen adatkezeléshez.

 Jogi háttér

3        A GDPR (10), (75), (85) és (146) preambulumbekezdéseinek szövege a következő:

„(10)      A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok [Európai] Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. […]

[…]

(75)      A természetes személyek jogait és szabadságait érintő – változó valószínűségű és súlyosságú – kockázatok származhatnak a személyes adatok kezeléséből, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek, különösen, ha az adatkezelésből hátrányos megkülönböztetés, személyazonosság‑lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség, a jó hírnév sérelme, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése, az álnevesítés engedély nélkül történő feloldása, vagy bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat; vagy ha az érintettek nem gyakorolhatják jogaikat és szabadságaikat, vagy nem rendelkezhetnek saját személyes adataik felett; vagy ha olyan személyes adatok kezelése történik, amelyek faji vagy etnikai származásra, vagy politikai véleményre […] utalnak […].

[…]

(85)      Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság‑lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt. […]

[…]

(146)      Az adatkezelő vagy az adatfeldolgozó az e rendeletet sértő adatkezelés miatt okozott kárt köteles megtéríteni. Az adatkezelőt vagy az adatfeldolgozót a kártérítési kötelezettség alól abban az esetben mentesíteni kell, ha bizonyítja, hogy a kár bekövetkeztéért őt semmilyen felelősség nem terheli. A kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze e rendelet célkitűzéseit. Ez nem érinti a más uniós vagy tagállami jog megsértéséből eredő károkkal kapcsolatos esetleges kártérítési igényeket. Az e rendeletet sértő adatkezelés magában foglalja az e rendelettel összhangban elfogadott, felhatalmazáson alapuló jogi aktusokat és végrehajtási jogi aktusokat, valamint az e rendeletben foglalt szabályokat pontosító tagállami jogot [helyesen: az e rendelettel és az e rendeletben foglalt szabályokat pontosító tagállami joggal összhangban elfogadott, felhatalmazáson alapuló jogi aktusokat és végrehajtási jogi aktusokat] sértő adatkezelést is. Az érintetteket az őket ért kárért teljes és tényleges kártérítés illeti meg. […]”

4        A GDPR „Tárgy” című 1. cikke, az (1) és (2) bekezdésében a következőképpen rendelkezik:

„(1)      Ez a rendelet a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg.

(2)      Ez a rendelet a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.”

5        Ugyanezen rendelet „Fogalommeghatározások” című 4. cikkének 1. pontja értelmében:

„E rendelet alkalmazásában:

1.      »személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) […] vonatkozó bármely információ […]”

6        A GDPR „Jogorvoslat, felelősség és szankciók” című VIII. fejezete tartalmazza e rendelet 77–84. cikkét.

7        Az említett rendelet 77. cikke „[a] felügyeleti hatóságnál történő panasztételhez való joggal” kapcsolatos, míg 78. cikke „[a] felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jogra” vonatkozik.

8        A GDPR‑nak „A kártérítéshez való jog és a felelősség” című 82. cikke, az (1) és (2) bekezdésében kimondja:

„(1)      Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

(2)      Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott […].”

9        E rendeletnek „A közigazgatási bírságok kiszabására vonatkozó általános feltételek” című 83. cikke, az (1) bekezdésében a következőket írja elő:

„Valamennyi felügyeleti hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.”

10      Az említett rendelet „Szankciók” című 84. cikke, az (1) bekezdésében így rendelkezik:

„A tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó további szankciókra vonatkozó szabályokat, különösen azon jogsértések tekintetében, amelyek nem tartoznak a 83. cikkben meghatározott, közigazgatási bírságokkal sújtható jogsértések közé, és meghoznak minden szükséges intézkedést ezek végrehajtására. E szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.”

 Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

11      2017‑től kezdődően az Österreichische Post, osztrák jog szerint működő társaság, amely címjegyzékekkel kereskedik, adatokat gyűjtött az osztrák lakosság politikai kötődéseire vonatkozóan. Egy algoritmus segítségével, különféle társadalmi és demográfiai jellemzők alapján meghatározta a „célcsoportok címét”. Az így generált adatokat különféle szervezeteknek értékesítették, annak érdekében, hogy azok célzott reklámküldeményeket tudjanak küldeni.

12      Tevékenysége keretében az Österreichische Post adatokat kezelt, amelyek alapján – statisztikai extrapoláció útján – az alapeljárás felperesét egy bizonyos osztrák politikai párthoz nagy fokú kötődést mutatóként sorolta be. Ezen elemeket nem továbbították harmadik feleknek, de az alapeljárás felperese, aki nem járult hozzá a személyes adatainak a kezeléséhez, sértve érezte magát azon körülmény miatt, hogy őt a kérdéses párttal szimpatizálóként sorolták be. Az a tény, hogy vélelmezett politikai véleményre vonatkozó adatokat őriztek meg e társaságnál, erős felháborodást keltett benne, bizalomvesztést eredményezett nála és megalázottságérzést váltott ki belőle. Az utaló határozatból kiderül, hogy ezen időleges és érzelmi jellegű sérelmeken túl semmilyen más kár nem volt megállapítható.

13      Ezen összefüggésekre tekintettel az alapeljárás felperese keresetet indított a Landesgericht für Zivilrechtssachen Wien (polgári ügyekben illetékes bécsi regionális bíróság, Ausztria) előtt, amely egyrészt arra irányult, hogy kötelezzék az Österreichische Postot a szóban forgó személyes adatok kezelésének abbahagyására, másrészt arra, hogy e társaság fizessen meg a részére az általa állítólagosan elszenvedett nem vagyoni károk megtérítése címén 1000 eurót. 2020. július 14‑i határozatával e bíróság helyt adott az abbahagyásra kötelezés iránti kérelemnek, a kártérítés iránti kérelmet azonban elutasította.

14      A fellebbezés alapján eljáró Oberlandesgericht Wien (bécsi regionális felsőbíróság, Ausztria) 2020. december 9‑i ítéletével helybenhagyta az elsőfokon hozott határozatot. Ami a kártérítés iránti kérelmet illeti, e bíróság a GDPR (75), (76) és (146) preambulumbekezdésére hivatkozott, és úgy ítélte meg, hogy a tagállamok belső jogának a polgári jogi felelősségre vonatkozó rendelkezései csupán kiegészítik e rendelet rendelkezéseit, amennyiben az nem tartalmaz különös szabályokat. E tekintetben megjegyezte, hogy az osztrák jog értelmében a személyes adatok védelmére vonatkozó szabályok megsértése nem eredményez automatikusan nem vagyoni kárt, és csak akkor keletkeztet kártérítéshez való jogot, ha az ilyen kár elér egy bizonyos „súlyossági küszöböt”. Márpedig nem ez az eset azon negatív érzelmeket illetően, amelyekre az alapeljárás felperese hivatkozott.

15      Az alapeljárás mindkét fele által benyújtott jogorvoslati kérelem alapján eljáró Oberster Gerichtshof (legfelsőbb bíróság, Ausztria) a 2021. április 15‑i közbenső ítéletében nem adott helyt azon felülvizsgálati kérelemnek, amelyet az Österreichische Post terjesztett elő a vele szemben elrendelt abbahagyásra kötelezés ellen. Ennélfogva e bíróság kizárólag annak a felülvizsgálati kérelemnek a tárgyában járhat el, amelyet az alapeljárás felperese terjesztett elő a vele szemben indított kártérítési kérelem elutasítása ellen.

16      Előzetes döntéshozatal iránti kérelmének alátámasztásaként a kérdést előterjesztő bíróság rámutat arra, hogy a GDPR (146) preambulumbekezdéséből az következik, hogy e rendelet 82. cikke egy saját felelősségi rendszert vezetett be a személyes adatok kezelése terén, amely a tagállamokban hatályos rendszerek helyébe lépett. Ennélfogva az ezen 82. cikkben szereplő fogalmakat, különösen az (1) bekezdésében szereplő „kár” fogalmát önállóan kell értelmezni, és az említett felelősség alkalmazásának feltételeit nem a nemzeti jog szabályaira, hanem az uniós jog követelményeire tekintettel kell meghatározni.

17      Először is, ami közelebbről a személyes adatok védelmének megsértése címén járó kártérítéshez való jogot illeti, e bíróság hajlik annak megállapítására, hogy a GDPR (146) preambulumbekezdésének hatodik mondata fényében, e rendelet 82. cikke előfeltételként írja elő a vagyoni vagy nem vagyoni kár érintett általi tényleges elszenvedését. Az ilyen kártérítés megítélése az említett jogsértéstől eltérő, konkrét kár bizonyításához van kötve, amely jogsértés önmagában nem támasztja alá magának a nem vagyoni kárnak a meglétét. Az említett rendelet (75) preambulumbekezdése pusztán arra az eshetőségre utal, hogy a nem vagyoni kár az ott felsorolt jogsértésekből eredhet, és bár a rendelet (85) preambulumbekezdése kétségkívül említi az érintett adatok feletti „rendelkezés elveszítésének” kockázatát, e kockázat ugyanakkor a jelen esetben bizonytalan, hiszen az adatokat nem továbbították harmadik feleknek.

18      Másodszor, ami a GDPR 82. cikke alapján megítélhető kártérítés értékelését illeti, az előterjesztő bíróság úgy véli, hogy az uniós jog tényleges érvényesülése elvének csupán korlátozott jelentőséget kell tulajdonítani, amiatt, hogy e rendelet a megsértése esetére már eleve súlyos szankciókat ír elő, és így nem szükséges ezeken felül magasabb kártérítést előírni a tényleges érvényesülésének biztosítására. Szerinte az e címen járó kártérítésnek hatékonynak, arányosnak és visszatartó erejűnek kell lennie annak érdekében, hogy a megítélt kártérítés be tudja tölteni a kompenzációs funkciót, de nem lehet büntető jellegű, ami idegen lenne az uniós jogtól.

19      Harmadszor, a kérdést előterjesztő bíróságnak kétsége van az Österreichische Post által védett azon álláspontot illetően, amely szerint az ilyen kártérítés megítélése ahhoz a feltételhez van kötve, hogy a személyes adatok védelmének megsértése különösen súlyos sérelmet kell okozzon. E tekintetben hangsúlyozza, hogy a GDPR (146) preambulumbekezdése az e rendelet értelmében vett „kár” fogalmának tág értelmezését ajánlja. Úgy véli, hogy a nem vagyoni kárt a rendelet 82. cikke értelmében akkor kell megtéríteni, ha az – még ha csak enyhe mértékben is, de – kézzelfogható. Az ilyen kárt viszont szerinte nem kell megtéríteni, ha az teljes mértékben elhanyagolhatónak tűnik, például olyan esetben, amikor az az ilyen jogsértéssel általában együtt járó, puszta kellemetlen érzésekben nyilvánul meg.

20      Ilyen körülmények között az Oberster Gerichtshof (legfelsőbb bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)      A [GDPR] rendelkezéseinek megsértése mellett arra is szükség van‑e a [GDPR] 82. cikke szerinti kártérítés megítéléséhez, hogy a felperes kárt szenvedjen, vagy már önmagában a [GDPR] rendelkezéseinek megsértése is elegendő a kártérítés megítéléséhez?

2)      A tényleges érvényesülés és egyenértékűség elve mellett további uniós jogi előírások is vonatkoznak‑e a kártérítés megállapítására?

3)      Összeegyeztethető‑e az uniós joggal az az álláspont, amely szerint a nem vagyoni kár megítélésének az a feltétele, hogy a jogsértés legalább bizonyos súlyú olyan következménnyel vagy hatással járjon, amely meghaladja a jogsértés által kiváltott bosszúságot?”

 Az előzetes döntéshozatalra előterjesztett kérdésekről

 Az első és a második kérdés elfogadhatóságáról

21      Az alapeljárás felperese lényegében arra hivatkozik, hogy az előterjesztett első kérdés elfogadhatatlan, mivel hipotetikus jellegű. Először is azt állítja, hogy a kártérítési keresete nem a GDPR valamely rendelkezésének „puszta” megsértésén alapul. Ezt követően, szerinte az előterjesztő bíróság hivatkozik egy konszenzus meglétére azon tényt illetően, hogy kártérítés csak akkor jár, ha az ilyen jogsértés ténylegesen elszenvedett kárral jár együtt. Végül, szerinte az alapeljárás felei között csak abban a kérdésben van vita, hogy szükséges‑e, hogy a kár meghaladjon egy bizonyos „súlyossági küszöböt”. Márpedig, ha a Bíróság az e tárgyban előterjesztett, harmadik kérdésre nemleges választ adna – ahogyan ő is javasolja –, az első kérdés szükségtelenné válna az említett jogvita elbírálása szempontjából.

22      Az alapeljárás felperese ezenfelül azt állítja, hogy az előterjesztett második kérdés elfogadhatatlan, amiatt, hogy a tartalmát illetően túlságosan tág, a megfogalmazását illetően pedig túlságosan pontatlan, hiszen a kérdést előterjesztő bíróság az „uniós jog követelményeire” utal, anélkül hogy konkrétan megjelölné valamelyiket ezek közül.

23      E tekintetben először is emlékeztetni kell arra, hogy a Bíróság állandó ítélkezési gyakorlata szerint kizárólag a jogvitában eljáró és a meghozandó bírósági határozatért felelős nemzeti bíróság feladata annak értékelése, hogy figyelemmel az ügy sajátosságaira, az ítéletének meghozatalához szükség van‑e az előzetes döntéshozatalra, és hogy a Bíróság elé terjesztett kérdések – amelyek relevanciáját vélelmezni kell – valóban relevánsak‑e. Ennélfogva, amikor az előterjesztett kérdés az uniós jog valamely szabályának értelmezésére vagy érvényességére vonatkozik, a Bíróság főszabály szerint köteles a kérelmet elbírálni, kivéve ha a kért értelmezés nyilvánvalóan semmilyen összefüggésben nincs az alapeljárás tényállásával vagy tárgyával, ha a probléma hipotetikus jellegű, vagy ha nem állnak a Bíróság rendelkezésére azok a ténybeli és jogi elemek, amelyek szükségesek ahhoz, hogy az említett kérdésre hasznos választ adhasson (lásd ebben az értelemben: 1995. december 15‑i Bosman ítélet, C‑415/93, EU:C:1995:463, 61. pont; 1999. szeptember 7‑i Beck és Bergdorf ítélet, C‑355/97, EU:C:1999:391, 22. pont; 2022. május 5‑i Zagrebačka banka ítélet, C‑567/20, EU:C:2022:352, 43. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

24      A jelen eljárásban az első kérdés a GDPR 82. cikkében írt kártérítéshez való jog gyakorlásához megkövetelt feltételekre vonatkozik. Ezenfelül, nem derül ki nyilvánvaló módon az, hogy a kért értelmezés nem lenne kapcsolatban az alapeljárással, vagy hogy a felvetett probléma hipotetikus jellegű volna. Ugyanis, e jogvita egyrészt egy olyan kártérítési kérelemmel kapcsolatos, amely a személyes adatok védelmének a GDPR által bevezetett rendszere alá tartozik. Másrészt, e kérdés annak meghatározására irányul, hogy az e rendeletben megállapított szabályok alkalmazása céljából szükséges‑e, hogy az érintett olyan kárt szenvedjen el, amely elkülönül a rendelet megsértésétől.

25      Ami a második kérdést illeti, korábban már megállapításra került, hogy pusztán az a tény, hogy a Bíróságnak elvont és általános értelemben kell döntenie, nem eredményezheti az előzetes döntéshozatal iránti kérelem elfogadhatatlanságát (2007. november 15‑i International Mail Spain ítélet, C‑162/06, EU:C:2007:681, 24. pont). Az ilyen módon feltett kérdés csak akkor minősíthető hipotetikusnak, és így elfogadhatatlannak, ha az utaló határozat nem tartalmazza azokat a minimális magyarázatokat sem, amelyek alapján meg lehetne állapítani az említett kérdés és az alapeljárás közötti kapcsolatot (lásd ebben az értelemben: 2021. július 8‑i Sanresa ítélet, C‑295/20, EU:C:2021:556, 69. és 70. pont).

26      Márpedig a jelen ügyben nem ez az eset áll fenn, hiszen a kérdést előterjesztő bíróság kifejti, hogy második kérdése az azzal kapcsolatos kétségen alapul, hogy az Österreichische Post által a GDPR rendelkezéseinek megsértése miatt megtérítendő károk értékelése keretében ügyelni kell‑e – az e kérdésben említett egyenértékűség és a hatékony érvényesülés elveinek betartásán felül – az uniós jog más követelményeinek betartására is. Ebben az összefüggésben, ezen elveket illetően az a tény, hogy e bíróság nem szolgáltatott pontosabb információkat, nem fosztja meg a Bíróságot attól a lehetőségtől, hogy hasznos értelmezést adjon az uniós jog releváns szabályait illetően.

27      Ennélfogva az első és a második kérdés elfogadható.

 Az ügy érdeméről

 Az első kérdésről

28      Első kérdésével az előterjesztő bíróság lényegében arra szeretne választ kapni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy e rendelet rendelkezéseinek puszta megsértése elegendő ahhoz, hogy kártérítési jogot keletkeztessen.

29      E tekintetben emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint, az uniós jog azon rendelkezéseinek szövegét, amelyek a jelentésük és a terjedelmük meghatározása érdekében nem tartalmaznak kifejezett utalást a tagállamok jogára, az Unió egészében önállóan és egységesen kell értelmezni (2021. június 22‑i Latvijas Republikas Saeima [Büntetőpontok] ítélet, C‑439/19, EU:C:2021:504, 81. pont; 2022. február 10‑i ShareWood Switzerland ítélet, C‑595/20, EU:C:2022:86, 21. pont), amely értelmezést az adott rendelkezések szövegét és azon kontextust figyelembe véve kell megadni, amelybe azok illeszkednek (lásd ebben az értelemben: 2021. április 15‑i The North of England P & I Association ítélet, C‑786/19, EU:C:2021:276, 48. pont; 2021. június 10‑i KRONE – Verlag ítélet, C‑65/20, EU:C:2021:471, 25. pont).

30      Márpedig a GDPR nem tartalmaz utalást a tagállamok jogára az e rendelet 82. cikkében szereplő kifejezések jelentésével és terjedelmével kapcsolatban, különösen a „vagyoni vagy nem vagyoni kár” és „az elszenvedett kár” fogalmát illetően. Ebből következik, hogy e kifejezéseket az említett rendelet alkalmazása céljából olyanoknak kell tekinteni, mint amelyek az uniós jog önálló fogalmait képezik, és amelyeket az összes tagállamban egységesen kell értelmezni.

31      Először is, a GDPR 82. cikkének szövegét illetően emlékeztetni kell arra, hogy e cikk (1) bekezdése kimondja, hogy „[m]inden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult”.

32      Egyrészt, e rendelkezés megszövegezéséből világosan kiderül, hogy a „kár” vagy az „elszenvedett kár” megléte az említett rendelkezésben említett kártérítéshez való jog egyik feltételét képezi, akárcsak a GDPR megsértésének fennállása, valamint az e kár és az e jogsértés közötti okozati kapcsolat megléte, mivel e három feltétel együttes feltétel.

33      Ennélfogva nem lehet úgy tekinteni, hogy a GDPR rendelkezéseinek bármely „megsértése” önmagában megnyitja a kártérítéshez való jogot az e rendelet 4. cikkének 1. pontjában meghatározott érintett javára. Egy ilyen értelmezés ellentétes lenne az említett rendelet 82. cikke (1) bekezdésének szövegével.

34      Másrészt, hangsúlyozni kell, hogy a „kárnak” és a „megsértésnek” a GDPR 82. cikkének (1) bekezdésében külön történő említése felesleges lenne, ha az uniós jogalkotó úgy ítélte volna meg, hogy e rendelkezés rendelkezéseinek önmagában és minden egyes esetben való megsértése elegendő ahhoz, hogy megalapozza a kártérítéshez való jogot.

35      Másodszor, az előbbi szó szerinti értelmezést erősíti meg az az összefüggés is, amelybe e rendelkezés illeszkedik.

36      Ugyanis a GDPR 82. cikkének (2) bekezdése, amely azt a felelősségi rendszert határozza meg pontosan, amelynek alapelvét e cikk (1) bekezdése állapította meg, három szükséges feltételt említ ahhoz, hogy kártérítéshez való jog keletkezzen, nevezetesen a személyes adatoknak a GDPR rendelkezéseit sértő kezelése, az érintett által elszenvedett kár, és az e jogellenes kezelés és e kár közötti okozati kapcsolat.

37      Egyébiránt, a GDPR (75), (85) és (146) preambulumbekezdésében adott pontosítások is ezt az értelmezést erősítik. Egyrészt, az említett (146) preambulumbekezdés, amely kifejezetten az e rendelet 82. cikkének (1) bekezdésében említett kártérítéshez való jogra vonatkozik, első mondatában „az [említett] rendeletet sértő adatkezelés miatt okozott kárra” hivatkozik. Másrészt, az említett (75) és (85) preambulumbekezdés megemlíti, hogy „kockázatok származhatnak a személyes adatok kezeléséből, amelyek […] károkhoz vezethetnek”, illetve hogy „az adatvédelmi incidens […] károkat okozhat”. Ebből először is az következik, hogy a kárnak az ilyen adatkezelés során történő tényleges bekövetkezése csupán potenciális, másodszor, hogy a GDPR megsértése nem szükségszerűen jár együtt kárral, és harmadszor, hogy okozati kapcsolatnak kell fennállnia a szóban forgó jogsértés és az érintett által elszenvedett kár között ahhoz, hogy megalapozza a kártérítéshez való jogot.

38      A GDPR 82. cikke (1) bekezdésének szó szerinti értelmezését erősíti meg az e rendelet azon VIII. fejezetében szereplő más rendelkezésekkel való összehasonlítás is, amely többek között az érintett jogainak védelmét biztosító különféle jogorvoslatokat szabályozza az érintett személyes adatainak az említett rendelet rendelkezéseit állítólagosan sértő kezelése esetén.

39      E tekintetben hangsúlyozni kell, hogy a GDPR 77. és 78. cikke, amelyek az említett fejezetben szerepelnek, a felügyeleti hatóságnál vagy a vele szemben benyújtható jogorvoslatokról rendelkeznek e rendelet állítólagos megsértése esetén, anélkül hogy azt említenék, hogy az érintettnek „kárt” kellene elszenvednie ahhoz, hogy ilyen jogorvoslati kérelmet terjeszthessen elő, ellentétben az említett 82. cikkben a kártérítési keresetek kapcsán alkalmazott fordulattal. E megfogalmazásbeli különbség jól mutatja a „kárra” vonatkozó szempont jelentőségét, és így annak sajátosságát is, a GDPR‑en alapuló kártérítési kérelmekhez szükséges „jogsértés” szempontjához képest.

40      Hasonlóképpen, a GDPR 83. és 84. cikkeinek, amelyek lehetővé teszik közigazgatási bírságok, illetve más szankciók kiszabását, alapvetően büntető jellegű célja van, és nem köthetők konkrét kár meglétéhez. Az említett 82. cikkben megállapított szabályok és a fent említett 83. és 74. cikkben megállapított szabályok közötti tagolás azt bizonyítja, hogy van némi eltérés a rendelkezések e két csoportja között, de ugyanakkor némi egymást kiegészítő jelleg is, a GDPR betartására való ösztönzés terén, megjegyezve, hogy a mindenkit megillető kártérítéshez való jog az e rendelet által előírt védelmi szabályok működőképességét erősíti, és alkalmas arra, hogy visszatartson a jogellenes magatartások megismétlésétől.

41      Végül, pontosítani kell, hogy a GDPR (146) preambulumbekezdésének negyedik mondata arra utal, hogy a rendelet által megállapított szabályokat azon kártérítési keresetek egészére való tekintet nélkül kell alkalmazni, amelyek az uniós jog vagy valamely tagállam joga más szabályainak megsértésén alapulnak.

42      Tekintettel az előbbi megfontolások egészére, az első kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy e rendelet rendelkezéseinek puszta megsértése nem elegendő ahhoz, hogy kártérítési jogot keletkeztessen.

 A harmadik kérdésről

43      Harmadik kérdésével, amelyet célszerű a második kérdés előtt megvizsgálni, az előterjesztő bíróság lényegében arra szeretne választ kapni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy azzal ellentétes az olyan nemzeti szabály vagy gyakorlat, amely az e rendelkezés értelmében vett nem vagyoni kár megtérítését annak a feltételnek rendeli alá, hogy az érintett által elszenvedett kárnak el kell érnie egy bizonyos súlyossági küszöböt.

44      E tekintetben emlékeztetni kell arra, hogy amint azt a jelen ítélet 30. pontjában hangsúlyoztuk, a „kár”, illetve jelen esetben konkrétan a „nem vagyoni kár” fogalmának, a GDPR 82. cikke értelmében véve, a tagállamok belső jogára való utalás hiányában, az uniós jog saját fogalmaként önálló és egységes definíciót kell adni.

45      Először is, a GDPR nem határozza meg a „kár” fogalmát e jogi aktus alkalmazása céljából. A rendelet 82. cikke mindössze annak kifejezett megállapítására szorítkozik, hogy nemcsak a „vagyoni kár”, hanem a „nem vagyoni kár” is megnyithatja a kártérítéshez való jogot, anélkül hogy bármiféle súlyossági küszöbről tenne említést.

46      Másodszor, az a kontextus, amelybe e rendelkezés illeszkedik, szintén arra utal, hogy a kártérítéshez való jog nincs alárendelve annak, hogy a figyelembe vett kár elérjen egy bizonyos súlyossági küszöböt. A GDPR (146) preambulumbekezdése a harmadik mondatában ugyanis kimondja, hogy „a kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze [e rendelet] célkitűzéseit”. Márpedig, ez a „kár” fogalmának széles értelmet adó elgondolás, amelyet az uniós jogalkotó előnyben részesít, ellentmondásossá válhat, ha az említett fogalom kizárólag bizonyos súlyosságú károkra korlátozódhat.

47      Végül harmadszor, az ilyen értelmezést erősítik meg a GDPR által elérni kívánt célok. E tekintetben emlékeztetni kell arra, hogy e rendelet (146) preambulumbekezdésének harmadik mondata kifejezetten arra bátorít, hogy a rendelet értelmében vett „kár” fogalmát „oly módon [kell meghatározni], hogy az teljes mértékben tükrözze [az említett] rendelet célkitűzéseit”.

48      Különösen a GDPR (10) preambulumbkezdéséből az derül ki, hogy a rendelet rendelkezéseinek többek között az a célja, hogy biztosítsa a természetes személyek következetes és magas szintű védelmét a személyes adatok Unión belüli kezelését illetően, és e célból biztosítsa a szabadságok és alapvető jogok védelmére vonatkozó szabályok következetes és egységes alkalmazását az ilyen adatok Unió egészén belüli kezelését illetően (lásd ebben az értelemben: 2020. július 16‑i Facebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 101. pont; 2023. január 12‑i Österreichische Post [A személyes adatok címzettjeire vonatkozó információk] ítélet, C‑154/21, EU:C:2023:3, 44. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

49      Márpedig, a nem vagyoni kár megtérítésének egy bizonyos súlyossági küszöbnek való alárendelése azzal a kockázattal járna, hogy sértené a GDPR által bevezetett rendszer koherenciáját, hiszen az ilyen küszöb fokozatainak meghatározása, amelytől az említett kártérítés megítélése vagy megtagadása függene, az eljáró bíróságok értékelésétől függően változó lehet.

50      Mindazonáltal, az így adott értelmezés nem érthető úgy, mint amely azt jelenti, hogy a GDPR megsértése miatt negatív következményeket megélő érintett mentesül annak bizonyítása alól, hogy e következmények az e rendelet 82. cikke értelmében vett nem vagyoni kárt képeznek.

51      Az előbbiekben kifejtett okokra tekintettel a harmadik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabály vagy gyakorlat, amely az e rendelkezés értelmében vett nem vagyoni kár megtérítését annak a feltételnek rendeli alá, hogy az érintett által elszenvedett kárnak el kell érnie egy bizonyos súlyossági küszöböt.

 A második kérdésről

52      Második kérdésével az előterjesztő bíróság lényegében arra szeretne választ kapni, hogy a GDPR 82. cikkét úgy kell‑e értelmezni, hogy az e cikkben említett kártérítéshez való jog alapját képező károk összegének meghatározása céljából a nemzeti bíróságoknak az egyes tagállamok pénzbeli kártérítés mértékére vonatkozó belső szabályait kell alkalmazniuk, de nem csupán az uniós jog szerinti egyenértékűség és hatékony érvényesülés elveit kell tiszteletben tartaniuk.

53      E tekintetben emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint az adott területre vonatkozó uniós szabályozás hiányában a jogalanyok számára biztosított jogok védelmének garantálására irányuló bírósági felülvizsgálatra vonatkozó eljárási szabályok meghozatala az eljárási autonómia elve alapján az egyes tagállamok belső jogrendjére tartozik, azzal a feltétellel azonban, hogy e szabályok nem lehetnek kedvezőtlenebbek a hasonló jellegű belső jogi helyzetekre vonatkozókhoz képest (az egyenértékűség elve), és nem tehetik gyakorlatilag lehetetlenné vagy rendkívül nehézzé az uniós jog által biztosított jogok gyakorlását (a tényleges érvényesülés elve) (lásd ebben az értelemben: 2017. december 13‑i El Hassani ítélet, C‑403/16, EU:C:2017:960, 26. pont; 2022. szeptember 15‑i Uniqa Versicherungen ítélet, C‑18/21, EU:C:2022:682, 36. pont).

54      A jelen esetben hangsúlyozni kell, hogy a GDPR nem tartalmaz olyan rendelkezést, amelynek az lenne a célja, hogy meghatározza az azon kártérítés megítélésére vonatkozó szabályokat, amelyet az e rendelet 4. cikkének 1. pontja értelmében vett érintettek a rendelet 82. cikke alapján olyan esetben igényelhetnek, amikor az említett rendelet megsértése számukra kárt okoz. Ennélfogva, az adott területre vonatkozó uniós jogi szabályok hiányában az egyes tagállamok belső jogrendjére tartozik az azon keresetekre vonatkozó részletes szabályok meghatározása, amelyek azon jogok védelmének biztosítását szolgálják, amelyeket a jogalanyok e 82. cikkre alapítanak, és különösen az ennek keretében járó kártérítés terjedelmének meghatározását lehetővé tevő szempontok meghatározása, az egyenértékűség és a hatékony érvényesülés elveinek tiszteletben tartása mellett (lásd analógia útján: 2006. július 13‑i Manfredi és társai ítélet, C‑295/04–C‑298/04, EU:C:2006:461, 92. és 98. pont).

55      Ami az egyenértékűség elvét illeti, a jelen eljárásban a Bíróság nem talált olyan jellegű elemet, amely kétséget vetne fel valamely, az alapeljárásban alkalmazható nemzeti szabály ezen elvnek való megfelelését illetően, és ennélfogva olyan jellegű elemet sem, amely arra utalna, hogy az említett elvnek konkrét jelentősége lenne e jogvitában.

56      Ami a hatékony érvényesülés elvét illeti, a kérdést előterjesztő bíróság feladata annak meghatározása, hogy az osztrák jog által a GDPR 82. cikkében említett kártérítéshez való jog alapját képező károk bírósági meghatározása érdekében előírt részletes szabályok nem teszik‑e a gyakorlatban lehetetlenné vagy túlságosan nehézzé az uniós jog, illetve konkrétan az e rendelet által biztosított jogok gyakorlását.

57      Ennek keretében hangsúlyozni kell, hogy a GDPR (146) preambulumbekezdésének hatodik mondata arra utal, hogy e jogi aktus annak biztosítására irányul, hogy az érintetteket „az őket ért kárért teljes és tényleges kártérítés” illesse meg.

58      E tekintetben, figyelembe véve a GDPR 82. cikkében megállapított kártérítéshez való jog kompenzációs szerepét, amint azt a főtanácsnok indítványának 39., 49. és 52. pontjában lényegében hangsúlyozta, az e rendelkezésen alapuló pénzbeli kártérítést „teljesnek és ténylegesnek” kell tekinteni, ha lehetővé teszi az e rendelet megsértése miatt konkrétan elszenvedett kár teljes egészében való kompenzálását, anélkül hogy az ilyen teljes egészében való kompenzáláshoz szükséges lenne büntető jellegű kártérítést előírni.

59      A fenti megfontolások egészére tekintettel, a második kérdésre azt a választ kell adni, hogy a GDPR 82. cikkét úgy kell értelmezni, hogy az e cikkben említett kártérítéshez való jog alapját képező károk összegének meghatározása céljából a nemzeti bíróságoknak az egyes tagállamok pénzbeli kártérítés mértékére vonatkozó belső szabályait kell alkalmazniuk, amennyiben tiszteletben tartják az uniós jog szerinti egyenértékűség és hatékony érvényesülés elveit.

 A költségekről

60      Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (harmadik tanács) a következőképpen határozott:

1)      A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 82. cikkének (1) bekezdését

a következőképpen kell értelmezni:

e rendelet rendelkezéseinek puszta megsértése nem elegendő ahhoz, hogy kártérítési jogot keletkeztessen.

2)      A 2016/679 irányelv 82. cikkének (1) bekezdését

a következőképpen kell értelmezni:

azzal ellentétes az olyan nemzeti szabály vagy gyakorlat, amely az e rendelkezés értelmében vett nem vagyoni kár megtérítését annak a feltételnek rendeli alá, hogy az érintett által elszenvedett kárnak el kell érnie egy bizonyos súlyossági küszöböt.

3)      A 2016/679 rendelet 82. cikkét

a következőképpen kell értelmezni:

az e cikkben említett kártérítéshez való jog alapját képező károk összegének meghatározása céljából a nemzeti bíróságoknak az egyes tagállamok pénzbeli kártérítés mértékére vonatkozó belső szabályait kell alkalmazniuk, amennyiben tiszteletben tartják az uniós jog szerinti egyenértékűség és hatékony érvényesülés elveit.

Aláírások

*      Az eljárás nyelve: német.