CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:1022

A BÍRÓSÁG ÍTÉLETE (harmadik tanács)

2023. december 21.(*)

„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – A 6. cikk (1) bekezdése – Az adatkezelés jogszerűségének feltételei – A 9. cikk (1)–(3) bekezdése – Az adatok különleges kategóriáinak kezelése – Egészségügyi adatok – A munkavállaló munkaképességének értékelése – Az egészségbiztosítás területén működő, a saját alkalmazottai egészségügyi adatait kezelő egészségügyi szolgálat – Az ilyen adatkezelés megengedhetősége és feltételei – A 82. cikk (1) bekezdése – Kártérítéshez való jog és felelősség – Nem vagyoni kár megtérítése – Kompenzációs funkció – Az adatkezelő vétkességének jelentősége”

A C‑667/21. sz. ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Bundesarbeitsgericht (szövetségi munkaügyi bíróság, Németország) a Bírósághoz 2021. november 8‑án érkezett, 2021. augusztus 26‑i határozatával terjesztett elő a

és

a Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts

között folyamatban lévő eljárásban,

A BÍRÓSÁG (harmadik tanács),

tagjai: K. Jürimäe tanácselnök, N. Piçarra, M. Safjan, N. Jääskinen (előadó) és M. Gavalec bírák,

főtanácsnok: M. Campos Sánchez‑Bordona,

hivatalvezető: A. Calot Escobar,

tekintettel az írásbeli szakaszra,

figyelembe véve a következők által előterjesztett észrevételeket:

– ZQ képviseletében E. Daun Rechtsanwalt,

– a Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts képviseletében M. Wehner Rechtsanwalt,

– Írország képviseletében M. Browne Chief State Solicitor, A. Joyce és M. Lane, meghatalmazotti minőségben, segítőjük: D. Fennelly BL,

– az olasz kormány képviseletében G. Palmieri, meghatalmazotti minőségben, segítője: M. Russo avvocato dello Stato,

– az Európai Bizottság képviseletében A. Bouchagiar, M. Heller és H. Kranenborg, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2023. május 25‑i tárgyaláson történt meghallgatását követően,

meghozta a következő

Ítéletet

1 Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 9. cikke (1) bekezdésének, (2) bekezdése h) pontjának és (3) bekezdésének a 6. cikkének (1) bekezdésével összefüggésben való értelmezésére, valamint e rendelet 82. cikke (1) bekezdésének az értelmezésére vonatkozik.

2 E kérelmet a ZQ és munkáltatója, a Medizinischer Dienst der Krankenversicherung Nordrhein (észak‑rajnai egészségbiztosítási egészségügyi szolgálat, Németország; a továbbiakban: MDK Nordrhein) között folyamatban lévő jogvita keretében terjesztették elő, melynek tárgya azon kár megtérítése, amely az előbbit állítása szerint az egészségi állapotára vonatkozó adatoknak az utóbbi által jogellenesen végzett kezelése miatt érte.

Jogi háttér

Az uniós jog

3 A GDPR (4)–(8), (10), (35), (51)–(53), (75) és (146) preambulumbekezdésének szövege a következő:

„(4) A személyes adatok kezelését az emberiség szolgálatába kell állítani. A személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban, a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyensúlyban más alapvető jogokkal. Ez a rendelet minden alapvető jogot tiszteletben tart, és szem előtt tartja [az Európai Unió Alapjogi Chartájában] elismert és a Szerződésekben rögzített szabadságokat és elveket, különösen ami a magán‑ és a családi élet […] és a személyes adatok védelméhez […] való jogot illeti.

(5) A belső piac működéséből eredő gazdasági és társadalmi integráció lényegesen megnövelte a személyes adatok határokon átnyúló áramlását. Megnövekedett az állami és a magánszereplők, köztük a természetes személyek, egyesületek és a vállalkozások között [Európai] Unió‑szerte zajló személyes adatok cseréje. Az uniós jog együttműködésre és személyes adatok cseréjére kötelezi tagállamok nemzeti hatóságait annak érdekében, hogy képesek legyenek feladataikat ellátni, illetve hogy más tagállam hatóságai nevében eljárjanak.

(6) A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes adatok védelmét. A személyes adatok gyűjtése és megosztása jelentős mértékben megnőtt. A technológia a vállalkozások és a közhatalmi szervek számára tevékenységük folytatásához a személyes adatok felhasználását minden eddiginél nagyobb mértékben lehetővé teszi. Az emberek egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten elérhetővé személyes adatokat. A technológia egyaránt átalakította a gazdasági és a társadalmi életet, és egyre inkább elősegíti a személyes adatok Unión belüli szabad áramlását és a személyes adatok harmadik országok és nemzetközi szervezetek részére történő továbbítását, biztosítva egyúttal a személyes adatok magas szintű védelmét.

(7) E fejlemények egy olyan szilárd és az eddiginél következetesebb uniós adatvédelmi keretet igényelnek, amelyet erős kikényszeríthetőség támogat, hiszen a bizalom megteremtése fontos a digitális gazdaság belső piaci fejlődéséhez. A természetes személyek számára biztosítani kell, hogy saját személyes adataik felett maguk rendelkezzenek. A természetes személyek, a gazdasági szereplők és a közhatalmi szervek számára a jogbiztonságot és a gyakorlati biztonságot fokozni kell.

(8) Ha e rendelet úgy rendelkezik, hogy a benne foglalt szabályokat tagállami jog által pontosítani, illetve korlátozni lehet, a tagállamok e rendelet egyes elemeit beépíthetik a nemzeti jogukba, ha az a koherencia biztosításához, valamint ahhoz szükséges, hogy a nemzeti rendelkezések a hatályuk alá tartozó személyek számára érthetők legyenek.

[…]

(10) A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. […] Ez a rendelet a tagállamok számára mozgásteret biztosít ahhoz, hogy pontosítsák a benne meghatározott szabályokat, ideértve a személyes adatok különleges kategóriáira (»különleges adatok«) vonatkozókat is. […]

[…]

(35) Az egészségügyi személyes adatok közé tartoznak az érintett egészségi állapotára vonatkozó olyan adatok, amelyek információt hordoznak az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotáról. […]

[…]

(51) Az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak. […] Az ilyen adatkezelésre vonatkozó konkrét előírásokon kívül e rendelet általános elveit és egyéb szabályait kell alkalmazni, különösen a jogszerű adatkezelés feltételei tekintetében. A személyes adatok ilyen különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérésről kifejezetten rendelkezni kell, ideértve, ha az érintett egyértelmű hozzájárulását adja, vagy bizonyos sajátos adatkezelési szükségletekre tekintettel […]

(52) A személyes adatok különleges kategóriáira vonatkozó adatkezelési tilalomtól való eltérés szintén megengedhető, ha erről az uniós vagy tagállami jog rendelkezik, és ha arra megfelelő garanciák mellett kerül sor a személyes adatok és más alapvető jogok védelme érdekében, ha ez valamely közérdeken alapul, így különösen a foglalkoztatási jog és a szociális védelmi jog területén, a nyugdíjakat is beleértve, valamint a népegészség‑védelem, a nyomonkövetési és riasztási célok, a fertőző betegségek és más súlyos egészségügyi veszélyek megelőzése, valamint az ellenük való védekezés érdekében végzett személyesadat‑kezelés esetében. Ezekre az eltérésekre egészségügyi célokból – köztük a népegészségüggyel és az egészségügyi szolgáltatások irányításával kapcsolatos célokból – kerülhet sor, különösen annak biztosítása érdekében, hogy az egészségbiztosítási rendszer szolgáltatásaival és juttatásaival kapcsolatos igények rendezésére szolgáló eljárások magas szintűek és költséghatékonyak legyenek, továbbá a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból. […]

(53) A különleges kategóriába tartozó, magasabb szintű védelmet igénylő személyes adatokat kizárólag abban az esetben lehet az egészséggel kapcsolatos célokból kezelni, ha az az említett céloknak a természetes személyek és a társadalom egészének érdekében történő eléréséhez szükséges, különösen az egészségügyi és szociális szolgáltatások és rendszerek irányításának összefüggésében, beleértve azt is, amikor az irányító és központi nemzeti egészségügyi hatóságok a következő célokból végzik az ilyen adatok kezelését: minőségellenőrzés, információkezelés, valamint az egészségügyi és szociális rendszer általános országos és helyi felügyelete, továbbá az egészségügyi és szociális ellátás, […] valamint a népegészség‑védelem folytonosságának biztosítása […]. Ebből kifolyólag a sajátos adatkezelési szükségletek tekintetében ebben a rendeletben harmonizált feltételeket kell meghatározni az egészségügyi személyes adatok különleges kategóriáinak kezelésére vonatkozóan, különösen azt illetően, ha ezen adatok kezelését bizonyos egészséggel kapcsolatos célokból olyan személyek végzik, akikre jogszabályban megállapított szakmai titoktartási kötelezettség vonatkozik. Az uniós vagy tagállami jogban rendelkezni kell olyan célzott és megfelelő intézkedésekről, amelyek a természetes személyek alapvető jogainak és személyes adatainak védelmére irányulnak. A tagállamok további feltételeket – például korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai adatok, a biometrikus adatok és az egészségügyi adatok kezelésére vonatkozóan. […]

[…]

(75) A természetes személyek jogait és szabadságait érintő – változó valószínűségű és súlyosságú – kockázatok származhatnak a személyes adatok kezeléséből, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek, különösen, ha az adatkezelésből hátrányos megkülönböztetés, személyazonosság‑lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség, a jó hírnév sérelme, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése, az álnevesítés engedély nélkül történő feloldása, vagy bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat; vagy ha az érintettek nem gyakorolhatják jogaikat és szabadságaikat, vagy nem rendelkezhetnek saját személyes adataik felett; vagy ha […] a kezelt adatok […] egészségügyi adatok […]; vagy ha személyes jellemzők értékelésére, így különösen munkahelyi teljesítménnyel kapcsolatos jellemzők, gazdasági helyzet, egészségi állapot […] elemzésére vagy előrejelzésére kerül sor személyes profil létrehozása vagy felhasználása céljából; […]

[…]

(146) Az adatkezelő vagy az adatfeldolgozó az e rendeletet sértő adatkezelés miatt okozott kárt köteles megtéríteni. Az adatkezelőt vagy az adatfeldolgozót a kártérítési kötelezettség alól abban az esetben mentesíteni kell, ha bizonyítja, hogy a kár bekövetkeztéért őt semmilyen felelősség nem terheli. A kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze e rendelet célkitűzéseit. Ez nem érinti a más uniós vagy tagállami jog megsértéséből eredő károkkal kapcsolatos esetleges kártérítési igényeket. Az e rendeletet sértő adatkezelés magában foglalja az e rendelettel összhangban elfogadott, felhatalmazáson alapuló jogi aktusokat és végrehajtási jogi aktusokat, valamint az e rendeletben foglalt szabályokat pontosító tagállami jogot [helyesen: az e rendelettel és az e rendeletben foglalt szabályokat pontosító tagállami joggal összhangban elfogadott, felhatalmazáson alapuló jogi aktusokat és végrehajtási jogi aktusokat] sértő adatkezelést is. Az érintetteket az őket ért kárért teljes és tényleges kártérítés illeti meg. […]”

4 Az e rendeletnek az „[á]ltalános rendelkezések[re]” vonatkozó I. fejezetében szereplő, „Tárgy” című 2. cikke az (1) bekezdésében a következőket írja elő:

„E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.”

5 Az említett rendelet „Fogalommeghatározások” címet viselő 4. cikke szerint:

„E rendelet alkalmazásában:

1. »személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; […]

2. »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége […];

[…]

7. »adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza;

[…]

15. »egészségügyi adat«: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

[…]”

6 A GDPR‑nek az e rendelet által meghatározott „[e]lvek”‑re vonatkozó II. fejezete tartalmazza annak 5–11. cikkét.

7 E rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke a következőket írja elő:

„(1) A személyes adatok:

a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni (»jogszerűség, tisztességes eljárás és átláthatóság«);

[…]

f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (»integritás és bizalmas jelleg«).

(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

8 Az említett rendeletnek „Az adatkezelés jogszerűsége”című 6. cikke az (1) bekezdésében a következőket írja elő:

„A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.”

9 Ugyanezen rendelet 9. cikke, melynek címe „A személyes adatok különleges kategóriáinak kezelése”, a következőket írja elő:

„(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha:

[…]

b) az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;

[…]

h) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel;

[…]

(3) Az (1) bekezdésben említett személyes adatokat abban az esetben lehet a (2) bekezdés h) pontjában említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.

(4) A tagállamok további feltételeket – köztük korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai adatok, a biometrikus adatok és az egészségügyi adatok kezelésére vonatkozóan.”

10 A GDPR‑nek „Az adatkezelő és az adatfeldolgozó” című IV. fejezete tartalmazza annak 24–43. cikkét.

11 Az e fejezet „Általános kötelezettségek” című 1. szakaszában szereplő, „Az adatkezelő feladatai” című 24. cikk az (1) bekezdésében a következőket írja elő:

„Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.”

12 Az említett rendelet „Adatbiztonság” című 2. fejezetében foglalt 32. cikk, melynek címe „Az adatkezelés biztonsága”, az (1) bekezdésében a következőképpen rendelkezik:

„Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

a) a személyes adatok álnevesítését és titkosítását;

b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;

[…]”

13 A GDPR „Jogorvoslat, felelősség és szankciók” című VIII. fejezete tartalmazza e rendelet 77–84. cikkét.

14 Az említett rendeletnek „A kártérítéshez való jog és a felelősség” című 82. cikke értelmében:

„(1) Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

(2) Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. […]

(3) Az adatkezelő, illetve az adatfeldolgozó mentesül az e cikk (2) bekezdése szerinti felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

[…]”

15 A GDPR‑nek „A közigazgatási bírságok kiszabására vonatkozó általános feltételek” című 83. cikke a következőket írja elő:

„(1) Valamennyi felügyeleti hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.

(2) […] Annak eldöntésekor, hogy szükség van‑e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:

a) a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;

b) a jogsértés szándékos vagy gondatlan jellege;

[…]

d) az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa a 25. és 32. cikk alapján foganatosított technikai és szervezési intézkedéseket;

[…]

k) az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.

(3) Ha egy adatkezelő vagy adatfeldolgozó egyazon adatkezelési művelet vagy egymáshoz kapcsolódó adatkezelési műveletek tekintetében – szándékosan vagy gondatlanságból – e rendelet több rendelkezését is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.

[…]”

16 E rendelet „Szankciók” című 84. cikkének (1) bekezdése a következőképpen rendelkezik:

„A tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó további szankciókra vonatkozó szabályokat, különösen azon jogsértések tekintetében, amelyek nem tartoznak a 83. cikkben meghatározott, közigazgatási bírságokkal sújtható jogsértések közé, és meghoznak minden szükséges intézkedést ezek végrehajtására. E szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.”

A nemzeti jog

17 A Sozialgesetzbuch, Fünftes Buchnak (szociális törvénykönyv, ötödik könyv) az alapügyre alkalmazandó változata a 275. §‑ának (1) bekezdésében azt írja elő, hogy a kötelező egészségbiztosítási pénztárak kötelesek felkérni az őket segítő Medizinischer Dienstet (egészségügyi szolgálat) különösen arra, hogy a törvényben meghatározott esetekben, vagy ha a biztosított betegsége ezt szükségessé teszi, a biztosított munkaképtelenségével kapcsolatos kételyek eloszlatása érdekében készítsen szakvéleményt.

18 E törvénykönyv 278. §‑ának (1) bekezdése előírja, hogy az ilyen egészségügyi szolgálatot minden tartományban közjogi szervezet formájában hozzák létre.

Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

19 Az MDK Nordrhein közjogi szervezet, amelynak egészségbiztosítási pénztárak egészségügyi szolgálataként többek között az a feladata, hogy a hatáskörébe tartozó kötelező egészségbiztosítási pénztáraknál biztosított személyek munkaképtelenségével kapcsolatos kételyek eloszlatása érdekében orvosi szakvéleményeket készítsen, abban az esetben is, ha e szakvélemények a saját munkavállalóira vonatkoznak.

20 Ilyen esetben kizárólag a „különleges ügyek egységének” nevezett speciális egység tagjai jogosultak e munkavállaló úgynevezett „szociális” adatainak a szervezet informatikai rendszere zárt domainjének használatával történő kezelésére, és a szakvéleményt tartalmazó akta lezárását követően a digitális archívumhoz való hozzáférésre. Az ezen ügyekre vonatkozó belső szolgálati feljegyzés többek között azt írja elő, hogy korlátozott számú feljogosított alkalmazott – ideértve az informatikai szolgálat egyes alkalmazottait – férhet hozzá az említett adatokhoz.

21 Az alapeljárás felperese az MDK Nordrhein informatikai szolgálatánál dolgozott, mielőtt egészségügyi okból munkaképtelenné vált. Annak a félévnek a végén, amelynek során e szervezet munkáltatóként továbbra is díjazásban részesítette, a kötelező egészségbiztosítási pénztár, amelynél biztosított volt, elkezdett a számára táppénzt fizetni.

22 E pénztár ekkor felkérte az MDK Nordrheint, hogy készítsen az alapeljárás felperesének munkaképtelenségére vonatkozó szakvéleményt. Az MDK Nordrheinnél működő „különleges ügyek egységének” egyik orvosa azt elkészítette, és ennek során többek között információkat szerzett be az alapeljárás felperesének kezelőorvosától. Amikor ez utóbbit a kezelőorvosa erről tájékoztatta, az említett felperes kapcsolatba lépett az informatikai szolgálatnál dolgozó egyik munkatársával, és arra kérte, hogy készítsen felvételeket az MDK Nordrhein digitális archívumában található szakértői jelentésről, majd küldje meg neki e felvételeket.

23 Az alapeljárás felperese, mivel úgy ítélte meg, hogy az egészségére vonatkozó adatokat a munkáltatója így jogellenesen kezelte, azt kérte az utóbbitól, hogy fizessen meg a számára 20 000 euró összegű kártérítést, amit az MDK Nordrhein megtagadott.

24 Ezt követően az alapeljárás felperese az Arbeitsgericht Düsseldorfhoz (düsseldorfi munkaügyi bíróság, Németország) fordult annak érdekében, hogy a GDPR 82. cikkének (1) bekezdése és a német jog rendelkezései alapján az MDK Nordrheint kötelezzék a személyes adatok ily módon végzett kezelése miatt az említett felperes által állítólagosan elszenvedett kár megtérítésére. E felperes lényegében egyrészt arra hivatkozott, hogy a szóban forgó szakvéleményt egy másik egészségügyi szolgálatnak kellett volna elkészítenie annak elkerülése érdekében, hogy a munkatársai hozzáférhessenek az egészségügyi adataihoz, és másrészt arra, hogy az e szakvéleményre vonatkozó jelentés archiválását kísérő biztonsági intézkedések elégtelenek voltak. Azzal érvelt továbbá, hogy ez az adatkezelés az ilyen adatok védelmét szolgáló jogszabályok megsértésének minősül, amely mind nem vagyoni, mind vagyoni károkat okozott a számára.

25 Ellenkérelmében az MDK Nordrhein elsődlegesen azzal érvelt, hogy az alapeljárás felperesére vonatkozó egészségügyi adatok begyűjtése és megőrzése az ilyen adatok védelmére vonatkozó rendelkezéseknek megfelelően történt.

26 Az alapeljárás felperese, mivel az első fokú eljárásban pervesztes lett, fellebbezést nyújtott be a Landesarbeitsgericht Düsseldorfhoz (düsseldorfi munkaügyi fellebbviteli bíróság, Németország), amely szintén elutasító döntést hozott. Az említett felperes ezt követően felülvizsgálati kérelmet nyújtott be a Bundesarbeitsgerichthez (szövetségi munkaügyi bíróság, Németország), amely a jelen ügyben a kérdést előterjesztő bíróság.

27 Ezen utóbbi bíróság abból az előfeltevésből indul ki, hogy az alapjogvitában az MDK Nordrhein mint egészségügyi szolgálat által készített szakértői vélemény „személyes adatok”, konkrétabban pedig a GDPR 4. cikkének 1., 2. és 15. pontja értelmében vett „egészségügyi adatok” „kezelésének” minősül, így e művelet e rendeletnek a 2. cikkének (1) bekezdésében meghatározott tárgyi hatálya alá tartozik. Ezenkívül úgy véli, hogy az MDK Nordrhein az említett rendelet 4. cikkének 7. pontja értelmében vett érintett „adatkezelő”.

28 Az említett bíróság kérdései elsősorban a GDPR‑nek a személyes adatok különleges kategóriáinak kezelésére vonatkozó 9. cikkében foglalt rendelkezések értelmezését érintik, figyelemmel többek között arra, hogy az alapügy tárgyát képező adatkezelést olyan szervezet végezte, amely egyben az érintett személynek az e rendelet 4. cikkének 1. pontjában meghatározott munkáltatója is.

29 A kérdést előterjesztő bíróságnak először is kétségei vannak azt illetően, hogy az egészségügyi adatoknak az alapügy tárgyát képező kezelése a GDPR 9. cikkének (2) bekezdésében előírt kivételek valamelyikének hatálya alá tartozhat‑e. E bíróság álláspontja szerint a jelen ügyben kizárólag az e (2) bekezdés b) és h) pontjában szereplő kivételek relevánsak. Ugyanakkor eleve kizárja az e b) pontban előírt eltérésnek a jelen ügyben való alkalmazását, mivel az alapügy tárgyát képező adatkezelés nem volt szükséges az adatkezelőt mint az érintett munkáltatóját megillető jogok gyakorlásához és kötelezettségek teljesítéséhez. E kezelést ugyanis egy másik szervezet kezdeményezte, amely arra kérte az MDK Nordrheinet, hogy egészségügyi szolgálatként végezzen ellenőrzést. Ezzel szemben a kérdést előterjesztő bíróság – bár hajlik arra az álláspontra, hogy az e h) pontban előírt eltérés sem alkalmazandó, mivel úgy tűnik számára, hogy csupán a „semleges harmadik személy” által végzett adatkezelés tartozhat annak hatálya alá, és egy szervezet nem hivatkozhat a munkáltatóként és egészségügyi szolgálatként fennálló „kettős funkciójára” az ilyen adatkezelés tilalma alkalmazásának mellőzése érdekében – e tekintetben nem tűnik kategorikusnak.

30 Ezenfelül, abban az esetben, ha az egészségügyi adatok kezelése ilyen körülmények között a GDPR 9. cikke (2) bekezdésének h) pontja alapján engedélyezett, a kérdést előterjesztő bíróság az egészségügyi adatok védelmére vonatkozó, azon szabályokról érdeklődik, amelyeket ennek keretében tiszteletben kell tartani. Véleménye szerint e rendelet értelmében nem elegendő, ha az adatkezelő megfelel az e rendelet 9. cikkének (3) bekezdésében szereplő követelményeknek. Ezen adatkezelőnek biztosítania kell továbbá, hogy az érintett személy egyik munkatársa se férhessen hozzá az e személy egészségi állapotára vonatkozó adatokhoz.

31 Végezetül e bíróság – továbbra is ugyanebben az esetben – azt kívánja megtudni, hogy a GDPR 6. cikkének (1) bekezdésében foglalt feltételek legalább egyikének is teljesülnie kell‑e ahhoz, hogy az ilyen adatkezelés jogszerű legyen. Álláspontja szerint erre igennel kell válaszolni, és az alapjogvita keretében a priori csak e 6. cikk (1) bekezdése első albekezdésének c) és e) pontja lehet releváns. Mindazonáltal e c) és e) pont nem alkalmazható, mivel az érintett adatkezelés e rendelkezések értelmében nem „szükséges”, mivel azt az MDK Nordrheintől eltérő más egészségügyi szolgálat is végezhetné.

32 Másodszor, ha a jelen ügyben fennáll a GDPR megsértése, a kérdést előterjesztő bíróságban az alapeljárás felperesének az e rendelet 82. cikke alapján esetlegesen járó kártérítéssel kapcsolatban merült fel kérdés.

33 Egyrészt azt kívánja megtudni, hogy a GDPR 82. cikkének (1) bekezdésében előírt szabály a jóvátételi funkcióján kívül visszatartó vagy büntető jellegű‑e, és adott esetben figyelembe kell‑e venni az említett jelleget a nem vagyoni kár címén megítélt kártérítés összegének meghatározásakor, tekintettel többek között a tényleges érvényesülésnek, az arányosságnak és az egyenértékűségnek az uniós jog más területein rögzített elvére.

34 Másrészt e bíróság arra az álláspontra hajlik, hogy az adatkezelő felelőssége az említett 82. cikk (1) bekezdése alapján anélkül is megállapítható, hogy bizonyítani kellene a vétkességét. Mivel azonban – főként a német jogszabályok alapján – kétségeket táplál, azt a kérdést veti fel, hogy meg kell‑e vizsgálni, hogy a GDPR szóban forgó megsértése az adatkezelőnek a szándékos cselekménye vagy gondatlansága miatt tudható‑e be, és hogy az esetleges vétkessége súlyossági fokának ki kell‑e hatnia a nem vagyoni kár után megítélt kártérítésre.

35 E körülmények között a Bundesarbeitsgericht (szövetségi munkaügyi bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„(1) Úgy kell‑e értelmezni [a GDPR] 9. cikke (2) bekezdésének h) pontját, hogy az egészségbiztosítási pénztár egészségügyi szolgálata nem kezelheti saját munkavállalójának az e munkavállaló munkavégzési képessége felmérésének feltételét képező egészségügyi adatait?

2) Ha a Bíróság nemleges választ ad az első kérdésre azzal a következménnyel, hogy [a GDPR] 9. cikke (2) bekezdésének h) pontja alapján kivétel állhat fenn az egészségügyi adatok kezelésének [a GDPR] 9. cikkének (1) bekezdésében előírt tilalma alól: a jelen ügyben szereplőhöz hasonló helyzetben [a GDPR] 9. cikkének (3) bekezdésében foglalt követelményeken túlmenően további adatvédelmi előírásoknak is meg kell‑e felelni, és adott esetben melyeknek?

3) Ha a Bíróság nemleges választ ad az első kérdésre azzal a következménnyel, hogy [a GDPR] 9. cikke (2) bekezdésének h) pontja alapján kivétel állhat fenn az egészségügyi adatok kezelésének [a GDPR] 9. cikkének (1) bekezdésében előírt tilalma alól: a jelen ügyben szereplőhöz hasonló helyzetben legalább [a GDPR] 6. cikkének (1) bekezdésében felsorolt feltételek egyikének is teljesülnie kell‑e ahhoz, hogy az egészségügyi adatok kezelése megengedett, illetve jogszerű legyen?

4) Különös, illetve általános megelőzési jelleggel bír‑e [a GDPR] 82. cikkének (1) bekezdése, és figyelembe kell‑e venni ezt az adatkezelő, illetve adatfeldolgozó terhére a megtérítendő nem vagyoni kár mértékének [a GDPR] 82. cikkének (1) bekezdése alapján történő megállapítása során?

5) Jelentőséggel bír‑e a megtérítendő nem vagyoni kár mértékének [a GDPR] 82. cikkének (1) bekezdése alapján történő megállapítása során az adatkezelő, illetve adatfeldolgozó vétkességének mértéke? Figyelembe vehető‑e különösen az adatkezelő, illetve adatfeldolgozó javára vétkességének hiánya vagy kis mértéke?”

Az előzetes döntéshozatalra előterjesztett kérdésekről

Az első kérdésről

36 A kérdést előterjesztő bíróság az első kérdésével lényegében arra vár választ, hogy a GDPR 9. cikkének (1) bekezdésében előírt, az egészségügyi adatok kezelésére vonatkozó tilalomra tekintettel e cikk (2) bekezdésének h) pontját úgy kell‑e értelmezni, hogy az ott előírt kivétel alkalmazandó azokra a helyzetekre, amelyekben az ellenőrző egészségügyi szervezet az egyik munkavállalójának az egészségügyi adatait nem munkáltatóként, hanem e munkavállaló munkaképességének értékelése céljából egészségügyi szolgálatként kezeli.

37 Az állandó ítélkezési gyakorlat szerint valamely uniós jogi rendelkezés helyes értelmezéséhez nemcsak annak szövegét, hanem azt a kontextust is figyelembe kell venni, amelybe illeszkedik, valamint azon jogi aktus céljait is, amelynek az a részét képezi. Az uniós jogi rendelkezés keletkezése szintén felfedhet az értelmezése szempontjából releváns tényezőket (2023. március 16‑i Towercast ítélet, C‑449/21, EU:C:2023:207, 31. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

38 Először is emlékeztetni kell arra, hogy a GDPR 9. cikke, amint azt a címe is jelzi, „[a] személyes adatok különleges kategóriáinak kezelésére” vonatkozik, amelyeket e rendelet (10) és (51) preambulumbekezdése „különleges” adatoknak is minősít.

39 A GDPR (51) preambulumbekezdése szerint az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak.

40 A GDPR 9. cikkének (1) bekezdése így rögzíti a személyes adatok e rendeletben említett különleges kategóriáira vonatkozó adatkezelés tilalmának elvét. Ezen utóbbiak között szerepelnek az e rendelet 4. cikkének a (35) preambulumbekezdésével összefüggésben értelmezett 15. pontjában meghatározott „egészségügyi adatok”, amelyekre a jelen ügy vonatkozik.

41 A Bíróság pontosította, hogy az említett rendelet 9. cikke (1) bekezdésének célja az olyan adatkezelésekkel szembeni fokozott védelem biztosítása, amelyek a tárgyukat képező adatok különleges érzékenysége miatt az Alapjogi Charta 7. és 8. cikkében biztosított, a magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető jogba való különösen súlyos beavatkozást jelenthetnek (lásd ebben az értelemben: 2023. június 5‑i Bizottság kontra Lengyelország [A bírák függetlensége és magánélete] ítélet, C‑204/21, EU:C:2023:442, 345. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

42 A GDPR 9. cikke (2) bekezdésének a)–j) pontja ugyanakkor az e különleges adatok kezelésének tilalmára vonatkozó elv alóli kivételek kimerítő felsorolását tartalmazza.

43 A GDPR 9. cikke (2) bekezdésének h) pontja konkrétan akkor teszi lehetővé az ilyen adatkezelést, ha az „[többek között] a munkavállaló munkavégzési képességének felmérése […] érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében”. E rendelkezés pontosítja, hogy ezen túlmenően minden, ezen az alapon történő adatkezelésre kifejezetten az e 9. cikk „(3) bekezdésében említett feltételek és garanciák” vonatkoznak.

44 A GDPR 9. cikke (2) bekezdésének az e cikk (3) bekezdésével összefüggésben értelmezett h) pontjából az következik, hogy az olyan különleges adatok kezelésének lehetősége, mint az egészségügyi adatok, számos kumulatív együttes feltétel előírásával szigorú szabályozás tárgyát képezi. Ez utóbbiak először is az említett h) pontban felsorolt célokra vonatkoznak – amelyek között szerepel a munkavállaló munkaképességének értékelése –, másodszor ezen adatkezelés jogalapjára, akár az uniós jogról, akár a tagállami jogról, akár egészségügyi szakemberrel kötött szerződésről van szó ugyanezen h) pont szerint, és végül harmadszor azon titoktartási kötelezettségre, amely az említett 9. cikk (3) bekezdése értelmében az ilyen adatkezelésre jogosult személyeket terheli, mivel ezen utóbbi rendelkezés értelmében e személyek mindegyike titoktartásra köteles.

45 Amint arra a főtanácsnok az indítványának a 32. és 33. pontjában lényegében rámutatott, sem a GDPR 9. cikke (2) bekezdése h) pontjának szövege, sem e rendelkezés keletkezéstörténete nem tartalmaz olyan tényezőket, amelyek alapján megállapítható lenne, hogy az említett rendelkezésben előírt eltérés alkalmazása – amint azt a kérdést előterjesztő bíróság felveti – azokra az esetekre korlátozódna, amelyekben az adatkezelést „semleges harmadik személy”, és nem az e rendelet 4. cikkének 1. pontjában meghatározott „érintett” „munkáltatója” végzi.

46 A kérdést előterjesztő bíróság azon véleményére tekintettel, amely szerint lényegében egy szervezet nem hivatkozhat az érintett munkáltatójaként és az egészségügyi szolgálatként fennálló „kettős funkciójára” annak érdekében, hogy kivonja magát az egészségügyi adatok kezelésére vonatkozó tilalomnak a GDPR 9. cikkének (1) bekezdésében előírt elve alól, pontosítani kell, hogy meghatározó jelentőségű annak a figyelembevétele, hogy ezen adatok kezelését milyen címen végzik.

47 Ugyanis, bár e 9. cikk (1) bekezdése főszabály szerint tiltja az egészségügyi adatok kezelését, az említett cikk (2) bekezdésének a)–j) pontja tíz eltérést ír elő, amelyek egymástól függetlenek, és amelyeket ezért önállóan kell értékelni. Ebből következően az, hogy az e (2) bekezdésben előírt eltérések valamelyikének alkalmazási feltételei nem teljesülnek, nem képezheti akadályát annak, hogy az adatkezelő az e rendelkezésben említett valamely más eltérésre hivatkozhasson.

48 A fentiekből következik, hogy a GDPR 9. cikke (2) bekezdésének az e cikk (3) bekezdésével összefüggésben értelmezett h) pontja semmilyen módon nem zárja ki az e h) pontban foglalt kivétel olyan helyzetekre való alkalmazhatóságát, amelyekben az ellenőrző egészségügyi szervezet a munkavállalójának az egészségügyi adatait egészségügyi szolgálatként, és nem munkáltatóként kezeli, abból a célból, hogy e munkavállaló munkaképességét értékelje.

49 Másodszor ezen értelmezést megerősíti azon rendszer figyelembevétele, amelybe a GDPR 9. cikke (2) bekezdésének h) pontja illeszkedik, valamint az e rendelet és e rendelkezés által követett célok is.

50 Először is kétségtelen, hogy a GDPR 9. cikkének (2) bekezdését, mivel az a személyes adatok különleges kategóriáinak kezelésére vonatkozó, főszabályszerű tilalom alóli kivételt ír elő, megszorítóan kell értelmezni (lásd: 2023. július 4‑i Meta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 76. pont).

51 A GDPR 9. cikkének (1) bekezdésében foglalt tilalom elvének tiszteletben tartása azonban nem eredményezheti e rendelet valamely más rendelkezése hatályának oly módon történő szűkítését, amely ellentétes lenne e rendelkezés egyértelmű szövegével. Márpedig az a javasolt értelmezés, amely szerint az e 9. cikk (2) bekezdésének h) pontjában előírt kivétel hatályát azokra az esetekre kell korlátozni, amelyekben „semleges harmadik személy” kezel egészségügyi adatokat a munkavállaló munkaképességének értékelése céljából, olyan új követelményt vezet be, amely semmilyen módon nem következik ezen utóbbi rendelkezés egyértelmű szövegéből.

52 E tekintetben irreleváns, hogy a jelen ügyben, abban az esetben, ha az MDK Nordrhein számára tilos lenne, hogy az egészségügyi szolgálatként ellátott feladatát olyan esetben végezze, ha a saját alkalmazottjairól van szó, más ellenőrző egészségügyi szervezet is elláthatja e feladatot. Hangsúlyozni kell, hogy ez a kérdést előterjesztő bíróság által hivatkozott alternatíva nem feltétlenül áll fenn vagy valósítható meg minden tagállamban és minden olyan helyzetben, amely a GDPR 9. cikke (2) bekezdése h) pontjának hatálya alá tartozhat. Márpedig e rendelkezés értelmezését nem határozhatják meg olyan megfontolások, amelyek kizárólag egyetlen tagállam egészségügyi rendszerén alapulnak, vagy az alapjogvita sajátos körülményeiből erednek.

53 Másodszor, a jelen ítélet 48. pontjában kifejtett értelmezés megfelel a GDPR és e rendelet 9. cikke céljainak.

54 A GDPR (4) preambulumbekezdése szerint a személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban, a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyensúlyban más alapvető jogokkal (lásd ebben az értelemben: 2023. június 4‑i Pankki S ítélet, C‑579/21, EU:C:2015:501, 78. pont). Ezenkívül a Bíróság már hangsúlyozta, hogy a különböző jogok és érdekek közötti megfelelő egyensúly megteremtését lehetővé tevő mechanizmusokat maga a GDPR határozza meg (lásd ebben az értelemben: 2021. június 17‑i M. I. C. M. ítélet, C‑597/19, EU:C:2021:492, 112. pont).

55 E megfontolások abban az esetben is érvényesek, ha az érintett adatok az e rendelet 9. cikkében említett különleges kategóriákba tartoznak (lásd ebben az értelemben: 2019. szeptember 24‑i GC és társai [Különleges adatokra mutató linkek törlése] ítélet, C‑136/17, EU:C:2019:773, 57. és 66–68. pont), mint például az egészségügyi adatok.

56 Konkrétabban, az általános adatvédelmi rendelet (52) preambulumbekezdéséből kitűnik, hogy „[az] […] adatok ilyen különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérés” megengedett, „ha ez valamely közérdeken alapul, így különösen a foglalkoztatási jog és a szociális védelmi jog területén”, valamint […] egészségügyi célokból, […] különösen annak biztosítása érdekében, hogy az egészségbiztosítási rendszer szolgáltatásaival és juttatásaival kapcsolatos igények rendezésére szolgáló eljárások magas szintűek és költséghatékonyak legyenek”. E rendelet (53) preambulumbekezdése szerint továbbá lehetővé kell tenni az „egészséggel kapcsolatos célokból” végzett adatkezelést, „ha az az említett céloknak a természetes személyek és a társadalom egészének érdekében történő eléréséhez szükséges, különösen az egészségügyi és szociális szolgáltatások és rendszerek irányításának összefüggésében”.

57 Ezt az általános perspektívát szem előtt tartva, és a különböző érintett jogos érdekekre tekintettel írta elő az uniós jogalkotó a GDPR 9. cikke (2) bekezdésének h) pontjában az egészségügyi adatok kezelésére vonatkozó tilalomnak az e cikk (1) bekezdésében foglalt elvétől való eltérés lehetőségét, feltéve hogy az érintett adatkezelés megfelel az e h) pontban és az e rendelet egyéb releváns rendelkezéseiben, különösen az említett 9. cikk (3) bekezdésében kifejezetten előírt feltételeknek és garanciáknak, és e rendelkezésekben nem szerepel az a követelmény, hogy az említett h) pont alapján ilyen adatokat kezelő egészségügyi szolgálatnak az érintett munkáltatójától elkülönülő jogalanynak kell lennie.

58 A fenti indokokra tekintettel és a második és harmadik kérdésre adandó válaszok sérelme nélkül az első kérdésre azt a választ kell adni, hogy a GDPR 9. cikke (2) bekezdésének h) pontját úgy kell értelmezni, hogy az e rendelkezésben előírt kivétel alkalmazandó azokra a helyzetekre, amelyekben az ellenőrző egészségügyi szervezet az egyik munkavállalójának az egészségügyi adatait nem munkáltatóként, hanem e munkavállaló munkaképességének értékelése céljából, egészségügyi szolgálatként kezeli, feltéve hogy az érintett adatkezelés megfelel az e h) pontban és említett 9. cikk (3) bekezdésében kifejezetten előírt feltételeknek és garanciáknak.

A második kérdésről

59 A kérdést előterjesztő bíróság álláspontja szerint a GDPR (35), (51), (53) és (75) preambulumbekezdéséből az következik, hogy az olyan helyzetben, mint amely az alapügy tárgyát képezi, amelyben az adatkezelő egyben azon személy munkáltatója is, akinek munkaképességét értékelik, nem elegendő a GDPR 9. cikkének (3) bekezdésében foglalt követelményeknek való megfelelés. E rendelet azt is előírja, hogy az egészségügyi adatok kezeléséből ki kell zárni az adatkezelő minden olyan alkalmazottját, akinek bármilyen szakmai kapcsolata van e személlyel. E bíróság véleménye szerint minden olyan adatkezelőnek, amely több létesítménnyel rendelkezik, mint például MDK Nordrhein, biztosítania kell, hogy az adatkezelő alkalmazottai egészségügyi adatainak kezelésével megbízott jogalany mindig más létesítményhez tartozzon, mint ahol az érintett alkalmazott dolgozik. Ezenkívül az ilyen adatok kezelésére jogosult munkavállalókat terhelő szakmai titoktartási kötelezettség ténylegesen nem akadályozza meg, hogy az érintett munkatársa hozzáférjen a rá vonatkozó adatokhoz, ami olyan károk felmerülésének veszélyével járna, mint például az érintett jóhírnevének sérelme.

60 E körülmények között a kérdést előterjesztő bíróság a második kérdésével lényegében azt kívánja megtudni, hogy a GDPR rendelkezéseit úgy kell‑e értelmezni, hogy az egészségügyi adatok kezelését az e rendelet 9. cikke (2) bekezdésének h) pontja alapján végző adatkezelőnek biztosítania kell, hogy az érintett egyetlen munkatársa se férhessen hozzá az érintett egészségi állapotára vonatkozó adatokhoz.

61 Emlékeztetni kell arra, hogy a GDPR 9. cikkének (3) bekezdése értelmében az e 9. cikk (1) bekezdésében, illetve (2) bekezdésének h) pontjában felsorolt adatokra, illetve célokra irányuló adatkezelés – a jelen ügyben egy munkavállaló egészségügyi adatainak a munkaképességének értékelése céljából történő kezelése – csak akkor végezhető, ha ezen adatokat olyan egészségügyi szakember kezeli, aki az uniós vagy a tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, vagy ha ezen adatkezelés ilyen szakember felelőssége mellett történik, vagy azt más olyan személy végzi, aki szintén az uniós vagy a tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll.

62 E rendelet 9. cikke (3) bekezdésének elfogadásakor, amely rendelkezés éppen ugyanezen cikk (2) bekezdésének h) pontjára utal, az uniós jogalkotó meghatározta azokat a különleges védelmi intézkedéseket, amelyeket az ilyen adatkezelők számára kívánt előírni, és amelyek abban állnak, hogy az ilyen adatkezelés az említett (3) bekezdésben részletezett feltételeknek megfelelően titoktartási kötelezettség hatálya alá tartozó személyek számára van fenntartva. Nincs helye tehát annak, hogy ezen utóbbi rendelkezés szövege olyan követelményekkel kerüljön kiegészítésre, amelyeket az nem említ.

63 Ebből következik, amint arra a főtanácsnok az indítványának a 43. pontjában lényegében rámutatott, hogy a GDPR 9. cikkének (3) bekezdése nem szolgálhat olyan intézkedés jogalapjául, amely biztosítja, hogy az érintett egyik munkatársa sem férhet hozzá az érintett egészségi állapotára vonatkozó adatokhoz.

64 Értékelni kell azonban, hogy e rendelet valamely más rendelkezése alapján támasztható‑e az egészségügyi adatokat a GDPR 9. cikke (2) bekezdésének h) pontja alapján kezelő adatkezelővel szemben annak biztosítására vonatkozó követelmény, hogy az érintett egyetlen munkatársa se férjen hozzá az érintett egészségi állapotára vonatkozó adatokhoz.

65 E tekintetben pontosítani kell, hogy a tagállamok az e rendelet 9. cikkének (2) és (3) bekezdésében előírtakat kizárólag az e cikk (4) bekezdésében kifejezetten biztosított, azon lehetőség útján egészíthetik ki ilyen követelménnyel, amely szerint „további feltételeket – köztük korlátozásokat – tarthatnak hatályban, illetve vezethetnek be […] az egészségügyi adatok kezelésére vonatkozóan”.

66 Mindazonáltal ezek az esetleges további feltételek nem magukból a GDPR rendelkezéseiből erednek, hanem adott esetben az ilyen típusú adatkezelésre vonatkozó nemzeti jogi szabályokból, amelyek tekintetében e rendelet kifejezetten mérlegelési mozgásteret biztosít a tagállamok számára (lásd ebben az értelemben: 2023. március 30‑i Hauptpersonalrat der Lehrerinnen und Lehrer ítélet, C‑34/21, EU:C:2023:270, 51. és 78. pont).

67 Ezenkívül hangsúlyozni kell, hogy annak a tagállamnak, amely élni kíván az említett rendelet 9. cikkének (4) bekezdésében biztosított lehetőséggel, az arányosság elvének megfelelően meg kell győződnie arról, hogy az azon kiegészítő követelmények által kiváltott – többek között szervezeti, gazdasági és egészségügyi jellegű – gyakorlati következmények, amelyeknek a tiszteletben tartását ezen állam kötelezővé kívánja tenni, ne legyenek túlzottak az ilyen adatkezelést végző adatkezelőkre nézve, akik nem feltétlenül olyan méretűek, vagy nem feltétlenül rendelkeznek olyan technikai és emberi erőforrásokkal, amelyek e követelmények teljesítéséhez megfelelőek. E rendelkezések ugyanis nem akadályozhatják az ugyanezen rendelet 9. cikke (2) bekezdésének h) pontjában kifejezetten előírt és e cikk (3) bekezdésében szabályozott adatkezelési engedély hatékony érvényesülését.

68 Végezetül hangsúlyozni kell, hogy a GDPR 32. cikke (1) bekezdésének a) és b) pontja értelmében, amely az integritás és a bizalmas jelleg e rendelet 5. cikke (1) bekezdésének f) pontjában szereplő elveit konkretizálja, minden személyesadat‑kezelőnek megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve különösen az ilyen adatok álnevesítését és titkosítását, valamint az olyan eszközöket, amelyek biztosítják többek között az adatkezelési rendszerek és szolgáltatások bizalmas jellegét és integritását. E kötelezettség gyakorlati szabályainak meghatározásához az adatkezelőnek e 32. cikk (1) bekezdése szerint figyelembe kell vennie a tudomány és technológia állását és a megvalósítás költségeit, továbbá az adatkezelés jellegét hatókörét, körülményeit és céljait, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázatot.

69 A kérdést előterjesztő bíróságnak kell azonban értékelnie, hogy az MDK Nordrhein által a jelen ügyben végrehajtott technikai és szervezeti intézkedések összessége megfelel‑e a GDPR 32. cikke (1) bekezdésének a) és b) pontjában foglalt előírásoknak.

70 A második kérdésre tehát azt a választ kell adni, hogy a GDPR 9. cikkének (3) bekezdését úgy kell értelmezni, hogy az egészségügyi adatok kezelését az e rendelet 9. cikke (2) bekezdésének h) pontja alapján végző adatkezelő e rendelkezések szerint nem köteles biztosítani, hogy az érintett egyetlen munkatársa se férhessen hozzá az érintett egészségi állapotára vonatkozó adatokhoz. Az ilyen adatkezelőnek azonban fennállhat ilyen kötelezettsége akár az említett rendelet 9. cikkének (4) bekezdése alapján elfogadott tagállami szabályozás alapján, akár az integritásnak és a bizalmas jellegnek az ugyanezen rendelet 5. cikke (1) bekezdésének f) pontjában előírt, és az e rendelet 32. cikke (1) bekezdésének a) és b) pontjában konkretizált elve alapján.

A harmadik kérdésről

71 A kérdést előterjesztő bíróság a harmadik kérdésével lényegében arra vár választ, hogy a GDPR 9. cikke (2) bekezdésének h) pontját és 6. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy ahhoz, hogy az egészségügyi adatoknak az ezen első rendelkezésen alapuló kezelése jogszerű legyen, annak nemcsak az e rendelkezésből eredő követelményeket kell tiszteletben tartania, hanem az e 6. cikk (1) bekezdésében meghatározott jogszerűségi feltételek legalább egyikének is meg kell felelnie.

72 E tekintetben emlékeztetni kell arra, hogy a GDPR 5., 6. és 9. cikke e rendelet „Elvek” című II. fejezetében szerepel, és azok a személyes adatok kezelését érintő elvekre, az adatkezelés jogszerűségére, és a személyes adatok különleges kategóriáinak kezelésére vonatkoznak.

73 Ezenkívül rá kell mutatni arra, hogy a GDPR (51) preambulumbekezdése kifejezetten úgy fogalmaz, hogy az e rendelet 9. cikkének (2) és (3) bekezdésében meghatározott, „különösen érzékeny” adatok kezelésére vonatkozó „konkrét előírásokon kívül” – a tagállamok által az e cikk (4) bekezdése alapján esetlegesen elfogadott intézkedések sérelme nélkül – „[az ilyen adatkezelésre] az [említett] rendelet általános elveit és egyéb szabályait kell alkalmazni, különösen a jogszerű adatkezelés feltételei tekintetében”, amelyeket ugyanezen rendelet 6. cikke tartalmaz.

74 Így a GDPR 6. cikke (1) bekezdésének első albekezdése szerint a „különösen érzékeny” adatok – például az egészségügyi adatok – kezelése csak akkor jogszerű, ha az e (1) bekezdés első albekezdésének a)–f) pontjában meghatározott feltételek legalább egyike teljesül.

75 Márpedig az általános adatvédelmi rendelet 6. cikke (1) bekezdésének első albekezdése kimerítő és korlátozó jelleggel sorolja fel azokat az eseteket, amelyekben a személyes adatok kezelése jogszerűnek tekinthető. Így ahhoz, hogy azt jogszerűnek lehessen tekinteni, az adatkezelésnek az e rendelkezésben előírt esetek valamelyikébe kell tartoznia (2023. július 4‑i Meta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 90. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

76 Következésképpen a Bíróság több alkalommal megállapította, hogy a személyes adatok bármely kezelésének meg kell felelnie a GDPR 5. cikkének (1) bekezdésében foglalt, az adatkezelésre vonatkozó elveknek, és meg kell felelnie az említett rendelet 6. cikkében felsorolt, az adatkezelés jogszerűségére vonatkozó feltételeknek (2023. május 4‑i Bundesrepublik Deutschland [Elektronikus igazságügyi fiók] ítélet, C‑60/22, EU:C:2023:373, 57. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

77 Ezenfelül már megállapításra került, hogy mivel a GDPR 7–11. cikkének – amely a rendelet 5. és 6. cikkéhez hasonlóan e rendeletnek az elvekre vonatkozó II. fejezetében szerepel – az a célja, hogy pontosítsa az adatkezelőt az említett rendelet 5. cikke (1) bekezdésének a) pontja és 6. cikkének (1) bekezdése alapján terhelő kötelezettségek terjedelmét, a személyes adatok kezelésének, ahhoz, hogy jogszerű legyen – ahogyan az a Bíróság ítélkezési gyakorlatából kitűnik –, az említett fejezet ezen egyéb rendelkezéseit is tiszteletben kell tartania, amelyek lényegében a hozzájárulásra, az érzékeny személyes adatok különleges kategóriáinak kezelésére, valamint a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelésére vonatkoznak (2023. május 4‑i Bundesrepublik Deutschland [Elektronikus igazságügyi fiók] ítélet, C‑60/22, EU:C:2023:373, 58. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

78 Ebből különösen az következik, hogy mivel a GDPR 9. cikke (2) bekezdése h) pontjának célja az adatkezelőt az e rendelet 5. cikke (1) bekezdésének a) pontja és 6. cikkének (1) bekezdése alapján terhelő kötelezettségek terjedelmének pontosítása, az egészségügyi adatok ezen első rendelkezésen alapuló kezelésének ahhoz, hogy jogszerű legyen, tiszteletben kell tartania mind az e rendelkezésből eredő követelményeket, mind az e két utóbbi rendelkezésből eredő kötelezettségeket, és különösen meg kell felelnie az e 6. cikk (1) bekezdésében előírt jogszerűségi feltételek legalább egyikének.

79 A fentiekre tekintettel a harmadik kérdésre azt a választ kell adni, hogy a GDPR 9. cikke (2) bekezdésének h) pontját és 6. cikkének (1) bekezdését úgy kell értelmezni, hogy ahhoz, hogy az egészségügyi adatoknak az ezen első rendelkezésen alapuló kezelése jogszerű legyen, annak nemcsak az e rendelkezésből eredő követelményeket kell tiszteletben tartania, hanem az e 6. cikk (1) bekezdésében meghatározott jogszerűségi feltételek legalább egyikének is meg kell felelnie.

A negyedik kérdésről

80 A kérdést előterjesztő bíróság a negyedik kérdésével lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy az e rendelkezésben előírt kártérítéshez való jog nemcsak kompenzációs, hanem visszatartó vagy büntető funkciót is betölt, és igenlő válasz esetén ezen utóbbit esetlegesen figyelembe kell‑e venni a nem vagyoni kár megtérítéseként e rendelkezés alapján megítélt kártérítés összegének meghatározásakor.

81 Emlékeztetni kell arra, hogy a GDPR 82. cikkének (1) bekezdése értelmében „[m]inden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult”.

82 A Bíróság e rendelkezést úgy értelmezte, hogy a GDPR puszta megsértése nem elegendő a kártérítéshez való jog megalapozásához, miután kiemelte többek között, hogy a „kár” vagy az „elszenvedett kár” megléte az e 82. cikk (1) bekezdésében említett kártérítéshez való jog egyik feltételét képezi, akárcsak e rendelet megsértésének a fennállása, valamint az e kár és az e jogsértés közötti okozati kapcsolat megléte, mivel e három feltétel kumulatív (lásd ebben az értelemben: 2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 32. és 42. pont).

83 A Bíróság ezenfelül megállapította, hogy mivel a GDPR nem tartalmaz olyan rendelkezést, amelynek az lenne a célja, hogy meghatározza az azon kártérítés megítélésére vonatkozó szabályokat, amely az e rendelet 82. cikkében előírt kártérítési jog címén fizetendő, a nemzeti bíróságoknak ehhez az eljárási autonómia elve alapján az egyes tagállamoknak a pénzbeli kártérítés mértékére vonatkozó belső szabályait kell alkalmazniuk, amennyiben tiszteletben tartják az egyenértékűségnek és a tényleges érvényesülésnek a Bíróság állandó ítélkezési gyakorlatában meghatározott uniós jogi elvét (lásd ebben az értelemben: 2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 53., 54. és 59. pont).

84 Ebben az összefüggésben, és tekintettel a GDPR (146) preambulumbekezdésének hatodik mondatára, amely szerint ez az eszköz a „teljes és tényleges kártérítés” biztosítását célozza, a Bíróság rámutatott arra, hogy figyelembe véve a GDPR 82. cikkében megállapított kártérítéshez való jog kompenzációs szerepét, az e rendelkezésen alapuló pénzbeli kártérítést „teljesnek és ténylegesnek” kell tekinteni, ha lehetővé teszi az e rendelet megsértése miatt konkrétan elszenvedett kár teljes egészében való kompenzálását, anélkül hogy az ilyen teljes egészében való kompenzáláshoz szükséges lenne büntető jellegű kártérítést előírni (lásd ebben az értelemben: 2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 57. és 58. pont).

85 E tekintetben hangsúlyozni kell, hogy a GDPR 82. cikke nem büntető, hanem kompenzációs funkciót tölt be, ellentétben e rendelet más, szintén annak VIII. fejezetében szereplő rendelkezéseivel, nevezetesen a 83. és a 84. cikkel, amelyeknek alapvetően büntető célja van, mivel lehetővé teszik közigazgatási bírságok, illetve egyéb szankciók kiszabását. Az említett 82. cikkben megállapított szabályok és az említett 83. és 84. cikkben megállapított szabályok közötti tagolás azt bizonyítja, hogy a rendelkezések e két csoportja eltérő, de azok a GDPR betartására való ösztönzés terén ki is egészítik egymást, és meg kell jegyzeni, hogy a mindenkit megillető kártérítéshez való jog az e rendelet által előírt védelmi szabályok működőképességét erősíti, és alkalmas arra, hogy visszatartson a jogellenes magatartások megismétlésétől (lásd ebben az értelemben: 2023. május 4‑i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 38. és 40. pont).

86 Mivel a GDPR 82. cikkének (1) bekezdésében előírt kártérítéshez való jog nem tölt be a kérdést előterjesztő bíróság által mérlegelt visszatartó funkciót, és büntető funkciót még kevésbé sem, a rendeletnek az érintett kárt okozó megsértésének a súlyossága nem befolyásolhatja az e rendelkezés alapján megítélt kártérítés összegét, még akkor sem, ha nem vagyoni kárról van szó. Így ezen összeget nem lehet olyan szinten rögzíteni, amely meghaladja e kár teljes megtérítését.

87 Következésképpen a negyedik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy az e rendelkezésben előírt kártérítéshez való jog kompenzációs funkciót – nem pedig visszatartó vagy büntető funkciót – tölt be, mivel az említett rendelkezésen alapuló pénzbeli kártérítésnek lehetővé kell tennie az e rendelet megsértése miatt konkrétan elszenvedett kár teljes megtérítését.

Az ötödik kérdésről

88 A kérdést előterjesztő bíróság által a Bíróság eljárási szabályzatának 101. cikke alapján hozzá intézett felvilágosításkérésre válaszul megküldött információkból kitűnik, hogy az ötödik kérdés annak meghatározására irányul, hogy egyrészt a vétkesség fennállása és/vagy bizonyítéka az adatkezelő vagy az adatfeldolgozó felelősségének megállapításához szükséges feltételnek minősül‑e, és másrészt az adatkezelő vagy az adatfeldolgozó vétkességének súlyossági foka milyen hatással lehet az elszenvedett nem vagyoni kár megtérítéseként fizetendő kártérítés konkrét értékelésére.

89 A kérdést előterjesztő bíróság e válaszára figyelemmel az ötödik kérdést úgy kell értelmezni, hogy az lényegében arra irányul, hogy egyrészt a GDPR 82. cikkét úgy kell‑e értelmezni, hogy az adatkezelő felelősségének megállapításához szükséges a vétkessége, és másrészt e vétkesség súlyossági fokát figyelembe kell‑e venni a nem vagyoni kár megtérítéseként e rendelkezés alapján megítélt kártérítés összegének meghatározásakor.

90 E kérdés első részét illetően meg kell jegyezni, hogy – amint arra a jelen ítélet 82. pontja emlékeztetett – a GDPR 82. cikkének (1) bekezdése a kártérítéshez való jogot három tényező fennállásától teszi függővé, nevezetesen e rendelet megsértésének fennállásától, az elszenvedett kár fennállásától, valamint az e jogsértés és e kár közötti okozati összefüggés fennállásától.

91 A GDPR 82. cikkének (2) bekezdése pedig azt írja elő, hogy az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. Márpedig e rendelkezés szövegének egyes nyelvi változatai – és többek között a jelen ügyben az eljárás nyelvének minősülő német nyelven megfogalmazott változat – alapján nem állapítható meg teljes bizonyossággal, hogy a szóban forgó jogsértés betudható‑e az adatkezelőnek oly módon, hogy a felelőssége megállapítható.

92 E tekintetben a GDPR 82. cikke (2) bekezdése első mondata különböző nyelvi változatainak elemzéséből kitűnik, hogy vélelmezni kell, hogy az adatkezelő részt vett az e rendelet megsértését jelentő adatkezelésben. Míg ugyanis a német, a francia vagy a finn nyelvi változat nyitottan van megfogalmazva, néhány más nyelvi változat pontosabbnak bizonyul, és az „adatkezelés” kifejezés harmadik előfordulása vagy az e kifejezésre való harmadik hivatkozás tekintetében mutató determinánst használ, így egyértelmű, hogy e harmadik előfordulás vagy hivatkozás ugyanarra a műveletre utal, mint e kifejezés második előfordulása. Ez a helyzet a spanyol, az észt, a görög, az olasz vagy a román nyelvi változat esetében.

93 A GDPR 82. cikkének (3) bekezdése e tekintetben pontosítja, hogy az adatkezelő mentesül az e 82. cikk (2) bekezdése szerinti felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

94 Ily módon a GDPR 82. cikke e különböző rendelkezéseinek együttes elemzéséből kitűnik, hogy e cikk vétkességen alapuló felelősségi rendszert ír elő, amelyben a bizonyítási teher nem a kárt elszenvedő személyt, hanem az adatkezelőt illeti meg.

95 Ezt az értelmezést erősíti meg az a kontextus, amelybe e 82. cikk illeszkedik, valamint az uniós jogalkotó által a GDPR‑rel elérni kívánt célok.

96 E tekintetben először is a GDPR 24. és 32. cikkének szövegéből kitűnik, hogy e rendelkezések annak előírására szorítkoznak, hogy az adatkezelőnek olyan technikai és szervezési intézkedéseket kell elfogadnia, amelyek célja, amennyire csak lehetséges, a személyes adatok bármely sérelmének elkerülése. Az ilyen intézkedések megfelelőségét konkrétan kell értékelni, megvizsgálva, hogy az adatkezelő ezen intézkedéseket az említett cikkekben szereplő különböző kritériumokat és az érintett adatkezelés sajátos adatvédelmi szükségleteit, valamint az ezen adatkezelésből eredő kockázatokat figyelembe véve hajtotta‑e végre (lásd ebben az értelemben: 2023. december 14‑i Natsionalna agentsia za prihodite ítélet, C-340/21, EU:C:2023:986, 30. pont).

97 Márpedig ez a kötelezettség kétségessé válna, ha az adatkezelő ezt követően köteles lenne megtéríteni a GDPR‑t sértő adatkezelés által okozott valamennyi kárt.

98 Másodszor, ami az általános adatvédelmi rendelet célkitűzéseit illeti, e rendelet (4)–(8) preambulumbekezdéséből kitűnik, hogy e rendelet a személyes adatok kezelőinek érdekei és azon személyek jogai közötti egyensúly megteremtésére irányul, akiknek az ilyen adatait kezelik. A cél az adatközpontú gazdaság fejlődésének az egyének magas szintű védelmének biztosítása mellett való lehetővé tétele. Ez tehát az adatkezelő és az azon személyek érdekei közötti egyensúly megteremtése, akiknek a személyes adatait kezelik. Márpedig a vétkességen alapuló felelősségi mechanizmus, amelyhez a bizonyítási teher megfordítása társul, amint azt a GDPR 82. cikke előírja, éppen az ilyen egyensúly biztosítását teszi lehetővé.

99 Egyrészt, amint azt a főtanácsnok az indítványának 93. pontjában lényegében megjegyezte, az ilyen magas szintű védelem céljának nem felelne meg az olyan értelmezés, amely szerint a GDPR megsértése miatt kárt szenvedett érintetteknek a GDPR 82. cikkén alapuló kártérítési kereset keretében nem csupán e jogsértés és az abból eredő káruk fennállását kell bizonyítaniuk, hanem az adatkezelő szándékosságát vagy gondatlanságát, vagy akár e vétkesség súlyossági fokát is, jóllehet az említett 82. cikk nem fogalmaz meg ilyen követelményeket (lásd analógia útján: 2023. december 14‑i Natsionalna agentsia za prihodite ítélet, C 340/21, EU:C:2023:986, C‑340/21, EU**, 56. pont).

100 Másrészt az objektív felelősségi rendszer nem biztosítaná a jogbiztonságnak a jogalkotó által a GDPR (7) preambulumbekezdésének tanúsága szerint kitűzött céljának a megvalósítását.

101 Az ötödik kérdésnek a GDPR 82. cikke alapján esetlegesen fizetendő kártérítés összegének meghatározására vonatkozó második részét illetően emlékeztetni kell arra, hogy – amint azt a Bíróság a jelen ítélet 83. pontjában hangsúlyozta – e kártérítés értékeléséhez a nemzeti bíróságoknak az egyes tagállamoknak a pénzbeli kártérítés mértékére vonatkozó belső szabályait kell alkalmazniuk, amennyiben tiszteletben tartják az egyenértékűségnek és a tényleges érvényesülésnek a Bíróság állandó ítélkezési gyakorlatában meghatározott uniós jogi elvét.

102 Pontosítani kell, hogy a GDPR 82. cikke – a kompenzációs funkciójára tekintettel – nem írja elő, hogy a rendeletnek az adatkezelő által vélelmezetten elkövetett megsértésének a súlyossági fokát a nem vagyoni kár megtérítéseként e rendelkezés alapján megítélt kártérítés összegének meghatározásakor figyelembe vegyék, hanem azt követeli meg, hogy ezen összeg oly módon kerüljön megállapításra, hogy az teljes mértékben kompenzálja az említett rendelet megsértése miatt konkrétan elszenvedett kárt, amint az a jelen ítélet 84. és 87. pontjából kitűnik.

103 Következésképpen az ötödik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkét úgy kell értelmezni, hogy egyrészt az adatkezelő felelősségének megállapításához szükséges a vétkessége, amelyet vélelmezni kell, kivéve ha ezen utóbbi bizonyítja, hogy a kárt okozó esemény neki semmilyen módon nem róható fel, és másrészt e rendelkezés nem követeli meg e vétkesség súlyossági fokának a nem vagyoni kár megtérítéseként e rendelkezés alapján megítélt kártérítés összegének meghatározásakor való figyelembevételét.

A költségekről

104 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (harmadik tanács) a következőképpen határozott:

1) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 9. cikke (2) bekezdésének h) pontját