Language of document : ECLI:EU:C:2023:950

A BÍRÓSÁG ÍTÉLETE (nagytanács)

2023. december 5.(*)

„Előzetes döntéshozatal – A személyes adatok védelme – (EU) 2016/679 rendelet – A 4. cikk 7. pontja – Az »adatkezelő« fogalma – Az 58. cikk (2) bekezdése – A felügyeleti hatóságok korrekciós intézkedések előírására vonatkozó hatásköre – 83. cikk – Közigazgatási bírságok jogi személlyel szembeni kiszabása – Feltételek – A tagállamok mérlegelési mozgástere – A jogsértés szándékos vagy gondatlan jellegének követelménye”

A C‑807/21. sz. ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Kammergericht Berlin (berlini regionális felsőbíróság, Németország) a Bírósághoz 2021. december 21‑én érkezett, 2021. december 6‑i határozatával terjesztett elő

a Deutsche Wohnen SE

és

a Staatsanwaltschaft Berlin

között folyamatban lévő eljárásban,

A BÍRÓSÁG (nagytanács),

tagjai: K. Lenaerts elnök, L. Bay Larsen elnökhelyettes, A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz, Csehi Z., O. Spineanu‑Matei tanácselnökök, M. Ilešič, J.‑C. Bonichot, L. S. Rossi, A. Kumin, N. Jääskinen (előadó), N. Wahl és M. Gavalec bírák,

főtanácsnok: M. Campos Sánchez‑Bordona,

hivatalvezető: D. Dittert egységvezető,

tekintettel az írásbeli szakaszra és a 2023. január 17‑i tárgyalásra,

figyelembe véve a következők által előterjesztett észrevételeket:

–        a Deutsche Wohnen SE képviseletében O. Geiss, K. Mertens, N. Venn és T. Wybitul Rechtsanwälte,

–        a német kormány képviseletében J. Möller és P.‑L. Krüger, meghatalmazotti minőségben,

–        az észt kormány képviseletében M. Kriisa, meghatalmazotti minőségben,

–        a holland kormány képviseletében C. S. Schillemans, meghatalmazotti minőségben,

–        a norvég kormány képviseletében L.‑M. Moen Jünge, M. Munthe‑Kaas és T. Westhagen Edell, meghatalmazotti minőségben,

–        az Európai Parlament képviseletében G. C. Bartram és P. López‑Carceller, meghatalmazotti minőségben,

–        az Európai Unió Tanácsa képviseletében J. Bauerschmidt és K. Pleśniak, meghatalmazotti minőségben,

–        az Európai Bizottság képviseletében A. Bouchagiar, F. Erlbacher, H. Kranenborg és G. Meessen, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2023. április 27‑i tárgyaláson történt meghallgatását követően,

meghozta a következő

Ítéletet

1        Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 4. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 83. cikke (4)–(6) bekezdésének értelmezésére vonatkozik.

2        E kérelmet a Deutsche Wohnen SE (a továbbiakban: DW) és a Staatsanwaltschaft Berlin (berlini ügyészség, Németország) között folyamatban lévő azon jogvita keretében terjesztették elő, amelynek tárgyát az a közigazgatási bírság képezi, amelyet a DW‑vel szemben a GDPR 83. cikke alapján szabtak ki e rendelet 5. cikke (1) bekezdése a), c) és e) pontjának, 6. cikkének, valamint 25. cikke (1) bekezdésének megsértése miatt.

 Jogi háttér

 Az uniós jog

3        A GDPR (9), (10), (11), (13), (74), (129) és (150) preambulumbekezdésének szövege a következő:

„(9) Az a tény, hogy a személyes adatok kezelése tekintetében a természetes személyek jogai és szabadságai egyes tagállamokban eltérő szintű védelmet élveznek, különösen, ami személyes adatok védelméhez való jogot illeti, a személyes adatok [Európai] Unióban történő szabad áramlásának útjában állhat. Ebből eredően ezek az eltérések a gazdasági tevékenységek uniós szinten való folytatásának akadályát képezhetik, torzíthatják a versenyt, és hátráltathatják a hatóságokat az uniós jog szerinti feladataik ellátásában. […]

(10)      A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. A tagállamok számára lehetővé kell tenni, hogy az e rendeletben foglalt szabályok alkalmazását pontosító nemzeti rendelkezéseket tartsanak fenn vagy vezessenek be, ha a személyes adatok kezelésére jogi kötelezettség teljesítéséhez, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához szükséges. […] Ez a rendelet a tagállamok számára mozgásteret biztosít ahhoz, hogy pontosítsák a benne meghatározott szabályokat, ideértve a személyes adatok különleges kategóriáira […] vonatkozókat is. Ennyiben tehát ez a rendelet nem zárja ki olyan tagállami jog elfogadását, amely meghatározza a különleges adatkezelési helyzetek körülményeit, ezen belül pontosabban megállapítja, hogy milyen feltételek mellett jogszerű a személyes adatok kezelése.

(11)      Ahhoz, hogy a személyes adatok az Unió egész területén hatékony védelemben részesüljenek, az érintettek jogait, valamint a személyes adatokat kezelő, illetve az adatkezelést meghatározó személyek kötelezettségeit megerősíteni és részletesen meghatározni szükséges, ugyanakkor pedig az egyes tagállamokban a személyes adatok védelmére vonatkozó szabályok betartásának ellenőrzéséhez és biztosításához egyenértékű hatáskört is biztosítani szükséges, és a jogsértőkre azonos szankciókat kell alkalmazni.

[…]

(13)      A természetes személyek egységes, uniós‑szintű védelmének biztosítása, valamint a személyes adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése érdekében rendelettel kell biztosítani a jogbiztonságot és az áttekinthetőséget valamennyi tagállam gazdasági szereplői részére – beleértve a mikro‑, kis‑ és középvállalkozásokat is –, továbbá rendelettel kell biztosítani a természetes személyek részére minden tagállamban azonos szintű, jogi úton érvényesíthető jogokat és kötelezettségeket, az adatkezelők és adatfeldolgozók számára azonos felelősséget, a személyes adatok kezelésének következetes nyomon követését, valamennyi tagállamban azonos szankciók alkalmazását, és a különböző tagállamok felügyeleti hatóságai közötti hatékony együttműködést. […]

[…]

(74)      A személyes adatoknak az adatkezelő által vagy az adatkezelő nevében végzett bármilyen jellegű kezelése tekintetében az adatkezelő hatáskörét és felelősségét szabályozni kell. Az adatkezelőt kötelezni kell különösen arra, hogy megfelelő és hatékony intézkedéseket hajtson végre, valamint hogy képes legyen igazolni azt, hogy az adatkezelési tevékenységek e rendeletnek megfelelnek, és az alkalmazott intézkedések hatékonysága is az e rendelet által előírt szintű. Ezeket az intézkedéseket az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével kell meghozni.

[…]

(129)      E rendelet Unió‑szerte következetes végrehajtásának és e végrehajtás következetes nyomon követésének biztosítása érdekében a felügyeleti hatóságokat minden tagállamban ugyanazokkal a feladatokkal és tényleges hatáskörökkel kell felruházni, ideértve a vizsgálati hatáskört, a korrekciós és szankciós hatáskört és a szankciókat […] Különösen, az e rendeletnek való megfelelés biztosítása érdekében minden egyes intézkedésnek megfelelőnek, szükségesnek és arányosnak kell lennie, és azok kapcsán figyelembe kell venni az adott eset körülményeit, tiszteletben kell tartani azt, hogy minden személynek joga van ahhoz, hogy az őt esetleg hátrányosan érintő egyedi intézkedés meghozatala előtt meghallgassák, továbbá kerülni kell, hogy az intézkedés az érintett személynek felesleges költségeket és túlzott kényelmetlenséget okozzon. A helyiségekbe való belépést illetően a vizsgálati hatáskört a vonatkozó tagállami eljárásjogban foglalt különös követelményekkel összhangban kell gyakorolni, ilyen például az előzetes bírósági engedély beszerzésének követelménye. A felügyeleti hatóság minden jogilag kötelező erejű intézkedést írásban hozza meg, az intézkedésnek világosnak és egyértelműnek kell lennie, fel kell tüntetni rajta az intézkedést hozó felügyeleti hatóságot, az intézkedés meghozatalának dátumát, a felügyeleti hatóság vezetőjének vagy a hatóság általa felhatalmazott tagjának azt az aláírásával kell ellátnia, az intézkedést indokolni kell és hivatkozni kell benne a hatékony jogorvoslathoz való jogra. Ez nem zárja ki további tagállami eljárásjogi követelmények megállapítását. […]

[…]

(150)      Az e rendelet megsértése esetén alkalmazott közigazgatási szankciók szigorítása és harmonizálása érdekében minden felügyeleti hatóság hatáskörrel rendelkezik a közigazgatási bírság kiszabására. E rendeletben kell meghatározni a jogsértéseket, valamint a kapcsolódó közigazgatási bírságok összegének felső határát és azok megállapításának szempontjait; a közigazgatási bírságot az egyes esetekben az illetékes felügyeleti hatóság állapítja meg a konkrét helyzet valamennyi releváns körülményét figyelembe véve, és kellő figyelmet fordítva különösen a jogsértés természetére, súlyosságára és időtartamára, továbbá a jogsértés következményeire, valamint az e rendelet szerinti kötelezettségek teljesítésének biztosítása és a jogsértés következményeinek megelőzése vagy enyhítése érdekében tett intézkedésekre. Ha a közigazgatási bírságokat vállalkozásokra szabják ki, akkor a vállalkozás fogalmát e célból az EUMSZ 101. és 102. [cikkben] meghatározott vállalkozásokra vonatkozó szabályoknak megfelelően kell értelmezni. […]”

4        E rendelet 4. cikke értelmében:

„E rendelet alkalmazásában:

[…]

7)      »adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

8)      »adatfeldolgozó«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

[…]

18)      »vállalkozás«: gazdasági tevékenységet folytató természetes vagy jogi személy, függetlenül a jogi formájától, ideértve a rendszeres gazdasági tevékenységet folytató személyegyesítő társaságokat és egyesületeket is;

[…]”

5        Ugyanezen rendelet „Hatáskörök” címet viselő 58. cikkének (2) és (4) bekezdése kimondja:

„(2)      A felügyeleti hatóság korrekciós hatáskörében eljárva:

a)      figyelmezteti az adatkezelőt vagy az adatfeldolgozót, hogy egyes tervezett adatkezelési tevékenységei valószínűsíthetően sértik e rendelet rendelkezéseit;

b)      elmarasztalja az adatkezelőt vagy az adatfeldolgozót, ha adatkezelési tevékenysége megsértette e rendelet rendelkezéseit;

[…]

d)      utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időn belül – hozza összhangba e rendelet rendelkezéseivel;

[…]

f)      átmenetileg vagy véglegesen korlátozza az adatkezelést, ideértve az adatkezelés megtiltását is;

[…]

i)      a 83. cikknek megfelelően közigazgatási bírságot szab ki, az adott eset körülményeitől függően az e bekezdésben említett intézkedéseken túlmenően vagy azok helyett; […]

[…]

(4)      Az e cikk alapján a felügyeleti hatóságra ruházott hatáskörök gyakorlására megfelelő garanciák mellett kerülhet sor, ideértve az uniós és a tagállami jogban [az Európai Unió Alapjogi Chartájával] összhangban meghatározott hatékony bírósági jogorvoslatot és tisztességes eljárást is.”

6        Ugyanezen rendeletnek „A közigazgatási bírságok kiszabására vonatkozó általános feltételek” című 83. cikkének szövege a következő:

„(1)      Valamennyi felügyeleti hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.

(2)      A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van‑e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:

a)      a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;

b)      a jogsértés szándékos vagy gondatlan jellege;

c)      az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;

d)      az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa a 25. és 32. cikk alapján foganatosított technikai és szervezési intézkedéseket;

e)      az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések;

f)      a felügyeleti hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;

g)      a jogsértés által érintett személyes adatok kategóriái;

h)      az, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette‑e be a jogsértést, és ha igen, milyen részletességgel;

i)      ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendelték az 58. cikk (2) bekezdésében említett intézkedések valamelyikét, a szóban forgó intézkedéseknek való megfelelés;

j)      az, hogy az adatkezelő vagy az adatfeldolgozó tartotta‑e magát a 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmusokhoz; valamint

k)      az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.

(3)      Ha egy adatkezelő vagy adatfeldolgozó egyazon adatkezelési művelet vagy egymáshoz kapcsolódó adatkezelési műveletek tekintetében – szándékosan vagy gondatlanságból – e rendelet több rendelkezését is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.

(4)      Az alábbi rendelkezések megsértése – a (2) bekezdéssel összhangban – legfeljebb 10 000 000 [euró] összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%‑át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni:

a)      az adatkezelő és az adatfeldolgozó tekintetében a 8., a 11., a 25–39., a 42. és a 43. cikkben meghatározott kötelezettségek;

[…]

(5)      Az alábbi rendelkezések megsértését – a (2) bekezdéssel összhangban – legfeljebb 20 000 000 [euró] összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%‑át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni:

a)      az adatkezelés elvei – ideértve a hozzájárulás feltételeit – az 5., 6., 7. és 9. cikknek megfelelően;

b)      az érintettek jogai a 12–22. cikknek megfelelően;

[…]

d)      a IX. fejezet alapján elfogadott tagállami jog szerinti kötelezettségek;

e)      a felügyeleti hatóság 58. cikk (2) bekezdése szerinti utasításának, illetve az adatkezelés átmeneti vagy végleges korlátozására vagy az adatáramlás felfüggesztésére vonatkozó felszólításának be nem tartása vagy az 58. cikk (1) bekezdését megsértve a hozzáférés biztosításának elmulasztása.

(6)      A felügyeleti hatóság 58. cikk (2) bekezdése szerinti utasításának be nem tartása – az e cikk (2) bekezdésével összhangban – legfeljebb 20 000 000 [euró] összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%‑át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni.

(7)      A felügyeleti hatóságok 58. cikk (2) bekezdése szerinti korrekciós hatáskörének sérelme nélkül, minden egyes tagállam megállapíthatja az arra vonatkozó szabályokat, hogy az adott tagállami székhelyű közhatalmi vagy egyéb, közfeladatot ellátó szervvel szemben kiszabható‑e közigazgatási bírság, és ha igen, milyen mértékű.

(8)      A felügyeleti hatóság e cikk szerinti hatásköreit megfelelő, az uniós és a tagállami joggal összhangban álló eljárási garanciák – ideértve a hatékony jogorvoslat lehetőségét és a tisztességes eljárást – biztosításával gyakorolja.

[…]”

 A német jog

7        A 2017. június 30‑i Bundesdatenschutzgesetz (szövetségi adatvédelmi törvény; BGBl. 2017. I., 2097. o.) 41. §‑a (1) bekezdésének első mondata előírja, hogy amennyiben e törvény másként nem rendelkezik, az 1968. május 24‑i Gesetz über Ordnungswidrigkeiten (a szabálysértésekről szóló törvény; BGBl. 1968. I., 481. o.) (a továbbiakban: OWiG) – az 1987. február 19‑i közlemény szerinti változatában (BGBl. 1987. I., 602. o.), ahogyan azt a 2020. június 19‑i törvény (BGBl. 2020. I, 1350. o.) kiigazította – rendelkezései alkalmazandók a GDPR 83. cikkének (4)–(6) bekezdésében említett jogsértésekre.

8        Az OWiG „Jogi személyekkel és személyegyesülésekkel szemben kiszabott bírságok” című 30. §‑a a következőképpen rendelkezik:

„(1)      Amennyiben egy olyan személy, aki az alábbiak közül valamely minőségben jár el:

1.      jogi személy képviseletére jogosult szervként vagy ilyen szerv tagjaként,

2.      jogi személyiséggel nem rendelkező egyesület elnökeként vagy elnökségi tagjaként,

3.      jogi személyiséggel rendelkező személyegyesítő társaság képviseletére jogosult tagként,

4.      valamely jogi személy vagy a 2. vagy 3. pontban említett társulás általános megbízottjaként vagy vezető beosztásban eljáró képviselőjeként vagy kereskedelmi megbízottjaként, vagy

5.      valamely jogi személy vagy a 2. vagy 3. pontban említett társulás üzemi egységének vagy vállalkozásának vezetéséért felelős olyan egyéb személyként, akinek a cégvezetés felügyelete vagy a vezető beosztással járó ellenőrzési jogkörök egyéb módon történő gyakorlása is a hatáskörébe tartozik,

bűncselekményt vagy szabálysértést követ el oly módon, hogy a jogi személy vagy a személyek társulása megszegi a kötelezettségeit, vagy e jogi személy vagy a személyek e társulása gazdagodásra tesz szert, vagy gazdagodásra kellene szert tennie, e jogi személlyel vagy a személyek e társulásával szemben pénzbírság szabható ki.

[…]

(4)      Ha a bűncselekmény vagy szabálysértés miatt nem indul büntetőeljárás vagy szabálysértési eljárás, vagy ha az eljárást megszüntetik, vagy ha a büntetés kiszabását mellőzik, a pénzbírságot önállóan is ki lehet szabni. A törvény más esetekben is lehetővé teheti a pénzbírság önálló kiszabását. A jogi személlyel vagy a személyek társulásával szemben ugyanakkor nem lehet önállóan pénzbírságot kiszabni, amennyiben a bűncselekmény vagy szabálysértés jogi okokból nem szankcionálható […]”

9        Az OWiG 130. §‑a így rendelkezik:

„(1)      Aki valamely üzemi egység vagy vállalkozás tulajdonosaként szándékosan vagy gondatlanságból elmulasztja megtenni a szükséges felügyeleti intézkedéseket annak érdekében, hogy az üzemi egységen vagy vállalkozáson belül megelőzze azon kötelezettségek megszegését, amelyek a tulajdonost terhelik, és amelyek megszegése büntetést vagy pénzbírságot von maga után, szabálysértést követ el, amennyiben olyan kötelezettségszegés történik, amelynek elkövetését a megfelelő felügyelet megakadályozhatta vagy jelentősen megnehezíthette volna. A szükséges felügyeleti intézkedések közé tartozik a felügyeletért felelős személyek kijelölése, gondos kiválasztása és ellenőrzése is.

[…]

(3)      Ha a kötelezettségszegés büntetést von maga után, a szabálysértés legfeljebb egymillió euró összegű pénzbírsággal sújtható. Alkalmazni kell a 30. § (2) bekezdésének harmadik mondatát. Amennyiben a kötelezettségszegés pénzbírságot von maga után, a felügyeleti kötelezettség megszegése miatt kiszabott pénzbírság legmagasabb összegét az e kötelezettségszegésért kiszabható pénzbírság legmagasabb összege alapján kell meghatározni. […]”

 Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

10      A DW európai részvénytársasági formában létrehozott, tőzsdén jegyzett ingatlanvállalkozás, amelynek székhelye Berlinben (Németország) található. Különböző társaságokban fennálló részesedések révén közvetve mintegy 163 000 lakóegységgel és 3000 kereskedelmi egységgel rendelkezik.

11      Ezen egységek tulajdonosai a DW „holdingtársaságoknak” nevezett leányvállalatai, amelyek a működési tevékenységeket látják el, míg a DW tevékenysége azon csoport általános irányítására összpontosul, amelyet többek között e holdingtársaságokkal együtt alkot. A holdingtársaságok bérbe adják a lakó‑ és kereskedelmi egységeket, amelyeket az említett csoport más társaságai, úgynevezett „szolgáltatótársaságok” kezelnek.

12      A DW és a csoporton belül az általa vezetett társaságok üzleti tevékenységük során kezelik a kereskedelmi és lakóegységek bérlőinek személyes adatait, így például e bérlők személyazonosító okmányait, adó‑, társadalombiztosítási és egészségbiztosítási adatait, valamint a korábbi bérleti szerződésekre vonatkozó információkat.

13      2017. június 23‑án a Berliner Beauftragte für den Datenschutz (berlini adatvédelmi biztos, Németország; a továbbiakban: felügyeleti hatóság) egy helyszíni ellenőrzés során felhívta a Deutsche Wohnen figyelmét arra, hogy a csoportjába tartozó társaságok olyan elektronikus archiválási rendszerben tárolják a bérlők személyes adatait tartalmazó dokumentumokat, amelynek esetében nem követhető nyomon, hogy a tárolás szükséges‑e, és hogy biztosított‑e, hogy a már nem szükséges adatokat törlik.

14      A felügyeleti hatóság felszólította a DW‑t, hogy legkésőbb 2017 végéig törölje ezeket a dokumentumokat az elektronikus archiválási rendszeréből. E felszólításra válaszul a DW kiemelte, hogy a törlés technikai és jogi okokból nem lehetséges.

15      A DW és a felügyeleti hatóság között a szóban forgó dokumentumok törlésének lehetőségéről folytatott levélváltást követően a DW tájékoztatta e hatóságot arról, hogy olyan új tárolási rendszert szándékozik kialakítani, amely a tervek szerint az említett dokumentumokat tartalmazó rendszer helyébe lép.

16      2019. március 5‑én a felügyeleti hatóság ellenőrzést végzett a DW által irányított csoport központjában. Ezen ellenőrzés során a DW arról tájékoztatta e hatóságot, hogy a kifogásolt elektronikus archiválási rendszert már üzemen kívül helyezte, és hamarosan sor kerül az adatok új tárolási rendszerbe történő áttelepítésére.

17      2019. október 30‑i határozatával a felügyeleti hatóság 14 385 000 euró összegű közigazgatási bírságot szabott ki DW‑vel szemben a GDPR 5. cikke (1) bekezdése a), c) és e) pontjának, valamint 25. cikke (1) bekezdésének szándékos megsértése miatt (a továbbiakban: szóban forgó határozat). E határozatban e hatóság a GDPR 6. cikke (1) bekezdésének megsértése miatt tizenöt egyéb bírságot is kiszabott a DW‑vel szemben, amelyek összege 3000 euró és 17 000 euró között volt.

18      A szóban forgó határozatban a felügyeleti hatóság közelebbről úgy ítélte meg, hogy DW 2018. május 25. és 2019. március 5. között szándékosan elmulasztotta megtenni az ahhoz szükséges intézkedéseket, hogy lehetővé tegye a bérlőkre vonatkozó azon személyes adatok rendszeres törlését, amelyek már nem voltak szükségesek, vagy amelyeket egyéb okból jogellenesen tároltak. E hatóság arra is rámutatott, hogy DW – anélkül, hogy erre szükség lett volna – továbbra is tárolta legalább tizenöt olyan bérlő személyes adatait, akiket konkrétan is megneveztek.

19      A DW e határozattal szemben keresetet nyújtott be a Landgericht Berlinhez (berlini regionális bíróság, Németország). E bíróság megszüntette az eljárást, mivel úgy ítélte meg, hogy a szóban forgó határozat olyan súlyos hibákat tartalmaz, hogy e határozat nem szolgálhatott bírság kiszabásának alapjául.

20      Az említett bíróság többek között kiemelte, hogy a valamely jogi személlyel szembeni bírság kiszabását kimerítően szabályozza az OWiG 30. §‑a, amely a szövetségi adatvédelmi törvény 41. §‑ának (1) bekezdése értelmében a GDPR 83. cikkének (4)–(6) bekezdésében említett jogsértésekre is alkalmazandó. Márpedig az OWiG e 30. §‑a szerint szabálysértés csak természetes személlyel szemben állapítható meg, jogi személlyel szemben nem. Ezenkívül a jogi személlyel szemben csak a szervei tagjainak vagy a képviselőinek a cselekményeit lehet betudni. Jóllehet az említett 30. cikk (4) bekezdése bizonyos feltételek mellett lehetővé teszi, hogy önálló szabálysértési eljárás induljon valamely jogi személlyel szemben, ez nem változtat azon, hogy még ebben az esetben is szükséges, hogy az érintett jogi személy szerveinek tagjaival vagy a képviselőivel szemben szabálysértést lehessen megállapítani.

21      A Staatsanwaltschaft Berlin (berlini ügyészség) jogorvoslattal élt e határozattal szemben a Kammergericht Berlin (berlini regionális felsőbíróság, Németország), vagyis a kérdést előterjesztő bíróság előtt.

22      A kérdést előterjesztő bíróság először is arra keresi a választ, hogy a GDPR 83. cikke alapján követelmény‑e, hogy valamely jogi személlyel szemben közigazgatási bírságot lehessen kiszabni anélkül, hogy e rendelet megsértése ezt megelőzően be lenne tudva egy azonosított természetes személynek. E kontextusban e bíróság többek között azt kívánja megtudni, hogy releváns‑e az EUMSZ 101. cikk és az EUMSZ 102. cikk értelmében vett „vállalkozás” fogalma.

23      E tekintetben az említett bíróság kifejti, hogy a nemzeti ítélkezési gyakorlat szerint a jogi személyek nemzeti jogban létező korlátozott felelősségi rendszere ellentétes a vállalkozások közvetlen felelősségének a GDPR 83. cikkében előírt rendszerével. Ezen ítélkezési gyakorlat szerint a GDPR 83. cikkének – amely az uniós jog elsőbbségének elve értelmében a nemzeti szabályozásnál magasabb szinten helyezkedik el – többek között a szövegéből az következik, hogy a vállalkozásokkal szemben közigazgatási bírságok szabhatók ki. Nem szükséges tehát, hogy az ilyen bírságok kiszabását a jogi személyek szervei vagy vezetői által vétkesen elkövetett cselekményhez kapcsolják, ellentétben azzal, amit az alkalmazandó nemzeti jog megkövetel.

24      Az említett bíróság szerint ugyanis ez az ítélkezési gyakorlat – csakúgy, mint a nemzeti jogirodalom többség – különös jelentőséget tulajdonít az EUMSZ 101. cikk és az EUMSZ 102. cikk értelmében vett „vállalkozás” fogalmának, vagyis annak az elgondolásnak, amely szerint a felelősséget azon gazdasági egységnek kell betudni, amelyen belül a nemkívánatos – például versenyellenes – magatartást kifejtették. E „funkcionális” koncepció szerint a valamely vállalkozás nevében eljárni jogosult valamennyi alkalmazott összes cselekménye betudható a vállalkozásnak, még szabálysértési eljárás keretében is.

25      Másodszor, arra az esetre, ha a Bíróság megítélése szerint fennáll olyan követelmény, hogy a közigazgatási bírságot közvetlenül ki lehessen szabni valamely jogi személlyel szemben, a kérdést előterjesztő bíróság arra keresi a választ, hogy milyen kritériumokat kell alkalmazni annak érdekében, hogy meg lehessen állapítani valamely jogi személy mint vállalkozás felelősségét a GDPR megsértéséért. E bíróság különösen azt kívánja megtudni, hogy e rendelet 83. cikke alapján közigazgatási bírság szabható‑e ki valamely jogi személlyel szemben annak megállapítása nélkül, hogy az említett rendelet e jogi személlyel szemben betudható megsértését vétkesen követték el.

26      E körülmények között a Kammergericht Berlin (berlini regionális felsőbíróság, Németország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)      Úgy kell‑e értelmezni [a GDPR] 83. cikkének (4)–(6) bekezdését, hogy az beépíti a nemzeti jogba a vállalkozásnak az EUMSZ 101. és EUMSZ 102. cikkhez rendelt funkcionális fogalmát és a tisztségviselő elvét [„Funktionsträgerprinzip”] azzal a következménnyel, hogy az [OWiG] 30. §‑ának alapjául szolgáló jogalanyelv [„Rechtsträgerprinzip”] kiterjesztésével közvetlenül a vállalkozással szemben folytatható bírságkiszabási eljárás, és a bírság kiszabásához nincs szükség természetes és azonosított személy által – adott esetben a szabálysértés valamennyi objektív és szubjektív tényállási elemének megvalósításával – elkövetett szabálysértés megállapítására?

2)      Az első kérdésre adandó igenlő válasz esetén: [ú]gy kell‑e értelmezni [a GDPR] 83. cikkének (4)–(6) bekezdését, hogy a vállalkozásnak vétkesen kell elkövetnie – valamely alkalmazott révén – a jogsértést (lásd a Szerződés 81. és 82. cikkében meghatározott versenyszabályok végrehajtásáról szóló, 2002. december 16‑i 1/2003/EK tanácsi rendelet [HL 2003. L 1., 1. o.; magyar nyelvű különkiadás 8. fejezet, 2. kötet, 205. o.] 23. cikkét), vagy a vállalkozással szembeni bírságkiszabáshoz főszabály szerint már a vállalkozásnak betudandó objektív kötelezettségszegés is elegendő (»strict liability«)?”

 A szóbeli szakasz újbóli megnyitása iránti kérelemről

27      A 2023. január 17‑i tárgyalást követően a DW a Bíróság Hivatalához 2023. március 23‑án benyújtott beadványával kérte, hogy a Bíróság az eljárási szabályzatának 83. cikke alapján rendelje el az eljárás szóbeli szakaszának újbóli megnyitását.

28      Kérelmének alátámasztása érdekében a DW lényegében azt állítja, hogy azok a válaszok, amelyeket a kérdést előterjesztő bíróság az eljárási szabályzat 101. cikke alapján hozzá intézett felvilágosításkérésre adott, pontatlan információkkal szolgálnak a Bíróság számára a nemzeti jog alkalmazandó rendelkezéseit illetően. Márpedig a 2023. január 17‑i tárgyaláson e tárgyban nem lehetett teljes körű vitát folytatni, mivel a felek e válaszokról csak három munkanappal e tárgyalás előtt szereztek tudomást. E határidő ugyanis nem tette lehetővé a tárgyalás alapos előkészítését.

29      Kétségtelen, hogy az eljárási szabályzat 83. cikke alapján a Bíróság a főtanácsnok meghallgatását követően bármikor elrendelheti az eljárás szóbeli szakaszának újbóli megnyitását, különösen, ha úgy ítéli meg, hogy az ügy körülményei nincsenek kellően feltárva, vagy ha a fél e szakasz befejezését követően a Bíróság határozatára nézve döntő jelentőségű új tényt terjesztett elő, vagy ha az ügyet olyan érv alapján kellene eldönteni, amelyet az érdekeltek nem vitattak meg.

30      A jelen ügyben azonban a Bíróság rendelkezik a határozathozatalhoz szükséges valamennyi információval, a jelen ügyet pedig nem olyan érvek alapján kell eldönteni, amelyeket az érdekeltek nem vitattak meg. Ezenfelül az eljárás szóbeli szakaszának újbóli megnyitására irányuló kérelem nem tartalmaz olyan új tényeket, amelyek döntően befolyásolnák a Bíróság által a jelen ügyben meghozandó határozatot.

31      Ilyen körülmények között a Bíróság a főtanácsnok meghallgatását követően megállapítja, hogy nem kell elrendelni az eljárás szóbeli szakaszának újbóli megnyitását.

 Az előzetes döntéshozatalra előterjesztett kérdésekről

 Az első kérdésről

32      Első kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 58. cikkének (2) bekezdését és 83. cikkének (1)–(6) bekezdését akként kell‑e értelmezni, hogy azokkal ellentétes az olyan nemzeti szabályozás, amelynek értelmében valamely jogi személlyel mint adatkezelővel szemben csak akkor szabható ki közigazgatási bírság az e 83. cikk (4)–(6) bekezdésében említett jogsértés miatt, ha e jogsértést ezt megelőzően betudták egy azonosított természetes személynek.

33      Elöljáróban meg kell állapítani, hogy írásbeli észrevételeiben a német kormány kétségeit fejezte ki a nemzeti jognak a kérdést előterjesztő bíróság által kialakított ezen értelmezését illetően, mivel az OWiG 130. §‑a lehetővé teszi bírság kiszabását valamely jogi személlyel szemben az OWiG 30. §‑ában említett eseteken kívül is. Egyébiránt e két rendelkezés lehetővé teszi egy úgynevezett „anonim” bírság kiszabását a vállalkozással szemben indított eljárás keretében, anélkül hogy azonosítani kellene a szóban forgó jogsértést elkövető természetes személyt.

34      A kérdést előterjesztő bírósághoz intézett, a jelen ítélet 28. pontjában említett felvilágosításkérésre adott válaszában e bíróság jelezte, hogy az OWiG 130. §‑a nincs hatással az előterjesztett első kérdésre.

35      E bíróság szerint ugyanis e rendelkezés valamely üzemi egység vagy vállalkozás olyan tulajdonosára vonatkozik, akinek vonatkozásában követelmény, hogy vétkes módon megszegjen valamely felügyeleti kötelezettséget. A vállalkozás tulajdonosának betudható ilyen kötelezettségszegést azonban rendkívül bonyolult és gyakran lehetetlen bizonyítani, nemzeti szinten pedig egymásnak ellentmondó viták zajlanak azzal kapcsolatban, hogy valamely vállalatcsoport az említett rendelkezés értelmében „vállalkozásnak” vagy „vállalkozások tulajdonosának” minősíthető‑e. Mindenesetre az előzetes döntéshozatalra előterjesztett első kérdés ebben az összefüggésben is releváns.

36      E tekintetben emlékeztetni kell arra, hogy ami a nemzeti jogrend rendelkezéseinek értelmezését illeti, a Bíróságnak főszabály szerint az előzetes döntéshozatalra utaló határozatban foglalt minősítésre kell hagyatkoznia. Az állandó ítélkezési gyakorlat szerint ugyanis a Bíróság nem rendelkezik hatáskörrel valamely tagállam belső jogának értelmezésére (2021. január 26‑i Hessischer Rundfunk ítélet, C‑422/19 és C‑423/19, EU:C:2021:63, 31. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

37      Következésképpen az előzetes döntéshozatalra előterjesztett első kérdést abból az előfeltevésből kiindulva kell megválaszolni, amely szerint az alkalmazandó nemzeti jog értelmében valamely jogi személlyel mint adatkezelővel szemben csak az OWiG 30. §‑ában előírt, a kérdést előterjesztő bíróság által ismertetett feltételek mellett szabható ki közigazgatási bírság a GDPR 83. cikkének (4)–(6) bekezdésében említett jogsértés miatt.

38      Ezen első kérdés megválaszolása érdekében mindenekelőtt rá kell mutatni arra, hogy a GDPR‑ben meghatározott elvek, tilalmak és kötelezettségek címzettjei különösen az „adatkezelők”, amelyek felelőssége – amint azt a GDPR (74) preambulumbekezdése hangsúlyozza – kiterjed minden olyan személyesadat‑kezelésre, amelyet ők maguk végeznek, vagy amelyeket az ő nevükben végeznek, és amely adatkezelők ennek alapján nemcsak megfelelő és hatékony intézkedéseket kötelesek végrehajtani, hanem képesnek kell lenniük annak igazolására is, hogy az adatkezelési tevékenységeik megfelelnek a GDPR‑nek, ideértve az e megfelelés biztosítása érdekében elfogadott intézkedések hatékonyságát is. Az e rendelet 83. cikkének (4)–(6) bekezdésében említett jogsértések esetén ez a felelősség képezi az e 83. cikk alapján az adatkezelővel szembeni közigazgatásibírság‑kiszabás alapját.

39      A GDPR 4. cikkének 7. pontja tágan határozza meg az „adatkezelő” fogalmát, amely alatt érteni kell azt a természetes vagy jogi személyt, közhatalmi szervet, ügynökséget vagy bármely egyéb szervet, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.

40      A GDPR 4. cikke 7. pontjában foglalt e tág fogalommeghatározás – amely kifejezetten magában foglalja a jogi személyeket – célja a GDPR céljával összhangban az, hogy biztosítsa a természetes személyek alapvető jogainak és szabadságainak hatékony védelmét, különösen pedig a mindenkit megillető, a rá vonatkozó személyes adatok védelméhez való jog magas szintű védelmét (lásd ebben az értelemben: 2019. július 29‑i Fashion ID ítélet, C‑40/17, EU:C:2019:629, 66. pont; 2022. április 28‑i Meta Platforms Ireland ítélet, C‑319/20, EU:C:2022:322, 73. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

41      Egyébiránt a Bíróság már kimondta, hogy adatkezelőnek tekinthető minden olyan természetes vagy jogi személy, aki vagy amely saját céljaira befolyásolja a személyes adatok kezelését, és ezáltal részt vesz ezen adatkezelés céljainak és eszközeinek meghatározásában (lásd ebben az értelemben: 2018. július 10‑i Jehovan todistajat ítélet, C‑25/17, EU:C:2018:551, 68. pont).

42      Így a GDPR 4. cikke 7. pontjának szövegéből és céljából az következik, hogy az uniós jogalkotó az e rendelet alapján fennálló felelősség meghatározása szempontjából nem tett különbséget a természetes és a jogi személyek között, mivel e felelősségnek kizárólag az a feltétele, hogy a természetes és jogi személyek önállóan vagy másokkal együtt meghatározzák a személyes adatok kezelésének céljait és eszközeit.

43      Következésképpen annak fenntartásával, amit a GDPR 83. cikkének (7) bekezdése a közhatalmi és egyéb, közfeladatot ellátó szervek vonatkozásában előír, az e feltételnek megfelelő valamennyi személy – függetlenül attól, hogy természetes személyről, jogi személyről, közhatalmi szervről, ügynökségről vagy bármely egyéb szervről van‑e szó – felelős többek között az e 83. cikk (4)–(6) bekezdésében említett, saját maga által vagy az ő nevében elkövetett jogsértésekért.

44      Ami a jogi személyeket illeti, ez magában foglalja egyrészt azt – mint arra lényegében a főtanácsnok is rámutatott az indítványának 57–59. pontjában –, hogy e személyek nem csupán a képviselőik, igazgatóik vagy vezetőik által elkövetett jogsértésekért felelősek, hanem az e jogi személyek kereskedelmi tevékenysége keretében és azok nevében eljáró bármely más személy által elkövetett jogsértésekért is. Másrészt, a GDPR 83. cikkében ilyen jogsértések esetére előírt közigazgatási bírságoknak közvetlenül a jogi személyekkel szemben kiszabhatóknak kell lenniük, amennyiben e jogi személyek a szóban forgó adatkezelőknek minősíthetők.

45      Ezt követően ki kell emelni, hogy a GDPR 58. cikkének (2) bekezdése pontosan meghatározza azokat a hatásköröket, amelyek a felügyeleti hatóságokat a korrekciós intézkedések elfogadása terén megilletik, anélkül hogy utalna a tagállamok jogára, vagy mérlegelési mozgásteret hagyna e tagállamok számára. Márpedig egyrészt e hatáskörök, amelyek között ezen 58. cikk (2) bekezdésének i) pontja értelmében szerepel a közigazgatási bírság kiszabása is, az adatkezelőre vonatkoznak, másrészt pedig az ilyen adatkezelő – mint az a jelen ítélet 39. pontjából kitűnik – mind természetes személy, mind pedig jogi személy lehet. Azok az anyagi jogi feltételek pedig, amelyeket a felügyeleti hatóságnak az ilyen bírság kiszabása során tiszteletben kell tartania, e 83. cikk (1)–(6) bekezdésében szerepelnek, pontosan kifejtve, és anélkül, hogy a tagállamoknak mérlegelési mozgásteret hagynának.

46      Így a GDPR 4. cikke 7. pontjának, 83. cikkének és 58. cikke (2) bekezdése i) pontjának együttes olvasatából az következik, hogy az e 83. cikk (4)–(6) bekezdésében említett jogsértés miatt közigazgatási bírság szabható ki jogi személyekkel szemben is, amennyiben azok adatkezelőnek minősülnek. Ezzel szemben a GDPR egyetlen rendelkezése sem teszi lehetővé annak megállapítását, hogy a közigazgatási bírság valamely jogi személlyel mint adatkezelővel szemben történő kiszabása annak előzetes megállapításától függene, hogy e jogsértést valamely azonosított természetes személy követte el.

47      Kétségtelen, hogy a GDPR 58. cikkének (4) bekezdéséből és 83. cikkének (8) bekezdéséből – összefüggésben értelmezve azokat e rendelet (129) preambulumbekezdésével – kitűnik, hogy a felügyeleti hatóság e cikkek szerinti hatásköreinek gyakorlására az uniós és a tagállami joggal összhangban megfelelő eljárási garanciák vonatkoznak, ideértve a hatékony bírósági jogorvoslatot és a szabályszerű eljárást is.

48      Ugyanakkor az, hogy az említett rendelet ily módon lehetőséget biztosít a tagállamoknak arra, hogy követelményeket írjanak elő a felügyeleti hatóságok által a közigazgatási bírság kiszabása érdekében követendő eljárásra vonatkozóan, egyáltalán nem jelenti azt, hogy az ilyen eljárási jellegű követelményeken túl további anyagi jogi feltételeket is előírhatnának az e 83. cikk (1)–(6) bekezdésében meghatározott feltételekhez képest. Ezenkívül az, hogy az uniós jogalkotó gondot fordított arra, hogy kifejezetten biztosítsa ezt a lehetőséget, de ne biztosítson lehetőséget ilyen további anyagi jogi feltételek előírására, megerősíti, hogy e tekintetben nem hagyott mérlegelési mozgásteret a tagállamok számára. Az említett anyagi jogi feltételek tehát kizárólag az uniós jog hatálya alá tartoznak.

49      A GDPR 58. cikke (2) bekezdésének és 83. cikke (1)–(6) bekezdésének fenti szó szerinti értelmezését e rendelet célja is megerősíti.

50      Közelebbről, a GDPR (10) preambulumbekezdéséből kitűnik, hogy e rendelet rendelkezéseinek célja többek között a természetes személyek következetes és magas szintű védelmének biztosítása a személyes adatok Unión belül történő kezelése tekintetében, e célból pedig az e személyek alapvető jogainak és szabadságainak védelmére vonatkozó szabályok következetes és egységes alkalmazásának biztosítása az ilyen adatok kezelése tekintetében az Unió egész területén. A GDPR (11) és (129) preambulumbekezdése egyébiránt hangsúlyozza, hogy e rendelet következetes alkalmazásának biztosítása érdekében gondoskodni kell arról, hogy a felügyeleti hatóságok egyenértékű felügyeleti és ellenőrzési hatáskörökkel rendelkezzenek a személyes adatok védelmére vonatkozó szabályok tiszteletben tartása tekintetében, és hogy az említett rendelet megsértése esetén azonos szankciókat szabhassanak ki.

51      Márpedig annak lehetővé tétele, hogy a tagállamok egyoldalúan, továbbá a közigazgatási bírságnak a GDPR 83. cikke alapján valamely jogi személy adatkezelővel szembeni kiszabásához szükséges feltételként előírják, hogy a szóban forgó jogsértést ezt megelőzően betudják egy azonosított természetes személynek, vagy az betudható legyen neki, ellentétes lenne a GDPR e céljával. Ezenkívül az ilyen további követelmény végső soron azzal a kockázattal járna, hogy gyengítené a jogi személyekkel mint adatkezelőkkel szemben kiszabott közigazgatási bírságok hatékonyságát és elrettentő hatását, megsértve ezzel a GDPR 83. cikkének (1) bekezdését.

52      E tekintetben emlékeztetni kell arra, hogy az EUMSZ 288. cikk második bekezdése előírja, hogy az uniós rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban, ami – eltérő rendelkezés hiányában – kizárja, hogy a tagállamok az ilyen rendelet hatályát érintő belső rendelkezéseket fogadjanak el. Ezenkívül a tagállamok az EUM‑Szerződésből eredő kötelezettségeik értelmében kötelesek arra, hogy ne akadályozzák a rendeletek közvetlen alkalmazhatóságát. Különösen nem fogadhatnak el olyan jogi aktust, amelynek folytán valamely jogszabály uniós jogi jellege és az abból eredő joghatások el lennének rejtve a jogalanyok elől (2012. november 15‑i Al‑Aqsa kontra Tanács és Hollandia kontra Al‑Aqsa ítélet, C‑539/10 P és C‑550/10 P, EU:C:2012:711, 86. és 87. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

53      Végül, figyelemmel a kérdést előterjesztő bíróság kérdéseire, ki kell emelni, hogy a „vállalkozásnak” az EUMSZ 101. cikk és az EUMSZ 102. cikk értelmében vett fogalma nem befolyásolja azt a kérdést, hogy a GDPR 83. cikke alapján kiszabható‑e közigazgatási bírság a jogi személy adatkezelővel szemben, és ha igen, milyen feltételek mellett, mivel e kérdést e rendelet 58. cikkének (2) bekezdése és 83. cikkének (1)–(6) bekezdése kimerítően szabályozza.

54      E fogalom ugyanis csak az általános adatvédelmi rendelet 83. cikkének (4)–(6) bekezdése alapján az adatkezelővel szemben kiszabott közigazgatási bírság összegének meghatározása szempontjából releváns.

55      Mint azt a főtanácsnok is kiemelte az indítványának 45. pontjában, az e rendelet (150) preambulumbekezdésében megfogalmazott, az EUMSZ 101. cikk és az EUMSZ 102. cikk értelmében vett „vállalkozás” fogalmára történő utalást a GDPR 83. cikkének (4)–(6) bekezdésében említett jogsértések miatt kiszabott közigazgatási bírságok kiszámításának e sajátos összefüggésében kell értelmezni.

56      E tekintetben hangsúlyozni kell, hogy az EUMSZ 101. és EUMSZ 102. cikkben említett versenyszabályok alkalmazása szempontjából e fogalom minden gazdasági tevékenységet folytató jogalanyra kiterjed, függetlenül azok jogállásától és finanszírozási módjától. Így e fogalom gazdasági egységet jelöl, még akkor is, ha jogi szempontból e gazdasági egység több természetes vagy jogi személyből áll. E gazdasági egység meghatározott hosszú távú gazdasági célt követő személyi, materiális és immateriális összetevők egységes szervezete (2021. október 6‑i Sumal ítélet, C‑882/19, EU:C:2021:800, 41. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

57      Így a GDPR 83. cikkének (4)–(6) bekezdéséből – amelyek az e bekezdésekben felsorolt jogsértések miatt kiszabott közigazgatási bírságok kiszámítására vonatkoznak – kitűnik, hogy abban az esetben, ha a közigazgatási bírság címzettje az EUMSZ 101. cikk és az EUMSZ 102. cikk értelmében vett vállalkozásnak minősül, vagy ilyen vállalkozás részét képezi, a közigazgatási bírság legmagasabb összegét az érintett vállalkozás előző pénzügyi évben elért teljes éves világpiaci forgalmának százalékos aránya alapján kell kiszámítani.

58      Végeredményben, amint azt a főtanácsnok is kiemelte az indítványának 47. pontjában, csak az olyan közigazgatási bírság felelhet meg a GDPR 83. cikkének (1) bekezdésében rögzített három feltételnek – amelyek szerint a bírságnak egyszerre kell hatékonynak, arányosnak és visszatartó erejűnek lennie –, amelynek összegét a címzettjének tényleges gazdasági képessége vagy anyagi kapacitása alapján határozzák meg, vagyis amelyet a felügyeleti hatóság akként szabott ki, hogy annak összegét illetően a gazdasági egységnek a jelen ítélet 56. pontjában hivatkozott ítélkezési gyakorlat értelmében vett fogalmára támaszkodott.

59      Ennélfogva, ha a felügyeleti hatóság a GDPR 58. cikkének (2) bekezdése alapján őt megillető hatáskörök alapján úgy határoz, hogy az EUMSZ 101. cikk és az EUMSZ 102. cikk értelmében vett vállalkozásnak minősülő vagy ilyen vállalkozás részét képező adatkezelővel szemben az említett rendelet 83. cikke alapján közigazgatási bírságot szab ki, e hatóság ez utóbbi rendelkezés értelmében – összefüggésben értelmezve azt ugyanezen rendelet (150) preambulumbekezdésével – köteles arra, hogy az EUMSZ 101. cikk és az EUMSZ 102. cikk értelmében vett „vállalkozás” fogalmára támaszkodjon, amikor kiszámítja az e 83. cikk (4)–(6) bekezdésében említett jogsértésekért kiszabott közigazgatási bírságokat.

60      A fenti indokokra tekintettel az első kérdésre azt a választ kell adni, hogy a GDPR 58. cikkének (2) bekezdésének i) pontját és 83. cikkének (1)–(6) bekezdését akként kell értelmezni, hogy azokkal ellentétes az olyan nemzeti szabályozás, amelynek értelmében valamely jogi személlyel mint adatkezelővel szemben csak akkor szabható ki közigazgatási bírság az e 83. cikk (4)–(6) bekezdésében említett jogsértés miatt, ha e jogsértést ezt megelőzően betudták egy azonosított természetes személynek.

 A második kérdésről

61      Az első kérdésre adott igenlő válasz esetére előterjesztett második kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 83. cikkét akként kell‑e értelmezni, hogy e rendelkezés alapján közigazgatási bírság kizárólag akkor szabható ki, ha megállapítást nyer, hogy az adatkezelő, amely egyszerre jogi személy és vállalkozás is, szándékosan vagy gondatlanságból követte el az e cikk (4)–(6) bekezdésében említett jogsértést.

62      E tekintetben emlékeztetni kell arra, hogy a GDPR 83. cikkének (1) bekezdéséből kitűnik, hogy a közigazgatási bírságoknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük. Ezzel szemben a GDPR 83. cikke nem mondja ki kifejezetten, hogy az e cikk (4)–(6) bekezdésében említett jogsértések csak akkor szankcionálhatók ilyen bírsággal, ha azokat szándékosan, vagy legalábbis gondatlanságból követték el.

63      A német, az észt és a norvég kormány, valamint az Európai Unió Tanácsa ebből többek között azt a következtetést vonja le, hogy az uniós jogalkotó bizonyos mérlegelési mozgásteret kívánt hagyni a tagállamoknak a GDPR 83. cikkének végrehajtása során, lehetővé téve számukra, hogy e rendelkezés alapján adott esetben anélkül írják elő közigazgatási bírságok kiszabását, hogy megállapítást nyerne, hogy a GDPR e bírsággal szankcionált megsértését szándékosan vagy gondatlanságból követték el.

64      A GDPR 83. cikke ilyen értelmezésének nem lehet helyt adni.

65      E tekintetben, amint az a jelen ítélet 45. és 48. pontjában megállapításra került, azok az anyagi jogi feltételek, amelyeket a felügyeleti hatóságnak tiszteletben kell tartania, amikor közigazgatási bírságot szab ki az adatkezelővel szemben, kizárólag az uniós jog hatálya alá tartoznak, mivel e feltételeket a GDPR 83. cikkének (1)–(6) bekezdése pontosan meghatározza, anélkül hogy a tagállamok számára mérlegelési mozgásteret hagyna (lásd továbbá: 2023. december 5‑i Nacionalinis visuomenės sveikatos centras ítélet, C‑683/21, EU:C:2023:XXX, 64–70. pont).

66      Az említett feltételeket illetően meg kell állapítani, hogy a GDPR 83. cikkének (2) bekezdése felsorolja azokat a tényezőket, amelyekre tekintettel a felügyeleti hatóság közigazgatási bírságot szab ki az adatkezelővel szemben. E rendelkezés b) pontjában e tényezők között szerepel „a jogsértés szándékos vagy gondatlan jellege”. Ezzel szemben az említett rendelkezésben felsorolt elemek egyike sem utal bármiféle olyan lehetőségre, hogy az adatkezelő vétkes magatartása hiányában megállapítható lenne az adatkezelő felelőssége.

67      Ezenkívül a GDPR 83. cikkének (2) bekezdését ugyanezen cikk (3) bekezdésével összefüggésben kell értelmezni, amelynek célja e rendelet többszöri megsértésének következményeiről rendelkezni, és amelynek értelmében, „[h]a egy adatkezelő vagy adatfeldolgozó egyazon adatkezelési művelet vagy egymáshoz kapcsolódó adatkezelési műveletek tekintetében – szándékosan vagy gondatlanságból – e rendelet több rendelkezését is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget”.

68      Így a GDPR 83. cikke (2) bekezdésének szövegéből az következik, hogy e rendelet rendelkezéseinek kizárólag olyan megsértései vezethetnek az adatkezelővel szemben e cikk alapján közigazgatási bírság kiszabásához, amelyeket az adatkezelő vétkesen, azaz szándékosan vagy gondatlanságból követett el.

69      A GDPR általános felépítése és célja is alátámasztja ezt az értelmezést.

70      Egyrészt, az uniós jogalkotó olyan szankciórendszert írt elő, amely lehetővé teszi a felügyeleti hatóságok számára, hogy az egyes esetek körülményeitől függően a legmegfelelőbb szankciókat szabják ki.

71      A GDPR 58. cikke (2) bekezdésének i) pontja ugyanis előírja, hogy e hatóságok az ezen 58. cikk (2) bekezdésében említett olyan intézkedéseken „túlmenően vagy azok helyett” szabhatják ki az e rendelet 83. cikke szerinti közigazgatási bírságokat, mint a figyelmeztetések, az elmarasztalások vagy az utasítások. Hasonlóképp, az említett rendelet (148) preambulumbekezdése kimondja többek között, hogy a felügyeleti hatóságok kisebb jogsértés esetén, vagy ha a kiszabható közigazgatási bírság aránytalanul nagy terhet jelentene a természetes személyre, eltekinthetnek a közigazgatási bírság kiszabásától, és helyette elmarasztalást alkalmazhatnak.

72      Másrészt, mint azt a jelen ítélet 50. pontja is kiemelte, a GDPR rendelkezéseinek célja többek között a természetes személyek következetes és magas szintű védelmének biztosítása a személyes adatok Unión belül történő kezelése tekintetében, e célból pedig az e személyek alapvető jogainak és szabadságainak védelmére vonatkozó szabályok következetes és egységes alkalmazásának biztosítása az ilyen adatok kezelése tekintetében az Unió egész területén. Ezenkívül e rendelet következetes alkalmazásának biztosítása érdekében gondoskodni kell arról, hogy a felügyeleti hatóságok egyenértékű felügyeleti és ellenőrzési hatáskörökkel rendelkezzenek a személyes adatok védelmére vonatkozó szabályok tiszteletben tartása tekintetében, vagyis hogy az említett rendelet megsértése esetén azonos szankciókat szabhassanak ki.

73      Az olyan szankciórendszer létezése, amely lehetővé teszi, hogy amennyiben azt az egyes ügyek sajátos körülményei indokolják, a GDPR 83. cikke alapján közigazgatási bírságot szabjanak ki, az adatkezelők és az adatfeldolgozók számára ösztönzést jelent az e rendeletnek való megfelelésre. Visszatartó hatásuk révén a közigazgatási bírságok hozzájárulnak a természetes személyek védelmének megerősítéséhez a személyes adatok kezelése tekintetében, ezáltal pedig kulcsfontosságú szerepet játszanak e személyek jogai tiszteletben tartásának biztosításában, összhangban e rendelet azon céljával, amely arra irányul, hogy az ilyen személyeknek magas szintű védelmet biztosítson a személyes adataik kezelése tekintetében.

74      Ugyanakkor az uniós jogalkotó az ilyen magas szintű védelem biztosításához nem tartotta szükségesnek, hogy még vétkesség hiányában is közigazgatási bírságok kiszabását írja elő. Figyelemmel arra, hogy a GDPR egyszerre irányul egyenértékű és egységes védelmi szintre, továbbá hogy azt e célból az Unió egész területén következetesen kell alkalmazni, ellentétes lenne e céllal, ha lehetővé tennék a tagállamok számára, hogy az említett rendelet 83. cikke alapján történő bírságkiszabásra vonatkozóan ilyen rendszert írjanak elő. Az ilyen választási szabadság ezenkívül torzíthatná a gazdasági szereplők közötti versenyt az Unión belül, ami ellentétes lenne az uniós jogalkotó által többek között az említett rendelet (9) és (13) preambulumbekezdésében megfogalmazott célokkal.

75      Következésképpen meg kell állapítani, hogy a GDPR 83. cikke nem teszi lehetővé közigazgatási bírság anélkül történő kiszabását az e cikk (4)–(6) bekezdésében említett jogsértés miatt, hogy megállapítást nyerne, hogy e jogsértést az adatkezelő szándékosan vagy gondatlanságból követte el, ennélfogva pedig a vétkes jogsértés az ilyen bírság kiszabásának feltételét képezi.

76      E tekintetben azon kérdést illetően, hogy valamely jogsértést szándékosan vagy gondatlanságból követtek‑e el, ezáltal pedig a GDPR 83. cikke alapján közigazgatási bírsággal sújtható‑e, pontosítani kell továbbá, hogy az adatkezelő szankcionálható a GDPR hatálya alá tartozó magatartás miatt, ha tudatában kellett lennie magatartása jogsértő jellegének, akár tisztában volt azzal, akár nem, hogy megsérti a GDPR rendelkezéseit (lásd analógia útján: 2013. június 18‑i Schenker & Co. és társai ítélet, C‑681/11, EU:C:2013:404, 37. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2021. március 25‑i Lundbeck kontra Bizottság ítélet, C‑591/16 P, EU:C:2021:243, 156. pont; 2021. március 25‑i Arrow Group és Arrow Generics kontra Bizottság ítélet, C‑601/16 P, EU:C:2021:244, 97. pont).

77      Amennyiben az adatkezelő jogi személy, azt is egyértelművé kell tenni, hogy a GDPR 83. cikkének alkalmazása nem feltételezi az adott jogi személy vezető szervének részvételét vagy akár tudomását (lásd analógia útján: 1983. június 7‑i Musique Diffusion française és társai kontra Bizottság ítélet, 100/80–103/80, EU:C:1983:158, 97. pont; 2017. február 16‑i Tudapetrol Mineralölerzeugnisse Nils Hansen kontra Bizottság ítélet, C‑94/15 P, EU:C:2017:124, 28. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

78      A fenti megfontolásokra tekintettel a második kérdésre azt a választ kell adni, hogy a GDPR 83. cikkét akként kell értelmezni, hogy e rendelkezés alapján közigazgatási bírság kizárólag akkor szabható ki, ha megállapítást nyer, hogy az adatkezelő, amely egyszerre jogi személy és vállalkozás is, szándékosan vagy gondatlanságból követte el az e cikk (4)–(6) bekezdésében említett jogsértést.

 A költségekről

79      Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott:

1)      A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 58. cikke (2) bekezdésének i) pontját és 83. cikkének (1)–(6) bekezdését

a következőképpen kell értelmezni:

e rendelkezésekkel ellentétes az olyan nemzeti szabályozás, amelynek értelmében valamely jogi személlyel mint adatkezelővel szemben csak akkor szabható ki közigazgatási bírság az e 83. cikk (4)–(6) bekezdésében említett jogsértés miatt, ha e jogsértést ezt megelőzően betudták egy azonosított természetes személynek.

2)      A 2016/679 rendelet 83. cikkét

a következőképpen kell értelmezni:

e rendelkezés alapján közigazgatási bírság kizárólag akkor szabható ki, ha megállapítást nyer, hogy az adatkezelő, amely egyszerre jogi személy és vállalkozás is, szándékosan vagy gondatlanságból követte el az e cikk (4)–(6) bekezdésében említett jogsértést.

Aláírások


*      Az eljárás nyelve: német.