Ez a dokumentum az EUR-Lex webhelyről származik.
Dokumentum 62021CC0300
Opinion of Advocate General Campos Sánchez-Bordona delivered on 6 October 2022.#UI v Österreichische Post AG.#Request for a preliminary ruling from the Oberster Gerichtshof.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Article 82(1) – Right to compensation for damage caused by data processing that infringes that regulation – Conditions governing the right to compensation – Mere infringement of that regulation not sufficient – Need for damage caused by that infringement – Compensation for non-material damage resulting from such processing – Incompatibility of a national rule making compensation for such damage subject to the exceeding of a threshold of seriousness – Rules for the determination of damages by national courts.#Case C-300/21.
M. Campos Sánchez-Bordona főtanácsnok indítványa, az ismertetés napja: 2022. október 6.
UI kontra Österreichische Post AG.
Az Oberster Gerichtshof (Ausztria) által benyújtott előzetes döntéshozatal iránti kérelem.
Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – A 82. cikk (1) bekezdése – Az e rendeletet sértő adatkezeléssel okozott kár megtérítéséhez való jog – A megtérítéshez való jog feltételei – Az említett rendelet puszta megsértésének elégtelensége – Az említett jogsértéssel okozott kár szükségessége – Az ilyen adatkezelésből eredő nem vagyoni kár megtérítése – Az ilyen kár megtérítését egy bizonyos súlyossági küszöb meghaladásának alárendelő nemzeti szabály összeegyeztethetetlensége – A károk nemzeti bíróságok általi megállapításának szabályai.
C-300/21. sz. ügy.
M. Campos Sánchez-Bordona főtanácsnok indítványa, az ismertetés napja: 2022. október 6.
UI kontra Österreichische Post AG.
Az Oberster Gerichtshof (Ausztria) által benyújtott előzetes döntéshozatal iránti kérelem.
Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – A 82. cikk (1) bekezdése – Az e rendeletet sértő adatkezeléssel okozott kár megtérítéséhez való jog – A megtérítéshez való jog feltételei – Az említett rendelet puszta megsértésének elégtelensége – Az említett jogsértéssel okozott kár szükségessége – Az ilyen adatkezelésből eredő nem vagyoni kár megtérítése – Az ilyen kár megtérítését egy bizonyos súlyossági küszöb meghaladásának alárendelő nemzeti szabály összeegyeztethetetlensége – A károk nemzeti bíróságok általi megállapításának szabályai.
C-300/21. sz. ügy.
Határozatok Tára – Általános EBHT
Európai esetjogi azonosító: ECLI:EU:C:2022:756
FŐTANÁCSNOK INDÍTVÁNYA
Az ismertetés napja: 2022. október 6. ( 1 )
C‑300/21. sz. ügy
UI
kontra
Österreichische Post AG
(az Oberster Gerichtshof [legfelsőbb bíróság, Ausztria] által benyújtott előzetes döntéshozatal iránti kérelem)
„Előzetes döntéshozatal – A személyes adatok védelme – (EU) 2016/679 rendelet – A jogellenes adatkezelésből eredő nem vagyoni kár – A kártérítéshez való jog feltételei – Bizonyos súlyossági küszöböt meghaladó kár”
1. |
Az (EU) 2016/679 ( 2 ) rendelet alapján minden olyan személy, aki e rendelet előírásainak megsértése eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. |
2. |
E jog bírósági úton történő érvényesítésének lehetősége már a korábbi szabályozásban is létezett (a 95/46/EK irányelv 23. cikke), ( 3 ) noha kevesen éltek vele. ( 4 ) Hacsak nem tévedek, a Bíróságnak mindezidáig még nem volt alkalma értelmezni kifejezetten ezt a cikket. |
3. |
A GDPR hatálybalépése óta kerültek előtérbe a kártérítési keresetek. ( 5 ) A tagállami bíróságokon egyértelműen érzékelhető ezen keresetek számának növekedése, és ez tükröződik a vonatkozó előzetes döntéshozatal iránti kérelmek számában is. ( 6 ) A jelen előzetes döntéshozatal iránti kérelemben az Oberster Gerichtshof (legfelsőbb bíróság) arra kéri a Bíróságot, hogy vázolja fel a GDPR által bevezetett polgári jogi felelősségi rendszer néhány közös pontját. |
I. Jogi háttér. A GDPR
4. |
A jelen jogvita szempontjából különösen a GDPR bevezető részében szereplő (75), (85) és (146) preambulumbekezdések relevánsak. |
5. |
A 6. cikk („Az adatkezelés jogszerűsége”) a következőképpen szól: „(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
[…].” |
6. |
A 79. cikk („Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog”) (1) bekezdése előírja: „A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.” |
7. |
A 82. cikk („A kártérítéshez való jog és a felelősség”) (1) bekezdése a következőket állapítja meg: „Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.” |
II. A tényállás, a jogvita és az előzetes döntéshozatalra előterjesztett kérdések
8. |
A címjegyzékeket kiadó Österreichische Post AG nevű cég 2017 óta gyűjtött az osztrák lakosság politikai pártokhoz való kötődésére vonatkozó információkat. Egy algoritmus segítségével, bizonyos társadalmi‑demográfiai jellemzők alapján meghatározta a „célcsoportok címét”. |
9. |
UI természetes személy, akire vonatkozóan az Österreichische Post statisztikai számítás alapján extrapolációt végzett, hogy meghatározza a különböző politikai pártok választási hirdetéseinek lehetséges célcsoportjaiba való besorolhatóságát. E meghatározásból kitűnt, hogy UI nagyfokú kötődést mutat az egyik politikai párthoz. Ezen adatokat harmadik fél részére nem továbbították. |
10. |
UI – aki nem járult hozzá személyes adatainak kezeléséhez – felháborodott a politikai pártok iránti szimpátiájára vonatkozó adatok megőrzése miatt, valamint felháborodva és sértve érezte magát amiatt, hogy az Österreichische Post – – konkrét formában – ilyen kötődést tulajdonított neki. |
11. |
UI 1000 euró összegű nem vagyoni kártérítés megállapítását kérte (belső rossz közérzet miatt). Azt állítja, hogy a neki tulajdonított politikai hovatartozás sértő és megszégyenítő, valamint sérti a jóhírnevét. Hozzáteszi, hogy az Österreichische Post eljárása nagy kellemetlenséget és bizalomvesztést okozott számára, valamint pellengérre állítottnak érezte magát. |
12. |
Az elsőfokú bíróság elutasította UI kártérítés iránti kérelmét. ( 7 ) |
13. |
A fellebbviteli bíróság helybenhagyta az elsőfokú ítéletet. Megállapította, hogy a GDPR megsértése esetén nem jár automatikusan nem vagyoni kártérítés, és hogy:
|
14. |
A fellebbviteli bíróság ítéletével szemben UI keresetet nyújtott be az Oberster Gerichtshofhoz (legfelsőbb bíróság, Ausztria), amely előzetes döntéshozatal céljából a következő kérdéseket terjesztette a Bíróság elé:
|
III. Az eljárás
15. |
Az előzetes döntéshozatal iránti kérelem 2021. május 12‑én érkezett a Bírósághoz. |
16. |
UI, az Österreichische Post, az osztrák, a cseh és az ír kormány, valamint az Európai Bizottság terjesztett elő beírásbeli észrevételeket. A Bíróság nem tartotta szükségesnek tárgyalás tartását. |
IV. Elemzés
A. Előzetes megjegyzések
1. Elfogadhatóság
17. |
UI azt állítja, hogy az előzetes döntéshozatalra előterjesztett első kérdés nem releváns a jogvita szempontjából, mivel a keresete nem a GDPR valamely rendelkezésének „puszta” megsértésén, hanem annak következményein vagy hatásain alapult. |
18. |
Az elfogadhatatlansági kifogást el kell utasítani. Még ha elismerésre is kerülne, hogy az adatkezelés – az UI‑t ért kár nélkül is – sértette a GDPR‑t, UI akkor is jogosult lenne a GDPR 82. cikke szerinti kártérítésre, amennyiben – amint azt a kérdést előterjesztő bíróság kéri – megerősítést nyer, hogy az adatkezelésre vonatkozó szabály puszta megsértése ilyen jogot keletkeztet. |
19. |
UI szerint a Bíróság az előzetes döntéshozatalra előterjesztett második kérdést is elfogadhatatlannak tekinthetné azon az alapon, hogy tartalmát tekintve nagyon tág, az uniós jog követelményeit illetően pedig túlságosan szűkszavú, mivel semmilyen konkrét követelményt nem említ. |
20. |
E kifogásnak – még ha az előzőnél megalapozottabb is – sem lehet helyt adni. Jogszerű, ha valamely bíróság tudni szeretné, hogy az egyenértékűség és a tényleges érvényesülés elvének betartása mellett az uniós jog által előírt egyéb követelményeket is értékelnie kell‑e a kár meghatározása céljából. |
2. Az indítvány tárgyának körülhatárolása
21. |
A GDPR 82. cikke hat bekezdésből áll. A kérdést előterjesztő bíróság egyikre sem hivatkozik kifejezetten, hallgatólagosan azonban utal az elsőre. Nem határozza meg azt a rendelkezést sem, amelynek megsértése kártérítés alapjául szolgálhatna. |
22. |
Indítványom az alábbi előfeltevésekből indul ki:
|
B. Az előzetes döntéshozatalra előterjesztett első kérdés
23. |
Az első kérdésével a kérdést előterjesztő bíróság lényegében azt kívánja megtudni, hogy a GDPR rendelkezéseinek puszta megsértése kártérítési jogosultságot keletkeztet‑e, függetlenül attól, hogy keletkezett‑e kár vagy sem. |
24. |
A kérdést előterjesztő bíróság megállapításaiból és a Bírósághoz benyújtott észrevételekből arra lehet következtetni, hogy a kérdés egy másik, némileg összetettebb olvasatot is megenged: annak tisztázásáról van szó, hogy a GDPR rendelkezéseinek megsértése szükségszerűen olyan kárt okoz‑e, amely kártérítési jogot keletkeztet, anélkül, hogy az alperesnek lehetősége lenne ennek ellenkezőjét bizonyítani. |
25. |
E két megközelítés között van egy bizonyos (elméleti) különbség: az első esetben a kár nem előfeltétele a kártérítésnek; a második esetben azonban igen. A gyakorlatban az a követelmény, hogy a kárt a felperesnek bizonyítania kell, mindkét esetben eltűnik; és nem kell bizonyítania a jogsértés és az e kár közötti okozati összefüggést sem. ( 9 ) |
26. |
Mindenesetre hozzáteszem, hogy véleményem szerint az első kérdés két olvasata közül egyikre sem kell igenlő választ adni. A kettővel külön‑külön fogok foglalkozni. |
1. Kártérítés kár nélkül?
27. |
Azzal érvelni, hogy a kártérítéshez való jog akkor is fennáll, ha a GDPR megsértéséből az érintettnek nem származik kára, nyilvánvaló nehézségeket vet fel, kezdve az említett rendelet 82. cikke (1) bekezdésének szövegével kapcsolatos nehézséggel. |
28. |
E rendelkezés értelmében a kártérítést ( 10 ) éppen azért ítélik meg, mert előzetesen kár keletkezett. Egyértelműen követelmény tehát, hogy a természetes személy a GDPR megsértésének eredményeként kárt szenvedjen. |
29. |
Az az értelmezés, amely a „jogsértés” fogalmát automatikusan összekapcsolja a „kompenzáció” fogalmával, kár felmerülése nélkül, nem egyeztethető össze a GDPR 82. cikkének szövegével. Nincs összhangban a polgári jogi felelősségnek a GDPR által meghatározott elsődleges céljával sem, amely az érintett részére adott elégtételre irányul, mégpedig az őt ért kár „teljes és tényleges” megtérítése révén. ( 11 ) |
30. |
Kár hiányában a kártérítésnek már nem az lenne a funkciója, hogy kompenzálja a jogsértés káros következményeit, hanem más, a szankciós jellegűhöz közelebb álló szerepet töltene be. |
31. |
Kétségtelen azonban, hogy valamely tagállam jogrendje előírhat büntető jellegű kártérítést. ( 12 ) Ez alatt a kár szigorú értelemben vett megtérítését jelentősen meghaladó összeg megfizetésére való kötelezés értendő. |
32. |
A büntető jellegű kártérítések általában nem tekintenek el a kár előzetes fennállásától. Ebből kiindulva azonban elválasztják a kár vagyoni következményeit a kárhoz igazított kártérítési összegtől. |
33. |
Nem elképzelhetetlen azonban, hogy a büntető jellegű kártérítés elvonatkoztat a kártól, vagy irrelevánsnak tekinti azt a felperesnek adandó elégtétel szempontjából. |
34. |
Az előzetes döntéshozatalra előterjesztett első kérdésre adandó válaszhoz meg kell vizsgálnom, hogy az ilyen típusú kártérítéseknek a GDPR‑ban elfoglalt helyét, annál is inkább, mivel az előzetes döntéshozatalra utaló végzés, valamint az előzetes döntéshozatali eljárás felei és a beavatkozók által tett észrevételek ezekre hivatkoztak. |
2. Büntető jellegű kártérítés?
a) Szó szerinti értelmezés
35. |
A polgári jogi felelősség klasszikus funkciójához hozzáadódhat egy másik, „büntető” vagy „példamutató” jellegű funkció is, amelynek értelmében – amint azt már kifejtettem – a kártérítés összege nem egyezik meg az elszenvedett kárral, hanem megnöveli, vagy akár megsokszorozza annak összegét. |
36. |
Az uniós joggal főszabály szerint nem ellentétes az ilyen kártérítés – amennyiben az uniós szabályok megsértéséről van szó –, ha az a nemzeti jog alapján indított hasonló keresetekben megítélhető. ( 13 ) |
37. |
A büntető jellegű kártérítésnek visszatartó célja van. Ugyanezen cél akkor merülhet fel, ha egy irányelv megsértése esetén a tagállamoknak olyan intézkedéseket kell hozniuk, amelyeknek „tényleges visszatartó hatást” ( 14 ) kell gyakorolniuk. Egyes irányelvek kifejezetten előírják, hogy a szankcióként kialakított kártérítésnek visszatartó erejűnek kell lennie. ( 15 ) |
38. |
Ezzel szemben más szövegekben a jogalkotó kimondja, hogy az irányelv célja „nem az, hogy büntető jellegű kártérítés előírásának kötelezettségét vezesse be”; ( 16 ) vagy hogy a tagállamoknak az átültetés során el kell kerülniük az ilyen jellegű kártérítéseket. ( 17 ) Az uniós jogban az úgynevezett „büntető jellegű kártérítésre” történő közvetlen kötelezés kivételes jellegű. ( 18 ) |
39. |
Márpedig a GDPR nem tartalmaz utalást a vagyoni vagy nem vagyoni károk megtérítésének szankcionáló jellegére, vagy arra, hogy a kártérítés összegének kiszámítása tükröznie kellene e jelleget, vagy hogy az ilyen kártérítés visszatartó erejű kell legyen (a büntetőjogi szankcióknak és a közigazgatási bírságoknak viszont igenis tulajdonít ilyen minőséget). ( 19 ) A szó szerinti értelmezés tehát nem teszi lehetővé a büntető jellegű kártérítés ideértését. |
b) A rendelkezés előzményeire figyelemmel történő értelmezés
40. |
A GDPR 82. cikke (1) bekezdésének előzménye a 95/46 irányelv 23. cikkének (1) bekezdése. Ez utóbbi rendelkezés egy olyan rendszer része volt, amelynek hatékonysága a közjogi‑ és a magánjogi jogérvényesítésre támaszkodott, ( 20 ) de amelyben a (magánjogi) kártérítés és a (közjogi) szankció nem keveredett. ( 21 ) A szabályok betartásának felügyelete elsősorban a független felügyeleti hatóságok feladata volt. ( 22 ) |
41. |
A GDPR átveszi e modellt, megerősíti azonban az eszközöket annak érdekében, hogy biztosítsa a most már részletesebb rendelkezések és az azok megsértése vagy megsértésének veszélye esetén előírt, most már intenzívebb reakciók hatékonyságát:
|
42. |
A GDPR‑ban az egységes polgári jogi kárfelelősségi rendszer kialakítása korlátozott volt. A 95/46 irányelv hatályban léte alatt esetleg kétségesnek bizonyuló szempontokat – így például a nem vagyoni károknak a megtérítendő károk közé sorolását – ( 27 ) elég gyorsan sikerült tisztázni. A tárgyalás a rendszer egyéb szempontjaira összpontosított. ( 28 ) |
43. |
A jogszabály‑előkészítő anyagokban nem találtam semmilyen, a GDPR‑ban bevezetni tervezett polgári jogi felelősség esetleges büntető funkciójára vonatkozó vitára utaló jeleket. Ebből tehát nem lehet azt a következtetést levonni, hogy az e tekintetben folytatott bármiféle vita hiányában e funkció beleértendő a 82. cikkbe, annál is inkább, mivel az uniós jog más szövegeibe való foglalásáról viszont igenis volt vita. ( 29 ) |
44. |
Ilyen körülmények között úgy gondolom, hogy a GDPR 82. cikkének (1) bekezdése szerinti keresetet a polgári jogi felelősség tipikus funkcióinak szolgálatában alkották meg és szabályozták: kártérítési funkció (a károsult részére), másodsorban pedig a jövőbeli károk megelőzésének funkciója (a jogsértő számára). |
c) Rendszertani értelmezés
45. |
Amint már fentebb említettem, a GDPR 82. cikke a szabályok hatékonyságát biztosító garanciarendszer részét képezi, amely rendszerben a magánkezdeményezés csak kiegészíti a szabályok közigazgatás általi alkalmazását. Az adatkezelők vagy adatfeldolgozók terhére történő kártérítés e hatékonysághoz járul hozzá. |
46. |
A kártérítési kötelezettség (ideális esetben) arra ösztönöz, hogy a jövőben körültekintőbben járjanak el, betartsák a szabályokat, és elkerüljék a további károkozásokat. Ily módon, azáltal, hogy kártérítési igényt érvényesít saját maga számára, minden egyén hozzájárul a szabályok általános hatékonyságához. |
47. |
Ennek keretében a kompenzációs és a büntető jellegű funkció szétválik:
|
48. |
A kompenzációs és a szankcionálási funkciói szétválasztása értelmében:
|
49. |
Elméleti szempontból az olyan értelmezés, amely a polgári jogi felelősséget – bármiféle kár hiányában – büntető funkcióval ruházza fel, azzal a kockázattal jár, hogy a szankcionáló mechanizmusokkal feleslegessé teszi a kártérítési mechanizmusokat. |
50. |
A gyakorlatban, ha a kártérítés címén könnyen elérhető egyfajta „büntető jellegű” hatás, ez arra ösztönözheti az érintetteket, hogy ezt az utat részesítsék előnyben a GDPR 77. cikkében foglalt lehetőséggel szemben. Ha ez általánossá válna, megfosztanák a felügyeleti hatóságokat egy olyan eszköztől (az érintettek panasza), amely lehetővé teszi a GDPR esetleges megsértésének felismerését, és ezáltal kivizsgálását és szankcionálását, az általános érdek védelme legmegfelelőbb eszközeinek rovására. |
d) Teleologikus elemzés
51. |
A GDPR‑nak lényegében két célkitűzése van, amelyek már a címéből is kitűnnek: a) egyrészt „a természetes személyeknek a személyes adatok kezelése tekintetében történő védelme”; b) másrészt, hogy e védelem oly módon valósuljon meg, hogy „az ilyen adatok szabad áramlása” az Unión belül ne legyen tiltható vagy korlátozható. ( 34 ) |
52. |
Úgy vélem, hogy e célok elérése érdekében a GDPR nem írja elő, hogy a kártérítés az adatkezelésre vonatkozó szabály puszta megsértéséhez kapcsolódjon, és ezáltal a polgári jogi felelősséget büntető funkcióval ruházza fel. |
53. |
Ami ez első célkitűzést illeti, annak elérése érdekében nem szükséges értelmezés útján úgy kiterjeszteni a GDPR 82. cikkének hatályát, hogy az azon esetekre is kiterjedjen, amikor történt ugyan jogsértés, de kár nem keletkezett. Másrészt ez a kiterjesztés negatív hatással lehet a második célkitűzésre. |
54. |
Amint azt kiemeltem, a GDPR számos egymás mellett létező és egymást kiegészítő mechanizmust is előír a szabályainak való megfelelés biztosítására. A tagállamoknak nem kell (és valójában nem is lehet) választaniuk a VIII. fejezetben szereplő, az adatvédelmet biztosító mechanizmusok között. Olyan jogsértés esetén, amely nem keletkeztet kárt, az érintett továbbra is jogosult (legalább) arra, hogy a GDPR 77. cikkének (1) bekezdése alapján panaszt tegyen a felügyeleti hatóságnál. |
55. |
Egyébiránt a kompenzáció károktól függetlenül történő kilátásba helyezése valószínűleg ösztönözné – a talán nem mindig megalapozott kérelmeket tárgyaló – ( 35 ) polgári jogvitákat, és ezáltal eltántoríthatna az adatkezelési tevékenység végzésétől. ( 36 ) |
3. A károkozás vélelmezése?
56. |
Az eljárásban részt vevő felek egyes észrevételei az előzetes döntéshozatalra előterjesztett első kérdés általam eddig vizsgálttól eltérő olvasatát támogatják. Ha jól értem az álláspontjukat, ( 37 ) láthatólag azt támogatják, hogy a jogsértés megtörténte miatt vitathatatlanul vélelmezhető a kár. |
57. |
Hozzáteszik, hogy az ilyen jogsértés szükségszerűen az adatok feletti rendelkezés elvesztésével járna, ami önmagában véve a GDPR 82. cikkének (1) bekezdése szerinti megtérítendő kárnak minősülne. |
58. |
Elméletileg e vélelem alapján nem lehet eltekinteni a sérelemtől, így tartva tiszteletben a polgári jogi felelősség tipikus szerkezetét, valamint a GDPR rendelkezésének szövegét. Ugyanakkor a gyakorlatban ennek elismerése a felperes és az alperes számára hasonló következményekkel járna, mint a GDPR 82. cikkének (1) bekezdése szerinti kártérítésnek a szabály puszta megsértéséhez való kapcsolása. |
59. |
Ismét a szokásos hermeneutikai szempontokhoz folyamodom annak megindokolása érdekében, hogy ezen értelmezés miért nem tűnik számomra helyesnek. |
a) Szó szerinti értelmezés
60. |
Amikor a jogalkotó az uniós jog más területein úgy ítélte meg, hogy valamely szabály megsértéséből automatikusan következik kártérítéshez való jog, minden további nélkül rendelkezett erről. ( 38 ) Nem ez a helyzet a GDPR esetében, amely bizonyításra vonatkozó vagy a bizonyításra közvetlen következményekkel járó szabályokat tartalmaz, ( 39 ) ezen automatikus kapcsolat – legyen az közvetlen vagy megdönthetetlen vélelmen alapuló – azonban nem szerepel benne. |
61. |
A GDPR (75) ( 40 ) és (85) preambulumbekezdésében ( 41 ) szereplő, az adatok feletti rendelkezésre (vagy a rendelkezés elvesztésére) vonatkozó hivatkozások nem tűnnek úgy számomra, hogy ellensúlyoznák ezt a hiányt. Azon túl, hogy preambulumbekezdésekként nem rendelkeznek semmilyen kötelező erővel, a két preambulumbekezdés egyike sem támasztja alá azt, hogy valamely szabály megsértése önmagában megtérítendő kárt vonna maga után:
|
62. |
Az adatok feletti rendelkezés elvesztésnek nem kell szükségszerűen kárt keletkeztetnie. A kifejezés értelmezhető az adatok feletti rendelkezés ilyen elvesztését követő esetleges károkra utaló nyelvileg megengedő fordulatként, amennyiben e károk bekövetkeznek. ( 43 ) |
b) Az előzmények fényében történő értelmezés
63. |
A háttér elemzése sem támasztja alá az ilyen, a 95/46 irányelvben nem szereplő vélelem fennállását, ( 44 ) és az általam vizsgált, a GDPR elfogadása előtti bizottsági, európai parlamenti vagy tanácsi dokumentumok sem rendelkeztek róla. |
c) Rendszertani értelmezés
64. |
A GDPR rendszere olyan elemeket kínál, amelyek – az érintett hozzájárulása alapján – ( 45 ) indokolják a szóban forgó vélelem elfogadásának elutasítását. Az adatok feletti rendelkezés eszközeként az ilyen hozzájárulás ugyanolyan szinten legitimálja az adatkezelést, mint más jogalapok (a GDPR 6. cikke). ( 46 ) |
65. |
A személyes adatok jogszerű kezelése az érintett engedélyétől, és így az említett engedély megadását vagy megtagadását jelentő rendelkezéstől függetlenül végezhető. A rendszeren belüli súlya végső soron nem abszolút jellegű. |
66. |
Ezenfelül a GDPR e rendelkezés gyakorlásának más lehetőségeiről is rendelkezik: ezek közé tartozik a törléshez való jog, amely arra kötelezi az adatkezelőt, hogy „indokolatlan késedelem nélkül” törölje a vonatkozó információt. ( 47 ) |
67. |
Az adatkezeléssel érintett személy számára e jog a védelmi rendszer biztonsági szelepeként működik: (főszabályként) akkor is fennáll, ha az adatkezelő nem szerezte meg az érintett hozzájárulását, valamint akkor is, ha az adatkezelésnek nincs semmilyen más jogalapja; és nem függ attól, hogy az adatkezelés okoz‑e bármilyen kárt. ( 48 ) |
d) Teleologikus elemzés
1) Az érintettnek az adatai feletti rendelkezése a GDPR célját képezi-e?
68. |
A személyes adatok olyan kezelése, amelyhez nem szerezték meg az érintett hozzájárulását, és a megtérítendő kár közötti automatikus ekvivalencia feltételezi, hogy azon rendelkezés, amelynek a hozzájárulás a kifejezési eszköze, már önmagában is értéket képvisel. |
69. |
Elismerem, hogy első ránézésre e vélemény nem megalapozatlan. A bizottsági javaslat a reform egyik fő érveként említi, hogy a polgárok gyakorolják az adataik feletti rendelkezést. ( 49 ) A GDPR (7) preambulumbekezdése kimondja, hogy „[a] természetes személyek számára biztosítani kell, hogy saját személyes adataik felett maguk rendelkezzenek”. |
70. |
Kétségtelen, hogy az e fogalom által keltett jogtudományi vitákon túllépve óvatosságra van szükség a fogalom értelmezése során. A GDPR nem tartalmazza a „rendelkezés” pontos meghatározását (és máshol sem találtam ilyet). ( 50 ) A kifejezésnek legalább két jelentése van, amelyek nem zárják ki egymást: „hatalom” vagy „tulajdon”, és „felügyelet”. |
71. |
A GDPR (7) preambulumbekezdésének megfogalmazása némi bizonytalanságot kelt, mivel a megfogalmazás nyelvi változatok szerint eltérő. ( 51 ) Tartalmára tekintettel úgy vélem, hogy a GDPR – az adatok védelmét szolgáló eszközként (más eszközökkel együttesen) – az érintett számára felügyeleti és beavatkozási jogköröket biztosít az adatokon mások által végzett műveletek során. |
72. |
Az érintett maga is hozzájárul és felel az adatok által képviselt információk védelméért, a GDPR által előírt – szinten, formában és – mértékben. Az egyéni fellépés köre korlátozott: a GDPR‑ban felsorolt jogok tekintetében a meghatározott feltételek melletti joggyakorlásra korlátozódik. |
73. |
Az érintett hozzájárulása, mint a rendelkezés legerőteljesebb kifejeződése, ( 52 ) csak egyike a jogszerű adatkezelés jogalapjainak, de nem alkalmas arra, hogy igazolja az adatkezelőt és az adatfeldolgozót terhelő egyéb kötelezettségek és feltételek nem teljesítését. |
74. |
Álláspontom szerint nem könnyű levezetni a GDPR‑ból, hogy annak célja a személyes adatok feletti rendelkezés – mint önmagában vett érték – érintett számára való biztosítására. Nem könnyű azt sem levezetni, hogy az érintettnek a lehető legnagyobb mértékben kell rendelkeznie ezen adatok felett. |
75. |
Ez a megállapítás nem meglepő. Egyrészt nem nyilvánvaló, hogy a rendelkezés – az adatok feletti tulajdon értelmében – a személyes adatok védelméhez való alapvető jog lényeges tartalmának részét képezi. ( 53 ) Másrészt e jognak az információs önrendelkezési jogként való értelmezése korántsem egyöntetű: a Charta 8. cikke nem használja ezeket a kifejezéseket. ( 54 ) |
76. |
Hasonlóképpen nem került be a GDPR végleges szövegébe az a preambulumbekezdés, amelynek értelmében „a személyes adatok védelméhez való jog az érintettnek a kezelt személyes adatok feletti rendelkezés gyakorlásához való jogán alapul”. ( 55 ) |
77. |
A fenti, talán túlságosan is elvont megfontolások annak megállapítására vezetnek, hogy amennyiben az érintett nem járul hozzá az adatkezeléshez, és az adatkezelésre más törvényes jogalap nélkül kerül sor, az adatok feletti rendelkezés elvesztése értelmében nem emiatt kell őt anyagilag kártalanítani úgy, mintha ezen elvesztés önmagában megtérítendő sérelmet jelentene. ( 56 ) Hogy ezenfelül szenvedett‑e kárt, vagy sem, az még kérdéses (és bizonyítani kell). ( 57 ) |
2) Az érintettnek az ügy összefüggése keretében való rendelkezési joga
78. |
Végül helyénvalónak tartom emlékeztetni arra, hogy a személyes adatok védelmét – az adatok szabad áramlásának előmozdítása mellett – ( 58 ) a GDPR egyik célkitűzéseként határozták meg. |
79. |
A polgárok személyes adatok feletti, digitális környezetben történő rendelkezésének megerősítése a személyes adatok védelmére vonatkozó rendszer korszerűsítésének egyik elismert célja, és nem egy önálló vagy elszigetelt célkitűzés. |
80. |
A Bizottság a GDPR‑ra vonatkozó javaslatát kísérő közleményében a magas szintű adatvédelmet összekapcsolta az online szolgáltatásokba vetett bizalommal, amely lehetővé teszi a digitális gazdaságban rejlő lehetőségek kiaknázását, és ösztönzi „a gazdasági növekedést és az uniós iparágak versenyképességét”. Az uniós jog megreformálásával (és fokozott harmonizációjával) „megerős[ödik] az adatvédelem egységes piaci dimenziój[a]”. ( 59 ) |
81. |
Tekintettel arra, hogy a (személyes és nem személyes) adatok értéke bizonyítottan fontos az európai gazdasági és társadalmi fejlődés szempontjából, a GDPR‑nak nem az a célja, hogy az egyénnek a rá vonatkozó információk feletti rendelkezését azáltal növelje, hogy egyszerűen csak a preferenciáinak kedvez, hanem az, hogy az egyén személyes adatok védelméhez való jogát összehangolja a harmadik felek és a társadalom érdekeivel. ( 60 ) |
82. |
Hangsúlyozom, hogy a GDPR célja nem a személyes adatok kezelésének szisztematikus korlátozása, hanem annak szigorú feltételek mellett történő legitimálása. E célt mindenekelőtt az érintett azzal kapcsolatos bizalmának erősítése szolgálja, hogy az adatkezelést egy olyan biztonságos környezetben végzik, ( 61 ) amelyhez ő maga is hozzájárul. Ez ösztönzi az érintetteket arra, hogy – többek között az online kereskedelmi ügyletek területén – önkéntesen hozzájáruljanak az adataikhoz való hozzáféréshez és azok felhasználásához. |
C. Az előzetes döntéshozatalra előterjesztett második kérdés
83. |
A kérdést előterjesztő bíróság azt kívánja megtudni, hogy „a tényleges érvényesülés és egyenértékűség elve mellett további uniós jogi előírások is vonatkoznak‑e a kártérítés megállapítására”. |
84. |
Valójában úgy tűnik, hogy az egyenértékűség elve itt nem játszik fontos szerepet: a GDPR harmonizált rendszere közvetlenül alkalmazandó e területen, a rendelet 82. cikke pedig a jogsértésből eredő valamennyi nem vagyoni kárra vonatkozik, függetlenül attól, hogy a kár minek tudható be. |
85. |
A tényleges érvényesülés elve tekintetében ugyanez a megfontolás érvényes. Más kérdés, hogy a kártérítésnek – a GDPR (146) preambulumbekezdésében foglaltakkal (az érintetteket az őket ért kárért teljes és tényleges kártérítés illeti meg) való összhang érdekében – ilyen vagy olyan tartalommal kell rendelkeznie. |
86. |
A GDPR 82. cikke nem ír elő más követelményt, mint hogy a rendelet szabályainak megsértése bármely személyt érő vagyoni vagy nem vagyoni kárral kell járjon. Az e károkért járó kártérítés összegének konkrét kiszámítására vonatkozóan nem határoz meg iránymutatásokat a nemzeti bíróságok számára. |
87. |
A fent említett két jelző (teljes és tényleges) alapján a kártérítés mértéke először is az egyes felperesek által benyújtott keresettől függ. |
88. |
Ha e kereset büntető jellegű kártérítés megállapítására irányulna, ( 62 ) az előzetes döntéshozatalra előterjesztett első kérdésre elegendő lenne az alábbi válasz: ez a fajta kártérítés a GDPR‑ban nem szerepel. Ezen belül a polgári jogi felelősség „magánjellegű” kompenzációs funkciót tölt be, míg a pénzbírságok és büntetőjogi szankciók közfeladata a visszatartás és adott esetben a büntetés. |
89. |
Nem kizárt, hogy a nem vagyoni kártérítés címén kért jóvátétel a tisztán vagyoni kártérítésen kívül más elemeket is tartalmaz, így például a jogsértés megtörténtének elismerését, amellyel bizonyos erkölcsi elégtételt nyújtanak a felperes számára. A Bíróság 2021. április 15‑i ítélete ( 63 ) – jóllehet ezen ítélet nem az adatvédelem területén született – analógia útján lehetővé tenné, hogy e keresetnek helyt adjanak. |
90. |
Az így rendelkező jogrendszerekben előfordulhat, hogy a polgári jogi felelősségi rendszer a jogérvényesítés (jelképes kártérítés fizetése) vagy a jogtalan gazdagodás semlegesítése (a jogtalanul szerzett haszon visszaadása) útján ír elő marasztalást. |
91. |
Az előbbi mögött az a gondolat áll, hogy a jog folytonosságát és érvényesülését („Rechtsfortsetzungfunktion”) egy pusztán jelképes kártérítéssel kell biztosítani azon megállapítás mellett, hogy az alperes jogellenes cselekményt követett el, és megsértette a felperes jogait. A GDPR 82. cikke nem rendelkezik erről, és az előkészítő anyagok sem utalnak rá, ami nem meglepő, mivel ez nem közös a tagállamok jogrendszereiben, ( 64 ) és azon tagállamokban is vitatott, ahol létezik. ( 65 ) |
92. |
A GDPR rendszere és célkitűzései azonban nem zárják ki, hogy azon tagállamok, amelyek ismerik e jogorvoslati lehetőséget – a 79. cikkében foglalt jogorvoslati lehetőségek keretében – a kár teljes hiánya esetén felajánlják e jogorvoslati lehetőséget a valamely szabály megsértése által érintettek számára. Ha ezzel szemben a felperes azt állítja, hogy vagyoni kárt szenvedett, a helyzetet a GDPR 82. cikke szabályozza, és a vagyoni kár bizonyításának nehézsége nem eredményezhet jelképes kártérítést. ( 66 ) |
93. |
Ami a jogsérelmet követő pénzösszeg megfizetésére irányuló elmarasztalásokat illeti, azok célja az lehet, hogy megfosszák az elkövetőt a szerzett pénzügyi előnytől. A szellemi tulajdon ( 67 ) területén kívül e cél nem gyakori a kártérítési jogban, amely jog inkább a károsult fél veszteségével, nem pedig a jogsértő nyereségével foglalkozik. ( 68 ) E cél nem szerepel a GDPR cikkeiben sem. |
94. |
Ezen észrevételeket a kérdést előterjesztő bíróság munkájának megkönnyítése érdekében teszem, tekintettel az előzetes döntéshozatalra irányuló második kérdés terjedelmére. Nem tagadom azonban, hogy azok hasznossága csekély lehet egy olyan kereset elfogadása vagy elutasítása szempontjából, amelynek keretében az érintett szigorúan pénzben meghatározott nem vagyoni kár megtérítését kéri. |
D. Az előzetes döntéshozatalra előterjesztett harmadik kérdés
95. |
A kérdést előterjesztő bíróság azt kívánja megtudni, hogy a GDPR értelmében a nem vagyoni kártérítés megítélésének feltétele‑e, hogy „jogsértés legalább bizonyos súlyú olyan következménnyel vagy hatással járjon, amely meghaladja a jogsértés által kiváltott bosszúságot”. |
96. |
A kártérítésre való jogosultság kritériumaként az előzetes döntéshozatal iránti kérelem figyelembe veszi az érintett személy tapasztalatainak intenzitását. Ezzel szemben nem kérdezi (legalábbis nem közvetlenül), hogy az érintett bizonyos érzelme vagy érzése releváns‑e a GDPR 82. cikkének (1) bekezdésében foglaltak értelmében. ( 69 ) |
97. |
Felmerül tehát a kérdés, hogy a tagállamok függővé tehetik‑e a nem vagyoni kár megtérítését a szabály megsértése következményeinek mértékétől, és kizárólag a következmények bizonyos súlyossági küszöbét meghaladó következményeket értve ide. A kérdés tehát nem a megtérítendő károk fogalmára ( 70 ) vagy a kártérítés összegére vonatkozik, hanem arra, hogy létezik‑e az érintett félben kiváltott reakciónak egy olyan alsó határa, amely alatt nem jogosult kártérítésre. |
98. |
A GDPR 82. cikke nem ad közvetlen választ a kérdésre. Véleményem szerint a (75) és (85) preambulumbekezdés sem. Mindkettő a károk példálózó felsorolását tartalmazza, amely egy nyitott záradékban ér véget, amely úgy tűnik, hogy a megtérítendő károkat a „jelentős” károkra korlátozza. |
99. |
Ugyanakkor nem hiszem, hogy e preambulumbekezdések hasznosak lennének a kérdést előterjesztő bíróság kételyeinek eloszlatásához:
|
100. |
A GDPR (146) preambulumbekezdésében szereplő kijelentés (az adatkezelők az „okozott kárt” kötelesek megtéríteni) ( 71 ) sem utal olyan kritériumokra, amelyek lehetővé tennék e kérdés megválaszolását. |
101. |
E preambulumbekezdésnek a GDPR szövegébe történő átültetése azt eredményezte, hogy – a 95/46 irányelv ezzel kapcsolatos hallgatását felváltva – ( 72 ) a GDPR hatálya kifejezetten kiterjed a nem vagyoni károkra. Nem foglalkozott azonban konkrétan a Bíróság előtt most felmerült kérdéssel. |
102. |
A GDPR ugyanezen (146) preambulumbekezdése kimondja, hogy „[a] kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze e rendelet célkitűzéseit”. |
103. |
Nem vagyok biztos abban, hogy egy ilyen jelzésnek sok haszna lenne az adatvédelemmel összefüggésben, mivel a Bíróság még nem hozott döntést e kérdés tekintetében, amikor a GDPR‑t elfogadták. ( 73 ) Ha más irányelvekben vagy rendeletekben szabályozott polgári jogi felelősségre vonatkozó ítéletekre kellett volna hivatkozni, akkor üdvözlendő lett volna az analógiára való hivatkozás. |
104. |
A Bíróság valójában még nem dolgozta ki a „kár” olyan általános meghatározását, amely bármely területen különbségtétel nélkül alkalmazandó lenne. ( 74 ) Ami a jelen ügyet illeti (nem vagyoni károk), az ítélkezési gyakorlatából az következik, hogy:
|
105. |
Noha a Bíróság ítélkezési gyakorlata lehetővé teszi annak megállapítását, hogy – a fentiekben kifejtettek szerint – az uniós jogban létezik a nem vagyoni kár megtérítésének elve, nem gondolom, hogy ebből azonban olyan szabályra lehetne következtetni, amelynek értelmében minden nem vagyoni kár – jelentőségének mértékétől függetlenül – megtérítendő. |
106. |
A Bíróság elismerte a nemzeti szabályozásnak az uniós szabályokkal való összeegyeztethetőségét, amely előbbi a kártérítés kiszámítása céljából a baleset által okozott személyi sérüléshez kapcsolódó nem vagyoni károkat a sérülés eredete szerint különbözteti meg. ( 77 ) |
107. |
A Bíróság értékelte azt is, hogy melyek azok a körülmények, amelyek – az egyes esetekben alkalmazandó rendelkezésnek megfelelően – nem vagyoni kárt okozhatnak, ( 78 ) azonban (ha nem tévedek) még nem határozott kifejezetten e kár komolyságának követelményéről. ( 79 ) |
108. |
Ezen a ponton úgy vélem, hogy az előzetes döntéshozatalra előterjesztett harmadik kérdésre igenlő választ kell adni. |
109. |
Álláspontom alátámasztása érdekében emlékeztetek arra, hogy a GDPR nem kizárólag a személyes adatok védelméhez való alapvető jog biztosítására irányul, ( 80 ) és garanciarendszere különböző típusú mechanizmusokat foglal magában. ( 81 ) |
110. |
Ebben az összefüggésben releváns lehet a Bíróság számára javasolt, a megtérítendő nem vagyoni károk és a jogszerűség be nem tartásából eredő egyéb hátrányok közötti megkülönböztetés, amelyek csekély jelentőségüknél fogva nem szükségszerűen keletkeztetnek kártérítésre való jogosultságot. |
111. |
A nemzeti jogrendszerekben az ilyen szétválasztást a társadalmi élet elkerülhetetlen velejárójának tekintik. ( 82 ) A Bíróság számára nem ismeretlen ez a különbség, amelyet akkor is elismer, amikor a károkozással kapcsolatban önálló kategóriaként említi a kellemetlenségeket és a bosszúságot azon a területeken, ahol úgy véli, hogy indokolt a kártérítés. ( 83 ) Semmi akadálya nincs annak, hogy ezen önálló kategóriát átültessék a GDPR-ba. |
112. |
Egyébiránt nem tűnik úgy számomra, hogy a GDPR 82. cikkének (1) bekezdésében foglalt kártérítéshez való jog a megfelelő eszköz a személyes adatok kezelése során elkövetett jogsértések ellensúlyozására, amennyiben azok az érintettben csak haragot vagy bosszúságot keltenek. |
113. |
Általános szabályként a személyes adatok védelmére vonatkozó bármely szabály megsértése az érintett részéről valamilyen negatív reakciót vált ki. Az a kártérítés, amely pusztán a törvény mások általi be nem tartása miatti elégedetlenségéből ered, könnyen összetéveszthető a kár nélküli kártérítéssel, amelynek lehetőségét fentebb már elvetettem. |
114. |
Gyakorlati szempontból nem hatékony az egyszerű bosszúságot a megtérítendő nem vagyoni károk közé sorolni, figyelembe véve a felperes számára a keresetindítással, ( 84 ) az alperes számára pedig a védekezéssel járó kellemetlenségeket és nehézségeket. ( 85 ) |
115. |
Az adatkezelési szabályok megsértésével kapcsolatos enyhe és átmeneti érzések vagy érzelmek miatti kártérítésre való jogosultság megtagadása ( 86 ) nem teszi az érintettet teljesen kiszolgáltatottá. Amint azt az első kérdés kapcsán jeleztem, a GDPR rendszere más jogorvoslati lehetőségeket is kínál számára. |
116. |
Nem vonom kétségbe, hogy a puszta bosszúság (amely nem megtérítendő) és a valódi nem vagyoni kár (amely igenis megtérítendő) közötti határvonal vékony, és nem is hagyom figyelmen kívül, hogy mennyire bonyolult a két kategória absztrakt elhatárolása és a kategóriák konkrétan egy jogvitára való alkalmazása. Ez a nehéz feladat a tagállami bírákra hárul, akik határozataikban valószínűleg nem tudják figyelmen kívül hagyni a társadalomnak a megengedett tűréshatárról alkotott, adott pillanatban érvényesülő felfogását, amikor az e területre vonatkozó szabály megsértésének szubjektív következményei nem haladják meg a de minimis szintet. ( 87 ) |
V. Végkövetkeztetés
117. |
A fentiekre tekintettel azt javaslom, hogy a Bíróság az Oberster Gerichtshof (legfelsőbb bíróság, Ausztria) számára a következő választ adja: „A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 82. cikkét úgy kell értelmezni, hogy: Valamely személyt az említett rendelet megsértése következtében ért kár megítéléséhez önmagában nem elegendő a szabály puszta megsértése, amennyiben az nem jár együtt megfelelő vagyoni vagy nem vagyoni kárral. Az általa szabályozott nem vagyoni kártérítés nem terjed ki arra a puszta bosszúságra, amelyet az érintett személy a 2016/679 rendelet rendelkezéseinek megsértése miatt érezhet. A nemzeti bíróságok feladata annak meghatározása, hogy a szubjektív elégedetlenség érzése – annak jellemzői miatt – mikor tekinthető adott esetben nem vagyoni kárnak.” |
( 1 ) Eredeti nyelv: spanyol.
( 2 ) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.). A továbbiakban: GDPR.
( 3 ) A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.).
( 4 ) Az Európai Unió Alapjogi Ügynökség (FRA), Access to data protection remedies in the EU Member States, az Európai Unió Kiadóhivatala, 2013, 3. és 4. pont.
( 5 ) E jog jogszabályi elismerése nagymértékben az uniós jogvédelmi rendszer sajátossága. A személyes adatok harmadik országokba történő továbbítására vonatkozó jogi eszközök érvényességének vizsgálata kifejezetten figyelembe veszi, hogy létezik‑e ugyanezen célt szolgáló rendelkezés. Lásd: 2017. július 26‑i 1/15 (EU–Kanada átfogó gazdasági és kereskedelmi megállapodás) vélemény (EU:C:2017:592, 226. és 227. pont); 2020. július 16‑iFacebook Ireland és Schrems ítélet (C‑311/18, EU:C:2020:559); 2022. június 21‑iLigue des droits humains ítélet (C‑817/19, EU:C:2022:491).
( 6 ) A jelen indítvány írásakor hét másik előzetes döntéshozatal iránti kérelem érkezett e tárgyban (C‑340/21; C‑667/21; C‑687/21; C‑741/21; C‑182/22; C‑189/22. és C-456/22. sz. ügy). Ezzel párhuzamosan felkérték az Európai Parlament petíciós bizottságát, hogy „tisztázza a GDPR preambulumbekezdéseit – különösen a nem vagyoni károkra vonatkozóan – a német bíróságok általi további igazságtalan ítéletek elkerülése érdekében” (0386/2021. sz. petíció).
( 7 ) Ezzel szemben helyt adott a magatartás abbahagyására való kötelezés iránti keresetnek, amelyet fellebbezési eljárásban helybenhagytak. Az Österreichische Postnak az abbahagyásra kötelező végzéssel szemben benyújtott felülvizsgálati kérelmét elutasították.
( 8 ) E kifejezést a GDPR 4. cikke 1. pontja értelmében használom.
( 9 ) Bizonyos esetekben az érintettnek még csak azt sem kell bizonyítania, hogy nem adta hozzájárulását, mivel a GDPR 7. cikkének (1) bekezdése szerint „[h]a az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult”. A felperesnek azonban be kell nyújtania azokat a bizonyítékokat, amelyek lehetővé teszik a kár számszerűsítését.
( 10 ) A spanyol („indemnización”) és a portugál („indemnização”) nyelvi változatban a „kártérítés” kifejezést használják. német nyelvi változatban használt „Schadenersatz” is nagyon kifejező. A francia nyelvi változatban nem az „indemnisation”, hanem a „réparation” kifejezés szerepel; az angol nyelvi változatban pedig a „compensation”. Úgy gondolom, hogy ezen és más hasonló változatok bármelyike esetében az eredmény ugyanaz: a kár továbbra is a polgári jogi felelősség megkerülhetetlen eleme.
( 11 ) A GDPR (146) preambulumbekezdése. A kártérítés célja a jogsértés által hátrányosan megváltoztatott (sérült) jogi helyzet egyensúlyának helyreállítása.
( 12 ) A büntető jellegű kártérítés (punitive damages) az angolszász jog jellemzője. Más jogrendszerek a különösen szándékos vagy súlyosan gondatlan magatartásra adott válaszintézkedésként alkalmazzák. Néha a testi épség vagy a magánélet sérelméből eredő nem vagyoni kár értékeléséhez kapcsolódik.
( 13 ) 2006. július 13‑iManfredi és társai ítélet (C‑295/04–C‑298/04, EU:C:2006:461, 92. pont). „Ami a kártérítés megítélését és a bírság jellegű kártérítés lehetőségét illeti, vonatkozó közösségi rendelkezések hiányában a tagállamok nemzeti jogrendszerének feladata azon kritériumok meghatározása, amelyek lehetővé teszik a kártérítés mértékének megállapítását, ennek során azonban tiszteletben kell tartani az egyenértékűség és a tényleges érvényesülés elvét.” Az eredeti változatban kiemelés nélkül.
( 14 ) A férfiak és a nők közötti egyenlő bánásmód elvének a munkavállalás, a szakképzés, az előmenetel és a munkakörülmények terén történő végrehajtásáról szóló, 1976. február 9‑i 76/207/EGK tanácsi irányelv (HL 1976. L 39., 40. o.; magyar nyelvű különkiadás 5. fejezet, 1. kötet, 187. o.) 6. cikkének vonatkozásában a 2007. október 11‑iPaquay ítélet (C‑460/06, EU:C:2007:601, 44. és azt követő pontok).
( 15 ) A szabályozott piacra bevezetett értékpapírok kibocsátóival kapcsolatos információkra vonatkozó átláthatósági követelmények harmonizációjáról és a 2001/34/EK irányelv módosításáról szóló, 2004. december 15‑i 2004/109/EK európai parlamenti és tanácsi irányelv (HL 2004. L 390., 38. o.) 28. cikke; vagy a férfiak és nők közötti esélyegyenlőség és egyenlő bánásmód elvének a foglalkoztatás és munkavégzés területén történő megvalósításáról szóló, 2006. július 5‑i 2006/54/EK európai parlamenti és tanácsi irányelv (HL 2006. L 204., 23. o.; helyesbítés: HL 2019. L 191., 45. o.) 25. cikke.
( 16 ) Így a szellemi tulajdonjogok érvényesítéséről szóló, 2004. április 29‑i 2004/48/EK európai parlamenti és tanácsi irányelv (HL 2004. L 157., 45. o.; magyar nyelvű különkiadás 17. fejezet, 2. kötet, 32. o.) (26) preambulumbekezdése. Ebben az esetben a büntető jellegű intézkedés bevezetése nem tilos, de nem kötelező: 2017. január 25‑iStowarzyszenie Oławska Telewizja Kablowa ítélet (C‑367/15, EU:C:2017:36, 28. pont).
( 17 ) A tagállamok és az Európai Unió versenyjogi rendelkezéseinek megsértésén alapuló, nemzeti jog szerinti kártérítési keresetekre irányadó egyes szabályokról szóló, 2014. november 26‑i 2014/104/EU európai parlamenti és tanácsi irányelv (HL 2014. L 349., 1. o.) 3. cikkének (3) bekezdése; vagy a fogyasztók kollektív érdekeinek védelmére irányuló képviseleti keresetekről és a 2009/22/EK irányelv hatályon kívül helyezéséről szóló, 2020. november 25‑i (EU) 2020/1828 európai parlamenti és tanácsi irányelv (HL 2020. L 409., 1. o.) (10) és (42) preambulumbekezdése, amely az adatvédelem területét fedi le.
( 18 ) A közösségi növényfajta‑oltalomról szóló 2100/94/EK tanácsi rendelet 14. cikkének (3) bekezdésében biztosított mezőgazdasági eltérés érvényesítésének végrehajtási szabályairól szóló, 1995. július 24‑i 1768/95/EK bizottsági rendelet (HL 1995. L 173., 14. o.; magyar nyelvű különkiadás 3. fejezet, 18. kötet, 63. o.) 18. cikkének (2) bekezdését gyakran emelik ki példa gyanánt: „a jogosult bármely további káráért […] kártérítési kötelezettség terheli, amely legalább a […] fizetendő átlagos összeg négyszeresének megfelelő átalánydíjat jelent”.
( 19 ) A jelen indítvány 47. pontja.
( 20 ) Itt a 2014/104 irányelvvel azonos értelemben használom a „közjogi érvényesítés” és a „magánjogi jogérvényesítés” fogalmát.
( 21 ) Az (50) preambulumbekezdés a 95/46 irányelv III. fejezetének („Bírósági jogorvoslat, felelősség és szankciók”) tartalmát ismertette. A 22., 23. és 24. cikkek az egyes kifejezéseknek feleltek meg. A VI. fejezetet a felügyeleti hatóságoknak szentelték.
( 22 ) A Bíróság megerősítette az e hatóságok rendszerben betöltött központi szerepét például a 2010. március 9‑iBizottság kontra Németország ítéletében (C‑518/07, EU:C:2010:125, 23. pontja). Rájuk utal az Európai Unió Alapjogi Chartája (a továbbiakban: Charta) 8. cikkének (1) bekezdése, valamint az EUMSZ 16. cikk (2) bekezdésének utolsó mondata.
( 23 ) Észtország és Dánia a GDPR (151) preambulumbekezdésében említett különös szabályozással rendelkezik.
( 24 ) Jóllehet a GDPR – a 2014/104 irányelv (3) preambulumbekezdéséhez hasonlóan – nem említi közvetlenül a szabályok magánjogi érvényesítésének jelentőségét.
( 25 ) A kollektív keresetek lehetőségét már a GDPR előtt is elismerték: 2019. július 29‑iFashion ID ítélet (C‑40/17, EU:C:2019:629). A GDPR 80. cikkének (1) bekezdése értelmében az érintettek védelmi szervezeteinek tevékenysége kártérítési ügyekben nem áll rendelkezésre, kivéve, ha a tagállamok úgy rendelkeznek, és az érintett megadja a szükséges felhatalmazást. A helyzet a 2020/1828/EK irányelv következtében megváltozhat.
( 26 ) Amint arra Richard de la Tour főtanácsnok a Meta Platforms Ireland ügyre vonatkozó indítványában (C‑319/20, EU:C:2021:979) rámutatott, a GDPR 80. cikke szerinti fellépés alkalmas a magán‑ és közérdekek védelmének szolgálatára. Ebben az ügyben jogsértés megszüntetése iránti keresetről volt szó.
( 27 ) Különösen azokban a tagállamokban, amelyek vonakodnak attól, hogy az erre vonatkozó jogi rendelkezés hiányában elismerjék a nem vagyoni károkat megállapító határozatokat.
( 28 ) Ilyen például a passzív perbeli legitimáció, a mentesülési okok, valamint a közös adatkezelők és a közös adatfeldolgozók felelősségi rendszere. Egy tanácsi dokumentum a belga delegáció következő kérdését tükrözi: „whether a violation of the principles of the Regulation was enough to constitute a damage or whether the data subject had to prove a specific damage”. A Bizottság válasza az volt, hogy bizonyítani kell a károkat: lásd először a 2013. december 16‑i 17831/13. sz. elnöki feljegyzés 541. megjegyzését. Nem tűnik úgy, hogy e kérdés nagyobb vita tárgyát képezte volna.
( 29 ) A 2004/48 és 2014/104 irányelvek elfogadásához vezető előkészítő anyagokra utalok. A GDPR 82. cikkének a büntető jellegű kártérítésre kiterjesztő értelmezése jelentős következményekkel járna a tagállamok számára: szembe kellene nézniük például azzal, hogy ki legyen a szankcióként szolgáló kártérítés kedvezményezettje, hogyan kell a kártérítést úgy kiszámítani, hogy az megfeleljen a célkitűzésnek, vagy hogyan kell azt a közigazgatási bírságokkal és a büntetőjogi szankciókkal összehangolni a túlzott büntetés elkerülése érdekében.
( 30 ) Ezek a büntetőjogi vagy közigazgatási jellegű „további szankciók” nincsenek harmonizálva. A bírságokhoz hasonlóan ezeknek is „hatékonyaknak, arányosaknak és visszatartó erejűnek” kell lenniük (a 84. cikk (1) bekezdésének utolsó mondata).
( 31 ) Nem zárom ki, hogy elméletileg ezek némelyike a polgári jogi felelősség keretében is felmerülhet (gondolok itt például a jogsértőnek a GDPR 83. cikke (2) bekezdésének b) pontja szerinti „szándékosságára vagy gondatlanságára”), vagy a kártérítésben is tükröződhet (így ugyanezen rendelkezés g) pontja szerint „a jogsértés által érintett személyes adatok kategóriái”). Márpedig az egyes tényezők egyik területről a másikra történő átvitele még ezekben az esetekben sem működne automatikusan.
( 32 ) A GDPR 83. cikke (2) bekezdésének a) pontja.
( 33 ) Sem számítási paraméterként, sem az összegből való levonásként.
( 34 ) A GDPR 1. cikke és (6), (9) és (170) preambulumbekezdése. A (9) preambulumbekezdés emlékeztet arra, hogy ezek voltak a 95/46 irányelv célkitűzései, és hangsúlyozza, hogy azok továbbra is érvényesek. Gyakran hangsúlyozzák, hogy a 95/46 irányelvben a személyes adatok szabad áramlásának célkitűzése elsőbbséget élvezett a védelem célkitűzésével szemben, míg a GDPR-ban ennek épp az ellenkezője igaz, ami a jognak a Charta 8. cikkében történő formális elismerésével magyarázható, amelynek túl kellett mutatnia az új szabályozáson. A GDPR 1. cikke azonban egyértelmű a személyes adatok védelmének és szabad mozgásának összeegyeztetésére irányuló törekvést illetően. Ez természetesen azt jelenti, hogy biztosítani kell, hogy a védelem szintje valamennyi tagállamban azonos legyen, és el kell kerülni a szabályozás széttagoltságából eredő akadályokat, ugyanakkor el kell oszlatni a személyes adatok kezeléséhez szükséges személyes adatok megosztását vagy megadását érintő aggályokat az arra vonatkozó bizalom megteremtésével, hogy az adatok védelemben részesülnek.
( 35 ) Észrevételeiben (53. pont) az ír kormány azt állítja, hogy: „[…] very many claims for compensation under Article 82 GDPR arise in the context of very minor, marginal or speculative non-material damage” (kiemelés tőlem). Németországban a jogirodalom egy része óva int a kérelmekkel való visszaéléstől, és felhívja a figyelmet arra, hogy el kell kerülni a „datenschutzrechtliche Klageindustrie” kialakulását: Wybitul, T., Neu, L., Strauch, M., „Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen”, Zeitschrift für Datenschutz, 2018, 202. és azt követő oldalak, különösen 206. o.; Paal, B.P., Kritzer, I., „Geltendmachung von DS-GVO-Ansprüchen als Geschäftsmodell“, Neue Juristische Wochenschrift, 2022, 2433. oldaltól.
( 36 ) Nem zárható ki, hogy a károkozás nélküli polgári jogi felelősség megállapítása iránti kereset sikere „szívó” vagy sokszorosító hatást vált ki. Ez növelné annak valószínűségét, hogy a gazdasági szereplők a lehetséges közigazgatási vagy büntetőjogi szankciókon túlmenően csoportos keresetekkel vagy (adott esetben többé‑kevésbé visszaélésszerű) egyéni keresetek sokaságával szembesüljenek.
( 37 ) A felek észrevételei csupán utalnak erre, de nem fejtik ki részletesebben. Nem részletezik például, hogy megdönthetetlen vagy megdönthető vélelemről van‑e szó. Az első lehetőség felel meg leginkább a kérdést előterjesztő bíróság kérdésének, ezért én is erre szorítkozom.
( 38 ) Lásd a visszautasított beszállás és légijáratok törlése vagy hosszú késése [helyesen: jelentős késése] esetén az utasoknak nyújtandó kártalanítás és segítség közös szabályainak megállapításáról és a 295/91/EGK rendelet hatályon kívül helyezéséről szóló, 2004. február 11‑i 261/2004/EK európai parlamenti és tanácsi rendelet (HL 2004. L 46., 1. o.; magyar nyelvű különkiadás 7. fejezet, 8. kötet, 10. o.; helyesbítés: HL 2019. L 119., 202. o.) 7. cikkét; vagy a tengeri és belvízi közlekedést igénybe vevő utasok jogairól, valamint a 2006/2004/EK rendelet módosításáról szóló, 2010. november 24‑i 1177/2010/EU európai parlamenti és tanácsi rendelet (HL 2010. L 334., 1. o.) 19. cikkét.
( 39 ) Például a GDPR 82. cikkének (3) és (4) bekezdésében.
( 40 )
( 41 )
( 42 ) Az e preambulumbekezdésben felsorolt következmények nem automatikusak. A GDPR 34. cikke értelmében az adatkezelőnek esetről esetre értékelnie kell, hogy szükséges‑e értesíteni az érintettet az adatvédelmi incidensről.
( 43 ) Az adatok feletti rendelkezés elvesztéséhez kapcsolódó érzelmi következmények, így például az adatok sorsa miatti félelem vagy szorongás, a rendelkezés elvesztéséből származnak, de nem azonosak vele.
( 44 ) Egyes tagállamok az adatvédelemhez közel álló ágazatokban felállították a kárra vonatkozó vélelmet. Így Spanyolországban a Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (a jóhírnévhez, a magánélethez és a családi élethez, valamint a saját képmásról való rendelkezéshez fűződő jog polgári jogi védelméről szóló, 1982. május 5‑i 1/1982. sz. organikus törvény; 115. sz. BOE, 1982. május 14., 12546–12548. o.) 9. cikkének (3) bekezdése úgy rendelkezik, hogy „a kár fennállását vélelmezni kell, amennyiben az [e törvény által biztosított jogok] jogellenes megsértése bizonyítást nyer”.
( 45 ) Emlékeztetek arra, hogy e jogvitában a magatartás jogellenessége éppen az érintett hozzájárulásának hiányához kapcsolódik. A kártérítéshez való jognak a GDPR szabályainak tiszteletben tartására vonatkozó biztosítékai között elfoglalt helyével kapcsolatos érvek itt is érvényesek.
( 46 ) Ez azonban csak az egyik jogalapja a jogszerű adatkezelésnek; a GDPR-ban felsoroltak mindegyike egyformán érvényes. Lásd a 29. cikk alapján létrehozott adatvédelmi munkacsoportnak az adatkezelő 95/46/EK irányelv 7. cikke szerinti jogszerű érdekeinek fogalmáról szóló, 2014. április 9‑én elfogadott 06/2014. sz. véleményét, 10. o. Az adatkezelő azonban az adatkezelés megkezdését követően nem térhet át más jogalapokra: az Európai Adatvédelmi Testület 5/2020 iránymutatása az (EU) 2016/679 rendelet szerinti hozzájárulásról, 121. és 123. pont
( 47 ) A GDPR 17. cikkének (1) bekezdése. Ami nem azt jelenti, hogy a törlésig végzett adatkezelés által esetlegesen okozott károkért nem áll fenn kártérítéshez való jog.
( 48 ) 2014. május 13‑iGoogle Spain és Google ítélet (C‑131/12, EU:C:2014:317, a rendelkező rész 4. pontja).
( 49 ) A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (általános adatvédelmi rendelet) szóló európai parlamenti és tanácsi rendeletre irányuló javaslat (COM(2012) 011 végleges, 2. o.), valamint a szövegjavaslat (6) preambulumbekezdése. Lásd még: az Európai Parlamentnek, a Tanácsnak és az Európai Gazdasági és Szociális Bizottságnak szóló bizottsági közlemény: „A magánélet védelme az összekapcsolódó világban. 21. századi európai adatvédelmi keret” (COM(2012) 9 végleges) 2. pontja.
( 50 ) Nekem úgy tűnik, hogy ez a hallgatás nem véletlen. A személyes adatok tulajdonjogával kapcsolatos fogalmi gondolatmeneteken túlmenően a kérdés az, hogy az adatok feletti rendelkezés elismerése nem egyenlő‑e azzal, hogy a természetes személyek tulajdonosi jogosultsággal rendelkeznek a rájuk vonatkozó információk felett (ami valószínűleg nem lenne összeegyeztethető a harmadik személyek és a társadalom egészének érdekeivel). A személyes adatok feletti tulajdonjogok elismerésére vonatkozó ajánlást az európai adatkormányzásról szóló európai parlamenti és tanácsi rendeletjavaslatra (Adatkormányzási rendelet) vonatkozó európai gazdasági és szociális bizottsági vélemény tartalmazza, COM(2020) 767 végleges, (HL 2021. C 286., 38. o., 4.18. pont): „Az EGSZB […] azt ajánlja, hogy ismerjék el a digitális adatok tulajdonjogáról szóló uniós jogszabályokat, hogy az egyének (munkavállalók, fogyasztók és vállalkozók) rendelkezhessenek adataik felhasználásáról és kezeléséről” (kiemelés tőlem). Ezzel szemben, tagadva, hogy az adatok árunak minősülnek, lásd az 53. lábjegyzet végét.
( 51 ) A spanyol nyelvi változat szerint „las personas físicas deben tener el control de sus propios datos personales” („a természetes személyek számára biztosítani kell, hogy saját személyes adataik felett maguk rendelkezzenek”) (kiemelés tőlem); az angol nyelvi változat szerint „natural persons should have control of their own personal data” (és nem the control). Más, például a portugál nyelvi változatban az szerepel, hogy: „as pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais”. A GDPR 4. cikke értelmében a személyes adatok feletti rendelkezés az általuk képviselt információkra vonatkozik. Az adatok felhasználása feletti rendelkezés inkább az adatok kezelése feletti rendelkezésre vonatkozna.
( 52 ) A gyakorlatban a hozzájárulás az adatkezelő javaslatának elfogadására vagy elutasítására korlátozódik.
( 53 ) Nem zárom ki, hogy a jogi szabályozás fejlődése az érintett tulajdonjoga elismerésének irányába halad. Márpedig kétlem, hogy ez az egyéni rendelkezés maximalizálását vonná maga után: az érintettek személyes adatok feletti meghatározó hatalmi helyzete nem biztos, hogy jól illeszkedik a gazdaság és az innováció fejlődéséhez; az alapvető jog dimenziójával való összeegyeztethetősége vitatható lenne. Lásd a digitális tartalom szolgáltatására és digitális szolgáltatások nyújtására irányuló szerződések egyes vonatkozásairól szóló, 2019. május 20‑i (EU) 2019/770 európai parlamenti és tanácsi irányelv (HL 2019. L 136., 1. o.) (24) preambulumbekezdését: „Maradéktalanul elismerve, hogy a személyes adatok védelme alapvető jog, és hogy ezért a személyes adatok nem tekinthetők árunak […].” Kiemelés tőlem.
( 54 ) Nem jártak sikerrel az olyan megfogalmazások, mint a 19. cikkre vonatkozó, 2000. május 11‑i elnökségi feljegyzésben szereplő javaslat – Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4284/1/00 REV 1: „Toute personne a le droit de décider elle-même de la divulgation et de l'utilisation de ses données personnelles.” Nem járt sikerrel ugyanezen rendelkezés tekintetében az a megfogalmazás sem, amely a 2000. június 4‑i elnökségi feljegyzésében szerepel – Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4333/00: „Toute personne a le droit de décider elle-même de la collecte, de l’utilisation et de la divulgation des données à caractère personnel la concernant.” Az információs önrendelkezés gondolata nemzeti szinten néhány tagállamban – így például Németországban a Bundesverfassungsgericht (alkotmánybíróság) 1983. december 15‑i 1 BvR 209/83. sz. határozatát követően – teret nyert. Spanyolország tekintetében lásd például az Tribunal Constitucional (alkotmánybíróság) 2000. november 30‑i 292/2000. sz. határozatát (BOE, 2001. január 4.). Nem vagyok benne biztos, hogy ez a helyzet az Unió esetében, noha Szpunar főtanácsnok Orange Romania ügyre vonatkozó indítványa (C‑61/19, EU:C:2020:158, 37. pont) erre utal: „Az uniós adatvédelmi jog alapját képező vezérelv az, hogy az önrendelkezésre jogosult egyén képes dönteni a saját adatainak felhasználásáról és kezeléséről”, éppen egy német ítéletre történő hivatkozással.
( 55 ) A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendeletre (általános adatvédelmi rendelet) irányuló javaslatra vonatozó, 2013. január 16‑i jelentéstervezet (COM(2012) 0011 – C7‑0025/2012 – 2012/0011(COD)), PE501.927v04‑00, 29. módosítás.
( 56 ) Nem azt javaslom, hogy a szabálysértés büntetlenül maradjon: azt mondom, hogy a kártérítés nem a megfelelő eszköz, ha nem merült fel kár.
( 57 ) Kizárva azt, hogy a GDPR egyik célja önmagában is az, hogy az egyén számára biztosítson rendelkezést az adatai felett, nem zárom ki, hogy a rendelkezés elvesztését a nem vagyoni kár elismerése tekintetében irányadónak tekintsük, abban az értelemben, hogy figyelembe vesszük az említett elvesztést követő reakciókat.
( 58 ) Lásd a jelen indítvány 51. pontját. A nem személyes adatok vonatkozásában az adatok szabad áramlása az egyetlen cél: a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018. november 14‑i (EU) 2018/1807 európai parlamenti és tanácsi rendelet (HL 2018. L 303., 59. o.) 1. cikke.
( 59 ) Az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának szóló, „A magánélet védelme az összekapcsolódó világban. 21. századi európai adatvédelmi keret.” bizottsági közlemény (COM(2012) 9 végleges, 1. pont). Később, az 5. oldalon: „a magánélet tiszteletben tartásával kapcsolatos aggodalmak azon leggyakoribb okok között szerepelnek, amelyek miatt az emberek nem vásárolnak árukat és szolgáltatásokat az interneten”.
( 60 ) A GDPR (2) preambulumbekezdése: „[…] hozzájárul a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség, valamint a gazdasági unió megteremtéséhez, a gazdasági és társadalmi fejlődéshez, a belső piacon belüli gazdaságok erősödéséhez és konvergenciájához, valamint a természetes személyek jólétéhez”. A (4) preambulumbekezdésben: „[…] A személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban […] kell figyelembe venni […]”. Ugyanezen elv mentén 2019. szeptember 24‑iGoogle (Linkek közüli törlés területi hatálya) ítélet (C‑507/17, EU:C:2019:772, 60. pont, további hivatkozásokkal).
( 61 ) E célkitűzés közös az egységes adatpiac megerősítésére irányuló szabályozási keretrendszerrel. E tekintetben az Európai Parlamentnek, Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának szóló „Egy európai adatstratégia” bizottsági közlemény, COM(2020) 66 végleges, 1. pont, kifejti: „Egy olyan társadalomban, ahol az egyének egyre növekvő mennyiségű adatot állítanak elő, az adatgyűjtés és -felhasználás módjának elsősorban az egyén érdekeit kell előtérbe helyeznie, összhangban az európai értékekkel, az alapvető jogokkal és a szabályokkal. A polgárok csak akkor fognak megbízni az adatvezérelt innovációban, és csak akkor fogadják el azt, ha meggyőződnek arról, hogy az EU-ban az adatok megosztása során maradéktalanul érvényesülnek a szigorú uniós adatvédelmi szabályok”.
( 62 ) Úgy tűnik, hogy a kérdést előterjesztő bíróság aggódik (előzetes döntéshozatalra utaló végzés, a kérdések indokolásának 5. pontja) amiatt, hogy a kártérítés büntető jellegűvé válhat, mivel a GDPR már most is magas összegű pénzbírságokat ír elő, így annak hatékonysága nem igényelne magas összegű kártérítést a nem vagyoni kárért is.
( 63 ) Braathens Regional Aviation ítélet (C‑30/19, EU:C:2021:269, 49. pont): „a pénzbeli összeg megfizetése nem elegendő ahhoz, hogy megfeleljen azon személy követeléseinek, aki az elszenvedett nem vagyoni kár megtérítése címén elsődlegesen annak megállapítását kívánja elérni, hogy hátrányos megkülönböztetés érte, így e kifizetést e célból nem lehet úgy tekinteni, mint amely megfelelő jóvátételi funkciót tölt be”. Az ügy tárgyát a személyek közötti, faji‑ vagy etnikai származásra való tekintet nélküli egyenlő bánásmód elvének alkalmazásáról szóló, 2000. június 29‑i 2000/43/EK tanácsi irányelv (HL 2000. L 180., 22. o., magyar nyelvű különkiadás 20. fejezet, 1. kötet, 23. o.) képezte.
( 64 ) Lásd: Magnus, U., „Comparative Report on the Law of Damages”, in: Unification of Tort Law: Damages, Kluwer Law International, 2001, 187. o., 14. és 15. pont.
( 65 ) Jellemzően a common law rendszerekben, különösen az Egyesült Államokban, ahol a jelképes kártérítés iránti igény az alkotmányos jogok védelmének végső eszközeként jelenik meg. Az említett országban a hasznosságáról folytatott viták összefoglalását lásd: Grealish, M‑B., „A Dollar for Your Thoughts: Determining Whether Nominal Damages Prevent an Otherwise Moot Case from Being an Advisory Opinion”, in: Fordham L. Rev., 87. kötet, 733. o.; és nemrégiben az Egyesült Államok legfelsőbb bíróságának 2021. március 8‑i Uzuegbunam kontra Preczewski ítélete. A nominal damagest sem fogadják el békésen az Egyesült Királyságban: feltételezve, hogy a gyakorlatban a jelképes kártérítés megítélésének érdeke attól függ, hogy a kedvezményezettet az eljárási költségek felosztása szempontjából pernyertes félnek tekintik‑e, ami az Anglo‑Cyprian Trade Agencies Ltd kontra Paphos Wine Industries Ltd [1951] 1 All ER 873 ítéletet követően nem automatikus.
( 66 ) A Bíróság az EGK‑Szerződés (akkori) 215. cikke keretében még akkor is megkövetelte a kár bizonyítását, ha a felperes – tekintettel a bizonyítás nehéz jellegére – jelképes kártérítést kért: 1976. május 21‑iRoquette Frères kontra Bizottság ítélet (26/74, EU:C:1976:69, 23. és 24. pont).
( 67 ) A szellemi tulajdonnal összefüggésben a kártérítés – mint a szabály megsértésére adott válasz – az adott területen megfelelő és elsődleges, a jog gazdasági integritásának védelmére irányuló célt szolgálja. A 2004/48 irányelv 13. cikke (1) bekezdésének a) pontja a „jogsértő jogtalan gazdagodását” említi mint az igazságügyi hatóságok által a kártérítés megállapításakor mérlegelendő egyik tényezőt.
( 68 ) Hasonló rendelkezés található a közösségi növényfajta‑oltalmi jogokról szóló, 1994. július 27‑i 2100/94/EK tanácsi rendelet (HL 1994. L 227., 1. o.; magyar nyelvű különkiadás 3. fejezet, 16. kötet, 390. o.) 94. cikkének (2) bekezdésében: „Kevésbé súlyos gondatlanság esetén a fenti követelés a gondatlanság mértéke arányában csökkenthető, de a csökkentés nem lehet olyan mértékű, hogy a kártérítési követelés összege a jogbitorlást elkövetett személy oldalán keletkezett előnyök értékét ne érje el”.
( 69 ) Az érzelmek vagy érzések meghatározhatatlansága – különösen, ha ezen érzelmek vagy érzések az adatokkal a jövőben esetleg bekövetkező kockázatokkal kapcsolatosak – ahhoz vezetett, hogy ezeket nem tekintették kárnak, mivel nem eléggé konkrétak vagy hipotetikus jellegűek.
( 70 ) Vagyis a chefs de préjudice vagy a heads of damage.
( 71 ) E preambulumbekezdés értelmében az érintetteket „teljes és tényleges” kártérítés illeti meg. Nem gondolom, hogy e kijelentés releváns az előzetes döntéshozatalra előterjesztett harmadik kérdés szempontjából, mivel nem a megtérítendő károk kategóriáira, hanem a kártérítés kiszámítására vonatkozik (ez a lépés logikusan a megtérítendő károk meghatározását követő és azzal össze nem tévesztendő lépés). A GDPR előkészítő munkálataira tekintettel a „teljes és tényleges” kártérítésre helyezett hangsúly biztosítja, hogy több adatkezelő vagy adatfeldolgozó bevonása ne eredményezzen csak részleges kompenzációt az érintett számára. Ezért a GDPR 82. cikkének (4) bekezdése szerint „[…] minden egyes adatkezelő vagy adatfeldolgozó az érintett tényleges kártérítésének biztosítása érdekében egyetemleges felelősséggel tartozik a teljes kárért”.
( 72 ) A 95/46 irányelv 23. cikke nem határozta meg egyértelműen a megtérítendő károkat, ami vitához vezetett azzal kapcsolatban, hogy mely károk tartoznak az irányelv hatálya alá. A GDPR‑t megelőző tárgyalások középpontjában a nem vagyoni károk figyelembevételével kapcsolatos kételyek eloszlatása állt. A 49. lábjegyzetben említett bizottsági javaslat (118) preambulumbekezdése hivatkozik az esetleges károk megtérítésére. A társjogalkotási eljárás későbbi szakaszaiban szó esett az „esetlegesen akár anyagi, akár más természetű kárról”, amely utat engedett a „nem anyagi természetű kár” kifejezésnek, és végül a jelenlegi „nem vagyoni kár” kifejezéshez vezetett.
( 73 ) Ezt nem tette meg a 95/46 irányelv 23. cikke tekintetében, és eddig a GDPR 82. cikke tekintetében sem tette meg. Ehhez hasonlóan, ha nem tévedek, a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/680 európai parlamenti és tanácsi irányelv (HL 2016. L 119., 89. o.; helyesbítések: HL 2018. L 127., 7. o.; HL 2021. L 74., 39. o.) 56. cikkével vagy a hatályon kívül helyezett kerethatározat 19. cikkével kapcsolatban sem.
( 74 ) Nem határozta meg azt sem, hogy az értelmezés melyik – autonóm vagy a nemzeti jogszabályokra való utalás – módszere lenne előnyösebb: ez a vizsgálat tárgyát képező területtől függ. Lásd: a hibás termékekkel kapcsolatos 2001. május 10‑iVeedfald ítélet (C‑203/99, EU:C:2001:258, 27. pont); légi fuvarozók felelősségéről szóló 2010. május 6‑iWalz ítélet (C‑63/09, EU:C:2010:251, 21. pont); a gépjárműbalesetekből eredő károkra alkalmazandó polgári jogi felelősséggel kapcsolatos 2021. június 10‑iVan Ameyde España ítélet (C‑923/19, EU:C:2021:475, 37. és azt követő pontok). A GDPR‑ral kapcsolatos tárgyalásokat érintő iratok tükrözik a tagállamok azzal kapcsolatos kétségeit, hogy az (akkori) 77. cikkében szereplő kár és kártérítés fogalma önálló legyen‑e, és tanúskodnak az ezzel kapcsolatos eltérő álláspontokról. A Bizottság támogatta, hogy a kérdést a Bíróságra bízzák. Lásd: az Európai Unió Tanácsának 2013. december 16‑i 17831/13. sz. elnökségi feljegyzése, 539. lábjegyzet.
( 75 ) Például a termékek fogyasztói vagy a közúti balesetek károsultjai.
( 76 ) Az utazási csomagok területén: 2002. március 12‑iLeitner ítélet (C‑168/00, EU:C:2002:163); a járművek használatával kapcsolatos polgári jogi felelősség terén: 2013. október 24‑iHaasová ítélet (C‑22/12, EU:C:2013:692, 47–50. pont); 2013. október 24‑iDrozdovs ítélet (C‑277/12, EU:C:2013:685, 40. pont); 2014. január 23‑iPetillo ítélet (C‑371/12, EU:C:2014:26, 35. pont).
( 77 ) 2014. január 23‑iPetillo ítélet (C‑371/12, EU:C:2014:26), rendelkezés: az uniós joggal „nem ellentétes az olyan nemzeti szabályozás […], amely a közúti közlekedési balesetekből következő könnyű testi sérülésekből eredő nem vagyoni károk megtérítésének különös rendszerét írja elő, amely korlátozza e károk megtérítését ahhoz képest, amire nem ilyen balesetekből eredő, ugyanilyen károk megtérítése tekintetében lehetőség van”.
( 78 ) Például az üdülés élvezeti értékében bekövetkezett csökkenés ügyében hozott 2002. március 12‑iLeitner ítélet (C‑168/00, EU:C:2002:163); a szervezett utazással összefüggésben történő poggyász elvesztésével kapcsolatos 2010. május 6‑iWalz ítélet (C‑63/09, EU:C:2010:251).
( 79 ) A 2004/48 irányelv értelmezésével kapcsolatos 2016. március 17‑iLiffers ítélet (C‑99/15, EU:C:2016:173, 17. pont) kiemelte, hogy a nem vagyoni kár „annak bizonyítása esetén” a ténylegesen elszenvedett kár egyik összetevője lehet. Logikus módon a bizonyítás feltételezi a kár tényleges bekövetkeztét; ez pedig közelít a sérelem komolyságának gondolatához, noha nem egyezik meg azzal.
( 80 ) Fenti 51. pont.
( 81 ) Fenti 45. és azt követő pontok.
( 82 ) A közelmúltban adatvédelmi kérdéssel kapcsolatban Olaszországban a Tribunale di Palermo (palermói bíróság) I. sz. polgári tanácsának 2019. október 5‑i 5261. sz. ítélete; a Cassazione Civile (polgári jogi semmítőszék) 6. sz. tanácsának 17383/2020. sz. végzése. Németországban többek között az Amtsgericht Diez (diezi helyi bíróság) 2018. november 7‑i 8 C 130/18. sz ítélete; a Landgericht Karlsruhe (karlsruhei regionális bíróság) 2019. augusztus 2‑i 8 O 26/19. sz. ítélete; az Amtsgericht Frankfurt am Main (frankfurt am maini helyi bíróság) 2020. július 10‑i 385 C 155/19 (70). sz. ítélete. Ausztriában az Oberster Gerichtshof (legfelsőbb bíróság) 6 Ob 56/21k. sz. ítélete.
( 83 ) Lásd: a nemzetközi légi szállítás egyes szabályainak egységesítéséről szóló, 1999. május 28‑án Montrealban kötött egyezmény 19. cikke értelmében vett „károk” és a 261/2004 rendelet értelmében vett – e rendelet 7. cikke alapján a 2009. november 19‑iSturgeon és társai ítélet (C‑402/07 és C‑432/07, EU:C:2009:716) értelmében megtérítendő – „kényelmetlenség” közötti különbségtételre vonatkozó 2012. október 23‑iNelson és társai ítélet (C‑581/10 és C‑629/10, EU:C:2012:657, 51. pont). Ebben az ágazatban – akárcsak az 1177/2010 rendeletben szereplő tengeri és belvízi személyszállítási ágazatban – a jogalkotó elismerhetett egy absztrakt kategóriát annak köszönhetően, hogy a gondot jelentő tényező – és annak lényege – valamennyi érintett esetében azonos. Nem gondolom, hogy e következtetés lehetséges lenne az adatvédelem területén.
( 84 ) A GDPR 82. cikke szerinti jog gyakorlásának tipikus mechanizmusa a rendes bírósági eljárás. A tényleges érvényesülés elve természetesen feltételekhez kötheti az olyan szempontokra vonatkozó nemzeti szabályok alkalmazását, mint az eljárási költségek vagy a bizonyítás. Mindazonáltal a puszta kellemetlenségek miatti kártérítési jogosultság elismerése nem csak a pénzben kifejezett érték és az eljárási költségek (eltekintve attól, hogy az igazságszolgáltatás költségei nem csak a feleket terhelik) közötti aránytalanság miatt nehézkes. A GDPR hallgatására tekintettel véleményem szerint nem észszerű a tagállamok számára ad hoc eljárás kidolgozását előírni.
( 85 ) Emlékeztetek arra, hogy a GDPR 82. cikkének (3) bekezdése szerint az adatkezelő vagy az adatfeldolgozó kizárólag akkor mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.
( 86 ) Ezen megfontolásokkal nem kívánom előre megítélni, hogy ebben az ügyben UI helyzete az egyik vagy a másik kategóriába tartozik‑e, amit a kérdést előterjesztő bíróság fog eldönteni.
( 87 ) Ugyanez vonatkozik a kártérítés összegére is.