Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62021CJ0687

A Bíróság ítélete (harmadik tanács), 2024. január 25.
BL kontra MediaMarktSaturn Hagen-Iserlohn GmbH, anciennement Saturn Electro-Handelsgesellschaft mbH Hagen.
Az Amtsgericht Hagen (Németország) által benyújtott előzetes döntéshozatal iránti kérelem.
Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 (EU) rendelet – Az 5., 24., 32. és 82. cikk értelmezése – A 82. cikk érvényességének vizsgálata – Az érvényesség vizsgálata iránti kérelem elfogadhatatlansága – Az ilyen adatoknak e rendeletet sértő kezelésével okozott kár megtérítéséhez való jog – Adatok továbbítása jogosulatlan harmadik félnek az adatkezelő alkalmazottainak tévedése következtében – Az adatkezelő által végrehajtott védelmi intézkedések megfelelőségének vizsgálata – A kártérítéshez való jog által betöltött kompenzációs funkció – A jogsértés súlyosságának hatása – Az említett jogsértés által okozott kár bizonyításának szükségessége – A »nem vagyoni kár« fogalma.
C-687/21. sz. ügy.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2024:72

 A BÍRÓSÁG ÍTÉLETE (harmadik tanács)

2024. január 25. ( *1 )

„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 (EU) rendelet – Az 5., 24., 32. és 82. cikk értelmezése – A 82. cikk érvényességének vizsgálata – Az érvényesség vizsgálata iránti kérelem elfogadhatatlansága – Az ilyen adatoknak e rendeletet sértő kezelésével okozott kár megtérítéséhez való jog – Adatok továbbítása jogosulatlan harmadik félnek az adatkezelő alkalmazottainak tévedése következtében – Az adatkezelő által végrehajtott védelmi intézkedések megfelelőségének vizsgálata – A kártérítéshez való jog által betöltött kompenzációs funkció – A jogsértés súlyosságának hatása – Az említett jogsértés által okozott kár bizonyításának szükségessége – A »nem vagyoni kár« fogalma”

A C‑687/21. sz. ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet az Amtsgericht Hagen (hageni helyi bíróság, Németország) a Bírósághoz 2021. november 16‑án érkezett, 2021. október 11‑i határozatával terjesztett elő a

BL

és

a MediaMarktSaturn Hagen‑Iserlohn GmbH, korábban Saturn Electro‑Handelsgesellschaft mbH Hagen

között folyamatban lévő eljárásban,

A BÍRÓSÁG (harmadik tanács),

tagjai: K. Jürimäe tanácselnök, N. Piçarra, M. Safjan, N. Jääskinen (előadó) és M. Gavalec bírák,

főtanácsnok: M. Campos Sánchez‑Bordona,

hivatalvezető: A. Calot Escobar,

tekintettel az írásbeli szakaszra,

figyelembe véve a következők által előterjesztett észrevételeket:

BL képviseletében D. Pudelko Rechtsanwalt,

a MediaMarktSaturn Hagen‑Iserlohn GmbH, korábban Saturn Electro‑Handelsgesellschaft mbH Hagen képviseletében B. Hackl Rechtsanwalt,

Írország képviseletében M. Browne Chief State Solicitor, valamint A. Joyce és M. Lane, meghatalmazotti minőségben, segítőjük: D. Fennelly BL,

az Európai Parlament képviseletében O. Hrstková Šolcová és J.‑C. Puffer, meghatalmazotti minőségben,

az Európai Bizottság képviseletében A. Bouchagiar, M. Heller és H. Kranenborg, meghatalmazotti minőségben,

tekintettel a főtanácsnok meghallgatását követően hozott határozatra, miszerint az ügy elbírálására a főtanácsnok indítványa nélkül kerül sor,

meghozta a következő

Ítéletet

1

Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o., a továbbiakban: GDPR) 2. cikke (1) bekezdésének, 4. cikke 7. pontjának, 5. cikke (1) bekezdése f) pontjának, 6. cikke (1) bekezdésének, 24. cikkének, 32. cikke (1) bekezdése b) pontjának és (2) bekezdésének, valamint 82. cikkének értelmezésére, továbbá a 82. cikke érvényességének vizsgálatára vonatkozik.

2

E kérelmet a természetes személy BL és a MediaMarktSaturn Hagen‑Iserlohn GmbH, korábban Saturn Electro‑Handelsgesellschaft mbH Hagen (a továbbiakban: Saturn) között azon nem vagyoni kár megtérítése tárgyában folyamatban lévő jogvita keretében terjesztették elő, amely az említett személyt állítása szerint amiatt érte, hogy bizonyos személyes adatait e társaság alkalmazottainak tévedése folytán harmadik személynek továbbították.

Jogi háttér

3

A GDPR (11), (74), (76), (83), (85) és (146) preambulumbekezdése a következőképpen szól:

„(11)

Ahhoz, hogy a személyes adatok az [Európai] Unió egész területén hatékony védelemben részesüljenek, az érintettek jogait, valamint a személyes adatokat kezelő, illetve az adatkezelést meghatározó személyek kötelezettségeit megerősíteni és részletesen meghatározni szükséges […].

[…]

(74)

A személyes adatoknak az adatkezelő által vagy az adatkezelő nevében végzett bármilyen jellegű kezelése tekintetében az adatkezelő hatáskörét és felelősségét szabályozni kell. Az adatkezelőt kötelezni kell különösen arra, hogy megfelelő és hatékony intézkedéseket hajtson végre, valamint hogy képes legyen igazolni azt, hogy az adatkezelési tevékenységek e rendeletnek megfelelnek, és az alkalmazott intézkedések hatékonysága is az e rendelet által előírt szintű. Ezeket az intézkedéseket az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével kell meghozni.

[…]

(76)

Az érintett jogait és szabadságait érintő kockázat valószínűségét és súlyosságát az adatkezelés jellegének, hatókörének, körülményeinek és céljainak függvényében kell meghatározni. A kockázatot olyan objektív értékelés alapján kell felmérni, amelynek során szükséges megállapítani, hogy az adatkezelési műveletek kockázattal, illetve nagy kockázattal járnak‑e.

[…]

(83)

A biztonság fenntartása és az e rendeletet sértő adatkezelés megelőzése érdekében az adatkezelő vagy az adatfeldolgozó értékeli az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást alkalmaz. Ezek az intézkedések biztosítják a megfelelő szintű biztonságot – ideértve a bizalmas kezelést is –, figyelembe véve a tudomány és technológia állását, valamint a végrehajtás kockázatokkal és a védelmet igénylő személyes adatok jellegével összefüggő költségeit. Az adatbiztonsági kockázat felmérése során a személyes adatok kezelése jelentette olyan kockázatokat – mint például a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés – mérlegelni kell, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek.

[…]

(85)

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság‑lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt. […]

[…]

(146)

Az adatkezelő vagy az adatfeldolgozó az e rendeletet sértő adatkezelés miatt okozott kárt köteles megtéríteni. Az adatkezelőt vagy az adatfeldolgozót a kártérítési kötelezettség alól abban az esetben mentesíteni kell, ha bizonyítja, hogy a kár bekövetkeztéért őt semmilyen felelősség nem terheli. A kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze e rendelet célkitűzéseit. Ez nem érinti a más uniós vagy tagállami jog megsértéséből eredő károkkal kapcsolatos esetleges kártérítési igényeket. Az e rendeletet sértő adatkezelés magában foglalja az e rendelettel összhangban elfogadott, felhatalmazáson alapuló jogi aktusokat és végrehajtási jogi aktusokat, valamint az e rendeletben foglalt szabályokat pontosító tagállami jogot sértő adatkezelést is. Az érintetteket az őket ért kárért teljes és tényleges kártérítés illeti meg. […]”

4

Az e rendelet „[á]ltalános rendelkezések[re]” vonatkozó I. fejezetében szereplő, „Tárgyi hatály” című 2. cikk az (1) bekezdésében a következőket írja elő:

„E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.”

5

Az említett rendelet „Fogalommeghatározások” című 4. cikke a következőképpen rendelkezik:

„E rendelet alkalmazásában:

1.

»személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; […]

[…]s

7.

»adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; […]

[…]

10.

»harmadik fél«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak;

[…]

12.

»adatvédelmi incidens«: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

[…]”

6

A GDPR „Elvek” című II. fejezete tartalmazza a 5–11. cikket.

7

E rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke a következőket írja elő:

„(1)   A személyes adatok:

[…]

f)

kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (»integritás és bizalmas jelleg«).

(2)   Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

8

Az említett rendeletnek „Az adatkezelés jogszerűsége” című 6. cikke az (1) bekezdésében meghatározza azokat a feltételeket, amelyeknek teljesülniük kell ahhoz, hogy az adatkezelés jogszerű legyen.

9

A GDPR‑nak „Az adatkezelő és az adatfeldolgozó” című IV. fejezete tartalmazza a 24–43. cikket.

10

E IV. fejezet „Általános kötelezettségek” című 1. szakaszában szereplő e 24. cikk, amely „Az adatkezelő feladatai” címet viseli, (1) és (2) bekezdésében kimondja:

„(1)   Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.

(2)   Ha az az adatkezelési tevékenység vonatkozásában arányos, az (1) bekezdésben említett intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz.”

11

A GDPR említett IV. fejezetének „Adatbiztonság” című 2. szakaszában szereplő, „Az adatkezelés biztonsága” című 32. cikk (1) bekezdésének b) pontja és (2) bekezdése a következőképpen rendelkezik:

„(1)   Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

[…]

b)

a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;

[…]

(2)   A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.”

12

A GDPR „Jogorvoslat, felelősség és szankciók” című VIII. fejezete tartalmazza a 77–84. cikket.

13

Az említett rendeletnek „A kártérítéshez való jog és a felelősség” című 82. cikke értelmében:

„(1)   Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

(2)   Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. […]

(3)   Az adatkezelő, illetve az adatfeldolgozó mentesül az e cikk (2) bekezdése szerinti felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

[…]”

14

A GDPR‑nak „A közigazgatási bírságok kiszabására vonatkozó általános feltételek” című 83. cikke a következőket írja elő:

„(1)   Valamennyi felügyeleti hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.

(2)   […] Annak eldöntésekor, hogy szükség van‑e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:

a)

a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;

b)

a jogsértés szándékos vagy gondatlan jellege;

[…]

d)

az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa a 25. és 32. cikk alapján foganatosított technikai és szervezési intézkedéseket;

[…]

k)

az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.

(3)   Ha egy adatkezelő vagy adatfeldolgozó egyazon adatkezelési művelet vagy egymáshoz kapcsolódó adatkezelési műveletek tekintetében – szándékosan vagy gondatlanságból – e rendelet több rendelkezését is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.

[…]”

15

E rendelet „Szankciók” című 84. cikkének (1) bekezdése a következőképpen rendelkezik:

„(1) A tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó további szankciókra vonatkozó szabályokat, különösen azon jogsértések tekintetében, amelyek nem tartoznak a 83. cikkben meghatározott, közigazgatási bírságokkal sújtható jogsértések közé, és meghoznak minden szükséges intézkedést ezek végrehajtására. E szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.”

Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

16

Az alapeljárás felperese bement a Saturn egyik üzletébe, ahol elektromos háztartási készüléket vásárolt. E célból e társaság egyik alkalmazottja adásvételi és hitelszerződést készített. Ennek során ezen ügyfél több személyes adatát bevitték a Saturn informatikai rendszerébe, nevezetesen vezeték‑ és utónevét, lakcímét, lakóhelyét, munkáltatójának nevét, jövedelmét, valamint banki adatait.

17

Az e személyes adatokat tartalmazó szerződéses dokumentumokat kinyomtatták és mindkét fél aláírta. Az alapeljárás felperese ezt követően elvitte azokat a Saturn árukiadáson dolgozó alkalmazottainak. Egy másik ügyfél, aki az alapeljárás felperese elé tolakodott, tévedésből átvette mind a felperes által megrendelt készüléket, mind az érintett dokumentumokat, és mindent magával vitt.

18

Mivel a tévedést rövid időn belül felfedezték, a Saturn egyik alkalmazottja visszaszerezte a készüléket és az iratokat, majd azokat a másik ügyfélnek történő átadást követő fél órán belül visszaadta az alapeljárás felperesének. A vállalkozás kártalanítani kívánta az alapeljárás felperesét e tévedésért azzal, hogy az érintett készüléket ingyenesen a lakóhelyére kiszállítja neki, de az érintett úgy vélte, hogy e kártérítés nem elegendő.

19

Az alapeljárás felperese keresetet indított az Amtsgericht Hagen (hageni helyi bíróság, Németország) előtt, amely a jelen ügyben a kérdést előterjesztő bíróság, többek között a GDPR rendelkezései alapján, azon nem vagyoni kár megtérítése iránt, amelyet állítása szerint a Saturn alkalmazottainak tévedése és a személyes adatai feletti ellenőrzés elvesztésének ebből eredő kockázata miatt szenvedett el.

20

Védekezésül a Saturn egyrészt arra hivatkozik, hogy nem sértették meg a GDPR‑t, és hogy ez a jogsértés csak akkor valósulna meg, ha az bizonyos súlyossági szintet meghaladna, amelyet ebben az esetben nem értek el. Másrészt e társaság arra hivatkozik, hogy az alapeljárás felperesét semmilyen kár nem érte, mivel nem került megállapításra, és nem is hivatkoztak arra, hogy az érintett harmadik személy visszaélt volna az alapeljárás felperesének személyes adataival.

21

A kérdést előterjesztő bíróság először is a GDPR 82. cikkének érvényességével kapcsolatban tesz fel kérdést, mivel úgy tűnik számára, hogy e cikk nem pontosítja a nem vagyoni kár miatti kártérítés jogkövetkezményeit.

22

Másodszor, abban az esetben, ha a Bíróság nem állapítja meg e 82. cikk érvénytelenségét, az előterjesztő bíróság arra vár választ, hogy az e cikkben biztosított kártérítéshez való jog gyakorlása nemcsak a GDPR megsértését, hanem a kártérítést kérő személy által elszenvedett – különösen nem vagyoni – kár megállapítását is feltételezi‑e.

23

Harmadszor a kérdést előterjesztő bíróság azt kívánja megállapítani, hogy önmagában az a tény, hogy személyes adatokat tartalmazó nyomtatott dokumentumokat az adatkezelő alkalmazottainak tévedése miatt engedély nélkül továbbítottak harmadik félnek, lehetővé teszi‑e a GDPR megsértésének megállapítását, vagy sem.

24

Negyedszer, miközben úgy véli, hogy „[az alperes] vállalkozásnak kell ártatlanságát bizonyítani”, e bíróság azt kívánja megtudni, hogy elegendő‑e a dokumentumok gondatlanságból történő átadásának megállapítása ahhoz, hogy megállapítsák a GDPR megsértését, különös tekintettel az adatkezelőt terhelő azon kötelezettségre, hogy e rendelet 2., 5., 6. és 24. cikke alapján a kezelt adatok biztonságának biztosítása érdekében megfelelő intézkedéseket hozzon.

25

Ötödször az előterjesztő bíróság azt a kérdést teszi fel, hogy még ha úgy is tűnik, hogy a jogosulatlan harmadik személy nem szerzett tudomást az érintett személyes adatokról az azokat tartalmazó dokumentumok visszaadása előtt, a GDPR 82. cikke értelmében vett „nem vagyoni kár” fennállása megállapítható‑e pusztán amiatt, ami e bíróság szerint nem zárható ki, hogy abban a személyben, akinek az adatait ily módon továbbították, félelmet kelt annak kockázata, hogy azokat e harmadik személy más személyekkel közli, vagy akár a jövőben visszaélésszerűen használja fel.

26

Hatodszor az említett bíróság az alapügyhöz hasonló körülmények között elkövetett jogsértés súlyossági fokának a 82. cikken alapuló, nem vagyoni kár megtérítése iránti kereset keretében bekövetkező esetleges hatására vonatkozó kérdést veti fel, tekintettel arra, hogy véleménye szerint az adatkezelő hatékonyabb biztonsági intézkedéseket is elfogadhatott volna.

27

Végül hetedszer a GDPR alapján járó nem vagyoni kár megtérítésének célját szeretné megismerni, azt sugallva, hogy e kártérítés a kötbérrel azonos szankció jelleget ölthet.

28

E körülmények között az Amtsgericht Hagen (hageni helyi bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)

Érvénytelen‑e [a GDPR] kártérítésről rendelkező rendelkezése (vagyis e rendelet 82. cikke) a nem vagyoni kár megtérítése jogkövetkezményei részletes szabályozásának hiánya miatt?

2)

Szükséges feltétele‑e a kártérítéshez való jognak az, hogy a védendő adatok jogosulatlan harmadik fél számára történő jogosulatlan hozzáférhetővé tételén kívül a kártérítéshez való jogot érvényesítő fél által bizonyítandó nem vagyoni kár is megállapítást nyerjen?

3)

Elegendő‑e [a GDPR] megsértéséhez, hogy az érintett személyes adatait (név, cím, foglalkozás, jövedelem, munkáltató) az eljáró vállalkozás alkalmazottainak tévedése folytán nyomtatott formában, papíralapú dokumentumon tévedésből átadják valamely harmadik félnek?

4)

Harmadik félnek történő véletlen átadás (közlés) útján megvalósuló jogellenes további adatkezelésről van‑e szó akkor, ha a vállalkozás az alkalmazottai révén nyomtatott formában véletlenül jogosulatlan harmadik félnek átadta az egyébként az informatikai rendszerbe betáplált adatokat (a [GDPR] 2. cikkének (1) bekezdése, 5. cikke (1) bekezdésének f) pontja, 6. cikkének (1) bekezdése és 24. cikke)?

5)

Már akkor is fennáll‑e [a GDPR] 82. cikke értelmében vett nem vagyoni kár, ha a személyes adatokat tartalmazó dokumentumot átvevő harmadik fél nem szerzett tudomást az adatokról, mielőtt az információkat tartalmazó papírt visszaadta volna, vagy [a GDPR] 82. cikke értelmében vett nem vagyoni kár fennállásához elegendő, hogy ez rossz érzéseket kelt abban, akinek személyes adatait jogellenesen átadták, mert a személyes adatok minden egyes jogosulatlan közlése esetén fennáll annak nem kizárható lehetősége, hogy az adatokat ismeretlen számú személynek továbbíthatják, vagy akár vissza is élhetnek azokkal?

6)

Mennyire tekinthető súlyosnak a jogsértés, ha a harmadik félnek történő véletlen átadás megelőzhető a vállalkozásnál dolgozó kisegítő személyzet jobb ellenőrzésével és/vagy az adatbiztonság jobb megszervezésével, például az árukiadás és a szerződéses, különösen a finanszírozási dokumentáció – külön kiadási jegy vagy a vállalkozáson belül az árukiadó személyzet részére az ügyfél közbeiktatása nélkül (akinek átadták a kinyomtatott dokumentumokat, az átvételi felhatalmazást is ideértve) történő továbbítás útján megvalósuló – elkülönített kezelésével ([a GDPR] 32. cikke (1) bekezdésének b) pontja és (2) bekezdése, valamint 4. cikkének 7. pontja)?

7)

A nem vagyoni kár megtérítésén kötbérhez hasonló szankció megállapítását kell érteni?”

Az előzetes döntéshozatalra előterjesztett kérdésekről

Az első kérdésről

29

Első kérdésével az előterjesztő bíróság arra vár választ, hogy a GDPR 82. cikke érvénytelen‑e annyiban, hogy nem határozza meg azokat a jogkövetkezményeket, amelyeket a nem vagyoni kár megtérítése esetén alkalmazni kell.

30

Az Európai Parlament azt állítja, hogy ez a kérdés elfogadhatatlan, mivel a kérdést előterjesztő bíróság nem tett eleget a Bíróság eljárási szabályzata 94. cikkének c) pontjában foglalt követelményeknek, noha ez a bíróság különösen összetett problémát vet fel, nevezetesen az uniós jog valamely rendelkezése érvényességének vizsgálatát.

31

Az eljárási szabályzat 94. cikkének c) pontja szerint az előzetes döntéshozatal iránti kérelemnek a Bírósághoz előzetes döntéshozatalra előterjesztett kérdések szövegén kívül tartalmaznia kell többek között azon okok ismertetését, amelyek miatt a kérdést előterjesztő bíróságban kérdés merült fel egyes uniós jogi rendelkezések értelmezésére vagy érvényességére vonatkozóan.

32

E tekintetben az előzetes döntéshozatal iránti kérelem indokolása elengedhetetlen ahhoz, hogy ne csak a Bíróság tudjon hasznos válaszokat adni, hanem a tagállamok kormányai és más érdekeltek is előterjeszthessék észrevételeiket a Bíróság alapokmánya 23. cikkének megfelelően. Konkrétabban, a Bíróságnak az előzetes döntéshozatalra utaló végzésben megjelölt érvénytelenségi okokra tekintettel kell vizsgálnia az uniós jog valamely rendelkezésének érvényességét, így a nemzeti bíróságot e kérdés vizsgálatára késztető pontos indokok említésének hiánya az érvényességre vonatkozó kérdések elfogadhatatlanságát eredményezi (lásd ebben az értelemben: 2017. június 15‑iT.KUP ítélet, C‑349/16, EU:C:2017:469, 1618. pont; 2023. június 22‑iVitol ítélet, C‑268/22, EU:C:2023:508, 5255. pont).

33

Márpedig a jelen ügyben a kérdést előterjesztő bíróság nem terjeszt elő egyetlen olyan konkrét elemet sem, amely lehetővé tenné a Bíróság számára a GDPR 82. cikke érvényességének vizsgálatát.

34

Következésképpen az első kérdést elfogadhatatlannak kell nyilvánítani.

A harmadik és a negyedik kérdésről

35

Harmadik és negyedik kérdésével, amelyeket célszerű együttesen és elsőként vizsgálni, az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 5., 24., 32. és 82. cikkét együttesen úgy kell‑e értelmezni, hogy az a 82. cikken alapuló kártérítési kereset keretében az a tény, hogy az adatkezelő alkalmazottai tévedésből személyes adatokat tartalmazó dokumentumot adtak át jogosulatlan harmadik félnek, önmagában elegendő annak megállapításához, hogy a szóban forgó adatkezelő által végrehajtott technikai és szervezési intézkedések e 24. és 32. cikk értelmében nem voltak „megfelelők”.

36

A GDPR 24. cikke a személyes adatok kezelője számára általános kötelezettséget ír elő arra vonatkozóan, hogy megfelelő technikai és szervezési intézkedéseket tegyen annak biztosítása érdekében, hogy az említett adatkezelést e rendeletnek megfelelően végezzék, és azt bizonyítani tudja (2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C‑340/21, EU:C:2023:986, 24. pont).

37

A GDPR 32. cikke pontosítja az adatkezelőnek és az esetleges adatfeldolgozónak ezen adatkezelés biztonságával kapcsolatos kötelezettségeit. Így e cikk (1) bekezdése úgy rendelkezik, hogy az utóbbiaknak a tudomány és technológia állása és a megvalósítás költségei, továbbá az érintett adatkezelés jellege, hatóköre, körülményei és céljai figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy az említett adatkezeléshez kapcsolódó kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Az említett cikk (2) bekezdése ehhez hasonlóan kimondja, hogy a biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek (lásd ebben az értelemben: 2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C‑340/21, EU:C:2023:986, 26. és 27. pont).

38

A GDPR 24. és 32. cikkének szövegéből így kitűnik, hogy az adatkezelő által hozott intézkedések megfelelőségét konkrétan kell értékelni, figyelembe véve ezen cikkekben szereplő különböző kritériumokat, az érintett adatkezeléshez konkrétan kapcsolódó adatvédelmi szükségleteket, valamint az érintett adatkezelésből eredő kockázatokat, annál is inkább, mivel az említett adatkezelőnek képesnek kell lennie annak bizonyítására, hogy az említett intézkedések megfelelnek e rendeletnek, amely lehetőséget a megdönthetetlen vélelem alkalmazása esetén elveszítené (lásd ebben az értelemben: 2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C‑340/21, EU:C:2023:986, 3032. pont).

39

E szó szerinti értelmezést megerősíti az említett rendelet 24. és 32. cikkének, valamint 5. cikke (2) bekezdésének és 82. cikkének – az említett rendelet (74), (76) és (83) preambulumbekezdésével összefüggésében történő – együttes értelmezése, amelyből különösen az következik, hogy az adatkezelőnek csökkentenie kell a személyes adatok megsértésének kockázatát, nem pedig megakadályozni azok megsértését (lásd ebben az értelemben: 2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C‑340/21, EU:C:2023:986, 3338. pont).

40

Következésképpen a Bíróság úgy értelmezte a GDPR 24. és 32. cikkét, hogy a személyes adatok jogosulatlan közlése vagy az ilyen adatokhoz az e rendelet 4. cikkének 10. pontja értelmében vett „harmadik fél” általi jogosulatlan hozzáférés önmagában nem elegendő annak megállapításához, hogy a szóban forgó adatkezelő által végrehajtott technikai és szervezési intézkedések nem voltak a 24. és 32. cikk értelmében véve „megfelelőek” (2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C‑340/21, EU:C:2023:986, 39. pont).

41

A jelen esetben az a tény, hogy az adatkezelő alkalmazottai tévedésből személyes adatokat tartalmazó dokumentumot adtak át jogosulatlan harmadik félnek, valószínűleg azt mutatja, hogy az adatkezelő által végrehajtott, szóban forgó technikai és szervezési intézkedések nem voltak „megfelelőek” a 24. és 32. cikk értelmében. Ilyen körülmény lehet különösen az adatkezelő gondatlanságának vagy szervezeti hibájának az eredménye, amely nem veszi konkrétan figyelembe a szóban forgó adatok kezelésével kapcsolatos kockázatokat.

42

E tekintetben hangsúlyozni kell, hogy a GDPR (74) preambulumbekezdésével összefüggésben értelmezett 5., 24. és 32. cikkének együttes értelmezéséből az következik, hogy az e rendelet 82. cikkén alapuló kártérítési kereset keretében az érintett adatkezelőt terheli annak bizonyítása, hogy a személyes adatok kezelése oly módon történik, amely az említett rendelet 5. cikke (1) bekezdésének f) pontja és 32. cikke értelmében megfelelő biztonságot garantál. A bizonyítási teher ilyen megosztása nemcsak arra ösztönözheti ezen adatok kezelőit, hogy a GDPR által megkövetelt biztonsági intézkedéseket fogadjanak el, hanem arra is, hogy biztosítsák az e rendelet 82. cikkében előírt kártérítéshez való jog hatékony érvényesülését, és tiszteletben tartsák az uniós jogalkotónak az e rendelet (11) preambulumbekezdésében említett szándékát (lásd ebben az értelemben: 2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C‑340/21, EU:C:2023:986, 4956. pont).

43

Ezért a Bíróság az adatkezelő felelősségének – az általános adatvédelmi rendelet 5. cikkének (2) bekezdésében kimondott és az általános adatvédelmi rendelet 24. cikkében pontosított – elvét úgy értelmezte, hogy az e rendelet 82. cikkén alapuló kártérítési kereset keretében az érintett adatkezelőt terheli annak bizonyítása, hogy az általa az említett rendelet 32. cikke alapján végrehajtott adatbiztonsági intézkedések megfelelőek voltak (2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C‑340/21, EU:C:2023:986, 57. pont).

44

Így az ilyen, a GDPR 82. cikkén alapuló kártérítés iránti keresetet elbíráló bíróság az e rendeletben előírt kötelezettség megsértésének megállapítása során nem veheti figyelembe kizárólag azt a körülményt, hogy az adatkezelő alkalmazottai tévedésből személyes adatokat tartalmazó dokumentumot adtak át jogosulatlan harmadik félnek. E bíróságnak ugyanis figyelembe kell vennie az adatkezelő által az említett rendelet 24. és 32. cikke szerinti kötelezettségeinek teljesítése érdekében elfogadott technikai és szervezési intézkedések megfelelőségének bizonyítására szolgáltatott valamennyi bizonyítékot is.

45

A fenti indokokra tekintettel a harmadik és a negyedik kérdésre azt a választ kell adni, hogy a GDPR 5., 24., 32. és 82. cikkét együttesen úgy kell értelmezni, hogy a 82. cikken alapuló kártérítési kereset keretében az a tény, hogy az adatkezelő alkalmazottai tévedésből személyes adatokat tartalmazó dokumentumot adtak át jogosulatlan harmadik félnek, önmagában nem elegendő annak megállapításához, hogy a szóban forgó, adatkezelő által végrehajtott technikai és szervezési intézkedések a 24. és 32. cikk értelmében nem voltak „megfelelőek”.

A hetedik kérdésről

46

Hetedik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkét úgy kell‑e értelmezni, hogy az e rendelkezésben – különösen nem vagyoni kár esetén – biztosított kártérítéshez való jog büntető funkciót tölt‑e be.

47

E tekintetben a Bíróság megállapította, hogy a GDPR 82. cikke nem büntető, hanem kompenzációs funkciót tölt be, ellentétben e rendelet más, szintén annak VIII. fejezetében szereplő rendelkezéseivel, nevezetesen a 83. és a 84. cikkel, amelyeknek alapvetően büntető célja van, mivel lehetővé teszik közigazgatási bírságok, illetve egyéb szankciók kiszabását. Az említett 82. cikkben megállapított szabályok és a fent említett 83. és 84. cikkben megállapított szabályok egymáshoz való viszonya azt bizonyítja, hogy van némi eltérés a rendelkezések e két csoportja között, de ugyanakkor egymást kiegészítő jelleg is a GDPR betartására való ösztönzés terén, megjegyezve, hogy a mindenkit megillető kártérítéshez való jog az e rendelet által előírt védelmi szabályok működőképességét erősíti, és alkalmas arra, hogy visszatartson a jogellenes magatartások megismétlésétől (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 38. és 40. pont; 2023. december 21‑iKrankenversicherung Nordrhein ítélet, C‑667/21, EU:C:2023:1022, 85. pont).

48

A Bíróság pontosította, hogy mivel a GDPR 82. cikkének (1) bekezdésében előírt kártérítéshez való jog nem visszatartó vagy büntető jellegű, hanem kompenzációs funkciót tölt be, a rendelet megsértésének – amely az érintett kárt okozta – súlyossága nem befolyásolhatja az e rendelkezés alapján megítélt kártérítés összegét, még akkor sem, ha nem vagyoni kárról, hanem eszmei kárról van szó, így ezen összeget nem lehet olyan szinten rögzíteni, amely meghaladja e kár teljes megtérítését (lásd ebben az értelemben: 2023. december 21‑iKrankenversicherung Nordrhein ítélet, C‑667/21, EU:C:2023:1022, 86. és 87. pont).

49

A fentiekből következik, hogy nem szükséges határozni a 82. cikk (1) bekezdésében biztosított kártérítéshez való jog és a kötbér büntető funkciója közötti, a kérdést előterjesztő bíróság által előadott összehasonlításról.

50

Következésképpen a hetedik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy az e rendelkezésben – különösen a nem vagyoni kár esetén – biztosított kártérítéshez való jog kompenzációs funkciót és nem büntető funkciót tölt be, mivel az említett rendelkezésen alapuló pénzbeli kártérítésnek lehetővé kell tennie az e rendelet megsértése következtében ténylegesen elszenvedett kár teljes megtérítését.

A hatodik kérdésről

51

Hatodik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkét úgy kell‑e értelmezni, hogy e cikk megköveteli, hogy e rendelet adatkezelő általi megsértésének súlyossági fokát figyelembe kell venni az e rendelkezés szerinti kártérítés szempontjából.

52

E tekintetben a GDPR 82. cikkéből az következik, hogy egyrészt az adatkezelő felelősségének megállapításához szükséges többek között a vétkessége, amelyet vélelmezni kell, kivéve ha ezen utóbbi bizonyítja, hogy a kárt okozó esemény neki semmilyen módon nem róható fel, másrészt a 82. cikk nem követeli meg e vétkesség súlyossági fokának a nem vagyoni kár megtérítéseként e rendelkezés alapján megítélt kártérítés összegének meghatározásakor való figyelembevételét (2023. december 21‑iKrankenversicherung Nordrhein ítélet, C‑667/21, EU:C:2023:1022, 103. pont).

53

Ami a GDPR 82. cikke alapján esetlegesen járó kártérítés vizsgálatát illeti, mivel az említett rendelet nem tartalmaz erre vonatkozó rendelkezést, a nemzeti bíróságoknak kell e vizsgálat során az egyes tagállamoknak a pénzbeli kártérítés mértékére vonatkozó belső szabályait alkalmazniuk, amennyiben tiszteletben tartják az uniós jog egyenértékűségének és tényleges érvényesülésének elvét (lásd ebben az értelemben: 2023. december 21‑iKrankenversicherung Nordrhein ítélet, C‑667/21, EU:C:2023:1022, 83. és 101. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

54

A Bíróság továbbá pontosította, hogy a GDPR 82. cikkében előírt kártérítéshez való jog kompenzációs funkciójára tekintettel e rendelkezés nem követeli meg, hogy az e rendelkezés alapján a nem vagyoni kár megtérítéseként megállapított kártérítési összeg meghatározásakor figyelembe vegyék az említett rendelet adatkezelő általi vélelmezett megsértésének súlyossági fokát, de azt megköveteli, hogy ezt az összeget úgy állapítsák meg, hogy az teljes mértékben kompenzálja az említett rendelet megsértése miatt ténylegesen elszenvedett kárt (lásd ebben az értelemben: 2023. december 21‑iKrankenversicherung Nordrhein ítélet, C‑667/21, EU:C:2023:1022, 8487. és 102. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

55

A fenti indokokra tekintettel a hatodik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkét úgy kell értelmezni, hogy e cikk nem követeli meg, hogy az adatkezelő által elkövetett jogsértés súlyossági fokát figyelembe vegyék az e rendelkezés szerinti kártérítés szempontjából.

A második kérdésről

56

Második kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy az e rendelkezés alapján kártérítést kérő személy nemcsak e rendelet rendelkezéseinek megsértését köteles bizonyítani, hanem azt is, hogy e jogsértés vagyoni vagy nem vagyoni kárt okozott számára.

57

E tekintetben emlékeztetni kell arra, hogy a GDPR 82. cikkének (1) bekezdése értelmében „[m]inden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult”.

58

E rendelkezés szövegéből kitűnik, hogy a GDPR egyszerű megsértése nem elegendő a kártérítéshez való jog megalapozásához. A „kár” vagy az „elszenvedett kár” megléte ugyanis a 82. cikk (1) bekezdésében említett kártérítéshez való jog egyik feltételét képezi, akárcsak e rendelet megsértésének fennállása, valamint az e kár és az e jogsértés közötti okozati kapcsolat megléte, mivel e három feltétel együttes feltétel (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 32. és 42. pont; 2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C‑340/21, EU:C:2023:986, 77. pont; 2023. december 14‑iGemeinde Ummendorf ítélet, C‑456/22, EU:C:2023:988, 14. pont; 2023. december 21‑iKrankenversicherung Nordrhein ítélet, C‑667/21, EU:C:2023:1022, 82. pont).

59

Ami különösen a nem vagyoni kárt illeti, a Bíróság azt is megállapította, hogy a GDPR 82. cikkének (1) bekezdésével ellentétes az olyan nemzeti szabály vagy gyakorlat, amely az e rendelkezés értelmében vett nem vagyoni kár megtérítését annak a feltételnek rendeli alá, hogy az érintett által elszenvedett, az említett rendelet 4. cikkének (1) bekezdésében meghatározott kárnak el kell érnie egy bizonyos súlyossági küszöböt (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 51. pont; 2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C‑340/21, EU:C:2023:986, 78. pont; 2023. december 14‑iGemeinde Ummendorf ítélet, C‑456/22, EU:C:2023:988, 16. pont)

60

A Bíróság egyértelművé tette, hogy azon személy, akit a GDPR megsértéséből következően hátrányos következmények érnek, mindazonáltal köteles bizonyítani, hogy e következmények az e rendelet 82. cikke értelmében vett nem vagyoni kárt képeznek, mivel a rendelet rendelkezéseinek egyszerű megsértése nem elegendő ahhoz, hogy kártérítéshez való jogot keletkeztessen (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 42. és 50. pont; 2023. december 14‑i Natsionalna agentsia za prihodite ítélet, C‑340/21, 84. pont; 2023. december 14‑iGemeinde Ummendorf ítélet, C‑ 456/22, EU:C:2023:988, 21. és 23. pont)

61

A fenti indokokra tekintettel a második kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy az e rendelkezés alapján kártérítést kérő személy nemcsak e rendelet rendelkezéseinek megsértését köteles bizonyítani, hanem azt is, hogy e jogsértés vagyoni vagy nem vagyoni kárt okozott neki.

Az ötödik kérdésről

62

Ötödik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy abban az esetben, ha a személyes adatokat tartalmazó dokumentumot olyan jogosulatlan harmadik fél részére adták át, akiről bebizonyosodott, hogy azokról nem szerzett tudomást, akkor az e rendelkezés értelmében vett „nem vagyoni kárnak” minősülhet‑e önmagában az, hogy az érintett személy attól tart, hogy e közlést követően – amely lehetővé tette, hogy az említett dokumentumról a visszaszolgáltatása előtt másolatot készítsenek – adatainak terjesztésére, sőt visszaélésszerű felhasználására kerül sor a jövőben.

63

Pontosítani kell, hogy e bíróság jelzi, hogy a jelen ügyben azt a dokumentumot, amelyben az érintett adatok szerepeltek, visszaszolgáltatták az alapeljárás felperesének a jogosulatlan harmadik fél részére történő átadást követő fél órán belül, és ez utóbbi nem szerzett tudomást ezekről az adatokról a dokumentum visszaszolgáltatása előtt, de az említett felperes arra hivatkozik, hogy ezen átadás lehetőséget adott e harmadik személynek arra, hogy a visszaszolgáltatását megelőzően másolatokat készítsen a dokumentumról, és így félelmet keltett benne az említett adatok jövőbeli visszaélésszerű felhasználásának kockázata miatt.

64

Tekintettel arra, hogy az általános adatvédelmi rendelet 82. cikkének (1) bekezdése egyáltalán nem utal a tagállamok belső jogára, a „nem vagyoni kár” e rendelkezés értelmében vett fogalmának az uniós jog saját fogalmaként önálló és egységes definíciót kell adni (lásd ebben az értelemben:2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 30. és 44. pont; 2023. december 14‑iGemeinde Ummendorf ítélet, C‑456/22, EU:C:2023:988, 15. pont).

65

A Bíróság megállapította, hogy nemcsak a GDPR 82. cikke (1) bekezdésének az e rendelet (85) és (146) preambulumbekezdésének fényében értelmezett szövegéből tűnik ki, amely preambulumbekezdések az ezen előbbi rendelkezés értelmében vett „nem vagyoni kár” fogalmának tág értelmezését írják elő, hanem a természetes személyeknek a személyes adatok kezelése tekintetében történő magas szintű védelmére irányuló, az említett rendeletben említett célkitűzésből is, hogy az érintett azon félelme, hogy a személyes adataival ugyanezen rendelet megsértését követően esetleges harmadik fél visszaél, önmagában alkalmas arra, hogy e 82. cikk (1) bekezdése értelmében vett „nem vagyoni kárnak” minősüljön (lásd ebben az értelemben: 2023. december 14‑i Natsionalna agentsia za prihodite ítélet, C‑340/21, 79–86. pont).

66

Egyébiránt a Bíróság mind szó szerinti, mind rendszertani, mind pedig teleologikus jellegű megfontolásokra támaszkodva megállapította, hogy a személyes adatok feletti ellenőrzés rövid időn keresztül történő elvesztése az érintettnek a GDPR 82. cikkének (1) bekezdése értelmében vett, kártérítéshez való jogosultságot keletkeztető „nem vagyoni kárt” okozhat, feltéve hogy az említett személy bizonyítja, hogy ténylegesen ilyen kárt szenvedett el, bármilyen minimális is legyen az, emlékeztetve arra, hogy e rendelet rendelkezéseinek egyszerű megsértése nem elegendő ahhoz, hogy ezen az alapon kártérítéshez való jogot keletkeztessen (lásd ebben az értelemben: 2023. december 14‑iGemeinde Ummendorf ítélet, C‑456/22, EU:C:2023:988, 1823. pont).

67

A jelen ügyben hasonlóképpen meg kell állapítani, hogy ez mind a GDPR 82. cikke (1) bekezdésének szövegével, mind pedig az e rendelet által követett védelmi céllal összhangban áll, miszerint a „nem vagyoni kár” fogalma magában foglalja azt a helyzetet, amelyben az érintett megalapozottan fél attól, aminek vizsgálata az eljáró nemzeti bíróság feladata, hogy bizonyos személyes adatait harmadik személyek a jövőben azért terjeszthetik vagy használhatják fel visszaélésszerűen, mert az említett adatokat tartalmazó dokumentumot olyan jogosulatlan harmadik fél részére adták át, aki a dokumentumról másolatot készíthetett, mielőtt azt visszaküldte volna.

68

Ugyanakkor ez nem változtat azon, hogy a GDPR 82. cikkén alapuló kártérítési keresetet előterjesztő félnek kell bizonyítania az ilyen kár fennállását. Különösen a jogosulatlan harmadik fél általi visszaélésszerű használat pusztán feltételezett kockázata nem adhat alapot a kártérítésre. Ez az eset áll fenn akkor, ha egyetlen harmadik fél sem szerzett tudomást a szóban forgó személyes adatokról.

69

Következésképpen az ötödik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy abban az esetben, ha személyes adatokat tartalmazó dokumentumot olyan jogosulatlan harmadik fél részére adtak át, akiről bebizonyosodott, hogy nem szerzett tudomást ezekről az adatokról, nem minősül az e rendelkezés értelmében vett „nem vagyoni kárnak” önmagában az, hogy az érintett attól tart, hogy e közlést követően – amely lehetővé tette, hogy az említett dokumentumról a visszaszolgáltatása előtt másolatot készítsenek – adatainak terjesztésére, sőt visszaélésszerű felhasználására kerül sor a jövőben.

A költségekről

70

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

 

A fenti indokok alapján a Bíróság (harmadik tanács) a következőképpen határozott:

 

1)

A természetes személyeknek a személyes adatok kezelése vonatkozásában történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 5., 24., 32. és 82. cikkét együttesen

a következőképpen kell értelmezni:

a 82. cikken alapuló kártérítési kereset keretében az a tény, hogy az adatkezelő alkalmazottai tévedésből személyes adatokat tartalmazó dokumentumot adtak át jogosulatlan harmadik félnek, önmagában nem elegendő annak megállapításához, hogy a szóban forgó, adatkezelő által végrehajtott technikai és szervezési intézkedések a 24. és 32. cikk értelmében nem voltak „megfelelőek”.

 

2)

A 2016/679 rendelet 82. cikkének (1) bekezdését

a következőképpen kell értelmezni:

az e rendelkezésben – különösen nem vagyoni kár esetén – biztosított kártérítéshez való jog kompenzációs funkciót és nem büntető funkciót tölt be, mivel az említett rendelkezésen alapuló pénzbeli kártérítésnek lehetővé kell tennie az e rendelet megsértése következtében ténylegesen elszenvedett kár teljes megtérítését.

 

3)

A 2016/679 rendelet 82. cikkét

a következőképpen kell értelmezni:

e cikk nem követeli meg, hogy az adatkezelő által elkövetett jogsértés súlyossági fokát figyelembe vegyék az e rendelkezés szerinti kártérítés szempontjából.

 

4)

A 2016/679 rendelet 82. cikkének (1) bekezdését

a következőképpen kell értelmezni:

az e rendelkezés alapján kártérítést kérő személy nemcsak e rendelet rendelkezéseinek megsértését köteles bizonyítani, hanem azt is, hogy e jogsértés vagyoni vagy nem vagyoni kárt okozott neki.

 

5)

A 2016/679 rendelet 82. cikkének (1) bekezdését

a következőképpen kell értelmezni:

abban az esetben, ha személyes adatokat tartalmazó dokumentumot olyan jogosulatlan harmadik fél részére adtak át, akiről bebizonyosodott, hogy nem szerzett tudomást ezekről az adatokról, nem minősül az e rendelkezés értelmében vett „nem vagyoni kárnak” önmagában az, hogy az érintett attól tart, hogy e közlést követően – amely lehetővé tette, hogy az említett dokumentumról a visszaszolgáltatása előtt másolatot készítsenek – adatainak terjesztésére, sőt visszaélésszerű felhasználására kerül sor a jövőben.

 

Aláírások


( *1 ) Az eljárás nyelve: német.

Top