1.

A jelen előzetes döntéshozatal iránti kérelem lehetőséget nyújt a Bíróság számára, hogy döntsön azon feltételekről, amelyek mellett valamely jogi személlyel szemben az (EU) 2016/679 rendelet ( 2 ) megsértése miatt közigazgatási bírság szabható ki.

2.

Különösen annak meghatározásáról van szó, hogy:

3.

A (74) preambulumbekezdés a következőket mondja ki:

„A személyes adatoknak az adatkezelő által vagy az adatkezelő nevében végzett bármilyen jellegű kezelése tekintetében az adatkezelő hatáskörét és felelősségét szabályozni kell. Az adatkezelőt kötelezni kell különösen arra, hogy megfelelő és hatékony intézkedéseket hajtson végre, valamint hogy képes legyen igazolni azt, hogy az adatkezelési tevékenységek e rendeletnek megfelelnek, és az alkalmazott intézkedések hatékonysága is az e rendelet által előírt szintű. Ezeket az intézkedéseket az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével kell meghozni.”

4.

A (150) preambulumbekezdés a következőképpen szól:

„Az e rendelet megsértése esetén alkalmazott közigazgatási szankciók szigorítása és harmonizálása érdekében minden felügyeleti hatóság hatáskörrel rendelkezik a közigazgatási bírság kiszabására. E rendeletben kell meghatározni a jogsértéseket, valamint a kapcsolódó közigazgatási bírságok összegének felső határát és azok megállapításának szempontjait; a közigazgatási bírságot az egyes esetekben az illetékes felügyeleti hatóság állapítja meg a konkrét helyzet valamennyi releváns körülményét figyelembe véve, és kellő figyelmet fordítva különösen a jogsértés természetére, súlyosságára és időtartamára, továbbá a jogsértés következményeire, valamint az e rendelet szerinti kötelezettségek teljesítésének biztosítása és a jogsértés következményeinek megelőzése vagy enyhítése érdekében tett intézkedésekre. Ha a közigazgatási bírságokat vállalkozásokra szabják ki, akkor a vállalkozás fogalmát e célból az EUMSZ 101. és 102. cikkében meghatározott vállalkozásokra vonatkozó szabályoknak megfelelően kell értelmezni. […] Az egységességi mechanizmus a közigazgatási bírságok összehangolt alkalmazásának előmozdítására is felhasználható […].”

5.

A 4. cikk („Fogalommeghatározások”) a következőket írja elő:

„E rendelet alkalmazásában:

[…]

[…]

[…]”

6.

Az 58. cikk („Hatáskörök”) (2) bekezdése előírja:

„A felügyeleti hatóság korrekciós hatáskörében eljárva:

[…]

[…]”

7.

A 83. cikk („A közigazgatási bírságok kiszabására vonatkozó általános feltételek”) kimondja:

„(1)   Valamennyi felügyeleti hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.

(2)   A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van‑e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:

(3)   Ha egy adatkezelő vagy adatfeldolgozó egyazon adatkezelési művelet vagy egymáshoz kapcsolódó adatkezelési műveletek tekintetében – szándékosan vagy gondatlanságból – e rendelet több rendelkezését is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget.

(4)   Az alábbi rendelkezések megsértése – a (2) bekezdéssel összhangban – legfeljebb 10000000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%‑át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni […].

(5)   Az alábbi rendelkezések megsértését – a (2) bekezdéssel összhangban – legfeljebb 20000000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%‑át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni:

[…]

(6)   A felügyeleti hatóság 58. cikk (2) bekezdése szerinti utasításának be nem tartása – az e cikk (2) bekezdésével összhangban – legfeljebb 20000000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%‑át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni.

[…]

(8)   A felügyeleti hatóság e cikk szerinti hatásköreit megfelelő, az uniós és a tagállami joggal összhangban álló eljárási garanciák – ideértve a hatékony jogorvoslat lehetőségét és a tisztességes eljárást – biztosításával gyakorolja.

[…]”

8.

A 9. § (1) bekezdése értelmében, ha egy személy a) jogi személy képviseletére jogosult szervként (vagy ilyen szerv tagjaként), b) jogi személyiséggel rendelkező személyegyesítő társaság képviseletére jogosult társult tagként vagy c) harmadik személy törvényes képviselőjeként jár el, akkor tekintetében minden olyan jogszabályt alkalmazni kell, amelynek értelmében a különös feladatkörök, kapcsolatok vagy személyes körülmények indokolják az esetleges szankciót, amennyiben e körülmények nem e személy, hanem a képviselt személy esetében állnak fenn.

9.

A 9. § (2) bekezdése értelmében ez vonatkozik a létesítmény (vállalkozás) azon tulajdonosára is, aki a létesítmény irányítását, vagy a tulajdonos feladatainak saját felelősségére történő ellátását részben vagy egészben más személyre bízza.

10.

A 30. § (1) bekezdése lehetővé teszi, hogy valamely jogi személlyel szemben közigazgatási bírságot szabjanak ki, amennyiben a jogi személyt képviselő, vezető vagy annak irányításáért felelős természetes személy bűncselekményt követett el, vagy nem teljesítette a jogi személyt terhelő kötelezettségeket.

11.

A 30. § (4) bekezdésének megfelelően az önálló bírság jogi személlyel szembeni kiszabásához követelmény, hogy nem indítottak eljárást a jogi személy szervének tagjával vagy képviselőjével szemben, vagy ha indítottak is, akkor azt megszüntették.

12.

A 130. § (1) bekezdése szerint, aki üzem vagy vállalkozás tulajdonosaként szándékosan vagy gondatlanságból elmulasztja – az üzemen vagy vállalkozáson belül – az üzemeltetőt terhelő és büntetéssel vagy pénzbírsággal sújtható kötelezettségek megszegésének megakadályozásához szükséges felügyeleti intézkedések meghozatalát, szabálysértést követ el, ha e mulasztást megfelelő felügyeleti intézkedésekkel – beleértve az ellenőrzésekért felelős személyek kinevezését, gondos kiválasztását és ellenőrzését – meg lehetett volna előzni vagy akadályozni.

13.

A Deutsche Wohnen SE (a továbbiakban: Deutsche Wohnen) egy Berlinben (Németország) székhellyel rendelkező, tőzsdén jegyzett ingatlanvállalkozás. Részesedések révén közvetve mintegy 163000 lakóegységgel és 3000 kereskedelmi egységgel rendelkezik.

14.

Ezen egységek tulajdonosai a Deutsche Wohnenhez kapcsolt leányvállalatok („holdingtársaságok”), amelyek a működési tevékenységeket látják el, míg a Deutsche Wohnen tevékenysége a magasabb szintű irányításra összpontosul. A holdingtársaságok bérbe adják a lakó‑ és kereskedelmi egységeket, amelyeket a csoport más társaságai, úgynevezett szolgáltatótársaságok kezelnek.

15.

Üzleti tevékenységük keretében a Deutsche Wohnen és a csoporthoz tartozó társaságok az ingatlanok bérlőinek személyes adatait kezelik. Ezek az adatok többek között személyazonosító okmányok, adó‑, társadalombiztosítási és egészségbiztosítási adatok, valamint a korábbi bérleti jogviszonyokra vonatkozó információ.

16.

2017. június 23‑án a Berliner Beauftragte für den Datenschutz (berlini adatvédelmi biztos, Németország; a továbbiakban: adatvédelmi hatóság) egy helyszíni ellenőrzés során felhívta a Deutsche Wohnen figyelmét arra, hogy a csoportjába tartozó társaságok olyan elektronikus archiválási rendszerben tárolják a bérlők személyes adatait, amelynek esetében nem követhető nyomon, hogy a tárolás szükséges‑e, és hogy biztosított‑e, hogy a már nem szükséges adatokat törlik.

17.

Az adatvédelmi hatóság ezt követően felszólította a Deutsche Wohnent, hogy 2017 végéig töröljön dokumentumokat az elektronikus archiválási rendszerből.

18.

A Deutsche Wohnen ezt azzal az indokkal tagadta meg, hogy a törlésre technikai és jogi okokból nincs lehetőség. E kifogást megvitatták a Deutsche Wohnen és az adatvédelmi hatóság közötti megbeszélésen, amelynek során ez utóbbi jelezte, hogy léteznek technikai megoldások az adatok törlésére. A megbeszélések folytatódtak, a Deutsche Wohnen pedig bejelentette, hogy az adatvédelmi hatóság által kifogásolt rendszer helyett új rendszert kíván bevezetni.

19.

2020. március 5‑én az adatvédelmi hatóság ellenőrzést végzett a vállalkozás csoportjának központjában, amelynek során összesen 16 mintát vett az adatkészletből. A Deutsche Wohnen ugyanakkor arról tájékoztatta a hatóságot, hogy a kifogásolt archiválási rendszert már üzemen kívül helyezte, és hamarosan sor kerül az adatok új rendszerbe történő áttelepítésére.

20.

2020. október 30‑án az adatvédelmi hatóság szankciót szabott ki a Deutsche Wohnenre a következők miatt:

21.

A GDPR 25. cikke (1) bekezdésének, valamint 5. cikke (1) bekezdése a), c) és e) pontjának szándékos megsértése miatt 14385000 euró bírságot, az általános adatvédelmi rendelet 6. cikke (1) bekezdésének 15 rendbeli megsértése miatt pedig egyenként 3000 és 17000 euró közötti bírságot szabtak ki.

22.

A Deutsche Wohnen megtámadta a szankciókat – a keresetet elbíráló – Landgericht Berlin (berlini regionális bíróság, Németország) előtt.

23.

A Staatsanwaltschaft Berlin (berlini ügyészség, Németország) fellebbezést nyújtott be az elsőfokú határozatottal szemben Kammergericht Berlinhez (berlini regionális felsőbíróság), amely bíróság előzetes döntéshozatal céljából a következő kérdéseket terjesztette a Bíróság elé:

24.

Az előzetes döntéshozatal iránti kérelem 2021. december 23‑án érkezett a Bírósághoz.

25.

A Deutsche Wohnen, a német, az észt és a norvég kormány, valamint az Európai Bizottság írásbeli észrevételeket terjesztett elő.

26.

2022. november 9‑én a Bíróság – az eljárási szabályzat 101. cikke alapján – a következők pontosítását kérte a kérdést előterjesztő bíróságtól:

27.

Az érintett pontosítások 2023. január 11‑én érkeztek a Bírósághoz.

28.

A 2023. január 17‑i tárgyaláson az írásbeli észrevételeket benyújtó feleken kívül megjelent a holland kormány, az Európai Parlament és az Európai Unió Tanácsa.

29.

Első kérdésével a kérdést előterjesztő bíróság lényegében arra szeretne választ kapni, hogy az uniós jog alapján kiszabható‑e bírság jogi személlyel szemben a GDPR megsértése miatt, anélkül, hogy a jogsértést először valamely természetes személynek kellene betudni.

30.

A kérdést előterjesztő bíróság azonban több összetett elemet is felvett a kérdésébe:

31.

A kérdést előterjesztő bíróság azt állítja, hogy a nemzeti jog alapján csak akkor szabható ki bírság vállalkozásokkal szemben, ha (kizárólag) képviselőként kijelölt vezető tisztségviselőik által elkövetett bizonyos szabálysértések tudhatók be nekik. ( 5 )

32.

A Deutsche Wohnen és a német kormány nem értenek egyet ezzel a megfogalmazással. Álláspontjuk szerint az OWiG 30. §‑át az OWiG 9. és 130. §‑ával összefüggésben kell értelmezni, amelyekkel együtt egy koherens szankciórendszert alkot. E rendszer értelmében valamely vállalkozás közigazgatási eljárásban is szankcionálható, anélkül, hogy a nevében eljáró természetes személlyel szemben eljárást kellene indítani. ( 6 )

33.

A kérdést előterjesztő bíróság, miután a Bíróság felkérte, hogy nyilatkozzon az OWiG 130. §‑ának esetleges hatásáról, azt válaszolta, hogy az nem releváns az előzetes döntéshozatalra előterjesztett első kérdés szempontjából. Álláspontja alátámasztására azzal érvel, hogy:

34.

E pontosítások azt mutatják, hogy a kérdést előterjesztő bíróság előzetes döntéshozatalra előterjesztett első kérdése a nemzeti jog olyan értelmezésének felelnek meg, amely – a német kormány véleményétől eltérően – elfogadja a jogi személyek felelősségének olyan rendszerét, amelynek jellemzői összeegyeztethetetlenné tehetik azt az uniós joggal.

35.

A Bíróságnak figyelembe kell vennie a kérdést előterjesztő bíróság – a nemzeti jog irányadó értelmezője – által ismertetett nemzeti jogi hátteret. ( 7 ) A nemzeti bíróság által az uniós jog értelmezésére vonatkozóan előterjesztett kérdéseket a saját felelősségére meghatározott jogszabályi és ténybeli háttérre – amelynek helytállóságát a Bíróság nem vizsgálhatja – tekintettel kell megválaszolni. ( 8 )

36.

Ezen előfeltevések alapján kezdem meg az előzetes döntéshozatalra előterjesztett első kérdés vizsgálatát.

37.

Az uniós jog szerint nem létezik semmilyen kifogás a tekintetben, hogy megállapítsák a Deutsche Wohnen jogsértés elkövetőjeként fennálló felelősségét, és hogy a vállalkozást a kiszabott szankció megfizetésére kötelezzék. E lehetőség in abstracto megjelenik a GDPR -ban, in concreto pedig ebben az ügyben éltek vele:

38.

Ami az elvont megközelítést illeti, nem szükséges túl sok megfontolás ahhoz, hogy alátámasszuk azon feltevést, amely szerint egy jogi személyt közvetlenül szankcionálni lehet a GDPR megsértése miatt. Ezen alapfeltevés értelmezési nehézség nélkül következik a GDPR 4., 58. és 83. cikkének olvasatából:

39.

E rendelkezések összességéből természetesen következik, hogy a GDPR előírja, hogy a rendelet megsértéséből eredő közigazgatási bírságok közvetlen címzettje lehet jogi személy. ( 12 ) Ezt a természetes következményt vették figyelembe az e területen illetékes nemzeti hatóságok is, amelyek nem késlekedtek a GDPR-t megsértő jogi személyeket olykor súlyos bírságokkal büntetni. ( 13 )

40.

Ami a konkrét megközelítést illeti, hangsúlyozom, hogy az adatvédelmi hatóság a Deutsche Wohnenhez mint adatkezelőhöz fordult, és arra kötelezte, hogy törölje a bérlők bizonyos személyes adatait a nyilvántartásából, és ennek a kérésnek a társaság egy bizonyos ideig nem tett eleget, mindaddig, amíg meg nem változtatta a tárolási rendszerét.

41.

A kérdést előterjesztő bíróság szerint a nemzeti jog előírja, hogy ahhoz, hogy egy vállalkozást közvetlenül szankcionáljanak a GDPR megsértése miatt, előzetesen meg kell állapítani valamely természetes személy felelősségét. Ez következik az OWiG 30. §‑ából: csak akkor szabható ki bírság vállalkozásokkal szemben, ha képviselőként kijelölt vezető tisztségviselőik által elkövetett bizonyos szabálysértések tudhatók be nekik. E tekintetben a képviselőnek tényállásszerűen, jogellenesen és vétkesen kell megsértenie a rendelkezést, amelynek megsértése bírsággal sújtható. ( 14 )

42.

A német kormány kifogására, amely az OWiG 130. §‑ra hivatkozik a kérdést előterjesztő bíróság értelmezésével szemben, e bíróság a Bíróság részére adott válaszában már az általam jelzettek szerint ( 15 ) fogalmaz. Röviden összefoglalva, azt állítja, hogy a jogi tárgyak e rendelkezés által biztosított védelme nagyon korlátozott az EUMSZ 101. és EUMSZ 102. cikkből eredő felelősségi rendszerhez képest.

43.

A kérdést előterjesztő bíróság által hivatkozott, a természetes személy felelősségének előzetes megállapítására vonatkozó szabály azonban nem lenne alkalmazható, ha a GDPR 83. cikkének (4)–(6) bekezdése beépítené a nemzeti jogba vállalkozásnak az EUMSZ 101. és EUMSZ 102. cikkhez rendelt funkcionális fogalmát.

44.

A GDPR 83. cikke (4)–(6) bekezdésének célja a GDPR e rendelkezéseiben említett jogsértésekkel kapcsolatos szankciók összegének kiszámítása. Konkrétabban, e három bekezdés rendelkezik arról az esetről, ha a szankcionált fél „vállalkozás”.

45.

Ebben az összefüggésben kell értelmezni a GDPR (150) preambulumbekezdésében szereplő, az EUMSZ 101. cikk és az EUMSZ 102. cikk értelmében vett vállalkozás fogalmára való hivatkozást. Emlékeztetnék arra, hogy a Bíróság szerint „az uniós versenyjog a vállalkozási tevékenységekre vonatkozik, és a vállalkozás fogalma minden gazdasági tevékenységet folytató jogalanyra kiterjed, függetlenül azok jogállásától és finanszírozási módjától”. ( 16 )

46.

Mivel a GDPR megsértése miatt kiszabható szankciók összegének felső határát az adatkezelő vagy adatfeldolgozó vállalkozások esetében „az előző pénzügyi év teljes éves világpiaci forgalmának” százalékában határozzák meg, ezen összeg meghatározásához nem a társaság formális jogi személyisége, hanem a fent említett értelemben vett „gazdasági egység” adhat támpontot.

47.

Ennek oka, hogy a GDPR 83. cikkének (1) bekezdése szerint az ugyanezen cikk (4)–(6) bekezdésében előírt közigazgatási bírságoknak „hatékonyaknak, arányosaknak és visszatartó erejűeknek” kell lenniük. E három jellemző csak olyan bírságra vonatkozhat, amelynek összegét a címzett tényleges gazdasági képessége vagy anyagi kapacitása alapján határozzák meg. Ezért van szükség arra, hogy a „vállalkozás” anyagi vagy gazdasági fogalmát alkalmazzuk a szankció kiszámítása során, ahelyett, hogy szigorúan formális fogalmat használnánk.

48.

A „vállalkozás” versenyjogot jellemző ( 17 ) tényleges vagy anyagi jogi meghatározását tehát átveszi az uniós jogalkotó a GDPR megsértése miatt kiszabható bírságok összegének meghatározása során. Hangsúlyozom azonban, hogy a GDPR csak e célból hivatkozik e fogalomra.

49.

Ebben az ügyben az EUMSZ 101. és az EUMSZ 102. cikk szerinti vállalkozás fogalma tehát releváns lehet a Deutsche Wohnennel szemben kiszabható bírság számszerűsítése szempontjából. Az, hogy ez utóbbinak szankcionált jogalany (rectius, a jogsértés elkövetője) minőséget tulajdonítsunk‑e vagy sem, nem szigorúan az EUMSZ említett két cikkének alkalmazásától függ.

50.

Ez nem zárja ki, hogy a versenyjogi szankciórendszerre vonatkozó általános elvek (amelyeket a Bíróság széles körben értelmez) analógia útján értelemszerűen alkalmazandók legyenek a jogi személyek személyes adatok védelmével kapcsolatos jogsértéseiért való felelősségére. ( 18 )

51.

Összeegyeztethető‑e a GDPR-ral az a nemzeti szabályozás, amely a közigazgatási szankciók jogi személyekkel szembeni kiszabását annak rendeli alá, hogy ezt megelőzően valamely természetes személlyel szemben eljárást indítottak?

52.

A GDPR jellege az általános hatályán túlmenően magában foglalja annak kötelező jellegét és az EUMSZ 288. cikk szerinti valamennyi tagállamban közvetlenül alkalmazandó jellegét. E jellemzők sérülnének, ha a tagállamok eltérhetnének az uniós jogalkotó által a GDPR-ban meghatározott előírások végleges változatától.

53.

Kétségtelen, hogy a GDPR egyes rendelkezései – éppen a sajátosságaik és céljuk egyedi jellemzői miatt – némi mozgásteret biztosítanak a tagállamok számára, hogy nemzeti szabályokat hozzanak, vagy tartsanak fenn egyes rendelkezések további pontosítása érdekében. Ez a helyzet áll fenn például:

54.

Ezt a – tárgyaláson megvitatott – állami mérlegelési mozgásteret véleményem szerint nem lehet oly mértékben kiterjeszteni, hogy a jogi személynek való betudhatóságot úgy csökkentse, ahogyan az a kérdést előterjesztő bíróság szerint az OWiG 30. cikkéből következne.

55.

A jogi személyekre vonatkozó felelősségi rendszer ilyen kialakítása lehetővé tenné, hogy a GDPR szankciórendszerének hatálya alól kizárják azon jogsértéseket, amelyek e rendelet szerint a jogi személynek – mint adatkezelőnek vagy adatfeldolgozónak – tulajdoníthatók. Ez az eset állna fenn, ha a jogi személyt képviselő, irányító vagy azt vezető természetes személyek nem vettek volna részt e jogsértésekben.

56.

Mivel – ismétlem – a jogi személy lehet adatkezelő, és e minőségében a GDPR neki betudható megsértésének elkövetője, az OWiG 30. §‑ának alkalmazása a szankcionálható magatartások körének indokolatlan gyengítéséhez vagy szűkítéséhez vezethet, ami mint olyan nem egyeztethető össze a GDPR általános rendelkezésével.

57.

A személyes adatok adatkezelőjének vagy adatfeldolgozójának minősíthető jogi személynek – a szankciók tekintetében – viselnie kell a GDPR-nak a képviselők, igazgatók vagy vezetők, valamint a jogi személy kereskedelmi tevékenysége keretében és felügyelete alatt eljáró természetes személyek (tágabb értelemben vett alkalmazottak) általi megsértéséből eredő következményeket.

58.

E természetes személyek valójában alakítják és meghatározzák a jogi személy akaratát azáltal, hogy azt különleges és konkrét aktusok révén konkretizálják. Olyan különleges aktusok, amelyek ezen akarat konkrét megnyilvánulásai, végső soron magának a jogi személynek tulajdoníthatók.

59.

Végeredményben olyan természetes személyekről van szó, akik – anélkül, hogy jogi személy képviselői lennének – azon személyek felügyelete alatt járnak el, akik a jogi személy képviseletében természetes személyek feletti felügyeleti vagy ellenőrzési mulasztást követtek el. A betudhatóság végső soron magához a jogi személyhez vezet, mivel az irányító szervei felügyelete alatt eljáró alkalmazott jogsértése az ellenőrzési és felügyeleti rendszer hiányossága, amelyért közvetlenül az irányító szervek felelnek.

60.

A fentiek megfelelnek a kérdést előterjesztő bíróság nemzeti joga e bíróság általi értelmezésének. Márpedig a német kormány azt állítja, hogy az OWiG 9., 30. és 130. §‑ának együttes alkalmazása olyan rendszert hoz létre, amelyben szankcionálhatók a jogi személynek betudható, a jogi személyben nem vezetői vagy képviseleti feladatokat ellátó természetes személyek által elkövetett jogsértések, anélkül, hogy e természetes személyeket azonosítani kellene. ( 21 )

61.

Ahogy azt korábban megjegyeztem, a kérdést előterjesztő bíróság feladata a nemzeti jog rendelkezéseinek értelmezése. Annak eldöntése, hogy – a német kormány által hivatkozott nemzeti ítélkezési gyakorlattal és jogelmélettel összhangban – ( 22 ) e rendelkezések lehetővé teszik‑e a nemzeti jognak az uniós jog követelményeivel összhangban álló értelmezését, a nemzeti bíróságok hatáskörébe tartozik.

62.

Amennyiben egy ilyen értelmezés contra legem lenne, és a nemzeti szankciórendszer sajátos szerkezete miatt nem lenne lehetséges a GDPR e területtel foglalkozó szabályainak maradéktalan alkalmazása, a GDPR elsőbbségének biztosítása érdekében a kérdést előterjesztő bíróságnak ki kellene zárnia az uniós joggal összeegyeztethetetlen nemzeti szabály alkalmazását.

63.

A kérdést előterjesztő bíróság azt kívánja megtudni, hogy a GDPR 83. cikkének (4)–(6) bekezdése szerint „a vállalkozásnak vétkesen kell elkövetnie – valamely alkalmazott révén – a jogsértést, vagy a vállalkozással szembeni bírságkiszabáshoz főszabály szerint már a vállalkozásnak betudandó objektív kötelezettségszegés is elegendő (»strict liability«)”. ( 23 )

64.

Az így megfogalmazott kérdés hipotetikus jellegű, ami azt két okból is elfogadhatatlanná teszi.

65.

Először is – az előzetes döntéshozatalra utaló határozat szerint – a Deutsche Wohnennel szemben kiszabott bírságot vétkes (szándékos) magatartás, nem pedig a GDPR puszta „objektív megsértése” miatt szabták ki. A fentiekben ismertetett tényállás azt mutatja, hogy a vállalkozás tudatosan és szándékosan nem tett eleget az adatvédelmi hatóság felhívásának, és továbbra is folytatta a kifogásolt adatkezelést. E minősítés szempontjából nincs jelentősége annak, hogy az adatkezelő rendszereinek módosítása során számos technikai és jogi nehézségre hivatkozott.

66.

Másodszor, amikor a Bíróság felkérte a kérdést előterjesztő bíróságot, hogy tisztázza a kérdését, a kérdést előterjesztő bíróság megjegyezte, hogy az elsőfokú bíróságot nem kötik a szankciót kiszabó határozatban tett megállapítások, és hogy a jövőben e bíróság határozhat a szankcióval szemben indított kereset jogalapjairól. Ha megbizonyosodik arról, hogy fennáll a jogsértés, akkor meg kell határozni, hogy milyen típusú kötelességszegés történt, ami az előzetes döntéshozatalra előterjesztett második kérdésre adandó választól függ.

67.

Szem előtt tartva e pontosítást, az előzetes döntéshozatalra előterjesztett második kérdés ismét felfedi hipotetikus jellegét: a magatartás minősítésének megítélése nem a jogvita kérdést előterjesztő bíróság előtti megoldásához, hanem adott esetben – az ügynek az elsőfokú bíróság elé történő visszautalását követően – az elsőfokú bíróságnak a jövőbeni határozathozatalához elengedhetetlen.

68.

Mindenesetre, és amennyiben a Bíróság úgy döntene, hogy a kérdést érdemben vizsgálja, úgy vélem, hogy az e kérdésre adandó válasz nem a GDPR 83. cikke (4)–(6) bekezdésének értelmezésétől függ, amely rendelkezések tárgya a közigazgatási bírságok számszerűsítése.

69.

A kérdést előterjesztő bíróság megkülönbözteti az alábbiakat: a) a jogi személy valamely alkalmazottja révén elkövetett jogsértés, valamint b) a jogi személy részéről való vétkesség fennállása a jogsértés során.

70.

Véleményem szerint a „valamely alkalmazott révén elkövetett jogsértés” valójában – és ahogyan az az első kérdéssel kapcsolatban már elhangzott – azon jogi személy által elkövetett jogsértés, amelynek irányítása alatt az alkalmazott eljárt.

71.

Pontosan megfogalmazva a kérdés tehát arra vonatkozik, hogy valamely jogi személyt szankcionálható‑e az adatkezelőként vagy adatfeldolgozóként rá háruló kötelezettségek objektív (vétlen) megszegése miatt.

72.

E kérdés megválaszolásához hasznos lehet az Emberi Jogok Európai Bíróságának (EJEB) az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény (EJEE) 7. cikke által biztosított büntetőjogi törvényesség elvével kapcsolatos ítélkezési gyakorlatára való hivatkozás.

73.

Noha az EJEE – mivel az Unió nem csatlakozott hozzá – nem minősül az uniós jogrendbe szervesen beépülő jogforrásnak, az ezen egyezmény által elismert alapvető jogok az uniós jogrend részét képezik mint annak általános elvei (az EUSZ 6. cikk (3) bekezdése).

74.

A Bíróság szerint „a Charta 52. cikkének (3) bekezdése, amely úgy rendelkezik, hogy a Chartában foglalt, az EJEE‑ben biztosított jogoknak megfelelő jogok tartalmát és terjedelmét azonosnak kell tekinteni azokéval, amelyek az említett egyezményben szerepelnek, az uniós jog és a Bíróság autonómiájának sérelme nélkül az e jogok közötti szükséges összhang biztosítására irányul”. ( 24 )

75.

Márpedig az EJEB ítélkezési gyakorlata – az EJEE 7. cikkének értelmezése során – olyan árnyalatokat tartalmaz, amelyek nem teljesen egyeznek:

76.

Valójában a büntetőjog dogmatikai kategóriáinak (nulla poena sine culpa) a szankcionáló közigazgatási jogi alkalmazás céljából történő behozatala jelentős hermeneutikai nehézségeket vet fel. A vétkesség fogalma (gondatlanság formájában) magában foglalhatja a jogszabályi rendelkezés puszta be nem tartásának azon eseteit, amikor az elkövetőnek ismernie kellett volna a vele szemben elvárt magatartást.

77.

Ebből a szempontból a vétkesség különböző formái – ideértve az enyhébb fokú vétkességeket, valamint a beszámítás különböző fokozatait (például culpa in vigilando vagy eligendo) – olyan magatartásokra is alapozhatók, amelyeket egyes bíróságok más szemszögből objektív felelősség eseteinek minősítenének. A két kategória közötti határ tehát nem olyan éles a szankcionáló közigazgatási jogban, mint ahogyan az az előzetes döntéshozatalra utaló határozatból kitűnni látszik.

78.

Jóllehet – az európai uniós jogot illetően – a Bíróság bizonyos esetekben elfogadott egy olyan rendszert, amelyet a szankciók terén objektív felelősségnek minősít. Így tett például 2017. március 22‑i Euro‑Team és Spirál‑Gép ítéletben a következők szerint:

79.

Ugyanakkor ezen ítélkezési gyakorlat az adatvédelemtől eltérő területeken, elsődlegesen formális konnotációkkal bíró kötelezettségek megsértésével kapcsolatban került kialakításra: autópálya‑szakasznak az előírt úthasználati díj összegének megfizetése nélküli használata miatt kiszabott bírság tárgyában, ( 29 ) vagy tehergépjármű menetíró készüléke adatrögzítő lapjának használatára vonatkozó rendelkezések megsértése. ( 30 )

80.

A GDPR által megállapított kötelezettségek – ideértve az adatkezelésre (a GDPR 5. cikke) és annak jogszerűségére (a GDPR 6. cikke) vonatkozó kötelezettségeket – esetében annak értékelése, hogy tiszteletben tartották‑e azokat, összetett értékelési és vizsgálati folyamatot foglal magában, amely túlmutat az előírások formai megsértésének puszta megállapításán.

81.

Mindenesetre úgy vélem, hogy a GDPR 83. cikke megerősíti az objektív (vétkesség nélküli) felelősségi rendszer kizárását a szankciók terén, azaz a szankcionálható magatartásnál megköveteli a szándékosság vagy gondatlanság fennállását. Véleményem szerint ez több bekezdéséből is kitűnik:

82.

Az imént általam kifejtett álláspont helytelennek bizonyulhat, ha – amint az eljárásban részt vevő egyes kormányok állítják – az erre vonatkozó kifejezett rendelkezések a GDPR-beli hiánya azt jelenti, hogy a tagállamok számára lehetőséget kell adni arra, hogy szubjektív felelősségi (szándékosság vagy gondatlanság) rendszert vagy objektív felelősséget is magában foglaló rendszert válasszanak.

83.

Elismerem, hogy e kormányok álláspontja alátámasztható bizonyos érvekkel: mivel a GDPR 83. cikkének (2) bekezdése a szándékosságra vagy gondatlanságra a bírság összege meghatározásánál figyelembe veendő tényezőként, nem pedig magának a jogsértő magatartásnak az elkerülhetetlen (lényeges) elemeként hivatkozik, a rendelkezés nyitva hagyná a tagállamok számára annak lehetőségét, hogy a jogsértés ezen lényeges elemeit saját belátásuk szerint alakítsák.

84.

Mindazonáltal, a Bizottsághoz hasonlóan úgy gondolom, hogy a GDPR által létrehozott szankciórendszer helyes olvasata – amelynek közvetlen alkalmazhatósága vitathatatlan – a valamennyi tagállam vonatkozásában egységes és koherens megoldás mellett szól, ( 33 ) nem pedig amellett, hogy minden tagállam maga döntse el, hogy a szankcionálandó jogsértések körét ki kell‑e terjeszteni a nem szándékos vagy gondatlan jellegű jogsértésekre.

85.

Véleményem szerint a GDPR-nak a kérdést előterjesztő bíróság által az előzetes döntéshozatal iránti kérelmében idézett preambulumbekezdései – amelyek megismétlik, hogy a jogsértőkre azonos szankciókat kell alkalmazni – megerősítik az egységes megoldás relevanciáját (és a megosztó megoldás megvalósíthatatlanságát). ( 34 ) Az egyenértékűség nem valósulna meg, ha minden tagállam lehetővé tenné a különböző jellegű jogsértések büntethetőségét, elfogadva azon jogsértéseket, amelyek pusztán objektív jogsértésekből állnak, és nem tartalmaznak szándékos vagy gondatlan elemet.

86.

A fent kifejtettek értelmében azt javaslom, hogy a Bíróság a Kammergericht Berlin (berlini regionális felsőbíróság, Németország) részére a következő választ adja:

„A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 4. cikkének 7. pontjával és 83. cikkével összefüggésben értelmezett 58. cikke (2) bekezdésének i) pontját

a következőképpen kell értelmezni:

a személyes adatokat kezelő jogi személlyel szembeni közigazgatási bírság kiszabása nincs ahhoz a feltételhez kötve, hogy előzetesen meg kellene állapítani az e jogi személy alkalmazásában álló egy vagy több természetes személy által elkövetett jogsértés fennállását.

A 2016/679 rendelet alapján kiszabható közigazgatási bírságok megkövetelik a szankcionált jogsértést megvalósító magatartás szándékos vagy gondatlan jellegének fennállását.”