–

TR képviseletében F. Wittmaack Rechtsanwalt,

–

a Land Hessen képviseletében M. Kottmann és G. Ziegenhorn Rechtsanwälte,

–

az osztrák kormány képviseletében J. Schmoll és M.‑T. Rappersberger, meghatalmazotti minőségben,

–

a portugál kormány képviseletében P. Barros da Costa, J. Ramos és C. Vieira Guerra, meghatalmazotti minőségben,

–

a román kormány képviseletében L.‑E. Baţagoi és E. Gane, meghatalmazotti minőségben,

–

a norvég kormány képviseletében S.‑E. Jahr Dahl, L.‑M. Moen Jünge és M. Munthe‑Kaas, meghatalmazotti minőségben,

–

az Európai Bizottság képviseletében A. Bouchagiar, M. Heller és H. Kranenborg, meghatalmazotti minőségben,

1

Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 57. cikke (1) bekezdése a) és f) pontjának, 58. cikke (2) bekezdésének és 77. cikke (1) bekezdésének értelmezésére vonatkozik.

2

E kérelmet a TR és a Land Hessen (Hessen szövetségi tartomány, Németország) közötti jogvita keretében terjesztették elő, amelynek tárgya az, hogy a Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Hessen szövetségi tartomány adatvédelmi biztosa, Németország, a továbbiakban: HBDI) nem fogadott el korrekciós intézkedéseket a Sparkasse X‑szel (X‑i takarékpénztár, a továbbiakban: takarékpénztár) szemben.

3

A GDPR (6), (7), (10), (129) és (148) preambulumbekezdése értelmében:

[…]

[…]

[…]

4

E rendelet 5. cikke értelmében:

„(1)   A személyes adatok:

(2)   Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).”

5

Az említett rendelet 24. cikkének (1) bekezdése szerint:

„Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.”

6

Ugyanezen rendelet 33. cikke kimondja:

„(1)   Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. […]

[…]

(3)   Az (1) bekezdésben említett bejelentésben legalább:

[…]”

7

A GDPR 34. cikkének (1) bekezdése kimondja:

„Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.”

8

E rendelet „Független felügyeleti hatóságok” című VI. fejezete tartalmazza annak 51–59. cikkét.

9

Az említett rendelet 51. cikke (1) bekezdésének a szövege a következő:

„A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam előírja, hogy e rendelet alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv (felügyeleti hatóság) felel.”

10

A GDPR „Feladatok” című 57. cikke az (1) bekezdésében a következőképpen rendelkezik:

„Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, a felügyeleti hatóság a saját területén ellátja a következő feladatokat:

[…]

[…]”

11

E rendelet „Hatáskörök” című 58. cikke az (1) és (2) bekezdésében a következőképpen rendelkezik:

„(1)   A felügyeleti hatóság vizsgálati hatáskörében eljárva:

[…]

(2)   A felügyeleti hatóság korrekciós hatáskörében eljárva:

[…]

[…]”

12

Az említett rendelet 77. cikkének a szövege a következő:

„(1)   Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.

(2)   Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a 78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni.

13

Ugyanezen rendelet 83. cikkének (1) és (2) bekezdése előírja:

„(1)   Valamennyi felügyeleti hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.

(2)   A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van‑e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:

14

A takarékpénztár egy önkormányzati közintézet, amely többek között banki és hitelügyletekkel foglalkozik. 2019. november 15‑én a GDPR 33. cikkének megfelelően adatvédelmi incidenst jelentett be a HBDI‑nek, mivel az egyik alkalmazottja több alkalommal jogosulatlanul hozzáfért TR‑nek, a takarékpénztár egyik ügyfelének személyes adataihoz. A takarékpénztár nem tájékoztatta TR‑t az adatvédelmi incidensről.

15

TR, miután véletlenül tudomást szerzett arról, hogy jogosulatlanul hozzáfértek a személyes adataihoz, 2020. július 27‑én a GDPR 77. cikke alapján panaszt tett a HBDI‑nél. E panaszban azt kifogásolta, hogy az adatvédelmi incidensről e rendelet 34. cikkét megsértve nem tájékoztatták. Kifogásolta továbbá a takarékpénztár naplófájlainak mindössze 3 hónapos megőrzési idejét és azt a körülményt is, hogy az alkalmazottak átfogó hozzáférési jogokkal rendelkeznek.

16

TR panaszát követően a HBDI írásban és szóban is meghallgatta a takarékpénztárt a vele szemben felhozott kifogások tekintetében. A meghallgatás során a takarékpénztár jelezte, hogy azért nem tájékoztatta TR‑t az adatvédelmi rendelet 34. cikke alapján, mert az adatvédelmi tisztviselője úgy vélte, hogy nem állt fenn magas kockázat TR jogaira és szabadságaira nézve. Az érintett alkalmazottal szemben ugyanis fegyelmi intézkedéseket hoztak, aki írásban megerősítette, hogy a személyes adatokat nem másolta le, nem tárolta, és nem továbbította harmadik feleknek, és hogy a jövőben sem tesz ilyet. Egyébiránt, mivel a HBDI kifogásolta a naplófájlok túl rövid megőrzési idejét, a takarékpénztár arról tájékoztatta, hogy ezt a kérdést felülvizsgálják.

17

2020. szeptember 3‑i határozatában a HBDI arról tájékoztatta TR‑t, hogy a takarékpénztár nem sértette meg a GDPR 34. cikkét, mivel nem volt nyilvánvalóan téves a takarékpénztár azon értékelése, hogy az adatvédelmi incidens nem jár e cikk értelmében véve magas kockázattal TR jogaira és szabadságaira nézve. Bár az alkalmazott hozzáfért az adatokhoz, semmi nem utalt ugyanis arra, hogy azokat harmadik feleknek továbbította volna, vagy azokat TR‑re nézve hátrányosan használta volna fel. Ezenkívül a HBDI jelezte, hogy felszólította a takarékpénztárt arra, hogy a naplófájlokat ezentúl három hónapnál hosszabb ideig őrizze meg. A takarékpénztár alkalmazottainak a személyes adatokhoz való hozzáférésének kérdését illetően a HBDI elutasította TR panaszát, hangsúlyozva, hogy főszabály szerint széles körű hozzáférési jogok adhatók, ha biztosított, hogy minden egyes felhasználót tájékoztatnak arról, hogy milyen feltételek mellett férhetnek hozzá az adatokhoz. A HBDI szerint tehát főszabály szerint nem kell minden egyes hozzáférést ellenőrizni.

18

TR e határozattal szemben keresetet nyújtott be a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság, Németország), a kérdést előterjesztő bíróság előtt, és kérte, hogy e bíróság a HBDI‑t kötelezze arra, hogy lépjen fel a takarékpénztárral szemben.

19

Keresete alátámasztása érdekében TR arra hivatkozik, hogy a HBDI nem a GDPR rendelkezéseinek megfelelően bírálta el a panaszát, azaz nem vették figyelembe az összes ténybeli körülményt, és hozzáteszi, hogy a HBDI‑nek bírságot kellett volna kiszabnia a takarékpénztárral szemben, mivel az különböző módokon megsértette e rendelet rendelkezéseit, különösen az 5. cikkét, a 12. cikkének (3) bekezdését, a 15. cikke (1) bekezdésének c) pontját, a 33. cikkének (1) bekezdését és a 33. cikkének (3) bekezdését. TR szerint a rendelet megállapított megsértése esetén – mint a jelen ügyben – nem érvényesül a célszerűség elve, így a HBDI‑t nem illeti meg az eljárással kapcsolatos mérlegelési jogkör, hanem legfeljebb azzal kapcsolatban rendelkezik mérlegelési jogkörrel, hogy milyen intézkedéseket kíván hozni.

20

E tekintetben a kérdést előterjesztő bíróság lényegében azt a kérdést teszi fel, hogy a személyes adatok védelmére vonatkozó rendelkezések megállapított megsértése esetén úgy kell‑e értelmezni a GDPR‑t, hogy a felügyeleti hatóság e rendelet 58. cikkének (2) bekezdése alapján köteles korrekciós intézkedéseket elfogadni, például közigazgatási bírságot kiszabni vagy pedig úgy, hogy e hatóság mérlegelési jogkörrel rendelkezik, amely alapján a körülmények függvényében tartózkodhat az ilyen intézkedések meghozatalától.

21

A kérdést előterjesztő bíróság kifejti, hogy az első értelmezés, amelyet TR és a szakirodalom egy része is képvisel, azon alapul, hogy a felügyeleti hatóság korrekciós intézkedések elfogadására vonatkozó hatásköre a jogszerű állapot helyreállítását szolgálja, ha a polgárok jogait sérti az adatkezelés. A GDPR 58. cikkének (2) bekezdését így olyan kötelezettséget megállapító normaként kell értelmezni, amely jogosultságot teremt a polgár számára a hatósági eljárás követelésére, ha valamely vállalkozás vagy hatóság jogellenesen kezelte a polgár személyes adatait, vagy más módon megsértette a jogait. Adatvédelmi incidens megállapítása esetén tehát a felügyeleti hatóság köteles korrekciós intézkedéseket elfogadni, és kizárólag azzal kapcsolatban rendelkezik mérlegelési jogkörrel, hogy mely intézkedést hozza meg.

22

A kérdést előterjesztő bíróságnak ugyanakkor kétségei vannak ezen értelmezés megalapozottságát illetően, amelyet túl kiterjesztőnek ítél, és inkább arra hajlik, hogy a felügyelő hatóság számára olyan mérlegelési mozgásteret ismerjen el, amely bizonyos esetekben lehetővé teszi számára, hogy megállapított jogsértés esetén tartózkodjon a korrekciós intézkedés elfogadásától, különösen a szankció kiszabásától. Még ha a felügyeleti hatóság a GDPR 57. cikke (1) bekezdésének f) pontja alapján köteles is alaposan érdemben megvizsgálni a panaszokat, és minden egyes esetet megvizsgálni, akkor sem köteles minden helyzetben korrekciós intézkedést elfogadni. Így nem terheli ilyen kötelezettség, ha a múltban megsértették a személyes adatok védelmére vonatkozó szabályokat, de az adatkezelő olyan intézkedéseket hozott, amelyek alapján feltételezhető volt, hogy az adatvédelem megsértése nem ismétlődik meg.

23

E körülmények között a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdést terjeszti a Bíróság elé:

„Úgy kell‑e értelmezni [a GDPR] 77. cikkének (1) bekezdésével összefüggésben értelmezett 57. cikke (1) bekezdésének a) és f) pontját, valamint 58. cikke (2) bekezdésének a)–j) pontját, hogy abban az esetben, ha a felügyeleti hatóság az érintett jogait sértő adatkezelést állapít meg, köteles e rendelet 58. cikkének (2) bekezdése alapján fellépni?”

24

TR – az előzetes döntéshozatal iránti kérelem elfogadhatóságát kifejezetten nem vitatva – azt állítja, hogy az előterjesztett kérdés megválaszolása nem szükséges az alapjogvita eldöntéséhez. Keresete kizárólag arra irányul, hogy a kérdést előterjesztő bíróság kötelezze a HBDI‑t a GDPR 57. cikke (1) bekezdése f) pontjának megfelelően a panaszban felhozott kifogások elbírálására, nem pedig arra, hogy a HBDI‑t kötelezzék az e rendelet 58. cikkének (2) bekezdése által számára biztosított hatáskörök gyakorlására.

25

E tekintetben emlékeztetni kell arra, hogy a Bíróság és a nemzeti bíróságok között az EUMSZ 267. cikk által létrehozott együttműködés keretében kizárólag az ügyben eljáró és a meghozandó határozatért felelős nemzeti bíróság feladata annak eldöntése, hogy az ügy sajátos jellemzőire tekintettel az ítélet meghozatalához szükség van‑e az előzetes döntéshozatalra, és hogy a Bíróságnak feltett kérdések relevánsak‑e. Következésképpen, ha a feltett kérdések az uniós jog értelmezésére vonatkoznak, a Bíróság főszabály szerint köteles határozatot hozni (2023. november 30‑iMinistero dell’Istruzione és INPS ítélet, C‑270/22, EU:C:2023:933, 33. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

26

Ebből következik, hogy a nemzeti bíróság által saját felelősségére meghatározott jogszabályi és ténybeli háttér alapján – amelynek helytállóságát a Bíróság nem vizsgálhatja – az uniós jog értelmezésére vonatkozóan előterjesztett kérdések releváns voltát vélelmezni kell. A nemzeti bíróság által előterjesztett előzetes döntéshozatal iránti kérelem Bíróság általi elutasítása csak abban az esetben lehetséges, amennyiben nyilvánvaló, hogy az uniós jog értelmezése, amelyet a nemzeti bíróság kért, nem függ össze az alapeljárás tényállásával vagy tárgyával, továbbá ha a szóban forgó probléma hipotetikus jellegű, vagy a Bíróság nem rendelkezik azon ténybeli és jogi elemek ismeretével, amelyek szükségesek ahhoz, hogy a feltett kérdéseket hatékonyan megválaszolja (2023. november 30‑iMinistero dell’Istruzione és INPS ítélet, C‑270/22, EU:C:2023:933, 34. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

27

A jelen ügyben a kérdést előterjesztő bíróság hangsúlyozza, hogy TR arra hivatkozott, hogy jogosult a HBDI ilyen fellépését követelni, és azt állította, hogy a HBDI köteles volt bírságot kiszabni a takarékpénztárral szemben.

28

Tehát nem nyilvánvaló, hogy az uniós jog kért értelmezése semmilyen összefüggésben nincs az alapügy tényállásával vagy tárgyával.

29

Ebből az következik, hogy az előzetes döntéshozatal iránti kérelem elfogadható.

30

Az előterjesztett kérdés megválaszolása érdekében elöljáróban emlékeztetni kell arra, hogy valamely uniós jogi rendelkezés értelmezéséhez nemcsak annak szövegét, hanem azt a kontextust is figyelembe kell venni, amelybe illeszkedik, valamint azon jogi aktus céljait is, amelynek az a részét képezi (2023. december 7‑iSCHUFA Holding [A fennálló tartozás elengedése] ítélet, C‑26/22 és C‑64/22, EU:C:2023:958, 48. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

31

Arra is emlékeztetni kell, hogy az Európai Unió Alapjogi Chartája 8. cikke (3) bekezdésének, valamint a GDPR 51. cikke (1) bekezdésének és 57. cikke (1) bekezdése a) pontjának megfelelően a nemzeti felügyeleti hatóságok feladata a személyes adatok kezelése vonatkozásában a természetes személyek védelmére vonatkozó uniós szabályok tiszteletben tartásának ellenőrzése (2023. december 7‑iSCHUFA Holding [A fennálló tartozás elengedése] ítélet, C‑26/22 és C‑64/22, EU:C:2023:958, 55. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

32

Közelebbről, a GDPR 57. cikke (1) bekezdésének f) pontja értelmében minden felügyeleti hatóság a saját területén köteles kezelni azokat a panaszokat, amelyeket bármely személy e rendelet 77. cikke (1) bekezdésének megfelelően jogosult benyújtani, amennyiben úgy ítéli meg, hogy a rá vonatkozó személyes adatok kezelése sérti az említett rendeletet, továbbá a szükséges mértékben köteles kivizsgálni e panaszok tárgyát, valamint észszerű határidőn belül tájékoztatni a panaszost a vizsgálattal kapcsolatos fejleményekről és eredményekről. A felügyeleti hatóságnak az ilyen panaszt a kellő gondossággal kell kezelnie (lásd ebben az értelemben: 2023. december 7‑iSCHUFA Holding [A fennálló tartozás elengedése] ítélet, C‑26/22 és C‑64/22, EU:C:2023:958, 56. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

33

Az így benyújtott panaszok elbírálása érdekében a GDPR 58. cikkének (1) bekezdése az egyes felügyeleti hatóságokat jelentős vizsgálati hatáskörökkel ruházza fel. Ha az ilyen hatóság a vizsgálata során e rendelet rendelkezéseinek megsértését állapítja meg, köteles megfelelően reagálni a megállapított hiányosság orvoslása érdekében, mivel – amint azt az említett rendelet (129) preambulumbekezdése pontosítja – minden egyes intézkedésnek különösen, az e rendeletnek való megfelelés biztosítása érdekében megfelelőnek, szükségesnek és arányosnak kell lennie, és azok kapcsán figyelembe kell venni az adott eset körülményeit. E célból ugyanezen rendelet 58. cikkének (2) bekezdése felsorolja azokat a különböző korrekciós intézkedéseket, amelyeket a felügyeleti hatóság elfogadhat (lásd ebben az értelemben: 2023. december 7‑iSCHUFA Holding [A fennálló tartozás elengedése] ítélet, C‑26/22 és C‑64/22, EU:C:2023:958, 57. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

34

Így a GDPR 58. cikkének (2) bekezdése értelmében a felügyeleti hatóság hatáskörrel rendelkezik többek között arra, hogy elmarasztalja az adatkezelőt vagy az adatfeldolgozót, ha adatkezelési tevékenysége megsértette e rendelet rendelkezéseit (b) pont), utasítsa az adatkezelőt vagy az adatfeldolgozót, hogy teljesítse az érintettnek az említett rendelet szerinti jogai gyakorlására vonatkozó kérelmét (c) pont), utasítsa az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időn belül – hozza összhangba ugyanezen rendelet rendelkezéseivel (d) pont), vagy a GDPR 83. cikkének megfelelően közigazgatási bírságot szabjon ki, az adott eset körülményeitől függően az ezen 58. cikk (2) bekezdésében említett intézkedéseken túlmenően vagy azok helyett (i) pont).

35

Ennélfogva a panaszeljárást olyan mechanizmusként alakították ki, amely alkalmas az érintett személyek jogainak és érdekeinek hatékony védelmére (2023. december 7‑iSCHUFA Holding [A fennálló tartozás elengedése] ítélet, C‑26/22 és C‑64/22, EU:C:2023:958, 58. pont).

36

A jelen ügyben az előzetes döntéshozatal iránti kérelemből kitűnik, hogy a HBDI érdemben megvizsgálta az alapeljárás felperese által hozzá benyújtott panaszt, és tájékoztatta őt a vizsgálat eredményéről. Konkrétabban a HBDI megerősítette, hogy a takarékpénztáron belül megsértették az utóbbi személyes adatait, amely abban állt, hogy ezen adatokhoz az egyik alkalmazottja jogosulatlanul hozzáfért. A takarékpénztár alkalmazottainak hozzáférési jogát illetően azonban a HBDI elutasította az alapeljárás felperese által benyújtott panaszt. Ezenkívül arra a következtetésre jutott, hogy a GDPR 58. cikkének (2) bekezdése alapján nincs helye a takarékpénztárral szembeni fellépésnek.

37

E tekintetben meg kell jegyezni, hogy a GDPR mérlegelési mozgásteret hagy a felügyeleti hatóság számára a tekintetben, hogy milyen módon kell orvosolnia a megállapított hiányosságot, mivel e rendelet 58. cikkének (2) bekezdése különböző korrekciós intézkedések elfogadására vonatkozó hatáskört ruház e hatóságra. Amint azt a Bíróság megállapította, a megfelelő és szükséges eszköz megválasztása tehát a felügyeleti hatóság feladata, és e hatóságnak e választást az adott ügy valamennyi körülményének figyelembevételével kell megtennie, a GDPR teljes körű tiszteletben tartásának biztosításában álló feladatát kellő gondossággal ellátva (lásd ebben az értelemben: 2020. július 16‑iFacebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 112. pont).

38

E mérlegelési mozgásteret azonban korlátozza annak szükségessége, hogy a szabályok szigorú alkalmazása révén biztosítani kell a személyes adatok következetes és magas szintű védelmét, amint az a GDPR (7) és (10) preambulumbekezdéséből kitűnik.

39

Konkrétabban a GDPR 58. cikke (2) bekezdésének i) pontja szerinti közigazgatási bírságokat illetően e rendelet 83. cikkének (2) bekezdéséből az következik, hogy e bírságokat az adott eset körülményeitől függően az ezen 58. cikk (2) bekezdésében említett intézkedések mellett vagy helyett kell kiszabni. Ezenkívül e 83. cikk (2) bekezdése pontosítja, hogy annak eldöntésekor, hogy szükség van‑e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor a felügyeleti hatóságnak minden egyes esetben kellőképpen figyelembe kell vennie az e rendelkezés a)–k) pontjában foglalt olyan tényezőket, mint a jogsértés jellege, súlyossága és időtartama.

40

Az uniós jogalkotó tehát olyan szankciórendszert írt elő, amely lehetővé teszi a felügyeleti hatóságok számára, hogy az adott eset körülményeitől függően a leginkább megfelelő és indokolt szankciókat szabják ki (lásd ebben az értelemben: 2023. december 5‑iNacionalinis visuomenės sveikatos centras ítélet, C‑683/21, EU:C:2023:949, 75. és 78. pont), figyelembe véve – amint arra a jelen ítélet 37. és 38. pontja emlékeztet – annak szükségességét, hogy a szabályok szigorú alkalmazása révén biztosítani kell a GDPR teljes körű tiszteletben tartását és a személyes adatok következetes és magas szintű védelmét.

41

Ennélfogva sem a GDPR 58. cikkének (2) bekezdéséből, sem annak 83. cikkéből nem lehet arra következtetni, hogy a felügyeleti hatóságot olyan kötelezettség terheli, hogy minden esetben, amikor adatvédelmi incidenst állapít meg, korrekciós intézkedést fogadjon el, különösen közigazgatási bírságot szabjon ki, mivel ilyen körülmények között az a kötelessége, hogy megfelelően reagáljon a megállapított hiányosság orvoslása érdekében. E körülmények között, amint arra a főtanácsnok az indítványának 81. pontjában rámutatott, az olyan panaszt benyújtó személy, akinek jogait megsértették, nem rendelkezik alanyi joggal arra, hogy a felügyelő hatóság közigazgatási bírságot szabjon ki az adatkezelőre.

42

Ezzel szemben a felügyeleti hatóságnak fel kell lépnie, ha a GDPR 58. cikkének (2) bekezdésében előírt egy vagy több korrekciós intézkedés elfogadása – az adott eset valamennyi körülményét figyelembe véve – megfelelő, szükséges és arányos a megállapított hiányosság orvoslása és az e rendeletnek való teljes körű megfelelés biztosítása érdekében.

43

E tekintetben nem kizárt, hogy kivételesen és az adott eset sajátos körülményeire tekintettel a felügyelő hatóság az adatvédelmi incidens megállapítása ellenére tartózkodhat a korrekciós intézkedés elfogadásától. Ez lehet a helyzet többek között akkor, ha a megállapított jogsértés nem maradt fenn, például amikor az adatkezelő, aki főszabály szerint a GDPR 24. cikke értelmében vett megfelelő technikai és szervezési intézkedéseket hajtott végre, amint tudomást szerzett e jogsértésről, meghozta a megfelelő és szükséges intézkedéseket annak érdekében, hogy az említett jogsértés megszűnjön és ne ismétlődjön meg, figyelembe véve többek között az e rendelet 5. cikkének (2) bekezdéséből és 24. cikkéből eredő kötelezettségeit.

44

Azt az értelmezést, amely szerint az adatvédelmi incidens megállapítása esetén a felügyeleti hatóság nem köteles minden esetben a GDPR 58. cikkének (2) bekezdése szerinti korrekciós intézkedést elfogadni, megerősítik az e rendelet 58. cikkének (2) bekezdése, illetve 83. cikke által követett célkitűzések.

45

A GDPR 58. cikkének (2) bekezdése által elérni kívánt célkitűzést illetően e rendelet (129) preambulumbekezdéséből kitűnik, hogy e rendelkezés annak biztosítására irányul, hogy a személyes adatok kezelése megfeleljen e rendeletnek, valamint az ezen utóbbit sértő helyzetek helyreállítása annak érdekében, hogy azokat a nemzeti felügyeleti hatóságok fellépése összhangba hozza az uniós joggal (2024. március 14‑iÚjpesti Polgármesteri Hivatal ítélet, C‑46/23, EU:C:2024:239, 40. pont).

46

Ebből következik, hogy a korrekciós intézkedés elfogadása kivételesen és az adott ügy sajátos körülményeire tekintettel adott esetben nem feltétlenül szükséges, feltéve hogy a GDPR‑t sértő helyzet már helyreállt, és biztosított, hogy a személyes adatok adatkezelő általi kezelése megfelel e rendeletnek, és a felügyeleti hatóság ilyen mulasztása nem sértheti a szabályok szigorú alkalmazására vonatkozó, a jelen ítélet 38. pontjában felidézett követelményt.

47

Ami a GDPR 83. cikkének a közigazgatási bírságok kiszabására vonatkozó célkitűzését illeti, az e rendelet (148) preambulumbekezdése értelmében az e rendelet által előírt szabályok betartatásának erősítésére irányul. Ugyanakkor ugyanezen preambulumbekezdés szerint az említett rendelet kisebb megsértése esetén, illetve ha a valószínűsíthetően kiszabásra kerülő közigazgatási bírság egy természetes személy számára aránytalan terhet jelentene, a felügyeleti hatóságok eltekinthetnek a közigazgatási bírság kiszabásától, és ehelyett megrovást alkalmazhatnak (lásd ebben az értelemben: 2023. december 5‑iNacionalinis visuomenės sveikatos centras ítélet, C‑683/21, EU:C:2023:949, 76. pont).

48

A jelen ügyben az előzetes döntéshozatal iránti kérelemből kitűnik, hogy a takarékpénztár a GDPR 33. cikkének megfelelően értesítette a HBDI‑t az alapeljárás felperese személyes adatainak abból eredő megsértéséről, hogy ezen adatokhoz az egyik alkalmazottja jogosulatlanul hozzáfért. Ezenkívül jelezte, hogy fegyelmi intézkedéseket hoztak ezen alkalmazottal szemben, és hogy a naplófájlok megőrzési idejét felül fogják vizsgálni. Ilyen körülmények között nem fogadott el a HBDI a GDPR 58. cikkének (2) bekezdése szerinti korrekciós intézkedést, és nem szabott ki közigazgatási bírságot.

49

Mivel a felügyeleti hatóság által elfogadott, panaszról szóló határozatok teljes körű bírósági felülvizsgálat alá tartoznak (2023. december 7‑iSCHUFA Holding [A fennálló tartozás elengedése] ítélet, C‑26/22 és C‑64/22, EU:C:2023:958, 70. pont), a kérdést előterjesztő bíróság feladata annak vizsgálata, hogy a HBDI kellő gondossággal kezelte‑e az érintett panaszt, és hogy az alapügyben szóban forgó határozat elfogadásával tiszteletben tartotta‑e a GDPR 58. cikkének (2) bekezdése által számára biztosított mérlegelési mozgástér korlátait (lásd analógia útján: 2023. december 7‑iSCHUFA Holding [A fennálló tartozás elengedése] ítélet, C‑26/22 és C‑64/22, EU:C:2023:958, 68. és 69. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

50

A fenti megfontolások összességére tekintettel az előterjesztett kérdésre azt a választ kell adni, hogy a GDPR 57. cikke (1) bekezdésének a) és f) pontját, 58. cikkének (2) bekezdését és 77. cikkének (1) bekezdését úgy kell értelmezni, hogy a felügyeleti hatóság adatvédelmi incidens megállapítása esetén ezen 58. cikk (2) bekezdése alapján nem köteles korrekciós intézkedést elfogadni, például közigazgatási bírságot kiszabni, ha az ilyen fellépés nem megfelelő, szükséges vagy arányos a megállapított hiányosság orvoslása és az e rendeletnek való teljes körű megfelelés biztosítása érdekében.

51

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (első tanács) a következőképpen határozott:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 57. cikke (1) bekezdésének a) és f) pontját, 58. cikkének (2) bekezdését és 77. cikkének (1) bekezdését

a következőképpen kell értelmezni:

a felügyeleti hatóság adatvédelmi incidens megállapítása esetén ezen 58. cikk (2) bekezdése alapján nem köteles korrekciós intézkedést elfogadni, például közigazgatási bírságot kiszabni, ha az ilyen fellépés nem megfelelő, szükséges vagy arányos a megállapított hiányosság orvoslása és az e rendeletnek való teljes körű megfelelés biztosítása érdekében.