–

az Österreichische Datenschutzbehörde képviseletében M. Schmidl, meghatalmazotti minőségben,

–

F R képviseletében C. Wirthensohn Rechtsanwalt,

–

a Bundesministerin für Justiz képviseletében E. Riedl, meghatalmazotti minőségben,

–

az osztrák kormány képviseletében A. Posch, J. Schmoll és C. Gabauer, meghatalmazotti minőségben,

–

a cseh kormány képviseletében M. Smolek T. Suchá és J. Vláčil, meghatalmazotti minőségben,

–

az Európai Bizottság képviseletében A. Bouchagiar, F. Erlbacher és H. Kranenborg, meghatalmazotti minőségben,

1

Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 57. cikke (4) bekezdésének és 77. cikke (1) bekezdésének az értelmezésére vonatkozik.

2

E kérelmet a természetes személy F R és az Österreichische Datenschutzbehörde (adatvédelmi hatóság, Ausztria; a továbbiakban: DSB) között folyamatban lévő jogvitában terjesztették elő, amelynek tárgya, hogy ez utóbbi megtagadta az eljárást F R – személyes adataihoz való hozzáférési jogának állítólagos megsértésével kapcsolatos – panasza tárgyában.

3

A GDPR (10), (11), (59), (63) és (129) preambulumbekezdése értelmében:

[…]

[…]

[…]

4

A GDPR „Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések” című 12. cikkének (2) és (5) bekezdése kimondja:

„(2)   Az adatkezelő elősegíti az érintett 15–22. cikk szerinti jogainak a gyakorlását. A 11. cikk (2) bekezdésében említett esetekben az adatkezelő az érintett 15–22. cikk szerinti jogai gyakorlására irányuló kérelmének a teljesítését nem tagadhatja meg, kivéve, ha bizonyítja, hogy az érintettet nem áll módjában azonosítani.

[…]

(5)   A 13. és 14. cikk alapján rendelkezésre bocsátott információkat és a 15–22. és 34. cikk alapján végzett minden tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő:

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.”

5

A GDPR‑nak „Az érintett hozzáférési joga” című 15. cikkének (1) bekezdése a következőképpen rendelkezik:

„Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‑e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

[…]

[…]”

6

A GDPR „Függetlenség” című 52. cikkének (4) bekezdése a következőképpen rendelkezik:

„A tagállamok biztosítják, hogy mindegyik felügyeleti hatóság rendelkezésére áll a feladataik és hatásköreik – ideértve a kölcsönös segítségnyújtást, az együttműködést és a Testületben való részvételt – eredményes ellátásához, illetve gyakorlásához szükséges emberi, műszaki és pénzügyi források, helyiségek és infrastruktúra.”

7

A GDPR „Feladatok” című 57. cikkének szövege a következő:

„(1)   Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, a felügyeleti hatóság a saját területén ellátja a következő feladatokat:

[…]

[…]

(2)   A felügyeleti hatóság megkönnyíti az (1) bekezdés f) pontjában említett panasz benyújtását például olyan intézkedésekkel, hogy elektronikus úton is kitölthető panasz benyújtására szolgáló formanyomtatványt hoz létre, nem zárva ki azonban más kommunikációs eszközök alkalmazását sem.

(3)   A felügyeleti hatóság úgy látja el feladatait, hogy az az érintett és adott esetben az adatvédelmi tisztviselő számára térítésmentes legyen.

(4)   Ha a kérelmek egyértelműen megalapozatlanok vagy – különösen ismétlődő jellegük miatt – túlzók, a felügyeleti hatóság észszerű, az adminisztratív költségeken alapuló díjat számíthat fel, vagy megtagadhatja, hogy eljárjon a kérelemmel kapcsolatban. Annak bizonyítása, hogy a kérelem egyértelműen megalapozatlan vagy túlzó, a felügyeleti hatóságot terheli.”

8

A GDPR‑nak „A felügyeleti hatóságnál történő panasztételhez való jog” című 77. cikkének (1) bekezdése kimondja:

„Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.”

9

Az 1999. augusztus 17‑i Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről szóló szövetségi törvény; BGBl. I, 165/1999) alapügy tényállására alkalmazandó változatának „Panasztétel az adatvédelmi hatóságnál” című 24. §‑ának (1), (5) és (8) bekezdése kimondja:

„(1)   Minden érintett jogosult arra, hogy panaszt tegyen az adatvédelmi hatóságnál, ha megítélése szerint a rá vonatkozó személyes adatok kezelése sérti a GDPR‑t, illetve e törvény 1. §‑át vagy 2. cikkének 1. fő részét.

[…]

(5)   Ha a panasz megalapozottnak bizonyul, annak helyt kell adni. Ha a jogsértés magánszektorbeli adatkezelőnek tulajdonítható, az adatkezelőt kötelezni kell arra, hogy a megállapított jogsértés orvoslásához szükséges mértékben teljesítse a kérelmező által benyújtott hozzáférés, helyesbítés, törlés, korlátozás vagy adattovábbítás iránti kérelmet. Ha a panasz megalapozatlannak bizonyul, azt el kell utasítani.

[…]

(8)   Bármely érintett a szövetségi közigazgatási bírósághoz fordulhat, ha az adatvédelmi hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a panaszeljárás fejleményeiről vagy annak eredményéről.”

10

F R 2020. február 17‑én panaszt nyújtott be a DSB‑hez a GDPR 77. cikkének (1) bekezdése alapján e rendelet 15. cikkének megsértése miatt, mivel egy adatkezelőnek minősülő társaság F R személyes adataihoz való hozzáférés iránti kérelmére egy hónapos határidőn belül nem adott választ.

11

A DSB 2020. április 22‑i határozatával a GDPR 57. cikkének (4) bekezdése alapján e panasz túlzó jellegére tekintettel megtagadta a panasszal kapcsolatos eljárást. Ezzel kapcsolatban többek között rámutatott arra, hogy az érintett nagyjából 20 hónap alatt 77 hasonló panaszt nyújtott be különböző adatkezelők ellen. F R ezenfelül telefonon is rendszeresen kapcsolatba lépett a DSB‑vel, hogy további tényeket és egyéb kérelmeket adjon elő.

12

F R e határozatot keresettel támadta meg a Bundesverwaltungsgericht előtt (szövetségi közigazgatási bíróság, Ausztria).

13

E bíróság 2022. december 22‑i ítéletével helyt adott e keresetnek, és a DSB határozatát hatályon kívül helyezte. Az említett bíróság lényegében kimondta, hogy egy kérelem GDPR 57. cikkének (4) bekezdése szerinti túlzó jellege nem csupán a kérelmek gyakori ismétlődését feltételezi, hanem azok nyilvánvalóan rosszhiszemű vagy visszaélésszerű jellegét is. Márpedig az F R által benyújtott panasszal kapcsolatos eljárás megtagadását alátámasztó, DSB által előadott indokolásból nem tűnik ki, hogy F R eljárása visszaélésszerű lett volna. Ugyanezen bíróság álláspontja szerint továbbá a túlzó kérelmekkel szembesülő felügyeleti hatóság nem választhat szabadon az e rendelkezésben előírt két lehetőség, azaz az észszerű díj felszámítása vagy az e kérelmekkel kapcsolatos eljárás megtagadása között. Az e lehetőségek közötti választás a szabad mérlegelés körébe tartozik, amelynek gyakorlását a felügyeleti hatóságnak indokolnia kell. Márpedig a jelen ügyben ez az indokolás hiányzik.

14

A DSB által ezen ítélettel szemben benyújtott felülvizsgálati kérelem tárgyában eljáró Verwaltungsgerichtshof (legfelsőbb közigazgatási bíróság, Ausztria), amely a kérdést előterjesztő bíróság, először is azt kérdezi, hogy a GDPR 57. cikkének (4) bekezdésében szereplő „kérelem” fogalma kiterjed‑e az e rendelet 77. cikkének (1) bekezdése alapján benyújtott panaszokra.

15

Ezzel összefüggésben a kérdést előterjesztő bíróság megjegyzi, hogy kétségtelen, hogy a felügyeleti hatóságok feladatait tartalmazó, GDPR 57. cikkének (1) bekezdésében foglalt felsorolásban kizárólag e rendelkezés e) pontjában szerepel a „kérelem” fogalma, az érintettek által az e rendelet alapján őket megillető jogok gyakorlásával kapcsolatos tájékoztatás iránt e hatóságokhoz intézett kérelmek megjelölésére. E körülményből azonban nem lehet arra következtetni, hogy az említett rendelet 57. cikkének (4) bekezdése csak az ilyen kérelmek elbírálására alkalmazható. Ellenkezőleg, a térítésmentesség elve alóli kivételt megállapító utóbbi rendelkezés szövegkörnyezete inkább arra enged következtetni, hogy az ebben szereplő „kérelem” fogalma a panaszokat is magában foglalja, mivel a felügyeleti hatóságok elsődleges feladata ez utóbbiak kezelése, és e hatóságokat mentesíteni kell az egyértelműen megalapozatlan vagy túlzó panaszok kezelésének feladata alól.

16

Mindazonáltal a kérdést előterjesztő bíróság szerint az ilyen értelmezés azzal a következménnyel jár, hogy korlátozza a GDPR 57. cikke (1) bekezdésének f) pontjában a felügyeleti hatóságokra telepített panaszkezelési kötelezettséget, és ellentétes lehet az e rendelet által követett célokkal, különösen a természetes személyeknek a személyes adatok Unión belüli kezeléséhez kapcsolódó magas szintű védelmének biztosítására irányuló célkitűzéssel.

17

Mindemellett a kérdést előterjesztő bíróság úgy véli, hogy ezen értelmezés elfogadása esetén a panasztételi jog GDPR 57. cikkének (4) bekezdése szerinti korlátozása arányos. E rendelkezés alkalmazásának a feltétele ugyanis az, hogy a felügyeleti hatóság bizonyítsa a panasz egyértelműen megalapozatlan vagy túlzó jellegét. Ezenkívül a felügyeleti hatóság észszerű költségek felszámításáról vagy a panasszal kapcsolatos eljárás megtagadásáról szóló határozata az e rendelet 78. cikkének (1) bekezdése szerinti bírósági felülvizsgálat tárgyát képezi.

18

Másodszor, amennyiben a GDPR 57. cikkének (4) bekezdését úgy kell értelmezni, hogy az az e rendelet 77. cikkének (1) bekezdésében említett panaszokra is alkalmazandó, az előterjesztő bíróság számára kérdéses a „túlzó kérelem” említett rendelet 57. cikkének (4) bekezdése szerinti fogalmának tartalma. Közelebbről, e bíróság rámutat, hogy bár az említett rendelkezés a „túlzó kérelmek” példájaként kifejezetten említi az „ismétlődő jellegű” kérelmek esetét, ez nem változtat azon, hogy a panaszkezelés megtagadásának lehetőségét mint a felügyeleti hatóságok panaszkezelési kötelezettsége alóli kivételt szigorúan kell értelmezni, mivel e lehetőség a személyes adatok kezelése során a természetes személyek számára a GDPR‑ban biztosított védelem jelentős sérelméhez vezet, és így az e rendelet célkitűzéseitől való eltérést jelent.

19

Ebben az összefüggésben a kérdést előterjesztő bíróság azt kívánja megtudni, hogy a felügyeleti hatósághoz egy adott időszakon belül benyújtott panaszok száma elegendő‑e annak megállapításához, hogy a panasz túlzó, függetlenül az egyes egyedi panaszok sajátos körülményeitől és az említett panaszok által érintett adatkezelőkre való tekintet nélkül, vagy más körülményeket is figyelembe kell venni, amelyek alapján visszaélésre irányuló szándékot lehet megállapítani.

20

Harmadszor, a kérdést előterjesztő bíróság úgy véli, hogy a GDPR 57. cikke (4) bekezdésének alkalmazása azzal kapcsolatban is kérdéseket vet fel, hogy milyen jogkövetkezmények fűződhetnek az egyértelműen megalapozatlan vagy túlzó kérelmekhez. E rendelkezés szövegéből ugyanis nem derül ki egyértelműen, hogy a felügyeleti hatóságok szabadon választhatnak‑e az e rendelkezésben előírt két lehetőség közül, nevezetesen a közül, hogy a panaszkezelésért észszerű díjat számítanak fel vagy eleve megtagadják e panasz kezelését. A kérdést előterjesztő bíróság hangsúlyozza, hogy a jogtudomány megosztott e kérdésben.

21

E körülmények között határozott úgy a Verwaltungsgerichtshof (legfelsőbb közigazgatási bíróság), hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

Az első kérdésre adott igenlő válasz esetén:

22

Az előterjesztő bíróság első kérdése arra vonatkozik, hogy a GDPR 57. cikkének (4) bekezdését úgy kell‑e értelmezni, hogy az e rendelkezésben szereplő „kérelem” fogalmába beletartoznak az e rendelet 77. cikkének (1) bekezdésében említett „panaszok” is.

23

Előzetesen meg kell állapítani, hogy a „panasz” fogalma a GDPR 57. cikke (1) bekezdésének f) pontjában is szerepel. E körülmények között annak érdekében, hogy a kérdést előterjesztő bíróság számára hasznos választ lehessen adni, úgy kell tekinteni, hogy első kérdésével e bíróság lényegében arra vár választ, hogy e rendelet 57. cikkének (4) bekezdését úgy kell‑e értelmezni, hogy az e rendelkezésben szereplő „kérelem” fogalmába beletartoznak az említett rendelet 57. cikke (1) bekezdésének f) pontjában és 77. cikkének (1) bekezdésében említett „panaszok” is.

24

Valamely uniós jogi rendelkezés értelmezéséhez nemcsak a rendelkezés általános nyelvhasználatban elfogadott szokásos jelentésének megfelelő szövegét, hanem szövegkörnyezetét, és annak a szabályozásnak a célkitűzéseit is figyelembe kell venni, amelynek részét képezi (2023. május 4‑iÖsterreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 19. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2023. december 7‑iSCHUFA Holding [A fennálló tartozás elengedése] ítélet, C‑26/22 és C‑64/22, EU:C:2023:958, 48. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2024. április 30‑iTrade Express‑L és DEVNIA TSIMENT ítélet, C‑395/22 és C‑428/22, EU:C:2024:374, 65. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

25

Ami elsőként a GDPR 57. cikke (1) bekezdésének f) pontját illeti, e rendelkezés alapján a felügyeleti hatóság a saját területén „kezeli az érintett által […] benyújtott panaszokat, a panasz tárgyát a szükséges mértékben kivizsgálja, továbbá észszerű határidőn belül tájékoztatja a panaszost a vizsgálattal kapcsolatos fejleményekről és eredményekről, különösen, ha további vizsgálat vagy egy másik felügyeleti hatósággal való együttműködés válik szükségessé”.

26

A GDPR 57. cikke (4) bekezdése kimondja, hogy „[h]a a kérelmek egyértelműen megalapozatlanok vagy – különösen ismétlődő jellegük miatt – túlzók, a felügyeleti hatóság észszerű, az adminisztratív költségeken alapuló díjat számíthat fel, vagy megtagadhatja, hogy eljárjon a kérelemmel kapcsolatban”, valamint hogy „[a]nnak bizonyítása, hogy a kérelem egyértelműen megalapozatlan vagy túlzó, a felügyeleti hatóságot terheli”.

27

Ami a GDPR 77. cikke (1) bekezdésének szövegét illeti, az úgy rendelkezik, hogy „[a]z egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet”.

28

A jelen ítélet 25–27. pontjában említett rendelkezések egyike sem határozza meg tehát kifejezetten a „kérelem” GDPR 57. cikkének (4) bekezdése értelmében vett fogalmát.

29

Ehhez kapcsolódóan meg kell jegyezni, hogy amint arra a főtanácsnok indítványának 23. pontjában rámutatott, a „kérelem” fogalma az általános nyelvhasználatban elfogadott szokásos jelentése szerint különösen tág, mivel potenciálisan magában foglal egy személy vagy szervezet által megfogalmazott bármely kérést.

30

Meg kell tehát állapítani, hogy a jelen ítélet 25–27. pontjában említett rendelkezések szövege alapján úgy lehet tekinteni, hogy a GDPR 77. cikkének (1) bekezdése alapján benyújtott panaszok az e rendelet 57. cikkének (4) bekezdése értelmében vett „kérelem” fogalma alá tartoznak.

31

Másodsorban, ezt a szövegelemzést e rendelkezések szövegkörnyezete is alátámasztja. Ezzel összefüggésben a GDPR 57. cikke leírja a felügyeleti hatóságok feladatait, és meghatározza, hogy milyen feltételek mellett kell ellátni ezeket a feladatokat. Így különösen ezen 57. cikk (1) bekezdésének a) pontja először is előírja, hogy minden hatóság nyomon követi és kikényszeríti e rendelet alkalmazását, másodszor az (1) bekezdésének e) pontja alapján kérelemre tájékoztatást ad bármely érintettnek az említett rendelet alapján őt megillető jogok gyakorlásával kapcsolatban, és e célból adott esetben együttműködik más tagállamok felügyeleti hatóságaival, harmadszor pedig a (2) bekezdése értelmében megkönnyíti az (1) bekezdés f) pontjában említett panaszok benyújtását például olyan intézkedésekkel, hogy elektronikus úton is kitölthető panasz benyújtására szolgáló formanyomtatványt hoz létre, nem zárva ki azonban más kommunikációs eszközök alkalmazását sem.

32

Ezen túlmenően a GDPR 57. cikkének (3) bekezdése rögzíti az elvet, miszerint a felügyeleti hatóság úgy látja el feladatait, hogy az az érintett és adott esetben az adatvédelmi tisztviselő számára térítésmentes legyen.

33

Következésképpen azzal, hogy e rendelet 57. cikkének (4) bekezdése lehetővé teszi a felügyeleti hatóságok számára, hogy egyértelműen megalapozatlan vagy túlzó kérelmek esetén észszerű, az adminisztratív költségeken alapuló díjat számíthatnak fel, vagy megtagadhatják, hogy eljárjanak a kérelemmel kapcsolatban, e rendelkezés az említett rendelet 57. cikkének (3) bekezdésében kimondott térítésmentesség elve alóli kivételt állapít meg, amelyet megszorítóan kell értelmezni.

34

Ily módon, amint arra lényegében a főtanácsnok indítványának 28–30. pontjában rámutatott, mivel a főszabály az, hogy a felügyeleti hatóságok kezelik a hozzájuk benyújtott kérelmeket, e hatóságok csak kivételes esetekben lehetnek feljogosítva arra, hogy a GDPR 57. cikkének (4) bekezdésében foglalt lehetőséggel éljenek.

35

Márpedig e rendelkezésekből nem lehet arra következtetni, hogy mivel a GDPR 57. cikkének (4) bekezdésében a „kérelem” fogalom szerepel, ezért e rendelkezés kizárólag az e rendelet 57. cikke (1) bekezdésének e) pontjában említett kérelmekre lenne alkalmazandó. Az említett rendelet 57. cikkének (3) bekezdését ugyanis a felügyeleti hatóságok valamennyi feladatára alkalmazni kell, ideértve az ugyanezen rendelet 57. cikke (1) bekezdésének f) pontjában foglalt panaszkezelést is.

36

Ebben az összefüggésben mivel a GDPR 57. cikkének (4) bekezdése a felügyeleti hatóságok által ellátott feladatok térítésmentességének elve alóli kivételt állapít meg, de azt nem korlátozza e felügyeleti hatóságok egyes konkrét feladataira, ezért e rendelkezést az e rendelet 57. cikke (1) bekezdésének f) pontjában foglalt panaszkezelésre is alkalmazni kell, annál is inkább, mivel ez utóbbi az említett felügyeleti hatóságok alapvető feladatának minősül. A felügyeleti hatóságnak az ilyen panaszt a kellő gondossággal kell kezelnie (2023. december 7‑iSCHUFA Holding [A fennálló tartozás elengedése] ítélet, C‑26/22 és C‑64/22, EU:C:2023:958, 56. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

37

Ezzel szemben az az értelmezés, amely szerint a GDPR 57. cikkének (4) bekezdésében említett „kérelem” fogalma csupán az e rendelet 57. cikke (1) bekezdése e) pontjának hatálya alá tartozó kérelmeket foglalja magában, az említett rendelet 57. cikke (1) bekezdésének f) pontjában és 77. cikke (1) bekezdésében említett panaszokat azonban nem, nagy részben megfosztaná az 57. cikk (1) bekezdésének e) pontját a hatékony érvényesülésétől, és ellentétes lenne az e rendelet által biztosított jogok hatékony védelmével (lásd ebben az értelemben: 2023. január 12‑iNemzeti Adatvédelmi és Információszabadság Hatóság ítélet, C‑132/21, EU:C:2023:2, 47. pont).

38

Harmadsorban, ez a kontextuális értelmezés megfelel a GDPR célkitűzéseinek. E tekintetben meg kell jegyezni, hogy e rendelet célja – amint az a (10) és (11) preambulumbekezdéséből kitűnik – az Unión belül a természetes személyek következetes és magas szintű védelmének biztosítása, valamint az érintettek jogainak megerősítése és pontosítása (2023. október 26‑iFT [Az egészségügyi dokumentáció másolatai] ítélet, C‑307/22, EU:C:2023:811, 47. pont).

39

Így a panaszeljárást olyan mechanizmusként alakították ki, amely alkalmas az érintett személyek jogainak és érdekeinek hatékony védelmére (2023. december 7‑iSCHUFA Holding [A fennálló tartozás elengedése] ítélet, C‑26/22 és C‑64/22, EU:C:2023:958, 58. pont, valamint az ott hivatkozott ítélkezési gyakorlat). E tekintetben mind a felügyeleti hatóságok panaszok benyújtásának megkönnyítésére vonatkozó kötelezettsége, mind az általuk ellátandó feladatok térítésmentességének elve, amelyekről a GDPR 57. cikkének (2) és (3) bekezdése rendelkezik, arra szolgál, hogy ezek alapján minden érintett követelhesse a felügyeleti hatóság előtt az e rendeletből eredő jogainak tiszteletben tartását.

40

Ebben az összefüggésben, amint arra a főtanácsnok indítványának 41. pontjában rámutatott, a természetes személyek Unión belüli következetes és magas szintű védelmének biztosítására irányuló célkitűzés megvalósításához biztosítani kell a felügyeleti hatóságok megfelelő működését annak elkerülése révén, hogy azt a GDPR 57. cikkének (4) bekezdése értelmében vett egyértelműen megalapozatlan vagy túlzó kérelmek benyújtása akadályozná. Ez a rendelkezés így biztosítja a felügyeleti hatóságok számára e panaszok jobb kezelésének lehetőségét, csökkentve azon terhet, amelyet e panaszok rájuk róhatnak. E tekintetben, amennyiben a felügyeleti hatóság egyértelműen megalapozatlan vagy túlzó panaszokkal szembesül, az észszerű díj felszámításának vagy az ilyen panaszokkal kapcsolatos eljárás megtagadásának lehetősége alkalmas a személyes adatok magas szintű védelmének biztosítására.

41

A fenti megfontolásokra tekintettel az első kérdésre azt a választ kell adni, hogy a GDPR 57. cikkének (4) bekezdését úgy kell értelmezni, hogy az e rendelkezésben szereplő „kérelem” fogalmába beletartoznak az e rendelet 57. cikke (1) bekezdésének f) pontjában és 77. cikkének (1) bekezdésében említett panaszok is.

42

Második kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 57. cikkének (4) bekezdését úgy kell‑e értelmezni, hogy önmagában az a körülmény, hogy nagyszámú kérelmet nyújtottak be, elegendő lehet ahhoz, hogy e kérelmek az e rendelkezés szerinti értelemben „túlzónak” minősüljenek, vagy az ilyen minősítés ezen túlmenően feltételezi az e kérelmeket benyújtó személy részéről fennálló, visszaélésre irányuló szándékot is.

43

Elsőként, mivel a GDPR nem határozza meg a „túlzó kérelmek” fogalmát, e tekintetben a jelen ítélet 24. pontjában felidézett ítélkezési gyakorlatra tekintettel e fogalomnak az általános nyelvhasználatban elfogadott szokásos jelentéséből érdemes kiindulni. Márpedig a „túlzó” jelző olyan dologra utal, amely meghaladja a szokásos vagy észszerű mértéket, vagy amely túllép a kívánatos vagy megengedett mértéken.

44

Másodsorban, a GDPR 57. cikke (4) bekezdésének szövegéből kitűnik, hogy a kérelmek többek között akkor lehetnek „túlzók”, ha ismétlődő jellegűek. Mindazonáltal e rendelkezés szó szerinti értelmezése nem teszi lehetővé annak megállapítását, hogy ez az ismétlődő jelleg, és következésképpen a benyújtott kérelmek száma elegendő‑e az ekként való minősítés igazolásához. Így ezen ítélkezési gyakorlatra tekintettel az említett rendelkezés tartalmát a szövegkörnyezetére és azon szabályozás célkitűzéseire tekintettel kell megvizsgálni, amelynek részét képezi.

45

A szövegkörnyezettel kapcsolatban először is emlékeztetni kell arra, hogy a GDPR 12. cikke meghatározza az átlátható tájékoztatás és kommunikáció tekintetében az adatkezelőt terhelő általános kötelezettségeket, és rögzíti az érintett jogainak gyakorlására vonatkozó intézkedéseket. E cikk (2) bekezdésének első mondata értelmében az adatkezelőnek elő kell segítenie az érintettnek az említett rendelet 15–22. cikke szerinti jogai gyakorlását.

46

Másodszor, a GDPR 15. cikke, amely a III. fejezet tájékoztatásról és a személyes adatokhoz való hozzáférésről szóló 2. szakaszában található, kiegészíti az e rendelet által kialakított átláthatósági szabályozást azzal, hogy az érintettnek biztosítja a személyes adataihoz való hozzáférés jogát és az ezen adatok kezelésével kapcsolatos tájékoztatáshoz való jogot.

47

A GDPR e 15. cikkét e rendelet (63) preambulumbekezdésének első mondatával összefüggésben kell értelmezni, amely szerint az érintett jogosult, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz, valamint arra, hogy egyszerűen és észszerű időközönként, az adatkezelés jogszerűségének megállapítása és ellenőrzése érdekében gyakorolja e jogát. E tekintetben ha e személy több, hozzáférés iránti kérelmet intézett egy vagy több adatkezelőhöz anélkül, hogy kielégítő választ kapott volna, akkor a felügyeleti hatósághoz benyújtott panaszok száma megegyezhet azzal, ahány alkalommal ezen adatkezelők elutasították az említett személy kérelmét. Ilyen körülmények között egy olyan abszolút, számszerűsített küszöb meghatározása, amely felett az említett panaszokat automatikusan túlzónak lehet minősíteni, sérthetné az említett rendeletben biztosított jogokat.

48

Ehhez kapcsolódóan, amint arra a jelen ítélet 33., 34. és 36. pontja rámutat, a GDPR 57. cikkének (4) bekezdésében foglalt lehetőség kivételt képez az e rendelet 57. cikkének (3) bekezdésében rögzített azon elv alól, hogy a felügyeleti hatóságok feladataikat térítésmentesen látják el, és ezért e lehetőséggel csak kivételesen lehet élni (lásd analógia útján: 2022. április 5‑iCommissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258 40. pont; 2022. november 8‑iDeutsche Umwelthilfe [Gépjárművek jóváhagyása] ítélet, C‑873/19, EU:C:2022:857, 87. pont, valamint az ott hivatkozott ítélkezési gyakorlat). Arra csak joggal való visszaélés esetén kerülhet sor (lásd analógia útján: 2023. október 26‑iFT [Az egészségügyi dokumentáció másolatai] ítélet, C‑307/22, EU:C:2023:811, 31. pont), és a benyújtott panaszok száma önmagában nem lehet elégséges szempont az ilyen visszaélés fennállásának megállapításához.

49

A GDPR 57. cikkének (4) bekezdése ugyanis tükrözi a Bíróság állandó ítélkezési gyakorlatát, amely szerint az uniós jogban létezik olyan általános jogelv, amelynek értelmében a jogalanyok nem hivatkozhatnak csalárd módon vagy visszaélésszerűen az uniós normákra (2023. december 21‑iBMW Bank és társai ítélet, C‑38/21, C‑47/21 és C‑232/21, EU:C:2023:1014, 281. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

50

Ebben az összefüggésben amennyiben az érintett felügyeleti hatóság a GDPR 57. cikkének (4) bekezdésében biztosított lehetőséggel kíván élni, az egyes esetek valamennyi releváns körülményére tekintettel meg kell állapítania a szóban forgó személy részéről fennálló, visszaélésre irányuló szándékot, azzal, hogy ehhez nem elegendő önmagában az érintett által benyújtott panaszok száma. Márpedig a visszaélésre irányuló szándék megállapítható, ha egy személy anélkül nyújt be panaszt, hogy ez objektíve szükséges lenne az őt e rendelet alapján megillető jogok védelméhez.

51

E tekintetben emlékeztetni kell arra is, hogy a GDPR 52. cikkének (4) bekezdése értelmében a tagállamok kötelesek biztosítani, hogy mindegyik felügyeleti hatóság rendelkezésére álljanak a feladataik és hatásköreik eredményes ellátásához, illetve gyakorlásához szükséges emberi, műszaki és pénzügyi források, helyiségek és infrastruktúra. Ebből következően ezeket az erőforrásokat hozzá kell igazítani ahhoz, hogy az érintettek milyen mértékben élnek a felügyeleti hatóságok előtti panasztételi jogukkal.

52

Így a tagállamok feladata, hogy biztosítsák, hogy a felügyeleti hatóságok rendelkezzenek a hozzájuk benyújtott valamennyi panasz kezeléséhez szükséges megfelelő erőforrásokkal, adott esetben növelve ezen erőforrásokat azért, hogy azokat hozzáigazítsák ahhoz, hogy az érintettek milyen mértékben gyakorolják a GDPR 77. cikkének (1) bekezdésén alapuló panasztételi jogukat. Következésképpen a panasszal kapcsolatos eljárás e rendelet 57. cikkének (4) bekezdésén alapuló megtagadása céljából a felügyeleti hatóság nem hivatkozhat arra, hogy az összes érintett által átlagosan benyújtott panasznál érzékelhetően több panaszt benyújtó személy – a más személyek által benyújtott egyéb panaszok kezelésének rovására – jelentős mértékben igénybe veszi e hatóság erőforrásait.

53

Továbbá, amint arra a főtanácsnok indítványának 76. pontjában rámutatott, a GDPR 77. cikkének (1) bekezdése alapján benyújtott panaszok fontos szerepet játszanak abban, hogy a felügyeleti hatóságok tudomást szerezhessenek az e rendelet által védett jogok megsértéséről. Ezek a panaszok ezért fontos szerepet játszanak a személyek Unión belüli következetes és magas szintű védelmének biztosításában, valamint e személyek jogainak megszilárdításában és konkretizálásában, az említett rendelet (10) és (11) preambulumbekezdésében foglaltak szerint.

54

Következésképpen annak lehetővé tétele, hogy a felügyeleti hatóságok pusztán a panaszok jelentős számára tekintettel megállapítsák e panaszok túlzó jellegét, alkalmas arra, hogy veszélyeztesse e célkitűzés elérését. A panaszok jelentős száma ugyanis közvetlenül következhet abból, hogy egy vagy több adatkezelő az esetek nagy számában nem válaszol valamely személy által a jogai védelme érdekében benyújtott hozzáférési kérelmekre, vagy megtagadja azok teljesítését.

55

Ebből a szempontból a panaszok számának önmagában történő figyelembevétele az érintettet a GDPR alapján megillető jogok önkényes megsértéséhez vezethet, így az e rendelet 57. cikkének (4) bekezdése értelmében vett túlzó kérelmek fennállásának megállapítását attól a feltételtől kell függővé tenni, hogy kimutatható‑e visszaélésre irányuló szándék az ilyen panaszt benyújtó személy részéről.

56

Az egyes esetek sajátos körülményei alapján tehát a jelentős számú panasszal szembesülő felügyeleti hatóságnak kell bizonyítania, hogy e jelentős számot nem az érintettnek a GDPR alapján őt megillető jogok védelmére irányuló szándéka, hanem az e védelemhez nem kapcsolódó más cél magyarázza. Ez a helyzet különösen akkor, ha e körülmények azt jelzik, hogy a panaszok száma a hatóság erőforrásainak visszaélésszerű igénybevétele révén e hatóság megfelelő működésének akadályozására irányul.

57

Ebben a tekintetben egy adott személy által benyújtott panaszok megsokszorozódása a túlzó kérelmek jele lehet, amennyiben egyértelmű, hogy ezeket a panaszokat objektíve nem indokolják az e személyt a GDPR alapján megillető jogok védelmével kapcsolatos megfontolások. Erről lehet szó például, ha egy személy olyan nagyszámú panaszt nyújt be a felügyeleti hatósághoz a vele nem feltétlenül kapcsolatban álló számos adatkezelő vonatkozásában, hogy panasztételi jogának mértéktelen gyakorlása – más tényezőkkel, például e panaszok tartalmával együttesen – nyilvánvalóvá teszi az érintett arra irányuló szándékát, hogy a kérelmekkel való túlterheléssel megbénítsa e hatóság működését.

58

A jelen ügyben a kérdést előterjesztő bíróság feladata annak vizsgálata, hogy a DSB bizonyította‑e az érintett részéről fennálló, visszaélésre irányuló szándékot, azonban e személy panaszainak száma önmagában nem igazolhatja a GDPR 57. cikkének (4) bekezdésében foglalt lehetőség alkalmazását.

59

A fenti megfontolásokra tekintettel a második kérdésre azt a választ kell adni, hogy a GDPR 57. cikkének (4) bekezdését úgy kell értelmezni, hogy a kérelmek nem minősülhetnek kizárólag egy adott időszakon belüli számuk alapján az e rendelkezés szerinti értelemben „túlzónak”, mivel az említett rendelkezésben foglalt lehetőség alkalmazásának feltétele, hogy a felügyeleti hatóság kimutassa az e kérelmeket benyújtó személy részéről fennálló, visszaélésre irányuló szándékot.

60

Harmadik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 57. cikkének (4) bekezdését úgy kell‑e értelmezni, hogy amikor a felügyeleti hatóság túlzó kérelmekkel szembesül, szabadon választhat az adminisztratív költségeken alapuló észszerű díj felszámítása vagy az e kérelmekkel kapcsolatos eljárás megtagadása között.

61

Ami először is a GDPR 57. cikke (4) bekezdésének szövegét illeti, meg kell állapítani, hogy a túlzó kérelmek esetére e rendelkezésben előírt két lehetőség, nevezetesen az adminisztratív költségeken alapuló észszerű díj felszámítása vagy a kérelemmel kapcsolatos eljárás megtagadása egymás után szerepel a felsorolásban, és azokat a „vagy” kötőszó választja el egymástól, de a megfogalmazásból nem lehet az e lehetőségek közötti bármifajta elsőbbségi sorrendre következtetni (lásd analógia útján: 2023. január 12‑iÖsterreichische Post [A személyes adatok címzettjeire vonatkozó információk] ítélet, C‑154/21, EU:C:2023:3, 31. pont).

62

Úgy tűnik tehát, hogy e rendelkezés szövege azon értelmezés mellett szól, amely szerint e hatóság, miután megállapította a hozzá benyújtott kérelmek túlzó jellegét, szabadon választhatja az említett lehetőségek bármelyikét.

63

Másodszor, a GDPR 57. cikke (4) bekezdésének szövegkörnyezetét illetően emlékeztetni kell arra, hogy e rendelet (59) preambulumbekezdése kimondja, hogy „[a]z érintettek e rendeletben biztosított jogainak gyakorlását megkönnyítő intézkedéseket kell biztosítani, ideértve olyan mechanizmusok biztosítását, amely által többek között az érintettnek lehetősége van díjmentesen kérelmezni, illetve adott esetben megkapni különösen a személyes adatokhoz való hozzáférést, azok helyesbítését és törlését, valamint gyakorolja a tiltakozáshoz való jogát”. Ebből tehát az következik, hogy akkor lehet a két lehetőség egyike mellett dönteni, ha a panasztételi jog tényleges gyakorlása egyértelműen biztosított.

64

Harmadszor, a jelen ítélet 62. pontjában kifejtett értelmezés megfelel a GDPR célkitűzéseinek.

65

E tekintetben emlékeztetni kell arra, hogy e rendelet célja – amint az a (10) és (11) preambulumbekezdéséből kitűnik – az Unión belül a természetes személyek következetes és magas szintű védelmének biztosítása, valamint az érintettek jogainak megerősítése és pontosítása (2023. október 26‑iFT [Az egészségügyi dokumentáció másolatai] ítélet, C‑307/22, EU:C:2023:811, 47. pont).

66

Ezenkívül az említett rendelet (129) preambulumbekezdéséből az következik, hogy a felügyeleti hatóság köteles pártatlanul és tisztességesen értékelni az ilyen kérelem egyértelműen megalapozatlan vagy túlzó jellegét, továbbá ügyelnie kell arra, hogy az általa választott intézkedés megfelelő, szükséges és arányos legyen, figyelembe véve a releváns körülményeket, és kerülve az érintett személynek okozott felesleges költségeket és túlzott kényelmetlenséget.

67

Ebből következően a panasztételhez való jognak a személyes adatok magas szintű védelmének biztosítására irányuló célkitűzés szempontjából betöltött fontos szerepére, az ilyen panaszok kezelésének a felügyeleti hatóságok feladatai között elfoglalt jelentős helyére, valamint e hatóságoknak az ilyen panaszok kellő gondossággal való kezelésére irányuló kötelezettségére tekintettel az említett hatóságoknak valamennyi releváns körülményt figyelembe kell venniük, és gondoskodniuk kell arról, hogy a választott lehetőség megfelelő, szükséges és arányos legyen.

68

E tekintetben a felügyeleti hatóság a releváns körülmények függvényében és a megfelelő működésének negatív irányú befolyásolására alkalmas visszaélésszerű gyakorlat megszüntetése érdekében lehet, hogy azt tartja megfelelőnek, hogy a túlzó kérelmek okozta többletmunkával járó adminisztratív költségeken alapuló észszerű díjat számítson fel. E lehetőség elrettentő funkciója folytán ugyanis e hatóság esetleg ezt a lehetőséget részesítheti előnyben ahelyett, hogy eleve megtagadná az e panaszokkal kapcsolatos eljárást.

69

Így a GDPR (129) preambulumbekezdésére tekintettel a felügyeleti hatóságok mérlegelhetik, hogy első lépésként az adminisztratív költségeken alapuló észszerű díjat számítanak fel, mielőtt második lépésként megtagadnák a panaszokkal kapcsolatos eljárást, amennyiben az első intézkedés kevésbé sérti az érintettek e rendeletből eredő jogait, mint a második intézkedés. Mindemellett az említett rendelet 57. cikkének (4) bekezdése nem ír elő olyan kötelezettséget a felügyeleti hatóság számára, hogy először minden esetben az észszerű díj felszámításának lehetőségéhez kell folyamodnia.

70

A fenti megfontolásokra tekintettel a harmadik kérdésre azt a választ kell adni, hogy a GDPR 57. cikkének (4) bekezdését úgy kell értelmezni, hogy amikor a felügyeleti hatóság túlzó kérelmekkel szembesül, az összes releváns körülmény figyelembevételével és a választott lehetőség megfelelő, szükséges és arányos jellegének biztosítása mellett indokolással ellátott határozat útján választhat az adminisztratív költségeken alapuló észszerű díj felszámítása vagy az e kérelmekkel kapcsolatos eljárás megtagadása között.

71

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (első tanács) a következőképpen határozott: