–

a Brillen Rottler GmbH & Co. KG képviseletében J. Tröber Rechtsanwalt,

–

TC képviseletében P. Brandt Rechtsanwalt,

–

az Európai Bizottság képviseletében A. Bouchagiar, M. Heller és H. Kranenborg, meghatalmazotti minőségben,

1

Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 1. o.; a továbbiakban: GDPR) 4. cikke 2. pontjának, 12. cikke (5) bekezdésének, valamint 82. cikke (1) bekezdésének értelmezésére vonatkozik.

2

E kérelmet a Brillen Rottler GmbH & Co. KG családi optikai vállalkozás és TC mint magánszemély között annak tárgyában folyamatban lévő jogvita keretében terjesztették elő, hogy e vállalkozás megtagadta a TC által a GDPR 15. cikke alapján benyújtott, a személyes adataihoz való hozzáférés iránti kérelem teljesítését.

3

A GDPR (4), (10), (11), (63), (85), (141) és (146) preambulumbekezdése a következőket mondja ki:

[…]

[…]

[…]

[…]

4

E rendelet „Fogalommeghatározások” című 4. cikke értelmében:

„E rendelet alkalmazásában:

[…]

[…]”

5

Az említett rendelet „Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések” című 12. cikke az (1), (2) és (5) bekezdésében a következőket írja elő:

„(1)   Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást nyújtsa […].

(2)   Az adatkezelő elősegíti az érintett 15–22. cikk szerinti jogainak a gyakorlását. […]

[…]

(5)   A 13. és 14. cikk szerinti információkat és a 15–22. és 34. cikk szerinti tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:

A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása az adatkezelőt terheli.”

6

Ugyanezen rendeletnek „Az érintett hozzáférési joga” című 15. cikke az (1) bekezdésében a következőképpen rendelkezik:

„Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‑e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

[…]”

7

A GDPR „Közös adatkezelők” című 26. cikke, az (1) bekezdésében, a következőképpen rendelkezik:

„Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. […]”

8

E rendeletnek „Az adatkezelési tevékenységek nyilvántartása” című 30. cikke, az (1) bekezdésében, előírja:

„Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. […]”

9

E rendelet „Feladatok” című 57. cikke az (1) és (4) bekezdésében a következőképpen rendelkezik:

„(1)   Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, a felügyeleti hatóság a saját területén ellátja a következő feladatokat:

[…]

[…]

(4)   Ha a kérelmek egyértelműen megalapozatlanok vagy – különösen ismétlődő jellegük miatt – túlzók, a felügyeleti hatóság észszerű, az adminisztratív költségeken alapuló díjat számíthat fel, vagy megtagadhatja, hogy eljárjon a kérelemmel kapcsolatban. Annak bizonyítása, hogy a kérelem egyértelműen megalapozatlan vagy túlzó, a felügyeleti hatóságot terheli.”

10

Ugyanezen rendeletnek „Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog” című 79. cikke az (1) bekezdésében a következőképpen rendelkezik:

„A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.”

11

A GDPR‑nak „A kártérítéshez való jog és a felelősség” című 82. cikke az (1), (2) és (4) bekezdésében előírja:

„(1)   Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

(2)   Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. […]

[…]

(4)   Ha több adatkezelő vagy több adatfeldolgozó vagy mind az adatkezelő mind az adatfeldolgozó érintett ugyanabban az adatkezelésben, és – a (2) és (3) bekezdés alapján – felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó az érintett tényleges kártérítésének biztosítása érdekében egyetemleges felelősséggel tartozik a teljes kárért.”

12

2023 márciusában TC, aki Ausztriában lakóhellyel rendelkező természetes személy, feliratkozott a Brillen Rottler, egy Arnsbergben (Németország) működő családi optikai vállalkozás hírlevelére, az e vállalkozás internetes oldalán található regisztrációs űrlapon megadva a személyes adatait, és hozzájárulva ezen adatok kezeléséhez. Tizenhárom nappal később TC a GDPR 15. cikke alapján hozzáférés iránti kérelmet nyújtott be a Brillen Rottlerhez.

13

A Brillen Rottler – a jogszabályban előírt egy hónapos határidőn belül – elutasította a hozzáférés iránti kérelmet, mivel úgy ítélte meg, hogy az a GDPR 12. cikke (5) bekezdése első albekezdésének második mondata értelmében visszaélésszerű. Felszólította TC‑t, hogy véglegesen mondjon le a kérelméről.

14

Mivel ez utóbbi fenntartotta a hozzáférés iránti kérelmét, és a GDPR 82. cikke alapján 1000 euró összegű kártérítés iránti kérelmet nyújtott be, a Brillen Rottler a kérdést előterjesztő Amtsgericht Arnsberghez (arnsbergi helyi bíróság, Németország) fordult annak megállapítása iránt, hogy TC nem jogosult kártérítésre.

15

Kérelmének alátámasztásaként a Brillen Rottler arra hivatkozik, hogy különböző híradásokból, blogokból és ügyvédi folyóiratokból kitűnik, hogy TC szisztematikusan és visszaélésszerűen nyújt be kérelmet a személyes adataihoz való hozzáférés iránt, kizárólag abból a célból, hogy kártérítést követeljen a GDPR‑ból eredő jogainak állítólagos megsértése miatt, amely jogsértéseket szándékosan ő provokálja. TC modus operandija abból áll, hogy először feliratkozik egy hírlevélre, majd hozzáférés iránti kérelmet nyújt be, végül pedig kártérítés iránti keresetet indít.

16

TC a kérdést előterjesztő bíróság előtti eljárásban azt állította, hogy az általa a Brillen Rottlerhez benyújtott hozzáférés iránti kérelem jogszerű, hogy az a GDPR 15. cikke által számára biztosított hozzáférési jog kifejeződése, és hogy e társaság jogellenesen akarja korlátozni az e rendelet által számára biztosított jogokat. Viszontkeresetében azt kéri, hogy a Törvényszék kötelezze a Brillen Rottlert arra, hogy fizessen meg számára legalább 1000 euró kártérítést az amiatt elszenvedett nem vagyoni kára megtérítéseként, hogy e társaság megtagadta tőle a személyes adataihoz való hozzáférést.

17

A kérdést előterjesztő bíróság először is arra keresi a választ, hogy az érintett által benyújtott első hozzáférés iránti kérelem a GDPR 12. cikkének (5) bekezdése értelmében vett „túlzó kérelemnek” tekinthető‑e, és így joggal való visszaélésnek minősülhet‑e, és melyek azok a körülmények, amelyek lehetővé teszik az ilyen túlzó jelleg megállapítását. A kérdést előterjesztő bíróság különösen arra keresi a választ, hogy a hozzáférés iránti kérelem e rendelkezés alapján történő elutasításakor az adatkezelő támaszkodhat‑e olyan nyilvános információkra, amelyek azt mutatják, hogy ugyanezen személy számos hozzáférési és kártérítési kérelmet nyújtott be más adatkezelőkhöz.

18

A GDPR értelmezésétől függ továbbá, hogy az érintettnek az adatkezelőhöz intézett, a GDPR 15. cikkének (1) bekezdése alapján benyújtott hozzáférés iránti kérelme és/vagy az erre a kérelemre adott válasz a GDPR 4. cikkének 2. pontja szerinti adatkezelésnek minősül‑e.

19

Harmadszor, az említett bíróságnak kétségei vannak a GDPR 82. cikkének (1) bekezdése alapján megtérítendő károk meghatározására vonatkozó kritériumokat, és különösen azt illetően, hogy e cikk adatkezelés hiányában is biztosít‑e ilyen jogot, pusztán az e rendelet 15. cikkének (1) bekezdésében előírt hozzáférési jog megsértése alapján.

20

E körülmények között az Amtsgericht Arnsberg (arnsbergi helyi bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

21

Első, második, harmadik és hetedik kérdésével, amelyeket célszerű együttesen és elsőként vizsgálni, az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 12. cikkének (5) bekezdését úgy kell‑e értelmezni, hogy az érintett által az e rendelet 15. cikke alapján az adatkezelőhöz benyújtott, a személyes adatokhoz való első hozzáférés iránti kérelem e 12. cikk (5) bekezdése értelmében „túlzónak” tekinthető‑e, és ha igen, melyek azok a körülmények, amelyek adott esetben lehetővé teszik az ilyen túlzó jelleg megállapítását.

22

E tekintetben a GDPR 15. cikkének (1) bekezdése biztosítja az érintett azon jogát, hogy az adatkezelőtől megerősítést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‑e vagy sem, és ha igen, akkor e személy ezen adatokhoz és az azokhoz kapcsolódó információkhoz való hozzáférésének jogát (lásd ebben az értelemben: 2023. október 26‑iFT [Az egészségügyi dokumentáció másolatai] ítélet, C‑307/22, EU:C:2023:811, 31. pont).

23

Ezenkívül a GDPR 12. cikkének (5) bekezdése rögzíti azt az elvet, amely szerint e hozzáférési jog gyakorlása semmilyen költséget nem vonhat maga után az érintettre nézve. Ugyanakkor ez utóbbi rendelkezés két olyan okot említ, amelyek miatt az adatkezelő az adminisztratív költségeket figyelembe vevő, méltányos összegű díjakat számíthat fel, vagy pedig elutasíthatja a kérés teljesítését. Ezen okok a joggal való visszaélés olyan eseteire vonatkoznak, amelyekben az érintett kérelmeit „nyilvánvalóan megalapozatlannak” vagy „túlzónak” kell tekinteni, többek között ismétlődő jellegük miatt (2023. október 26‑iFT [Az egészségügyi dokumentáció másolatai] ítélet, C‑307/22, EU:C:2023:811, 31. pont).

24

Ami először is azt a kérdést illeti, hogy az érintett által az adatkezelőhöz a GDPR 15. cikke alapján benyújtott első hozzáférés iránti kérelem „túlzónak” tekinthető‑e, meg kell állapítani, hogy mivel a „túlzó kérelmek” fogalmát e rendelet nem határozza meg, az állandó ítélkezési gyakorlatnak megfelelően annak értelmezéséhez figyelembe kell venni mind az említett rendelet 12. cikke (5) bekezdésénekkifejezéseit az általános nyelvhasználatban elfogadott szokásos jelentésük szerint, mind pedig e rendelkezés szövegkörnyezetét, és annak a szabályozásnak a célkitűzéseit, amelynek az részét képezi (lásd: 1983. november 17‑iMerck ítélet, 292/82, EU:C:1983:335, 12. pont; 2025. január 9‑iÖsterreichische Datenschutzbehörde [Túlzó kérelmek] ítélet, C‑416/23, EU:C:2025:3, 24. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

25

E tekintetben, ami e 12. cikk (5) bekezdésének szövegét, és különösen a „túlzó kérelmek” fogalmának az általános nyelvhasználatban elfogadott szokásos jelentését illeti, a „túlzó” melléknév olyan dologra utal, amely túlmutat a szokásos vagy észszerű intézkedésen, vagy meghaladja a kívánatos vagy megengedett mértéket (lásd ebben az értelemben: 2025. január 9‑iÖsterreichische Datenschutzbehörde [Túlzó kérelmek] ítélet, C‑416/23, EU:C:2025:3, 43. pont). Önmagában e melléknév használata, amely mind minőségi, mind mennyiségi jellemzőkre vonatkozik, nem zárja ki annak megállapíthatóságát, hogy akár már az első hozzáférés iránti kérelem is lehet túlzó mértékű.

26

Ezenfelül kétségtelen, hogy a GDPR 12. cikke (5) bekezdése első albekezdése második mondatából az derül ki, hogy a kérelmek „többek között” akkor lehetnek túlzóak, ha „ismétlődő jellegűek”. Ha valaki sokadszorra nyújt be kérelmeket, az valószínűsítő jele lehet annak, hogy azok túlzó jellegűek (lásd ebben az értelemben: 2025. január 9‑iÖsterreichische Datenschutzbehörde [Túlzó kérelmek] ítélet, C‑416/23, EU:C:2025:3, 57. pont). Ugyanakkor, amint azt a főtanácsnok az indítványának 28. pontjában lényegében hangsúlyozta, mivel az ismétlődő jelleget e rendelkezés csak példálódzó jelleggel említi, a hozzáférés iránti kérelem „túlzónak” való minősítése nem követeli meg, hogy e kérelem szükségszerűen az ugyanazon érintett által benyújtott több kérelem összefüggésébe illeszkedjen.

27

A GDPR 12. cikke (5) bekezdésének szó szerinti értelmezésére tekintettel tehát nem zárható ki, hogy az első hozzáférés iránti kérelmet e rendelkezés értelmében „túlzónak” lehessen tekinteni.

28

Ezt a megállapítást erősíti meg az a szövegkörnyezet, amelybe a GDPR 12. cikke (5) bekezdése első albekezdésének második mondata illeszkedik. E tekintetben először is emlékeztetni kell arra, hogy a GDPR 12. cikke, amely e rendelet III. fejezetében szerepel, határozza meg az átlátható tájékoztatás és kommunikáció tekintetében az adatkezelőt terhelő általános kötelezettségeket, és rögzíti az érintett jogainak gyakorlására vonatkozó intézkedéseket. Az említett 12. cikk (2) bekezdésének első mondata értelmében az adatkezelőnek elő kell segítenie az érintett számára többek között az említett rendelet 15. cikke alapján biztosított jogok gyakorlását, amely cikk kiegészíti az ugyanezen rendelet által létrehozott átláthatósági keretet azáltal, hogy biztosítja az érintett számára a személyes adataihoz való hozzáférés jogát (lásd ebben az értelemben: 2025. január 9‑iÖsterreichische Datenschutzbehörde [Túlzó kérelmek] ítélet, C‑416/23, EU:C:2025:3, 45. és 46. pont).

29

Következésképpen azzal, hogy e rendelet 12. cikkének (5) bekezdése lehetővé teszi az adatkezelők számára, hogy nyilvánvalóan megalapozatlan vagy túlzó kérelmek esetén észszerű, az adminisztratív költségeken alapuló díjat számítsanak fel, vagy megtagadják, hogy eljárjanak a kérelemmel kapcsolatban, e rendelkezés a többek között a hozzáféréshez való jog elősegítésére vonatkozó kötelezettség alóli kivételt állapít meg, amelyet megszorítóan kell értelmezni (lásd ebben az értelemben: 2025. január 9‑iÖsterreichische Datenschutzbehörde [Túlzó kérelmek] ítélet, C‑416/23, EU:C:2025:3, 33. pont).

30

Mindemellett a Bíróságnak a GDPR 57. cikkének (4) bekezdésében szereplő „túlzó kérelmek” fogalmának értelmezésére vonatkozó ítélkezési gyakorlatából, amely átültethető a jelen ügyre is, mivel e rendelkezés szövege lényegében megegyezik e rendelet 12. cikke (5) bekezdésének szövegével, és ugyanazt a célt követi, mint ez utóbbi cikk, kitűnik, hogy az az uniós jog általános elvének kifejeződése, amelynek értelmében a jogalanyok nem hivatkozhatnak csalárd módon vagy visszaélésszerűen az uniós jogi normákra (lásd ebben az értelemben: 2025. január 9‑iÖsterreichische Datenschutzbehörde [Túlzó kérelmek] ítélet, C‑416/23, EU:C:2025:3, 49. pont). Az uniós szabályozás alkalmazását ugyanis nem lehet oly módon kiterjeszteni, hogy az a visszaélésszerűen megvalósított műveletekre is kiterjedjen (lásd ebben az értelemben: 2024. szeptember 19‑iMatmut ítélet, C‑236/23, EU:C:2024:761, 52. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

31

Így az érintett által az adatkezelőhöz benyújtott hozzáférés iránti kérelmek száma önmagában nem határozza meg az adatkezelő azon jogát, hogy éljen a GDPR 12. cikkének (5) bekezdésében számára biztosított azon lehetőséggel, hogy ne adjon helyt a kérelemnek, így ezen adatkezelő már az első hozzáférés iránti kérelem esetén is igénybe veheti azt, ha az egyes esetek valamennyi releváns körülményére tekintettel bizonyítja, hogy e személy részéről visszaélésre irányuló szándék állt fenn (lásd ebben az értelemben: 2025. január 9‑iÖsterreichische Datenschutzbehörde [Túlzó kérelmek] ítélet, C‑416/23, EU:C:2025:3, 50. pont).

32

Ez a kontextuális értelmezés megfelel a GDPR által követett céloknak. E tekintetben meg kell jegyezni, hogy e rendelet célja – amint az a (10) és (11) preambulumbekezdéséből kitűnik – az Unión belül a természetes személyek következetes és magas szintű védelmének biztosítása, valamint az érintettek jogainak megerősítése és pontosítása. Így az adatkezelőnek az említett rendelet 12. cikkében előírt, többek között az ugyanezen rendelet 15. cikke szerinti közlésre vonatkozó kötelezettségei olyan mechanizmusnak minősülnek, amely alkalmas az érintettek jogainak és érdekeinek hatékony védelmére (lásd ebben az értelemben: 2025. január 9‑iÖsterreichische Datenschutzbehörde [Túlzó kérelmek] ítélet, C‑416/23, EU:C:2025:3, 38. és 39. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

33

Ugyanakkor, a GDPR (4) preambulumbekezdése kimondja, hogy a személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban, a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyensúlyban más alapvető jogokkal. Ezenkívül a Bíróság korábban már hangsúlyozta, hogy a különböző jogok és érdekek közötti megfelelő egyensúly megteremtését lehetővé tevő mechanizmusokat maga a GDPR határozza meg (2023. december 21‑iKrankenversicherung Nordrhein ítélet, C‑667/21, EU:C:2023:1022, C‑597/21, EU:C:2021:1022, 54. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

34

Ennélfogva e megfelelő egyensúly ezen kivétel révén történő megvalósításának, valamint hatékony érvényesülésének biztosítása érdekében a visszaélésszerű magatartás megállapítása szempontjából releváns kritérium a jelen ítélet 26. pontjának megfelelően a hozzáférés iránti kérelem minőségi szempontból értékelt túlzó jellege, amely nem függhet kizárólag az érintett által benyújtott hozzáférés iránti kérelmek számától, és így attól a ténytől, hogy ez utóbbitól származó első kérelemről van‑e szó.

35

Ebből következik, hogy az adatkezelőhöz a GDPR 15. cikke alapján benyújtott első hozzáférés iránti kérelem is lehet az e rendelet 12. cikkének (5) bekezdése értelmében véve „túlzónak” tekinthető. Mindemellett, mivel a „túlzó kérelmek” fogalmát megszorítóan kell értelmezni, amint az a jelen ítélet 29. pontjából kitűnik, az adatkezelő csak kivételesen hivatkozhat az ilyen túlzó jellegre, és amint arra a főtanácsnok az indítványának 34. pontjában rámutatott, az első hozzáférés iránti kérelem túlzónak minősítésére vonatkozó kritériumoknak magasaknak kell lenniük. Azt is hangsúlyozni kell, hogy a GDPR 12. cikke (5) bekezdésének második albekezdéséből kifejezetten kitűnik, hogy az adatkezelőnek kell bizonyítania e túlzó jelleget.

36

Másodszor, ami azokat a körülményeket illeti, amelyek között az érintett első hozzáférés iránti kérelme a GDPR 12. cikkének (5) bekezdése értelmében véve „túlzónak” minősíthető, és így a jelen ítélet 23. és 30. pontjában hivatkozott ítélkezési gyakorlat értelmében véve joggal való visszaélésnek minősülhet, meg kell állapítani, hogy a visszaélésszerű magatartás bizonyításához egyrészt olyan objektív körülmények összességére van szükség, amelyekből az következik, hogy az uniós szabályozás által előírt feltételek formális tiszteletben tartása ellenére az e szabályozás által követett cél nem valósult meg, másrészt pedig az érintett arra irányuló szándékában álló szubjektív elemre, hogy az uniós szabályozás alapján előnyt szerezzen azáltal, hogy mesterséges módon teremti meg az előny megszerzéséhez szükséges feltételeket. Az ilyen minősítéshez ezenkívül az adott ügy valamennyi tényének és körülményének figyelembevétele szükséges (lásd ebben az értelemben: 2023. december 21‑iBMW Bank és társai ítélet, C‑38/21, C‑47/21 és C‑232/21, EU:C:2023:1014, 285. és 286. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

37

Ami először is a visszaélésszerű magatartás objektív elemét illeti, meg kell állapítani, hogy a GDPR‑nak a (63) preambulumbekezdésével összefüggésben értelmezett 15. cikke arra irányul, hogy az érintett számára biztosítsa a rá vonatkozóan gyűjtött személyes adatokhoz való hozzáférés jogát, valamint e jog egyszerű és észszerű időközönként történő gyakorlását, többek között abból a célból, hogy tudomást szerezzen ezen adatok kezeléséről, és ellenőrizze annak jogszerűségét annak érdekében, hogy adott esetben gyakorolhassa a helyesbítéshez való jogát, a törléshez való jogát, az adatkezelés korlátozásához való jogát, valamint a tiltakozáshoz való jogát és elszenvedett kár esetén a jogorvoslathoz való jogát (lásd ebben az értelemben: 2023. január 12‑iÖsterreichische Post [A személyes adatok címzettjeire vonatkozó információk] ítélet, C‑154/21, EU:C:2023:3, 37. és 38. pont).

38

A jelen ügyben, amint az a Bíróság rendelkezésére álló ügyiratokból kitűnik, TC azt követően nyújtotta be az alapügy tárgyát képező hozzáférés iránti kérelmet, hogy feliratkozott a Brillen Rottler hírlevelére, és e feliratkozás során közölt ez utóbbival bizonyos személyes adatokat, így e hozzáférés iránti kérelem formálisan TC hozzáférési joga alkalmazásának minősülhet e szabályozás céljának elérése érdekében.

39

Ugyanakkor a jelen ítélet 36. pontjában hivatkozott ítélkezési gyakorlatra tekintettel a GDPR 15. cikke alkalmazási feltételeinek formális tiszteletben tartása önmagában nem teszi lehetővé a hozzáférés iránti kérelem „túlzó” jellegének, és ennélfogva a joggal való visszaélés esete fennállásának kizárását.

40

E tekintetben, másodszor, a visszaélésszerű magatartás szubjektív elemét illetően meg kell állapítani, hogy ahhoz, hogy a hozzáférés iránti kérelmet a GDPR 12. cikkének (5) bekezdése értelmében véve „túlzónak” lehessen minősíteni, az adatkezelőnek az egyes esetek valamennyi releváns körülményére tekintettel bizonyítania kell az érintett részéről fennálló visszaélésszerű szándék fennállását, amely szándék megállapítható, ha e személy e kérelmet az ezen adatok kezeléséről való tudomásszerzéstől és az adatkezelés jogszerűségének ellenőrzésétől eltérő célból nyújtja be, annak érdekében, hogy ezt követően érvényesíteni tudja az e rendeletből eredő jogainak védelmét (lásd ebben az értelemben: 2025. január 9‑iÖsterreichische Datenschutzbehörde [Túlzó kérelmek] ítélet, C‑416/23, EU:C:2025:3, 50. és 56. pont).

41

Így a jelen ügyben, figyelembe véve többek között azt, ami a jelen ítélet 35. pontjából kitűnik, az adatkezelőnek kell egyértelműen bizonyítania, hogy az érintett nem azért nyújtott be hozzáférés iránti kérelmet a GDPR 15. cikke alapján, hogy tudomást szerezzen ezen adatkezelésről, hanem azért, hogy mesterségesen megteremtse az említett adatkezelő részéről történő kártérítéshez szükséges feltételeket.

42

E tekintetben figyelembe kell venni az ügy valamennyi körülményét, többek között azt, hogy az érintett anélkül szolgáltatott személyes adatokat, hogy arra bárki kötelezte volna, ezen adatok szolgáltatásának célját, az e között és a hozzáférés iránti kérelem között eltelt időt, valamint e személy magatartását.

43

Az eléje terjesztett jogvita összefüggésében a kérdést előterjesztő bíróság arra keresi a választ, hogy a joggal való visszaélés fennállásának értékelése céljából figyelembe lehet‑e venni azokat a nyilvános információkat, amelyek arra utalnak, hogy TC rendszeresen nyújtott be a személyes adataihoz való hozzáférés iránti kérelmeket és kártérítési kérelmeket a különböző adatkezelőkhöz a jelen ügyben szereplőhöz hasonló eljárási mód szerint. E tekintetben meg kell állapítani, hogy e körülmény kétségkívül figyelembe vehető az érintett visszaélésszerű szándékainak megállapítása érdekében, amennyiben azt más releváns tényezők is megerősítik.

44

Így a jelen ügyben a kérdést előterjesztő bíróság feladata annak vizsgálata, hogy a Brillen Rottler az összes releváns körülményre tekintettel bizonyította‑e a TC részéről fennálló visszaélésszerű szándékot az érintett hozzáférés iránti kérelem benyújtását illetően.

45

A fenti megfontolásokra tekintettel az első, a második, a harmadik és a hetedik kérdésre azt a választ kell adni, hogy a GDPR 12. cikkének (5) bekezdését úgy kell értelmezni, hogy az érintett által az e rendelet 15. cikke alapján az adatkezelőhöz benyújtott, személyes adatokhoz való hozzáférés iránti első kérelem e 12. cikk (5) bekezdése értelmében véve „túlzónak” tekinthető, ha ezen adatkezelő az ügy valamennyi releváns körülményére tekintettel bizonyítja, hogy az e rendelkezésekben előírt feltételek formális tiszteletben tartása ellenére e kérelmet az érintett nem azért nyújtotta be, hogy tudomást szerezzen ezen adatok kezeléséről, és ellenőrizze azok jogszerűségét annak érdekében, hogy ezt követően az említett rendeletből eredő jogai védelemben részesülhessenek, hanem olyan visszaélésszerű szándékkal, mint az ugyanezen rendeletből eredő előny megszerzéséhez szükséges feltételek mesterséges megteremtése. Az a tény, hogy a nyilvánosan hozzáférhető információk szerint az érintett számos kérelmet nyújtott már be különböző adatkezelőkhöz a személyes adataihoz való hozzáférés iránt, amelyeket kártérítési kérelmek követtek, figyelembe vehető az ilyen visszaélésszerű szándék fennállásának megállapítása érdekében.

46

Ötödik és hatodik kérdésével, amelyeket célszerű együttesen, másodikként vizsgálni, az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy az az érintett számára biztosítja az e rendelet 15. cikkének (1) bekezdésében említett hozzáférési jog megsértéséből eredő kár megtérítéséhez való jogot.

47

Amint arra a jelen ítélet 24. pontja emlékeztet, az állandó ítélkezési gyakorlatnak megfelelően valamely uniós jogi rendelkezés értelmezéséhez nemcsak annak szó szerinti szövegét, hanem kontextusát és az általa követett célokat is figyelembe kell venni.

48

A GDPR 82. cikkének (1) bekezdésének szövegéből az következik, hogy minden olyan személy, aki „[e] rendelet megsértésének eredményeként” vagyoni vagy nem vagyoni kárt szenved, az elszenvedett kárért az adatkezelőtől kártérítésre jogosult. Meg kell állapítani, hogy e rendelkezés semmilyen utalást nem tartalmaz az „adatkezelésre”, így e kártérítéshez való jog nem korlátozható kizárólag a személyes adatok kezeléséből eredő károkra.

49

Ezt a megállapítást erősíti meg, először is, az említett rendelkezésnek a GDPR (141) preambulumbekezdésével összefüggésben értelmezett kontextuális elemzése, amely rendelkezés előírja, hogy minden érintett számára biztosítani kell a Charta 47. cikke szerinti hatékony bírósági jogorvoslathoz való jogot, „ha úgy ítéli meg, hogy az [említett] rendelet értelmében őt megillető jogokat megsértették”. A GDPR 82. cikkének (1) bekezdése ugyanis e rendelet VIII. fejezetében szerepel, amely az e jogok védelmét lehetővé tevő jogorvoslati lehetőségeket, felelősségi szabályokat és szankciókat szabályozza. Márpedig e jogok magukban foglalják mind az érintettnek az említett rendelet 12. cikkében előírt tájékoztatáshoz való jogát, mind pedig az ugyanezen rendelet 15. cikkének (1) bekezdése szerinti hozzáférési jogát, így azokat ez utóbbi rendelet 82. cikkének kell védenie, amelyet tehát úgy kell értelmezni, hogy az az e 12. cikk és az e 15. cikk megsértésén alapuló károkra egyaránt alkalmazandó.

50

Ezt az értelmezést nem kérdőjelezheti meg az a tény, hogy egyrészt a GDPR (146) preambulumbekezdéséből az derül ki, hogy az adatkezelőnek meg kell térítenie minden olyan kárt, amelyet valamely személy az e rendeletet sértő „adatkezelés következtében” szenvedhet el, másrészt pedig, hogy az említett rendelet 82. cikkének (2) és (4) bekezdése említi az „adatkezelés által okozott kárt”.

51

Amint ugyanis arra a Bizottság az írásbeli észrevételeiben lényegében hivatkozik, a GDPR III. fejezetének rendelkezéseiben előírt jogok, különösen az adatokhoz való hozzáféréshez és a helyesbítéshez való jog, valamint a törléshez, az adatkezelés korlátozásához és a hordozhatósághoz való jog megsértése esetén az állítólagos jogsértés nem magából a személyes adatok tényleges kezeléséből, hanem inkább az érintett e jogok gyakorlásával kapcsolatos kérelme teljesítésének megtagadásából következhet. Ennélfogva a GDPR 82. cikkének (1) bekezdése szerinti kártérítéshez való jognak magának az adatoknak a kezelésből eredő károk meglététől való függővé tétele azzal a hatással járna, hogy az ilyen eseteket kizárná e rendelkezés hatálya alól, és így sértené annak hatékony érvényesülését.

52

Egyébiránt a Bíróság már megállapította, hogy a GDPR 26. és 30. cikkének az adatkezelő általi megsértése, amelyek közül az első az adatkezelők szerepét, valamint az érintettekkel szembeni kapcsolataikat meghatározó megállapodás megkötésére, a második pedig az adatkezelési tevékenységek nyilvántartásának vezetésére vonatkozik, nem minősül „jogellenes adatkezelésnek”, amely jogot biztosítana az érintett számára az adatkezelés megszüntetéséhez vagy korlátozásához. Az ilyen jogsértést tehát a GDPR‑ban előírt egyéb intézkedések alkalmazásával kell orvosolni, többek között az adatkezelő által esetlegesen okozott kár megtérítésével e rendelet 82. cikke alapján (lásd ebben az értelemben: 2023. május 4‑iBundesrepublik Deutschland [Elektronikus igazságügyi fiók] ítélet, C‑60/22, EU:C:2023:373, 66. és 67. pont).

53

A jelen ítélet 48. pontjában szereplő megállapítást másodszor a GDPR 82. cikke (1) bekezdésének teleologikus értelmezése is megerősíti, mivel e cikk célja e rendelet célkitűzései végrehajtásának biztosítása, köztük különösen az említett rendelet (11) preambulumbekezdésében kimondott, az érintettek jogainak, valamint a személyes adatok kezelését végző és meghatározó személyek kötelezettségeinek megerősítésére irányuló célkitűzés. Márpedig, amint arra a főtanácsnok az indítványának 72. pontjában lényegében rámutatott, e jogok, amelyek között éppen a kérdést előterjesztő bíróság által hivatkozott hozzáférési jog is szerepel, jelentősen gyengülnének, ha e 82. cikk (1) bekezdését úgy kellene értelmezni, hogy az kizárólag az adatkezeléssel járó jogellenes cselekményekből eredő károkra korlátozódik.

54

Ebből következik, hogy az érintett még a GDPR olyan megsértése esetén is hivatkozhat az e rendelet 82. cikkében előírt kártérítéshez való jogra, amely önmagában nem jár adatkezeléssel.

55

A fentiekre tekintettel az ötödik és a hatodik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy az az érintett számára az e rendelet 15. cikkének (1) bekezdésében biztosított hozzáférési jog megsértéséből eredő kár megtérítéséhez való jogot biztosít.

56

Az előzetes döntéshozatalra előterjesztett ötödik és hatodik kérdésre adott válaszra tekintettel a negyedik kérdésre nem szükséges válaszolni.

57

Nyolcadik kérdésével, amelyet harmadikként, utoljára célszerű megvizsgálni, az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy az érintett által elszenvedett nem vagyoni kár magában foglalja a személyes adatai feletti ellenőrzés elvesztését vagy az azzal kapcsolatos bizonytalanságát, hogy ezen adatokat kezelték‑e.

58

Mivel a GDPR nem utal a tagállamok jogára az említett rendelkezésben szereplő kifejezések jelentését és hatályát illetően, különösen ami a „vagyoni vagy a nem vagyoni kár” és a „kártérítés” fogalmát illeti, e kifejezéseket e rendelet alkalmazásában az uniós jog önálló fogalmainak kell tekinteni, amelyeket az összes tagállamban egységesen kell értelmezni (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 30. pont; 2025. szeptember 4‑iQuirin Privatbank ítélet, C‑655/23, EU:C:2025:655, 55. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

59

E tekintetben emlékeztetni kell arra, hogy nem tekinthető úgy, hogy a GDPR rendelkezéseinek bármely „megsértése” önmagában kártérítéshez való jogot keletkeztetne az érintett javára. A GDPR 82. cikkének (1) bekezdése értelmében „[m]inden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult”. Ebből világosan kiderül, hogy a „kár” vagy az „elszenvedett kár” megléte az említett rendelkezésben említett kártérítéshez való jog egyik feltételét képezi, akárcsak a GDPR megsértésének fennállása, valamint az e kár és az e jogsértés közötti okozati kapcsolat megléte, mivel e három feltétel együttes feltétel (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 31–33. pont; 2025. szeptember 4‑iQuirin Privatbank ítélet, C‑655/23, EU:C:2025:655, 56. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

60

Így az e rendelkezés alapján a nem vagyoni kár vagy sérelem megtérítését kérő személy nemcsak a GDPR rendelkezéseinek megsértését köteles bizonyítani, hanem azt is, hogy e jogsértés ilyen kárt vagy sérelmet okozott neki. Az ilyen kár vagy sérelem tehát csak az említett jogsértés bekövetkezése alapján vélelmezhető (2024. október 4‑iAgentsia po vpisvaniyata ítélet, C‑200/23, EU:C:2024:827, 141. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

61

Mindazonáltal a Bíróság korábban már megállapította, hogy az érintettek által esetlegesen elszenvedett „károknak” vagy „sérelmeknek” a GDPR (85) preambulumbekezdésének első mondatában szereplő, példálózó felsorolásából kitűnik, hogy az uniós jogalkotó az érintetteket esetlegesen ért „kár” vagy „sérelem” fogalmába bele kívánta foglalni többek között a saját személyes adataik feletti „ellenőrzésnek” az e rendelet megsértése miatti egyszerű „elvesztését” is, még akkor is, ha a szóban forgó adatokkal való visszaélésre ténylegesen nem került sor (2024. október 4‑iAgentsia po vpisvaniyata ítélet, C‑200/23, EU:C:2024:827, 145. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

62

A Bíróság azt is megállapította, hogy a „nem vagyoni kár” fogalma nem korlátozható kizárólag bizonyos súlyosságú károkra. Közelebbről, valamely nemzeti szabályozás vagy nemzeti gyakorlat nem állapíthat meg jogszerűen az e rendelet megsértésével okozott nem vagyoni kár minősítése céljából „de minimis küszöbértéket”. Ugyanakkor az érintettnek bizonyítania kell egyrészt, hogy ténylegesen ilyen – akár csekély mértékű – kárt szenvedett, másrészt pedig azt, hogy e jogsértés általa állítólagosan elszenvedett következményei az e rendelet rendelkezéseinek puszta megsértésétől eltérő kárnak minősülnek (lásd ebben az értelemben: 2023. december 14‑iGemeinde Ummendorf ítélet, C‑456/22, EU:C:2023:988, 22. és 23. pont).

63

Így az érintettnek a személyes adatai feletti ellenőrzés elvesztése miatti félelemre vonatkozó puszta állítása nem alapozhat meg a GDPR 82. cikkének (1) bekezdése szerinti kártérítést (lásd ebben az értelemben: 2024. június 20‑iPS [Téves cím] ítélet, C‑590/22, EU:C:2024:536, 33. és 35. pont). Ennélfogva, ha az e rendelkezés alapján kártérítést kérő személy az attól való félelmére hivatkozik, hogy a jövőben az e rendelet megsértése miatt személyes adatainak visszaélésszerű felhasználása következik be, az eljáró nemzeti bíróságnak meg kell vizsgálnia, hogy e félelem az ügy sajátos körülményei között és az érintett személyre tekintettel megalapozottnak tekinthető‑e (lásd ebben az értelemben: 2024. október 4‑iAgentsia po vpisvaniyata ítélet, C‑200/23, EU:C:2024:827, 143. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

64

A jelen ítélet 59–63. pontjában kifejtett megfontolások olyan helyzetben is alkalmazandók, amelyben az érintett úgy véli, hogy bizonytalanság áll fenn azzal kapcsolatban, hogy személyes adatait kezelték‑e.

65

Ahhoz, hogy a kérdést előterjesztő bíróság számára hasznos választ lehessen adni, arra is rá kell mutatni, hogy az állítólagos jogsértés és az állítólagos kár közötti okozati összefüggést megszakíthatja az érintett magatartása, mivel úgy tűnik, hogy e magatartás képezi a kár meghatározó okát. Az ilyen cselekmény többek között állhat a károsult döntéséből, feltéve azonban, hogy e döntés nem volt kötelező rá nézve (lásd analógia útján: 2025. december 18‑iWS és társai kontra Frontex [Közös visszaküldési művelet] ítélet, C‑679/23 P, EU:C:2025:976, 151. és 152. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

66

Ezenkívül a jelen ítélet 59. pontjában felidézett ítélkezési gyakorlatból kitűnik, hogy a GDPR állítólagos megsértése és az érintett által állítólagosan elszenvedett kár közötti okozati összefüggés fennállása az e rendelet 82. cikkének (1) bekezdése szerinti kártérítéshez való jog elengedhetetlen feltétele. Következésképpen az érintett e rendelkezés alapján nem részesülhet kártérítésben a személyes adatai feletti ellenőrzés elvesztése vagy az adatkezelés fennállásával kapcsolatos bizonytalansága miatt állítólagosan elszenvedett károkért, amennyiben az okozati összefüggés e károsult magatartása miatt szakad meg, mivel az ellenőrzés elvesztését vagy e bizonytalanságot az említett személy azon döntése okozta, hogy ezeket az adatokat az említett rendelkezés alkalmazásához szükséges feltételek mesterséges megteremtése céljából az adatkezelő rendelkezésére bocsátja.

67

A fenti megfontolásokra tekintettel a nyolcadik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy az érintett által elszenvedett nem vagyoni kár magában foglalja a személyes adatai feletti ellenőrzés elvesztését vagy az azzal kapcsolatos bizonytalanságát, hogy az adatait kezelték‑e, amennyiben bizonyítást nyer többek között, hogy e személyt ténylegesen ilyen kár érte, és nem a magatartása képezte e kár meghatározó okát.

68

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (negyedik tanács) a következőképpen határozott: