–

az ILVA A/S képviseletében D. B. Geary advokat,

–

az Európai Bizottság képviseletében A. Bouchagiar, H. Kranenborg és C. Vang, meghatalmazotti minőségben,

1

Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 4. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 83. cikke (4)–(6) bekezdésének értelmezésére vonatkozik.

2

E kérelmet az Anklagemyndigheden (ügyészség, Dánia) által az ILVA A/S ellen az e társaságot a GDPR alapján a korábbi ügyfelekre vonatkozó személyes adatok adatkezelőjekénti minőségében terhelő kötelezettségek állítólagos megsértése miatt indított büntetőeljárás keretében terjesztették elő.

3

A GDPR (150) és (151) preambulumbekezdésének szövege a következő:

4

A GDPR 5. cikke rögzíti a személyes adatok kezelésére vonatkozó elveket:

5

A GDPR 6. cikke meghatározza azon feltételeket, amelyek esetén a személyes adatok kezelése jogszerű.

6

A GDPR „Hatáskörök” című 58. cikke a (2) bekezdésében a következőképpen rendelkezik:

„A felügyeleti hatóság korrekciós hatáskörében eljárva:

[…]

[…]”

7

A GDPR „A közigazgatási bírságok kiszabására vonatkozó általános feltételek” című 83. cikkének (1), (2), (4)–(6) és (9) bekezdése kimondja:

„(1)   Valamennyi felügyeleti hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.

(2)   A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van‑e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:

[…]

(4)   Az alábbi rendelkezések megsértése – a (2) bekezdéssel összhangban – legfeljebb 10000000 [euró] összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%‑át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni:

[…]

(5)   Az alábbi rendelkezések megsértését – a (2) bekezdéssel összhangban – legfeljebb 20000000 [euró] összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%‑át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni:

[…]

(6)   A felügyeleti hatóság 58. cikk (2) bekezdése szerinti utasításának be nem tartása – az e cikk (2) bekezdésével összhangban – legfeljebb 20000000 [euró] összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%‑át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni.

[…]

(9)   Ha a tagállam jogrendszere nem rendelkezik közigazgatási bírságokról, e cikk oly módon alkalmazható, hogy a bírságot az illetékes felügyeleti hatóság kezdeményezésére az illetékes nemzeti bíróság rója ki e jogorvoslatok hatékonyságának és a felügyeleti hatóságok által kiszabott közigazgatási bírságokéval megegyező hatásának biztosítása mellett. A kiszabott bírságoknak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. E tagállamok az e bekezdésnek megfelelően elfogadott jogszabályokról 2018. május 25‑ig, az ezt követően azokat módosító jogszabályokról, illetve az azokat érintő későbbi módosításokról pedig haladéktalanul értesítik a Bizottságot.”

8

A 2018. május 23‑i lov nr. 502 supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (a [GDPR-t] kiegészítő rendelkezésekről szóló 502. sz. törvény) a 41. cikkében a következőképpen rendelkezik:

„(1)   Ha más jogszabály nem ír elő szigorúbb büntetést, pénzbüntetéssel vagy hat hónapig terjedő szabadságvesztéssel büntetendő az, aki megsérti a következőkkel kapcsolatos rendelkezéseket:

[…]

4) az adatkezelésnek a [GDPR] 5., 6., 7. és 9. cikkében foglalt alapelvei, ideértve a hozzájárulás feltételeit is;

[…]

(3)   Az (1) és (2) bekezdés szerinti szankció kiszabásakor az [GDPR] 83. cikkének (2) bekezdését kell alkalmazni.

[…]

(6)   A társaságok (jogi személyek) büntetőjogi felelőssége a [straffeloven (büntető törvénykönyv)] 5. fejezetében foglalt szabályok szerint állapítható meg. […]”

9

Az ILVA bútoráruházláncot működtet, és a Lars Larsen Group nevű csoport tagja. A csoport 2016/2017‑es pénzügyi évben elért teljes forgalma 6,57 milliárd dán korona (DKK) (hozzávetőleg 881 millió euró) volt, az ILVA forgalma pedig ugyanebben az évben közel 1,8 milliárd DKK (hozzávetőleg 241 millió euró) volt.

10

Az ILVA ellen eljárás indult a dán bíróságok előtt, mivel a 2018 májusa és 2019 januárja közötti időszakban legalább 350000 korábbi ügyfél adatainak megőrzésével kapcsolatban nem teljesítette a GDPR alapján őt személyesadat‑kezelői minőségében terhelő kötelezettségeket.

11

A Datatilsynet (adatvédelmi hatóság, Dánia) ajánlása alapján az ügyészség 1,5 millió DKK (hozzávetőleg 201000 euró) pénzbüntetés kiszabását kérte az ILVA‑val szemben. Ezen összeg kiszámítása nem csupán az ILVA forgalmán alapult, hanem a Lars Larsen Group teljes forgalmán is.

12

2021. február 12‑i ítéletével a retten i Aarhus (aarhusi bíróság, Dánia) megállapította, az ILVA elkövette a neki felrótt cselekményt, és 100000 DKK (hozzávetőleg 13400 euró) összegű pénzbüntetés megfizetésére kötelezte. E bíróság az ügyészség állításával szemben azt állapította meg, hogy az ILVA gondatlanul járt el. Ezenkívül megállapította, hogy mivel kizárólag az ILVA‑val szemben indítottak eljárást, a pénzbüntetés összegének meghatározásakor nem kell figyelembe venni a Lars Larsen Group forgalmát. Megállapította továbbá, hogy az ILVA önálló kiskereskedelmi tevékenységet folytat, és e csoport anyavállalata nem kizárólag abból a célból hozta létre, hogy biztosítsa a csoport adatainak kezelését.

13

Az ügyészség fellebbezést nyújtott be ezen ítélettel szemben a Vestre Landsrethez (nyugati fellebbviteli bíróság, Dánia), a kérdést előterjesztő bírósághoz. Az ügyészség álláspontja szerint a GDPR 83. cikkének (4)–(6) bekezdésében foglalt „vállalkozás” fogalmát úgy kell értelmezni, hogy a GDPR valamely társaság általi megsértése esetén a bírság összegét azon csoport forgalma alapján kell meghatározni, amelynek e társaság tagja. A GDPR (150) preambulumbekezdéséből ugyanis az következik, hogy e fogalmat az EUMSZ 101. és EUMSZ 102. cikkel összhangban kell értelmezni.

14

Az ILVA álláspontja szerint azonban a GDPR valamely társaság általi megsértése miatt kiszabott bírság megállapításakor nem kell figyelembe venni annak a csoportnak a teljes forgalmát, amelynek a társaság tagja. A jelen ügyben csak az ILVA‑val szemben indítottak eljárást, nem pedig az anyavállalatával szemben is.

15

A kérdést előterjesztő bíróság álláspontja szerint az e kérdésre adandó válasz nem következik egyértelműen a GDPR‑ból.

16

E körülmények között a Vestre Landsret (nyugati fellebbviteli bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

17

Kérdéseivel, amelyeket célszerű együttesen vizsgálni, az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 83. cikkének (4)–(6) bekezdését e rendelet (150) preambulumbekezdésével összefüggésben úgy kell‑e értelmezni, hogy az e rendelkezésekben szereplő „vállalkozás” kifejezés megfelel az EUMSZ 101. és EUMSZ 102. cikk értelmében vett „vállalkozás” fogalmának, így amennyiben a GDPR megsértése miatt bírságot szabnak ki a személyes adatok kezelőjével szemben, amely maga egy vállalkozás vagy annak tagja, a bírság összegét az EUMSZ 101. és EUMSZ 102. cikk szerinti vállalkozás által az előző pénzügyi évben bonyolított teljes éves világpiaci forgalmának százalékos aránya alapján kell meghatározni.

18

Elöljáróban meg kell jegyezni, hogy a Bíróságnak a 2023. december 5‑iDeutsche Wohnen ítéletben (C‑807/21, EU:C:2023:950, 53–59. pont) – amelyet a jelen ügy írásbeli szakaszának lezárását követően hirdettek ki – már volt alkalma arra, hogy választ adjon a GDPR 83. cikkének értelmezésére vonatkozó bizonyos kérdésekre.

19

A Bíróság kimondta, hogy a „vállalkozásnak” az EUMSZ 101. és EUMSZ 102. cikk értelmében vett fogalma nem befolyásolja azt a kérdést, hogy a GDPR 83. cikke alapján kiszabható‑e közigazgatási bírság a jogi személy adatkezelővel szemben, és ha igen, milyen feltételek mellett, mivel e kérdést e rendelet 58. cikkének (2) bekezdése és 83. cikkének (1)–(6) bekezdése kimerítően szabályozza (2023. december 5‑iDeutsche Wohnen ítélet, C‑807/21, EU:C:2023:950, 53. pont).

20

E fogalom ugyanis csak a GDPR 83. cikkének (4)–(6) bekezdése alapján az adatkezelővel szemben kiszabott közigazgatási bírság összegének meghatározása szempontjából releváns (2023. december 5‑iDeutsche Wohnen ítélet, C‑807/21, EU:C:2023:950, 54. pont).

21

A GDPR (150) preambulumbekezdésében megfogalmazott, az EUMSZ 101. és EUMSZ 102. cikk értelmében vett „vállalkozás” fogalmára történő utalást a GDPR 83. cikkének (4)–(6) bekezdésében említett jogsértések miatt kiszabott közigazgatási bírságok kiszámításának e sajátos összefüggésében kell értelmezni (2023. december 5‑iDeutsche Wohnen ítélet, C‑807/21, EU:C:2023:950, 55. pont).

22

E tekintetben hangsúlyozni kell, hogy az EUMSZ 101. és EUMSZ 102. cikkben szereplő versenyszabályok alkalmazása szempontjából e fogalom minden gazdasági tevékenységet folytató jogalanyra kiterjed, a jogállásától és finanszírozási módjától függetlenül. Így e fogalom gazdasági egységet jelöl, még akkor is, ha jogi szempontból e gazdasági egység több természetes vagy jogi személyből áll. E gazdasági egység meghatározott, hosszú távú gazdasági célt követő személyi, materiális és immateriális összetevők egységes szervezete (2023. december 5‑iDeutsche Wohnen ítélet, C‑807/21, EU:C:2023:950, 56. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

23

Így a GDPR 83. cikkének (4)–(6) bekezdéséből – amely az e bekezdésekben felsorolt jogsértések miatt kiszabott közigazgatási bírságok kiszámítására vonatkozik – kitűnik, hogy abban az esetben, ha a közigazgatási bírság címzettje az EUMSZ 101. és EUMSZ 102. cikk értelmében vállalkozásnak minősül, vagy ilyen vállalkozás részét képezi, a közigazgatási bírság legmagasabb összegét az érintett vállalkozás előző pénzügyi évben bonyolított teljes éves világpiaci forgalmának százalékos aránya alapján kell kiszámítani (2023. december 5‑iDeutsche Wohnen ítélet, C‑807/21, EU:C:2023:950, 57. pont).

24

E legmagasabb összeg meghatározását azonban meg kell különböztetni az illetékes felügyeleti hatóság által a GDPR azon konkrét – egyszeri vagy többszöri – megsértése miatt kiszabandó bírság összegének a kiszámításától, amelyet e bírság szankcionál.

25

Így a GDPR 83. cikkének (1) bekezdése alapján valamennyi felügyeleti hatóság biztosítja, hogy e rendeletnek a (4)–(6) bekezdésben említett megsértése miatt a 83. cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.

26

E három feltétel teljesítésén túl a 83. cikk (2) bekezdése megköveteli, hogy az illetékes felügyeleti hatóság annak eldöntésekor, hogy szükség van‑e közigazgatási bírság kiszabására, illetve e bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe vegyen bizonyos elemeket.

27

Ez utóbbi rendelkezésnek megfelelően ezen elemek között szerepel többek között a jogsértés jellege, súlyossága és időtartama, azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke, a jogsértés szándékos vagy gondatlan jellege, a személyes adatok kezelője vagy feldolgozója részéről az elszenvedett kár enyhítése érdekében tett intézkedések, az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, valamint a jogsértés által érintett személyes adatok kategóriái.

28

Az említett elemek a GDPR bizonyos rendelkezéseinek megsértésével vádolt, említett adatkezelő vagy adatfeldolgozó magatartására, vagy pedig magukat e jogsértésekre vonatkoznak. Annak biztosítására szolgálnak tehát, hogy e jogsértések mindegyikét az összes releváns egyedi körülmény alapján értékeljék, és hogy a GDPR‑ban foglalt szankciórendszer célkitűzései teljesüljenek.

29

Bár ezek a tényezők nem tartalmaznak hivatkozást a vállalkozás EUMSZ 101. és EUMSZ 102. cikk szerinti fogalmára, a Bíróság már megállapította, hogy csak az olyan bírság felelhet meg a GDPR 83. cikkének (1) bekezdésében foglalt három feltételnek, vagyis annak, hogy egyszerre legyen hatékony, arányos és visszatartó erejű, amely nemcsak a GDPR azonosított megsértésének valamennyi jellemzőjét figyelembe veszi, hanem adott esetben a címzettjének tényleges gazdasági képességét vagy anyagi kapacitását is. Márpedig e feltételek értékeléséhez figyelembe kell venni azt a kérdést, hogy e címzett az EUMSZ 101. és EUMSZ 102. cikk értelmében vett vállalkozás részét képezi‑e (lásd ebben az értelemben: 2023. december 5‑iDeutsche Wohnen ítélet, C‑807/21, EU:C:2023:950, 58. pont).

30

A GDPR 83. cikkének a jelen ítélet 25–29. pontjában szereplő értelmezése akkor is alkalmazandó, ha a GDPR azonosított megsértéseit nem közigazgatási bírsággal, hanem az illetékes nemzeti bíróságok által büntetőjogi szankcióként kiszabott pénzbüntetéssel szankcionálják.

31

Amint az a GDPR (151) preambulumbekezdésében szerepel, egyes nemzeti jogrendszerek – köztük a Dán Királyság jogrendszere – nem teszi lehetővé a GDPR‑ban meghatározott közigazgatási bírságok kiszabását.

32

Ezen eset rendezése érdekében a GDPR 83. cikkének (9) bekezdése úgy rendelkezik, hogy ha a tagállam jogrendszere nem rendelkezik közigazgatási bírságokról, a 83. cikk oly módon alkalmazható, hogy – mint a jelen esetben is – a bírságot az illetékes felügyeleti hatóság kezdeményezésére az illetékes nemzeti bíróság rója ki.

33

Ezenkívül e rendelet 83. cikkének (9) bekezdése, valamint (151) preambulumbekezdése pontosítja, hogy a szóban forgó jogorvoslatok hatékonyságát és a felügyeleti hatóságok által kiszabott közigazgatási bírságokéval megegyező hatását biztosítani kell, és a kiszabott bírságoknak minden esetben hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük.

34

Mindemellett az, hogy a bírságot büntetőbíróság büntetőeljárás keretében szabja ki, azt jelenti, hogy e bíróságnak mindenkor tiszteletben kell tartania a büntetőügyekben alkalmazandó szabályokat, köztük különösen a vádlottat megillető eljárási jogokat és a büntetés arányosságának elvét, amint azokat az Európai Unió Alapjogi Chartája biztosítja.

35

E tekintetben, amint arra a főtanácsnok az indítványának 74. pontjában rámutatott, a GDPR 83. cikke megköveteli, hogy az illetékes felügyeleti hatóságok a kiszabott bírság tényleges összegének kiszámítása során kivétel nélkül biztosítsák az arányosság elvének tiszteletben tartását, és ennek során alakítsanak ki megfelelő egyensúlyt a személyes adatok védelméhez fűződő közérdek követelménye, valamint az adatkezelő, az adatfeldolgozó, illetve azon vállalkozás alapjogainak védelmének követelménye között, amelynek az adatkezelő vagy adatfeldolgozó tagja. Ebből következik, hogy a „vállalkozás” EUMSZ 101. és EUMSZ 102. cikk szerinti fogalmának a GDPR 83. cikke (4)–(6) bekezdésének végrehajtása keretében történő alkalmazása nem ütközik elvi akadályokba, amennyiben a GDPR megsértését nem közigazgatási bírságokkal, hanem büntetőbíróságok által kiszabott bírságokkal szankcionálják.

36

A fenti megfontolásokra tekintettel az előterjesztett kérdésekre azt a választ kell adni, hogy a GDPR 83. cikkének (4)–(6) bekezdését e rendelet (150) preambulumbekezdésével összefüggésben úgy kell értelmezni, hogy az e rendelkezésekben szereplő „vállalkozás” kifejezés megfelel az EUMSZ 101. és EUMSZ 102. cikk értelmében vett „vállalkozás” fogalmának, így amennyiben a GDPR megsértése miatt bírságot szabnak ki a személyes adatok kezelőjével szemben, amely maga egy vállalkozás vagy annak tagja, a bírság összegének felső határát a vállalkozás által az előző pénzügyi évben bonyolított teljes éves világpiaci forgalom százalékos aránya alapján kell meghatározni. A „vállalkozás” fogalmát a bírság címzettjének tényleges gazdasági képessége vagy anyagi kapacitása értékelésekor is figyelembe kell venni, így annak vizsgálatakor is, hogy a bírság egyszerre hatékony, arányos és visszatartó erejű‑e.

37

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (ötödik tanács) a következőképpen határozott:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 83. cikkének (4)–(6) bekezdését e rendelet (150) preambulumbekezdésével összefüggésben

a következőképpen kell értelmezni:

az e rendelkezésekben szereplő „vállalkozás” kifejezés megfelel az EUMSZ 101. és EUMSZ 102. cikk értelmében vett „vállalkozás” fogalmának, így amennyiben a 2016/679 rendelet megsértése miatt bírságot szabnak ki a személyes adatok kezelőjével szemben, amely maga egy vállalkozás vagy annak tagja, a bírság összegének felső határát a vállalkozás által az előző pénzügyi évben bonyolított teljes éves világpiaci forgalom százalékos aránya alapján kell meghatározni. A „vállalkozás” fogalmát a bírság címzettjének tényleges gazdasági képessége vagy anyagi kapacitása értékelésekor is figyelembe kell venni, így annak vizsgálatakor is, hogy a bírság egyszerre hatékony, arányos és visszatartó erejű‑e.