A Bíróság (harmadik tanács) 2024. január 25-i ítélete (az Amtsgericht Hagen [Németország] előzetes döntéshozatal iránti kérelme) – BL kontra MediaMarktSaturn Hagen-Iserlohn GmbH, korábban Saturn Electro-Handelsgesellschaft mbH Hagen

(C-687/21. sz. ügy, (1) MediaMarktSaturn)

(Előzetes döntéshozatal - A természetes személyek védelme a személyes adatok kezelése vonatkozásában - 2016/679 (EU) rendelet - Az 5., 24., 32. és 82. cikk értelmezése - A 82. cikk érvényességének vizsgálata - Az érvényesség vizsgálata iránti kérelem elfogadhatatlansága - Az ilyen adatoknak e rendeletet sértő kezelésével okozott kár megtérítéséhez való jog - Adatok továbbítása jogosulatlan harmadik félnek az adatkezelő alkalmazottainak tévedése következtében - Az adatkezelő által végrehajtott védelmi intézkedések megfelelőségének vizsgálata - A kártérítéshez való jog által betöltött kompenzációs funkció - A jogsértés súlyosságának hatása - Az említett jogsértés által okozott kár bizonyításának szükségessége - A „nem vagyoni kár” fogalma)

(C/2024/1993)

Az eljárás nyelve: német

A kérdést előterjesztő bíróság

Amtsgericht Hagen

Az alapeljárás felei

Felperes: BL

Alperes: MediaMarktSaturn Hagen-Iserlohn GmbH, korábban Saturn Electro-Handelsgesellschaft mbH Hagen

Rendelkező rész

A természetes személyeknek a személyes adatok kezelése vonatkozásában történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 5., 24., 32. és 82. cikkét együttesen

a következőképpen kell értelmezni:

a 82. cikken alapuló kártérítési kereset keretében az a tény, hogy az adatkezelő alkalmazottai tévedésből személyes adatokat tartalmazó dokumentumot adtak át jogosulatlan harmadik félnek, önmagában nem elegendő annak megállapításához, hogy a szóban forgó, adatkezelő által végrehajtott technikai és szervezési intézkedések a 24. és 32. cikk értelmében nem voltak „megfelelőek”.

A 2016/679 rendelet 82. cikkének (1) bekezdését

a következőképpen kell értelmezni:

az e rendelkezésben – különösen nem vagyoni kár esetén – biztosított kártérítéshez való jog kompenzációs funkciót és nem büntető funkciót tölt be, mivel az említett rendelkezésen alapuló pénzbeli kártérítésnek lehetővé kell tennie az e rendelet megsértése következtében ténylegesen elszenvedett kár teljes megtérítését.

3)	A 2016/679 rendelet 82. cikkét a következőképpen kell értelmezni: e cikk nem követeli meg, hogy az adatkezelő által elkövetett jogsértés súlyossági fokát figyelembe vegyék az e rendelkezés szerinti kártérítés szempontjából.

4)	A 2016/679 rendelet 82. cikkének (1) bekezdését a következőképpen kell értelmezni: az e rendelkezés alapján kártérítést kérő személy nemcsak e rendelet rendelkezéseinek megsértését köteles bizonyítani, hanem azt is, hogy e jogsértés vagyoni vagy nem vagyoni kárt okozott neki.

A 2016/679 rendelet 82. cikkének (1) bekezdését

a következőképpen kell értelmezni:

abban az esetben, ha személyes adatokat tartalmazó dokumentumot olyan jogosulatlan harmadik fél részére adtak át, akiről bebizonyosodott, hogy nem szerzett tudomást ezekről az adatokról, nem minősül az e rendelkezés értelmében vett „nem vagyoni kárnak” önmagában az, hogy az érintett attól tart, hogy e közlést követően – amely lehetővé tette, hogy az említett dokumentumról a visszaszolgáltatása előtt másolatot készítsenek – adatainak terjesztésére, sőt visszaélésszerű felhasználására kerül sor a jövőben.

(1) HL C 64., 2022.2.7.