A BÍRÓSÁG ÍTÉLETE (harmadik tanács)
2023. december 21. ( *1 )
„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – A 6. cikk (1) bekezdése – Az adatkezelés jogszerűségének feltételei – A 9. cikk (1)–(3) bekezdése – Az adatok különleges kategóriáinak kezelése – Egészségügyi adatok – A munkavállaló munkaképességének értékelése – Az egészségbiztosítás területén működő, a saját alkalmazottai egészségügyi adatait kezelő egészségügyi szolgálat – Az ilyen adatkezelés megengedhetősége és feltételei – A 82. cikk (1) bekezdése – Kártérítéshez való jog és felelősség – Nem vagyoni kár megtérítése – Kompenzációs funkció – Az adatkezelő vétkességének jelentősége”
A C‑667/21. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Bundesarbeitsgericht (szövetségi munkaügyi bíróság, Németország) a Bírósághoz 2021. november 8‑án érkezett, 2021. augusztus 26‑i határozatával terjesztett elő a
ZQ
és
a Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts
között folyamatban lévő eljárásban,
A BÍRÓSÁG (harmadik tanács),
tagjai: K. Jürimäe tanácselnök, N. Piçarra, M. Safjan, N. Jääskinen (előadó) és M. Gavalec bírák,
főtanácsnok: M. Campos Sánchez‑Bordona,
hivatalvezető: A. Calot Escobar,
tekintettel az írásbeli szakaszra,
figyelembe véve a következők által előterjesztett észrevételeket:
– |
ZQ képviseletében E. Daun Rechtsanwalt, |
– |
a Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts képviseletében M. Wehner Rechtsanwalt, |
– |
Írország képviseletében M. Browne Chief State Solicitor, A. Joyce és M. Lane, meghatalmazotti minőségben, segítőjük: D. Fennelly BL, |
– |
az olasz kormány képviseletében G. Palmieri, meghatalmazotti minőségben, segítője: M. Russo avvocato dello Stato, |
– |
az Európai Bizottság képviseletében A. Bouchagiar, M. Heller és H. Kranenborg, meghatalmazotti minőségben, |
a főtanácsnok indítványának a 2023. május 25‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 |
Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 9. cikke (1) bekezdésének, (2) bekezdése h) pontjának és (3) bekezdésének a 6. cikkének (1) bekezdésével összefüggésben való értelmezésére, valamint e rendelet 82. cikke (1) bekezdésének az értelmezésére vonatkozik. |
2 |
E kérelmet a ZQ és munkáltatója, a Medizinischer Dienst der Krankenversicherung Nordrhein (észak‑rajnai egészségbiztosítási egészségügyi szolgálat, Németország; a továbbiakban: MDK Nordrhein) között folyamatban lévő jogvita keretében terjesztették elő, melynek tárgya azon kár megtérítése, amely az előbbit állítása szerint az egészségi állapotára vonatkozó adatoknak az utóbbi által jogellenesen végzett kezelése miatt érte. |
Jogi háttér
Az uniós jog
3 |
A GDPR (4)–(8), (10), (35), (51)–(53), (75) és (146) preambulumbekezdésének szövege a következő:
[…]
[…]
[…]
[…]
[…]
|
4 |
Az e rendeletnek az „[á]ltalános rendelkezések[re]” vonatkozó I. fejezetében szereplő, „Tárgy” című 2. cikke az (1) bekezdésében a következőket írja elő: „E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.” |
5 |
Az említett rendelet „Fogalommeghatározások” címet viselő 4. cikke szerint: „E rendelet alkalmazásában:
[…]
[…]
[…]” |
6 |
A GDPR‑nek az e rendelet által meghatározott „[e]lvek”‑re vonatkozó II. fejezete tartalmazza annak 5–11. cikkét. |
7 |
E rendeletnek „A személyes adatok kezelésére vonatkozó elvek” című 5. cikke a következőket írja elő: „(1) A személyes adatok:
[…]
(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására (»elszámoltathatóság«).” |
8 |
Az említett rendeletnek „Az adatkezelés jogszerűsége”című 6. cikke az (1) bekezdésében a következőket írja elő: „A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.” |
9 |
Ugyanezen rendelet 9. cikke, melynek címe „A személyes adatok különleges kategóriáinak kezelése”, a következőket írja elő: „(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos. (2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha: […]
[…]
[…] (3) Az (1) bekezdésben említett személyes adatokat abban az esetben lehet a (2) bekezdés h) pontjában említett célokból kezelni, ha ezen adatok kezelése olyan szakember által vagy olyan szakember felelőssége mellett történik, aki uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, illetve olyan más személy által, aki szintén uniós vagy tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll. (4) A tagállamok további feltételeket – köztük korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai adatok, a biometrikus adatok és az egészségügyi adatok kezelésére vonatkozóan.” |
10 |
A GDPR‑nek „Az adatkezelő és az adatfeldolgozó” című IV. fejezete tartalmazza annak 24–43. cikkét. |
11 |
Az e fejezet „Általános kötelezettségek” című 1. szakaszában szereplő, „Az adatkezelő feladatai” című 24. cikk az (1) bekezdésében a következőket írja elő: „Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.” |
12 |
Az említett rendelet „Adatbiztonság” című 2. fejezetében foglalt 32. cikk, melynek címe „Az adatkezelés biztonsága”, az (1) bekezdésében a következőképpen rendelkezik: „Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:
[…]” |
13 |
A GDPR „Jogorvoslat, felelősség és szankciók” című VIII. fejezete tartalmazza e rendelet 77–84. cikkét. |
14 |
Az említett rendeletnek „A kártérítéshez való jog és a felelősség” című 82. cikke értelmében: „(1) Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. (2) Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. […] (3) Az adatkezelő, illetve az adatfeldolgozó mentesül az e cikk (2) bekezdése szerinti felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség. […]” |
15 |
A GDPR‑nek „A közigazgatási bírságok kiszabására vonatkozó általános feltételek” című 83. cikke a következőket írja elő: „(1) Valamennyi felügyeleti hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek. (2) […] Annak eldöntésekor, hogy szükség van‑e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket:
[…]
[…]
(3) Ha egy adatkezelő vagy adatfeldolgozó egyazon adatkezelési művelet vagy egymáshoz kapcsolódó adatkezelési műveletek tekintetében – szándékosan vagy gondatlanságból – e rendelet több rendelkezését is megsérti, a bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés esetén meghatározott összeget. […]” |
16 |
E rendelet „Szankciók” című 84. cikkének (1) bekezdése a következőképpen rendelkezik: „A tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó további szankciókra vonatkozó szabályokat, különösen azon jogsértések tekintetében, amelyek nem tartoznak a 83. cikkben meghatározott, közigazgatási bírságokkal sújtható jogsértések közé, és meghoznak minden szükséges intézkedést ezek végrehajtására. E szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.” |
A nemzeti jog
17 |
A Sozialgesetzbuch, Fünftes Buchnak (szociális törvénykönyv, ötödik könyv) az alapügyre alkalmazandó változata a 275. §‑ának (1) bekezdésében azt írja elő, hogy a kötelező egészségbiztosítási pénztárak kötelesek felkérni az őket segítő Medizinischer Dienstet (egészségügyi szolgálat) különösen arra, hogy a törvényben meghatározott esetekben, vagy ha a biztosított betegsége ezt szükségessé teszi, a biztosított munkaképtelenségével kapcsolatos kételyek eloszlatása érdekében készítsen szakvéleményt. |
18 |
E törvénykönyv 278. §‑ának (1) bekezdése előírja, hogy az ilyen egészségügyi szolgálatot minden tartományban közjogi szervezet formájában hozzák létre. |
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
19 |
Az MDK Nordrhein közjogi szervezet, amelynak egészségbiztosítási pénztárak egészségügyi szolgálataként többek között az a feladata, hogy a hatáskörébe tartozó kötelező egészségbiztosítási pénztáraknál biztosított személyek munkaképtelenségével kapcsolatos kételyek eloszlatása érdekében orvosi szakvéleményeket készítsen, abban az esetben is, ha e szakvélemények a saját munkavállalóira vonatkoznak. |
20 |
Ilyen esetben kizárólag a „különleges ügyek egységének” nevezett speciális egység tagjai jogosultak e munkavállaló úgynevezett „szociális” adatainak a szervezet informatikai rendszere zárt domainjének használatával történő kezelésére, és a szakvéleményt tartalmazó akta lezárását követően a digitális archívumhoz való hozzáférésre. Az ezen ügyekre vonatkozó belső szolgálati feljegyzés többek között azt írja elő, hogy korlátozott számú feljogosított alkalmazott – ideértve az informatikai szolgálat egyes alkalmazottait – férhet hozzá az említett adatokhoz. |
21 |
Az alapeljárás felperese az MDK Nordrhein informatikai szolgálatánál dolgozott, mielőtt egészségügyi okból munkaképtelenné vált. Annak a félévnek a végén, amelynek során e szervezet munkáltatóként továbbra is díjazásban részesítette, a kötelező egészségbiztosítási pénztár, amelynél biztosított volt, elkezdett a számára táppénzt fizetni. |
22 |
E pénztár ekkor felkérte az MDK Nordrheint, hogy készítsen az alapeljárás felperesének munkaképtelenségére vonatkozó szakvéleményt. Az MDK Nordrheinnél működő „különleges ügyek egységének” egyik orvosa azt elkészítette, és ennek során többek között információkat szerzett be az alapeljárás felperesének kezelőorvosától. Amikor ez utóbbit a kezelőorvosa erről tájékoztatta, az említett felperes kapcsolatba lépett az informatikai szolgálatnál dolgozó egyik munkatársával, és arra kérte, hogy készítsen felvételeket az MDK Nordrhein digitális archívumában található szakértői jelentésről, majd küldje meg neki e felvételeket. |
23 |
Az alapeljárás felperese, mivel úgy ítélte meg, hogy az egészségére vonatkozó adatokat a munkáltatója így jogellenesen kezelte, azt kérte az utóbbitól, hogy fizessen meg a számára 20000 euró összegű kártérítést, amit az MDK Nordrhein megtagadott. |
24 |
Ezt követően az alapeljárás felperese az Arbeitsgericht Düsseldorfhoz (düsseldorfi munkaügyi bíróság, Németország) fordult annak érdekében, hogy a GDPR 82. cikkének (1) bekezdése és a német jog rendelkezései alapján az MDK Nordrheint kötelezzék a személyes adatok ily módon végzett kezelése miatt az említett felperes által állítólagosan elszenvedett kár megtérítésére. E felperes lényegében egyrészt arra hivatkozott, hogy a szóban forgó szakvéleményt egy másik egészségügyi szolgálatnak kellett volna elkészítenie annak elkerülése érdekében, hogy a munkatársai hozzáférhessenek az egészségügyi adataihoz, és másrészt arra, hogy az e szakvéleményre vonatkozó jelentés archiválását kísérő biztonsági intézkedések elégtelenek voltak. Azzal érvelt továbbá, hogy ez az adatkezelés az ilyen adatok védelmét szolgáló jogszabályok megsértésének minősül, amely mind nem vagyoni, mind vagyoni károkat okozott a számára. |
25 |
Ellenkérelmében az MDK Nordrhein elsődlegesen azzal érvelt, hogy az alapeljárás felperesére vonatkozó egészségügyi adatok begyűjtése és megőrzése az ilyen adatok védelmére vonatkozó rendelkezéseknek megfelelően történt. |
26 |
Az alapeljárás felperese, mivel az első fokú eljárásban pervesztes lett, fellebbezést nyújtott be a Landesarbeitsgericht Düsseldorfhoz (düsseldorfi munkaügyi fellebbviteli bíróság, Németország), amely szintén elutasító döntést hozott. Az említett felperes ezt követően felülvizsgálati kérelmet nyújtott be a Bundesarbeitsgerichthez (szövetségi munkaügyi bíróság, Németország), amely a jelen ügyben a kérdést előterjesztő bíróság. |
27 |
Ezen utóbbi bíróság abból az előfeltevésből indul ki, hogy az alapjogvitában az MDK Nordrhein mint egészségügyi szolgálat által készített szakértői vélemény „személyes adatok”, konkrétabban pedig a GDPR 4. cikkének 1., 2. és 15. pontja értelmében vett „egészségügyi adatok”„kezelésének” minősül, így e művelet e rendeletnek a 2. cikkének (1) bekezdésében meghatározott tárgyi hatálya alá tartozik. Ezenkívül úgy véli, hogy az MDK Nordrhein az említett rendelet 4. cikkének 7. pontja értelmében vett érintett „adatkezelő”. |
28 |
Az említett bíróság kérdései elsősorban a GDPR‑nek a személyes adatok különleges kategóriáinak kezelésére vonatkozó 9. cikkében foglalt rendelkezések értelmezését érintik, figyelemmel többek között arra, hogy az alapügy tárgyát képező adatkezelést olyan szervezet végezte, amely egyben az érintett személynek az e rendelet 4. cikkének 1. pontjában meghatározott munkáltatója is. |
29 |
A kérdést előterjesztő bíróságnak először is kétségei vannak azt illetően, hogy az egészségügyi adatoknak az alapügy tárgyát képező kezelése a GDPR 9. cikkének (2) bekezdésében előírt kivételek valamelyikének hatálya alá tartozhat‑e. E bíróság álláspontja szerint a jelen ügyben kizárólag az e (2) bekezdés b) és h) pontjában szereplő kivételek relevánsak. Ugyanakkor eleve kizárja az e b) pontban előírt eltérésnek a jelen ügyben való alkalmazását, mivel az alapügy tárgyát képező adatkezelés nem volt szükséges az adatkezelőt mint az érintett munkáltatóját megillető jogok gyakorlásához és kötelezettségek teljesítéséhez. E kezelést ugyanis egy másik szervezet kezdeményezte, amely arra kérte az MDK Nordrheinet, hogy egészségügyi szolgálatként végezzen ellenőrzést. Ezzel szemben a kérdést előterjesztő bíróság – bár hajlik arra az álláspontra, hogy az e h) pontban előírt eltérés sem alkalmazandó, mivel úgy tűnik számára, hogy csupán a „semleges harmadik személy” által végzett adatkezelés tartozhat annak hatálya alá, és egy szervezet nem hivatkozhat a munkáltatóként és egészségügyi szolgálatként fennálló „kettős funkciójára” az ilyen adatkezelés tilalma alkalmazásának mellőzése érdekében – e tekintetben nem tűnik kategorikusnak. |
30 |
Ezenfelül, abban az esetben, ha az egészségügyi adatok kezelése ilyen körülmények között a GDPR 9. cikke (2) bekezdésének h) pontja alapján engedélyezett, a kérdést előterjesztő bíróság az egészségügyi adatok védelmére vonatkozó, azon szabályokról érdeklődik, amelyeket ennek keretében tiszteletben kell tartani. Véleménye szerint e rendelet értelmében nem elegendő, ha az adatkezelő megfelel az e rendelet 9. cikkének (3) bekezdésében szereplő követelményeknek. Ezen adatkezelőnek biztosítania kell továbbá, hogy az érintett személy egyik munkatársa se férhessen hozzá az e személy egészségi állapotára vonatkozó adatokhoz. |
31 |
Végezetül e bíróság – továbbra is ugyanebben az esetben – azt kívánja megtudni, hogy a GDPR 6. cikkének (1) bekezdésében foglalt feltételek legalább egyikének is teljesülnie kell‑e ahhoz, hogy az ilyen adatkezelés jogszerű legyen. Álláspontja szerint erre igennel kell válaszolni, és az alapjogvita keretében a priori csak e 6. cikk (1) bekezdése első albekezdésének c) és e) pontja lehet releváns. Mindazonáltal e c) és e) pont nem alkalmazható, mivel az érintett adatkezelés e rendelkezések értelmében nem „szükséges”, mivel azt az MDK Nordrheintől eltérő más egészségügyi szolgálat is végezhetné. |
32 |
Másodszor, ha a jelen ügyben fennáll a GDPR megsértése, a kérdést előterjesztő bíróságban az alapeljárás felperesének az e rendelet 82. cikke alapján esetlegesen járó kártérítéssel kapcsolatban merült fel kérdés. |
33 |
Egyrészt azt kívánja megtudni, hogy a GDPR 82. cikkének (1) bekezdésében előírt szabály a jóvátételi funkcióján kívül visszatartó vagy büntető jellegű‑e, és adott esetben figyelembe kell‑e venni az említett jelleget a nem vagyoni kár címén megítélt kártérítés összegének meghatározásakor, tekintettel többek között a tényleges érvényesülésnek, az arányosságnak és az egyenértékűségnek az uniós jog más területein rögzített elvére. |
34 |
Másrészt e bíróság arra az álláspontra hajlik, hogy az adatkezelő felelőssége az említett 82. cikk (1) bekezdése alapján anélkül is megállapítható, hogy bizonyítani kellene a vétkességét. Mivel azonban – főként a német jogszabályok alapján – kétségeket táplál, azt a kérdést veti fel, hogy meg kell‑e vizsgálni, hogy a GDPR szóban forgó megsértése az adatkezelőnek a szándékos cselekménye vagy gondatlansága miatt tudható‑e be, és hogy az esetleges vétkessége súlyossági fokának ki kell‑e hatnia a nem vagyoni kár után megítélt kártérítésre. |
35 |
E körülmények között a Bundesarbeitsgericht (szövetségi munkaügyi bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
|
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az első kérdésről
36 |
A kérdést előterjesztő bíróság az első kérdésével lényegében arra vár választ, hogy a GDPR 9. cikkének (1) bekezdésében előírt, az egészségügyi adatok kezelésére vonatkozó tilalomra tekintettel e cikk (2) bekezdésének h) pontját úgy kell‑e értelmezni, hogy az ott előírt kivétel alkalmazandó azokra a helyzetekre, amelyekben az ellenőrző egészségügyi szervezet az egyik munkavállalójának az egészségügyi adatait nem munkáltatóként, hanem e munkavállaló munkaképességének értékelése céljából egészségügyi szolgálatként kezeli. |
37 |
Az állandó ítélkezési gyakorlat szerint valamely uniós jogi rendelkezés helyes értelmezéséhez nemcsak annak szövegét, hanem azt a kontextust is figyelembe kell venni, amelybe illeszkedik, valamint azon jogi aktus céljait is, amelynek az a részét képezi. Az uniós jogi rendelkezés keletkezése szintén felfedhet az értelmezése szempontjából releváns tényezőket (2023. március 16‑iTowercast ítélet, C‑449/21, EU:C:2023:207, 31. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
38 |
Először is emlékeztetni kell arra, hogy a GDPR 9. cikke, amint azt a címe is jelzi, „[a] személyes adatok különleges kategóriáinak kezelésére” vonatkozik, amelyeket e rendelet (10) és (51) preambulumbekezdése „különleges” adatoknak is minősít. |
39 |
A GDPR (51) preambulumbekezdése szerint az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak. |
40 |
A GDPR 9. cikkének (1) bekezdése így rögzíti a személyes adatok e rendeletben említett különleges kategóriáira vonatkozó adatkezelés tilalmának elvét. Ezen utóbbiak között szerepelnek az e rendelet 4. cikkének a (35) preambulumbekezdésével összefüggésben értelmezett 15. pontjában meghatározott „egészségügyi adatok”, amelyekre a jelen ügy vonatkozik. |
41 |
A Bíróság pontosította, hogy az említett rendelet 9. cikke (1) bekezdésének célja az olyan adatkezelésekkel szembeni fokozott védelem biztosítása, amelyek a tárgyukat képező adatok különleges érzékenysége miatt az Alapjogi Charta 7. és 8. cikkében biztosított, a magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető jogba való különösen súlyos beavatkozást jelenthetnek (lásd ebben az értelemben: 2023. június 5‑iBizottság kontra Lengyelország [A bírák függetlensége és magánélete] ítélet, C‑204/21, EU:C:2023:442, 345. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
42 |
A GDPR 9. cikke (2) bekezdésének a)–j) pontja ugyanakkor az e különleges adatok kezelésének tilalmára vonatkozó elv alóli kivételek kimerítő felsorolását tartalmazza. |
43 |
A GDPR 9. cikke (2) bekezdésének h) pontja konkrétan akkor teszi lehetővé az ilyen adatkezelést, ha az „[többek között] a munkavállaló munkavégzési képességének felmérése […] érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében”. E rendelkezés pontosítja, hogy ezen túlmenően minden, ezen az alapon történő adatkezelésre kifejezetten az e 9. cikk „(3) bekezdésében említett feltételek és garanciák” vonatkoznak. |
44 |
A GDPR 9. cikke (2) bekezdésének az e cikk (3) bekezdésével összefüggésben értelmezett h) pontjából az következik, hogy az olyan különleges adatok kezelésének lehetősége, mint az egészségügyi adatok, számos kumulatív együttes feltétel előírásával szigorú szabályozás tárgyát képezi. Ez utóbbiak először is az említett h) pontban felsorolt célokra vonatkoznak – amelyek között szerepel a munkavállaló munkaképességének értékelése –, másodszor ezen adatkezelés jogalapjára, akár az uniós jogról, akár a tagállami jogról, akár egészségügyi szakemberrel kötött szerződésről van szó ugyanezen h) pont szerint, és végül harmadszor azon titoktartási kötelezettségre, amely az említett 9. cikk (3) bekezdése értelmében az ilyen adatkezelésre jogosult személyeket terheli, mivel ezen utóbbi rendelkezés értelmében e személyek mindegyike titoktartásra köteles. |
45 |
Amint arra a főtanácsnok az indítványának a 32. és 33. pontjában lényegében rámutatott, sem a GDPR 9. cikke (2) bekezdése h) pontjának szövege, sem e rendelkezés keletkezéstörténete nem tartalmaz olyan tényezőket, amelyek alapján megállapítható lenne, hogy az említett rendelkezésben előírt eltérés alkalmazása – amint azt a kérdést előterjesztő bíróság felveti – azokra az esetekre korlátozódna, amelyekben az adatkezelést „semleges harmadik személy”, és nem az e rendelet 4. cikkének 1. pontjában meghatározott „érintett”„munkáltatója” végzi. |
46 |
A kérdést előterjesztő bíróság azon véleményére tekintettel, amely szerint lényegében egy szervezet nem hivatkozhat az érintett munkáltatójaként és az egészségügyi szolgálatként fennálló „kettős funkciójára” annak érdekében, hogy kivonja magát az egészségügyi adatok kezelésére vonatkozó tilalomnak a GDPR 9. cikkének (1) bekezdésében előírt elve alól, pontosítani kell, hogy meghatározó jelentőségű annak a figyelembevétele, hogy ezen adatok kezelését milyen címen végzik. |
47 |
Ugyanis, bár e 9. cikk (1) bekezdése főszabály szerint tiltja az egészségügyi adatok kezelését, az említett cikk (2) bekezdésének a)–j) pontja tíz eltérést ír elő, amelyek egymástól függetlenek, és amelyeket ezért önállóan kell értékelni. Ebből következően az, hogy az e (2) bekezdésben előírt eltérések valamelyikének alkalmazási feltételei nem teljesülnek, nem képezheti akadályát annak, hogy az adatkezelő az e rendelkezésben említett valamely más eltérésre hivatkozhasson. |
48 |
A fentiekből következik, hogy a GDPR 9. cikke (2) bekezdésének az e cikk (3) bekezdésével összefüggésben értelmezett h) pontja semmilyen módon nem zárja ki az e h) pontban foglalt kivétel olyan helyzetekre való alkalmazhatóságát, amelyekben az ellenőrző egészségügyi szervezet a munkavállalójának az egészségügyi adatait egészségügyi szolgálatként, és nem munkáltatóként kezeli, abból a célból, hogy e munkavállaló munkaképességét értékelje. |
49 |
Másodszor ezen értelmezést megerősíti azon rendszer figyelembevétele, amelybe a GDPR 9. cikke (2) bekezdésének h) pontja illeszkedik, valamint az e rendelet és e rendelkezés által követett célok is. |
50 |
Először is kétségtelen, hogy a GDPR 9. cikkének (2) bekezdését, mivel az a személyes adatok különleges kategóriáinak kezelésére vonatkozó, főszabályszerű tilalom alóli kivételt ír elő, megszorítóan kell értelmezni (lásd: 2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 76. pont). |
51 |
A GDPR 9. cikkének (1) bekezdésében foglalt tilalom elvének tiszteletben tartása azonban nem eredményezheti e rendelet valamely más rendelkezése hatályának oly módon történő szűkítését, amely ellentétes lenne e rendelkezés egyértelmű szövegével. Márpedig az a javasolt értelmezés, amely szerint az e 9. cikk (2) bekezdésének h) pontjában előírt kivétel hatályát azokra az esetekre kell korlátozni, amelyekben „semleges harmadik személy” kezel egészségügyi adatokat a munkavállaló munkaképességének értékelése céljából, olyan új követelményt vezet be, amely semmilyen módon nem következik ezen utóbbi rendelkezés egyértelmű szövegéből. |
52 |
E tekintetben irreleváns, hogy a jelen ügyben, abban az esetben, ha az MDK Nordrhein számára tilos lenne, hogy az egészségügyi szolgálatként ellátott feladatát olyan esetben végezze, ha a saját alkalmazottjairól van szó, más ellenőrző egészségügyi szervezet is elláthatja e feladatot. Hangsúlyozni kell, hogy ez a kérdést előterjesztő bíróság által hivatkozott alternatíva nem feltétlenül áll fenn vagy valósítható meg minden tagállamban és minden olyan helyzetben, amely a GDPR 9. cikke (2) bekezdése h) pontjának hatálya alá tartozhat. Márpedig e rendelkezés értelmezését nem határozhatják meg olyan megfontolások, amelyek kizárólag egyetlen tagállam egészségügyi rendszerén alapulnak, vagy az alapjogvita sajátos körülményeiből erednek. |
53 |
Másodszor, a jelen ítélet 48. pontjában kifejtett értelmezés megfelel a GDPR és e rendelet 9. cikke céljainak. |
54 |
A GDPR (4) preambulumbekezdése szerint a személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban, a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyensúlyban más alapvető jogokkal (lásd ebben az értelemben: 2023. június 4‑iPankki S ítélet, C‑579/21, EU:C:2015:501, 78. pont). Ezenkívül a Bíróság már hangsúlyozta, hogy a különböző jogok és érdekek közötti megfelelő egyensúly megteremtését lehetővé tevő mechanizmusokat maga a GDPR határozza meg (lásd ebben az értelemben: 2021. június 17‑iM. I. C. M. ítélet, C‑597/19, EU:C:2021:492, 112. pont). |
55 |
E megfontolások abban az esetben is érvényesek, ha az érintett adatok az e rendelet 9. cikkében említett különleges kategóriákba tartoznak (lásd ebben az értelemben: 2019. szeptember 24‑iGC és társai [Különleges adatokra mutató linkek törlése] ítélet, C‑136/17, EU:C:2019:773, 57. és 66–68. pont), mint például az egészségügyi adatok. |
56 |
Konkrétabban, az általános adatvédelmi rendelet (52) preambulumbekezdéséből kitűnik, hogy „[az] […] adatok ilyen különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérés” megengedett, „ha ez valamely közérdeken alapul, így különösen a foglalkoztatási jog és a szociális védelmi jog területén”, valamint […] egészségügyi célokból, […] különösen annak biztosítása érdekében, hogy az egészségbiztosítási rendszer szolgáltatásaival és juttatásaival kapcsolatos igények rendezésére szolgáló eljárások magas szintűek és költséghatékonyak legyenek”. E rendelet (53) preambulumbekezdése szerint továbbá lehetővé kell tenni az „egészséggel kapcsolatos célokból” végzett adatkezelést, „ha az az említett céloknak a természetes személyek és a társadalom egészének érdekében történő eléréséhez szükséges, különösen az egészségügyi és szociális szolgáltatások és rendszerek irányításának összefüggésében”. |
57 |
Ezt az általános perspektívát szem előtt tartva, és a különböző érintett jogos érdekekre tekintettel írta elő az uniós jogalkotó a GDPR 9. cikke (2) bekezdésének h) pontjában az egészségügyi adatok kezelésére vonatkozó tilalomnak az e cikk (1) bekezdésében foglalt elvétől való eltérés lehetőségét, feltéve hogy az érintett adatkezelés megfelel az e h) pontban és az e rendelet egyéb releváns rendelkezéseiben, különösen az említett 9. cikk (3) bekezdésében kifejezetten előírt feltételeknek és garanciáknak, és e rendelkezésekben nem szerepel az a követelmény, hogy az említett h) pont alapján ilyen adatokat kezelő egészségügyi szolgálatnak az érintett munkáltatójától elkülönülő jogalanynak kell lennie. |
58 |
A fenti indokokra tekintettel és a második és harmadik kérdésre adandó válaszok sérelme nélkül az első kérdésre azt a választ kell adni, hogy a GDPR 9. cikke (2) bekezdésének h) pontját úgy kell értelmezni, hogy az e rendelkezésben előírt kivétel alkalmazandó azokra a helyzetekre, amelyekben az ellenőrző egészségügyi szervezet az egyik munkavállalójának az egészségügyi adatait nem munkáltatóként, hanem e munkavállaló munkaképességének értékelése céljából, egészségügyi szolgálatként kezeli, feltéve hogy az érintett adatkezelés megfelel az e h) pontban és említett 9. cikk (3) bekezdésében kifejezetten előírt feltételeknek és garanciáknak. |
A második kérdésről
59 |
A kérdést előterjesztő bíróság álláspontja szerint a GDPR (35), (51), (53) és (75) preambulumbekezdéséből az következik, hogy az olyan helyzetben, mint amely az alapügy tárgyát képezi, amelyben az adatkezelő egyben azon személy munkáltatója is, akinek munkaképességét értékelik, nem elegendő a GDPR 9. cikkének (3) bekezdésében foglalt követelményeknek való megfelelés. E rendelet azt is előírja, hogy az egészségügyi adatok kezeléséből ki kell zárni az adatkezelő minden olyan alkalmazottját, akinek bármilyen szakmai kapcsolata van e személlyel. E bíróság véleménye szerint minden olyan adatkezelőnek, amely több létesítménnyel rendelkezik, mint például MDK Nordrhein, biztosítania kell, hogy az adatkezelő alkalmazottai egészségügyi adatainak kezelésével megbízott jogalany mindig más létesítményhez tartozzon, mint ahol az érintett alkalmazott dolgozik. Ezenkívül az ilyen adatok kezelésére jogosult munkavállalókat terhelő szakmai titoktartási kötelezettség ténylegesen nem akadályozza meg, hogy az érintett munkatársa hozzáférjen a rá vonatkozó adatokhoz, ami olyan károk felmerülésének veszélyével járna, mint például az érintett jóhírnevének sérelme. |
60 |
E körülmények között a kérdést előterjesztő bíróság a második kérdésével lényegében azt kívánja megtudni, hogy a GDPR rendelkezéseit úgy kell‑e értelmezni, hogy az egészségügyi adatok kezelését az e rendelet 9. cikke (2) bekezdésének h) pontja alapján végző adatkezelőnek biztosítania kell, hogy az érintett egyetlen munkatársa se férhessen hozzá az érintett egészségi állapotára vonatkozó adatokhoz. |
61 |
Emlékeztetni kell arra, hogy a GDPR 9. cikkének (3) bekezdése értelmében az e 9. cikk (1) bekezdésében, illetve (2) bekezdésének h) pontjában felsorolt adatokra, illetve célokra irányuló adatkezelés – a jelen ügyben egy munkavállaló egészségügyi adatainak a munkaképességének értékelése céljából történő kezelése – csak akkor végezhető, ha ezen adatokat olyan egészségügyi szakember kezeli, aki az uniós vagy a tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott szakmai titoktartási kötelezettség hatálya alatt áll, vagy ha ezen adatkezelés ilyen szakember felelőssége mellett történik, vagy azt más olyan személy végzi, aki szintén az uniós vagy a tagállami jogban, illetve az arra hatáskörrel rendelkező tagállami szervek által megállapított szabályokban meghatározott titoktartási kötelezettség hatálya alatt áll. |
62 |
E rendelet 9. cikke (3) bekezdésének elfogadásakor, amely rendelkezés éppen ugyanezen cikk (2) bekezdésének h) pontjára utal, az uniós jogalkotó meghatározta azokat a különleges védelmi intézkedéseket, amelyeket az ilyen adatkezelők számára kívánt előírni, és amelyek abban állnak, hogy az ilyen adatkezelés az említett (3) bekezdésben részletezett feltételeknek megfelelően titoktartási kötelezettség hatálya alá tartozó személyek számára van fenntartva. Nincs helye tehát annak, hogy ezen utóbbi rendelkezés szövege olyan követelményekkel kerüljön kiegészítésre, amelyeket az nem említ. |
63 |
Ebből következik, amint arra a főtanácsnok az indítványának a 43. pontjában lényegében rámutatott, hogy a GDPR 9. cikkének (3) bekezdése nem szolgálhat olyan intézkedés jogalapjául, amely biztosítja, hogy az érintett egyik munkatársa sem férhet hozzá az érintett egészségi állapotára vonatkozó adatokhoz. |
64 |
Értékelni kell azonban, hogy e rendelet valamely más rendelkezése alapján támasztható‑e az egészségügyi adatokat a GDPR 9. cikke (2) bekezdésének h) pontja alapján kezelő adatkezelővel szemben annak biztosítására vonatkozó követelmény, hogy az érintett egyetlen munkatársa se férjen hozzá az érintett egészségi állapotára vonatkozó adatokhoz. |
65 |
E tekintetben pontosítani kell, hogy a tagállamok az e rendelet 9. cikkének (2) és (3) bekezdésében előírtakat kizárólag az e cikk (4) bekezdésében kifejezetten biztosított, azon lehetőség útján egészíthetik ki ilyen követelménnyel, amely szerint „további feltételeket – köztük korlátozásokat – tarthatnak hatályban, illetve vezethetnek be […] az egészségügyi adatok kezelésére vonatkozóan”. |
66 |
Mindazonáltal ezek az esetleges további feltételek nem magukból a GDPR rendelkezéseiből erednek, hanem adott esetben az ilyen típusú adatkezelésre vonatkozó nemzeti jogi szabályokból, amelyek tekintetében e rendelet kifejezetten mérlegelési mozgásteret biztosít a tagállamok számára (lásd ebben az értelemben: 2023. március 30‑iHauptpersonalrat der Lehrerinnen und Lehrer ítélet, C‑34/21, EU:C:2023:270, 51. és 78. pont). |
67 |
Ezenkívül hangsúlyozni kell, hogy annak a tagállamnak, amely élni kíván az említett rendelet 9. cikkének (4) bekezdésében biztosított lehetőséggel, az arányosság elvének megfelelően meg kell győződnie arról, hogy az azon kiegészítő követelmények által kiváltott – többek között szervezeti, gazdasági és egészségügyi jellegű – gyakorlati következmények, amelyeknek a tiszteletben tartását ezen állam kötelezővé kívánja tenni, ne legyenek túlzottak az ilyen adatkezelést végző adatkezelőkre nézve, akik nem feltétlenül olyan méretűek, vagy nem feltétlenül rendelkeznek olyan technikai és emberi erőforrásokkal, amelyek e követelmények teljesítéséhez megfelelőek. E rendelkezések ugyanis nem akadályozhatják az ugyanezen rendelet 9. cikke (2) bekezdésének h) pontjában kifejezetten előírt és e cikk (3) bekezdésében szabályozott adatkezelési engedély hatékony érvényesülését. |
68 |
Végezetül hangsúlyozni kell, hogy a GDPR 32. cikke (1) bekezdésének a) és b) pontja értelmében, amely az integritás és a bizalmas jelleg e rendelet 5. cikke (1) bekezdésének f) pontjában szereplő elveit konkretizálja, minden személyesadat‑kezelőnek megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve különösen az ilyen adatok álnevesítését és titkosítását, valamint az olyan eszközöket, amelyek biztosítják többek között az adatkezelési rendszerek és szolgáltatások bizalmas jellegét és integritását. E kötelezettség gyakorlati szabályainak meghatározásához az adatkezelőnek e 32. cikk (1) bekezdése szerint figyelembe kell vennie a tudomány és technológia állását és a megvalósítás költségeit, továbbá az adatkezelés jellegét hatókörét, körülményeit és céljait, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázatot. |
69 |
A kérdést előterjesztő bíróságnak kell azonban értékelnie, hogy az MDK Nordrhein által a jelen ügyben végrehajtott technikai és szervezeti intézkedések összessége megfelel‑e a GDPR 32. cikke (1) bekezdésének a) és b) pontjában foglalt előírásoknak. |
70 |
A második kérdésre tehát azt a választ kell adni, hogy a GDPR 9. cikkének (3) bekezdését úgy kell értelmezni, hogy az egészségügyi adatok kezelését az e rendelet 9. cikke (2) bekezdésének h) pontja alapján végző adatkezelő e rendelkezések szerint nem köteles biztosítani, hogy az érintett egyetlen munkatársa se férhessen hozzá az érintett egészségi állapotára vonatkozó adatokhoz. Az ilyen adatkezelőnek azonban fennállhat ilyen kötelezettsége akár az említett rendelet 9. cikkének (4) bekezdése alapján elfogadott tagállami szabályozás alapján, akár az integritásnak és a bizalmas jellegnek az ugyanezen rendelet 5. cikke (1) bekezdésének f) pontjában előírt, és az e rendelet 32. cikke (1) bekezdésének a) és b) pontjában konkretizált elve alapján. |
A harmadik kérdésről
71 |
A kérdést előterjesztő bíróság a harmadik kérdésével lényegében arra vár választ, hogy a GDPR 9. cikke (2) bekezdésének h) pontját és 6. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy ahhoz, hogy az egészségügyi adatoknak az ezen első rendelkezésen alapuló kezelése jogszerű legyen, annak nemcsak az e rendelkezésből eredő követelményeket kell tiszteletben tartania, hanem az e 6. cikk (1) bekezdésében meghatározott jogszerűségi feltételek legalább egyikének is meg kell felelnie. |
72 |
E tekintetben emlékeztetni kell arra, hogy a GDPR 5., 6. és 9. cikke e rendelet „Elvek” című II. fejezetében szerepel, és azok a személyes adatok kezelését érintő elvekre, az adatkezelés jogszerűségére, és a személyes adatok különleges kategóriáinak kezelésére vonatkoznak. |
73 |
Ezenkívül rá kell mutatni arra, hogy a GDPR (51) preambulumbekezdése kifejezetten úgy fogalmaz, hogy az e rendelet 9. cikkének (2) és (3) bekezdésében meghatározott, „különösen érzékeny” adatok kezelésére vonatkozó „konkrét előírásokon kívül” – a tagállamok által az e cikk (4) bekezdése alapján esetlegesen elfogadott intézkedések sérelme nélkül – „[az ilyen adatkezelésre] az [említett] rendelet általános elveit és egyéb szabályait kell alkalmazni, különösen a jogszerű adatkezelés feltételei tekintetében”, amelyeket ugyanezen rendelet 6. cikke tartalmaz. |
74 |
Így a GDPR 6. cikke (1) bekezdésének első albekezdése szerint a „különösen érzékeny” adatok – például az egészségügyi adatok – kezelése csak akkor jogszerű, ha az e (1) bekezdés első albekezdésének a)–f) pontjában meghatározott feltételek legalább egyike teljesül. |
75 |
Márpedig az általános adatvédelmi rendelet 6. cikke (1) bekezdésének első albekezdése kimerítő és korlátozó jelleggel sorolja fel azokat az eseteket, amelyekben a személyes adatok kezelése jogszerűnek tekinthető. Így ahhoz, hogy azt jogszerűnek lehessen tekinteni, az adatkezelésnek az e rendelkezésben előírt esetek valamelyikébe kell tartoznia (2023. július 4‑iMeta Platforms és társai [Közösségi hálózat általános felhasználási feltételei] ítélet, C‑252/21, EU:C:2023:537, 90. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
76 |
Következésképpen a Bíróság több alkalommal megállapította, hogy a személyes adatok bármely kezelésének meg kell felelnie a GDPR 5. cikkének (1) bekezdésében foglalt, az adatkezelésre vonatkozó elveknek, és meg kell felelnie az említett rendelet 6. cikkében felsorolt, az adatkezelés jogszerűségére vonatkozó feltételeknek (2023. május 4‑iBundesrepublik Deutschland [Elektronikus igazságügyi fiók] ítélet, C‑60/22, EU:C:2023:373, 57. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
77 |
Ezenfelül már megállapításra került, hogy mivel a GDPR 7–11. cikkének – amely a rendelet 5. és 6. cikkéhez hasonlóan e rendeletnek az elvekre vonatkozó II. fejezetében szerepel – az a célja, hogy pontosítsa az adatkezelőt az említett rendelet 5. cikke (1) bekezdésének a) pontja és 6. cikkének (1) bekezdése alapján terhelő kötelezettségek terjedelmét, a személyes adatok kezelésének, ahhoz, hogy jogszerű legyen – ahogyan az a Bíróság ítélkezési gyakorlatából kitűnik –, az említett fejezet ezen egyéb rendelkezéseit is tiszteletben kell tartania, amelyek lényegében a hozzájárulásra, az érzékeny személyes adatok különleges kategóriáinak kezelésére, valamint a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelésére vonatkoznak (2023. május 4‑iBundesrepublik Deutschland [Elektronikus igazságügyi fiók] ítélet, C‑60/22, EU:C:2023:373, 58. pont, valamint az ott hivatkozott ítélkezési gyakorlat). |
78 |
Ebből különösen az következik, hogy mivel a GDPR 9. cikke (2) bekezdése h) pontjának célja az adatkezelőt az e rendelet 5. cikke (1) bekezdésének a) pontja és 6. cikkének (1) bekezdése alapján terhelő kötelezettségek terjedelmének pontosítása, az egészségügyi adatok ezen első rendelkezésen alapuló kezelésének ahhoz, hogy jogszerű legyen, tiszteletben kell tartania mind az e rendelkezésből eredő követelményeket, mind az e két utóbbi rendelkezésből eredő kötelezettségeket, és különösen meg kell felelnie az e 6. cikk (1) bekezdésében előírt jogszerűségi feltételek legalább egyikének. |
79 |
A fentiekre tekintettel a harmadik kérdésre azt a választ kell adni, hogy a GDPR 9. cikke (2) bekezdésének h) pontját és 6. cikkének (1) bekezdését úgy kell értelmezni, hogy ahhoz, hogy az egészségügyi adatoknak az ezen első rendelkezésen alapuló kezelése jogszerű legyen, annak nemcsak az e rendelkezésből eredő követelményeket kell tiszteletben tartania, hanem az e 6. cikk (1) bekezdésében meghatározott jogszerűségi feltételek legalább egyikének is meg kell felelnie. |
A negyedik kérdésről
80 |
A kérdést előterjesztő bíróság a negyedik kérdésével lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy az e rendelkezésben előírt kártérítéshez való jog nemcsak kompenzációs, hanem visszatartó vagy büntető funkciót is betölt, és igenlő válasz esetén ezen utóbbit esetlegesen figyelembe kell‑e venni a nem vagyoni kár megtérítéseként e rendelkezés alapján megítélt kártérítés összegének meghatározásakor. |
81 |
Emlékeztetni kell arra, hogy a GDPR 82. cikkének (1) bekezdése értelmében „[m]inden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult”. |
82 |
A Bíróság e rendelkezést úgy értelmezte, hogy a GDPR puszta megsértése nem elegendő a kártérítéshez való jog megalapozásához, miután kiemelte többek között, hogy a „kár” vagy az „elszenvedett kár” megléte az e 82. cikk (1) bekezdésében említett kártérítéshez való jog egyik feltételét képezi, akárcsak e rendelet megsértésének a fennállása, valamint az e kár és az e jogsértés közötti okozati kapcsolat megléte, mivel e három feltétel kumulatív (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 32. és 42. pont). |
83 |
A Bíróság ezenfelül megállapította, hogy mivel a GDPR nem tartalmaz olyan rendelkezést, amelynek az lenne a célja, hogy meghatározza az azon kártérítés megítélésére vonatkozó szabályokat, amely az e rendelet 82. cikkében előírt kártérítési jog címén fizetendő, a nemzeti bíróságoknak ehhez az eljárási autonómia elve alapján az egyes tagállamoknak a pénzbeli kártérítés mértékére vonatkozó belső szabályait kell alkalmazniuk, amennyiben tiszteletben tartják az egyenértékűségnek és a tényleges érvényesülésnek a Bíróság állandó ítélkezési gyakorlatában meghatározott uniós jogi elvét (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 53., 54. és 59. pont). |
84 |
Ebben az összefüggésben, és tekintettel a GDPR (146) preambulumbekezdésének hatodik mondatára, amely szerint ez az eszköz a „teljes és tényleges kártérítés” biztosítását célozza, a Bíróság rámutatott arra, hogy figyelembe véve a GDPR 82. cikkében megállapított kártérítéshez való jog kompenzációs szerepét, az e rendelkezésen alapuló pénzbeli kártérítést „teljesnek és ténylegesnek” kell tekinteni, ha lehetővé teszi az e rendelet megsértése miatt konkrétan elszenvedett kár teljes egészében való kompenzálását, anélkül hogy az ilyen teljes egészében való kompenzáláshoz szükséges lenne büntető jellegű kártérítést előírni (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 57. és 58. pont). |
85 |
E tekintetben hangsúlyozni kell, hogy a GDPR 82. cikke nem büntető, hanem kompenzációs funkciót tölt be, ellentétben e rendelet más, szintén annak VIII. fejezetében szereplő rendelkezéseivel, nevezetesen a 83. és a 84. cikkel, amelyeknek alapvetően büntető célja van, mivel lehetővé teszik közigazgatási bírságok, illetve egyéb szankciók kiszabását. Az említett 82. cikkben megállapított szabályok és az említett 83. és 84. cikkben megállapított szabályok közötti tagolás azt bizonyítja, hogy a rendelkezések e két csoportja eltérő, de azok a GDPR betartására való ösztönzés terén ki is egészítik egymást, és meg kell jegyzeni, hogy a mindenkit megillető kártérítéshez való jog az e rendelet által előírt védelmi szabályok működőképességét erősíti, és alkalmas arra, hogy visszatartson a jogellenes magatartások megismétlésétől (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 38. és 40. pont). |
86 |
Mivel a GDPR 82. cikkének (1) bekezdésében előírt kártérítéshez való jog nem tölt be a kérdést előterjesztő bíróság által mérlegelt visszatartó funkciót, és büntető funkciót még kevésbé sem, a rendeletnek az érintett kárt okozó megsértésének a súlyossága nem befolyásolhatja az e rendelkezés alapján megítélt kártérítés összegét, még akkor sem, ha nem vagyoni kárról van szó. Így ezen összeget nem lehet olyan szinten rögzíteni, amely meghaladja e kár teljes megtérítését. |
87 |
Következésképpen a negyedik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy az e rendelkezésben előírt kártérítéshez való jog kompenzációs funkciót – nem pedig visszatartó vagy büntető funkciót – tölt be, mivel az említett rendelkezésen alapuló pénzbeli kártérítésnek lehetővé kell tennie az e rendelet megsértése miatt konkrétan elszenvedett kár teljes megtérítését. |
Az ötödik kérdésről
88 |
A kérdést előterjesztő bíróság által a Bíróság eljárási szabályzatának 101. cikke alapján hozzá intézett felvilágosításkérésre válaszul megküldött információkból kitűnik, hogy az ötödik kérdés annak meghatározására irányul, hogy egyrészt a vétkesség fennállása és/vagy bizonyítéka az adatkezelő vagy az adatfeldolgozó felelősségének megállapításához szükséges feltételnek minősül‑e, és másrészt az adatkezelő vagy az adatfeldolgozó vétkességének súlyossági foka milyen hatással lehet az elszenvedett nem vagyoni kár megtérítéseként fizetendő kártérítés konkrét értékelésére. |
89 |
A kérdést előterjesztő bíróság e válaszára figyelemmel az ötödik kérdést úgy kell értelmezni, hogy az lényegében arra irányul, hogy egyrészt a GDPR 82. cikkét úgy kell‑e értelmezni, hogy az adatkezelő felelősségének megállapításához szükséges a vétkessége, és másrészt e vétkesség súlyossági fokát figyelembe kell‑e venni a nem vagyoni kár megtérítéseként e rendelkezés alapján megítélt kártérítés összegének meghatározásakor. |
90 |
E kérdés első részét illetően meg kell jegyezni, hogy – amint arra a jelen ítélet 82. pontja emlékeztetett – a GDPR 82. cikkének (1) bekezdése a kártérítéshez való jogot három tényező fennállásától teszi függővé, nevezetesen e rendelet megsértésének fennállásától, az elszenvedett kár fennállásától, valamint az e jogsértés és e kár közötti okozati összefüggés fennállásától. |
91 |
A GDPR 82. cikkének (2) bekezdése pedig azt írja elő, hogy az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. Márpedig e rendelkezés szövegének egyes nyelvi változatai – és többek között a jelen ügyben az eljárás nyelvének minősülő német nyelven megfogalmazott változat – alapján nem állapítható meg teljes bizonyossággal, hogy a szóban forgó jogsértés betudható‑e az adatkezelőnek oly módon, hogy a felelőssége megállapítható. |
92 |
E tekintetben a GDPR 82. cikke (2) bekezdése első mondata különböző nyelvi változatainak elemzéséből kitűnik, hogy vélelmezni kell, hogy az adatkezelő részt vett az e rendelet megsértését jelentő adatkezelésben. Míg ugyanis a német, a francia vagy a finn nyelvi változat nyitottan van megfogalmazva, néhány más nyelvi változat pontosabbnak bizonyul, és az „adatkezelés” kifejezés harmadik előfordulása vagy az e kifejezésre való harmadik hivatkozás tekintetében mutató determinánst használ, így egyértelmű, hogy e harmadik előfordulás vagy hivatkozás ugyanarra a műveletre utal, mint e kifejezés második előfordulása. Ez a helyzet a spanyol, az észt, a görög, az olasz vagy a román nyelvi változat esetében. |
93 |
A GDPR 82. cikkének (3) bekezdése e tekintetben pontosítja, hogy az adatkezelő mentesül az e 82. cikk (2) bekezdése szerinti felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség. |
94 |
Ily módon a GDPR 82. cikke e különböző rendelkezéseinek együttes elemzéséből kitűnik, hogy e cikk vétkességen alapuló felelősségi rendszert ír elő, amelyben a bizonyítási teher nem a kárt elszenvedő személyt, hanem az adatkezelőt illeti meg. |
95 |
Ezt az értelmezést erősíti meg az a kontextus, amelybe e 82. cikk illeszkedik, valamint az uniós jogalkotó által a GDPR‑rel elérni kívánt célok. |
96 |
E tekintetben először is a GDPR 24. és 32. cikkének szövegéből kitűnik, hogy e rendelkezések annak előírására szorítkoznak, hogy az adatkezelőnek olyan technikai és szervezési intézkedéseket kell elfogadnia, amelyek célja, amennyire csak lehetséges, a személyes adatok bármely sérelmének elkerülése. Az ilyen intézkedések megfelelőségét konkrétan kell értékelni, megvizsgálva, hogy az adatkezelő ezen intézkedéseket az említett cikkekben szereplő különböző kritériumokat és az érintett adatkezelés sajátos adatvédelmi szükségleteit, valamint az ezen adatkezelésből eredő kockázatokat figyelembe véve hajtotta‑e végre (lásd ebben az értelemben: 2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C-340/21, EU:C:2023:986, 30. pont). |
97 |
Márpedig ez a kötelezettség kétségessé válna, ha az adatkezelő ezt követően köteles lenne megtéríteni a GDPR‑t sértő adatkezelés által okozott valamennyi kárt. |
98 |
Másodszor, ami az általános adatvédelmi rendelet célkitűzéseit illeti, e rendelet (4)–(8) preambulumbekezdéséből kitűnik, hogy e rendelet a személyes adatok kezelőinek érdekei és azon személyek jogai közötti egyensúly megteremtésére irányul, akiknek az ilyen adatait kezelik. A cél az adatközpontú gazdaság fejlődésének az egyének magas szintű védelmének biztosítása mellett való lehetővé tétele. Ez tehát az adatkezelő és az azon személyek érdekei közötti egyensúly megteremtése, akiknek a személyes adatait kezelik. Márpedig a vétkességen alapuló felelősségi mechanizmus, amelyhez a bizonyítási teher megfordítása társul, amint azt a GDPR 82. cikke előírja, éppen az ilyen egyensúly biztosítását teszi lehetővé. |
99 |
Egyrészt, amint azt a főtanácsnok az indítványának 93. pontjában lényegében megjegyezte, az ilyen magas szintű védelem céljának nem felelne meg az olyan értelmezés, amely szerint a GDPR megsértése miatt kárt szenvedett érintetteknek a GDPR 82. cikkén alapuló kártérítési kereset keretében nem csupán e jogsértés és az abból eredő káruk fennállását kell bizonyítaniuk, hanem az adatkezelő szándékosságát vagy gondatlanságát, vagy akár e vétkesség súlyossági fokát is, jóllehet az említett 82. cikk nem fogalmaz meg ilyen követelményeket (lásd analógia útján: 2023. december 14‑iNatsionalna agentsia za prihodite ítélet, C 340/21, EU:C:2023:986, C‑340/21, EU**, 56. pont). |
100 |
Másrészt az objektív felelősségi rendszer nem biztosítaná a jogbiztonságnak a jogalkotó által a GDPR (7) preambulumbekezdésének tanúsága szerint kitűzött céljának a megvalósítását. |
101 |
Az ötödik kérdésnek a GDPR 82. cikke alapján esetlegesen fizetendő kártérítés összegének meghatározására vonatkozó második részét illetően emlékeztetni kell arra, hogy – amint azt a Bíróság a jelen ítélet 83. pontjában hangsúlyozta – e kártérítés értékeléséhez a nemzeti bíróságoknak az egyes tagállamoknak a pénzbeli kártérítés mértékére vonatkozó belső szabályait kell alkalmazniuk, amennyiben tiszteletben tartják az egyenértékűségnek és a tényleges érvényesülésnek a Bíróság állandó ítélkezési gyakorlatában meghatározott uniós jogi elvét. |
102 |
Pontosítani kell, hogy a GDPR 82. cikke – a kompenzációs funkciójára tekintettel – nem írja elő, hogy a rendeletnek az adatkezelő által vélelmezetten elkövetett megsértésének a súlyossági fokát a nem vagyoni kár megtérítéseként e rendelkezés alapján megítélt kártérítés összegének meghatározásakor figyelembe vegyék, hanem azt követeli meg, hogy ezen összeg oly módon kerüljön megállapításra, hogy az teljes mértékben kompenzálja az említett rendelet megsértése miatt konkrétan elszenvedett kárt, amint az a jelen ítélet 84. és 87. pontjából kitűnik. |
103 |
Következésképpen az ötödik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkét úgy kell értelmezni, hogy egyrészt az adatkezelő felelősségének megállapításához szükséges a vétkessége, amelyet vélelmezni kell, kivéve ha ezen utóbbi bizonyítja, hogy a kárt okozó esemény neki semmilyen módon nem róható fel, és másrészt e rendelkezés nem követeli meg e vétkesség súlyossági fokának a nem vagyoni kár megtérítéseként e rendelkezés alapján megítélt kártérítés összegének meghatározásakor való figyelembevételét. |
A költségekről
104 |
Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg. |
A fenti indokok alapján a Bíróság (harmadik tanács) a következőképpen határozott: |
|
|
|
|
|
Aláírások |
( *1 ) Az eljárás nyelve: német.