I.
C-182/22, C-189/22. sz. Scalable Capital egyesített ügyekben 2024. június 20-án hozott ítélet
1) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 82. cikkének (1) bekezdését
a következőképpen kell értelmezni:
az e rendelkezésben előírt kártérítéshez való jog kizárólag kompenzációs funkciót tölt be, amennyiben az említett rendelkezésen alapuló pénzbeli kártérítésnek lehetővé kell tennie az elszenvedett kár teljes megtérítését.
2) A 2016/679 rendelet 82. cikkének (1) bekezdését
a következőképpen kell értelmezni:
az nem követeli meg, hogy e rendelet adatkezelő általi megsértésének súlyossági fokát és esetleges szándékosságát figyelembe vegyék az e rendelkezés alapján megítélendő kártérítés szempontjából.
3) A 2016/679 rendelet 82. cikkének (1) bekezdését
a következőképpen kell értelmezni:
a nem vagyoni kár megtérítéséhez való jog címén járó kártérítés összegének meghatározása keretében úgy kell tekinteni, hogy az adatvédelmi incidens által okozott ilyen kár jellegénél fogva nem kevésbé jelentős, mint az egészségkárosodás.
4) A 2016/679 rendelet 82. cikkének (1) bekezdését
a következőképpen kell értelmezni:
olyan kár megállapítása esetén, amely nem súlyos, a nemzeti bíróság megítélhet csekély kártérítést az érintettnek, amennyiben e kártérítés lehetővé teszi az elszenvedett kár teljes megtérítését.
5) A 2016/679 rendelet 82. cikkének (1) bekezdését e rendelet (75) és (85) preambulumbekezdésével összefüggésben
a következőképpen kell értelmezni:
ahhoz, hogy megállapítható legyen a „személyazonosság-lopás” fogalma és e rendelkezés alapján nem vagyoni kártérítésre való jogosultság keletkezzen, e fogalom feltételezi, hogy a személyes adatok ellopásával érintett személy személyazonosságával egy harmadik személy ténylegesen visszaél. A személyes adatok ellopásával okozott nem vagyoni kárnak az említett rendelkezés alapján történő megtérítése ugyanakkor nem korlátozható azokra az esetekre, amelyekben bizonyítást nyer, hogy az ilyen adatlopás ezt követően személyazonosság-lopáshoz vagy azzal való visszaéléshez vezetett.
1 Az előzetes döntéshozatal iránti kérelmek a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet, HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 82. cikkének értelmezésére vonatkoznak.
2 E kérelmeket a JU, illetve SO, valamint a Scalable Capital GmbH között azon nem vagyoni kár megtérítése tárgyában folyamatban lévő két jogvita keretében terjesztették elő, amely JU és SO állítása szerint az e társaság által kezelt kereskedési alkalmazáson rögzített személyes adataik ismeretlen személyazonosságú harmadik személyek általi ellopása miatt érte őket.
Az alapeljárás
6 A német jog szerinti Scalable Capital társaság „trading app”-ot (kereskedési alkalmazás) működtet, amelyen az alapeljárás felperesei, JU és SO számlát nyitottak. E célból ez utóbbiak a saját számlájukon személyes adatokat rögzítettek, így többek között a nevüket, születési idejüket, postacímüket, elektronikus levelezési címüket, valamint személyazonosító igazolványuk digitális másolatát. Az alapeljárás felperesei átutalták az e számlák megnyitásához szükséges több ezer eurót.
7 2020-ban ismeretlen harmadik személyek megszerezték az alapeljárás felpereseinek személyes adatait, valamint értékpapír-portfóliójukra vonatkozó adatokat. A Scalable Capital szerint az említett személyes adatokat még nem használták fel csalárd módon.
8 Az alapeljárás felperesei e körülmények között keresetet indítottak az Amtsgericht München (müncheni helyi bíróság, Németország), a kérdést előterjesztő bíróság előtt azon nem vagyoni kár megtérítése iránt, amely állításuk szerint személyes adataik ellopása miatt érte őket.
9 Először is, az előterjesztő bíróság kérdései abból erednek, hogy a német bíróságok megközelítései eltérnek az ilyen helyzetben megítélendő kártérítés megállapítása tekintetében. Emiatt az alapügyben szóban forgóhoz hasonló esetekben megítélt pénzbeli kártérítés összege jelentősen különbözik, különösen attól függően, hogy figyelembe vették-e az esetleges elrettentő hatást, vagy sem. A kérdést előterjesztő bíróság rámutat arra, hogy a jelen ügyben szóban forgó adatvesztés több tízezer személyt érint, ezért egységes értékelési módot kell alkalmazni.
10 Másodszor e bíróság a nem vagyoni kár értékelését illetően a német jogra támaszkodik, megkülönböztetve egymástól a „kompenzációs” és a „személyes elégtételi” funkciót. A kompenzációs funkció az állítólagos kár miatt elszenvedett, előre látható következmények ellensúlyozására irányul, míg a személyes elégtételi funkció az említett kár bekövetkezése miatti igazságtalanságérzés semlegesítésére irányul. Rámutat arra, hogy a német jogban ezen elégtételi funkciónak csak járulékos szerepe van, és megítélése szerint a jelen ügyben e funkció nem befolyásolja a felperesek által követelt kártérítés kiszámítását.
11 Harmadszor, a német jogban nincs olyan táblázat, amely meghatározná az egyes helyzetekben megítélendő, követelt kártérítés összegét. A meghozott egyedi határozatok nagy száma ugyanakkor lehetővé teszi egy olyan hivatkozható keret meghatározását, amely a kompenzációk rendszerezhetőségéhez vezet. E tekintetben a német jogrendben a személyiségi jogok megsértésének kompenzálására csak akkor ítélhető meg pénzbeli kártérítés, ha e jogsértés különösen súlyos. A testi sérülések kompenzációja esetén objektivizálhatóbb a pénzbeli értékelés. A kérdést előterjesztő bíróság véleménye szerint ezért az adatvesztés kevésbé súlyos, mint a fizikai sérülés.
12 Negyedszer a kérdést előterjesztő bíróság arra keresi a választ, hogy lehet-e csekély összegű, jelképesnek tekinthető kártérítést megítélni abban az esetben, ha a GDPR megsértése miatt bekövetkezett kár minimális.
13 Ötödsorban megjegyzi, hogy az alapeljárás felei eltérően értelmezik a „személyazonosság-lopás” fogalmát. E tekintetben úgy véli, hogy csak akkor áll fenn személyazonosság-lopás, ha a jogellenesen szerzett adatokat a harmadik személy az érintett személyazonosságával való visszaélés céljából használja fel.
14 E körülmények között az Amtsgericht München (müncheni helyi bíróság) a C-182/22. és a C-189/22. sz. ügyben úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő, a két ügyben egyformán megfogalmazott kérdéseket terjeszti a Bíróság elé.
Az előzetes döntéshozatalra előterjesztett kérdések
„1) Úgy kell-e értelmezni [a GDPR] 82. cikkét, hogy a kártérítési igénynek még az összeg megállapítása során sincs szankciós jellege, különösen nincs általános vagy egyedi elrettentő funkciója, hanem a kártérítési igénynek csak kompenzációs és esetleg elégtételi funkciója van?
2) A nem vagyoni kártérítési igény értékelése során abból az értelmezésből kell-e kiindulni, hogy a kártérítéshez való jognak van egy egyéni elégtételi funkciója is – jelen esetben a károsult magánszférájába tartozó azon érdekként értve, hogy a károkozó magatartás szankcionálását láthassa –, vagy a kártérítéshez való jognak csak kompenzációs funkciója van, ami alatt jelen esetben az elszenvedett sérelmek kompenzálásának funkcióját kell érteni?
Amennyiben úgy kell tekinteni, hogy a nem vagyoni kártérítéshez való jognak kompenzációs és elégtételi funkciója is van: az értékelés során abból kell-e kiindulni, hogy a kompenzációs funkciónak rendszertani vagy legalábbis főszabály-kivétel viszony szempontjából elsőbbséget kell tulajdonítani az elégtételi funkcióval szemben? Ez azt jelenti-e, hogy az elégtételi funkció csak szándékos vagy súlyosan gondatlan jogsértések esetén jöhet szóba? Ha a nem vagyoni kártérítési igénynek nincs elégtételi funkciója: az értékelés során csak az okozati közrehatásként értékelendő szándékos vagy súlyos gondatlanságból elkövetett adatvédelmi incidenseknek van nagyobb súlyuk?
Ha a nem vagyoni kártérítési igénynek nincs elégtételi funkciója: az értékelés során csak az okozati közrehatásként értékelendő szándékos vagy súlyos gondatlanságból elkövetett adatvédelmi incidenseknek van nagyobb súlyuk?
3) A nem vagyoni kártérítési igény értékelése során ki lehet-e indulni abból az értelmezésből, hogy létezik egy olyan rendszerszintű vagy legalábbis olyan főszabály-kivétel viszonyon alapuló hierarchia, amely alapján a személyes adatok védelméhez való jog megsértéséből eredő sérelem megélését kisebb súlyúnak kell értékelni, mint a testi sértéssel együtt járó sérülés és fájdalom érzését?
4) Kár megállapítása esetén a súlyosság hiányára tekintettel van-e lehetősége a nemzeti bíróságnak egy összegszerűségében a csekély mértéket meg nem haladó és így az ügy körülményeihez képest a károsult által vagy általánosságban véve is jelképesnek tekintett kártérítést megítélni?
5) A nem vagyoni kártérítés következményeinek megítélése során abból az értelmezésből kell-e kiindulni, hogy a [GDPR] (75) preambulumbekezdése értelmében vett személyazonosság-lopás csak akkor valósul meg, ha az elkövető ténylegesen felvette az érintett személyazonosságát, azaz valamilyen formában az érintettnek adta ki magát, vagy az ilyen személyazonosság-lopás már azáltal is bekövetkezik, hogy az elkövetők immár olyan adatokkal rendelkeznek, amelyekkel az érintett azonosíthatóvá válik?”
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az első kérdésről és a második kérdés első részéről
21 Első kérdésével és második kérdésének első részével, amelyeket együttesen kell megvizsgálni, az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell-e értelmezni, hogy az e rendelkezésben előírt kártérítéshez való jog kompenzációs funkciót tölt be, amennyiben az említett rendelkezésen alapuló pénzbeli kártérítésnek lehetővé kell tennie az e rendelet megsértése miatt elszenvedett kár teljes megtérítését, vagy olyan büntető funkciót is betölt, amely többek között az érintett személy egyéni érdekeinek kielégítésére irányul.
22 E tekintetben a Bíróság már megállapította, hogy a GDPR 82. cikke nem büntető, hanem kompenzációs funkciót tölt be, ellentétben e rendelet más, szintén annak VIII. fejezetében szereplő rendelkezéseivel, nevezetesen a 83. és a 84. cikkel, amelyeknek alapvetően büntető célja van, mivel lehetővé teszik közigazgatási bírságok, illetve egyéb szankciók kiszabását. A 82. cikkben megállapított szabályok és a 83. és 84. cikkben megállapított szabályok egymáshoz való viszonya azt bizonyítja, hogy van némi eltérés a rendelkezések e két csoportja között, de ugyanakkor egymást kiegészítő jelleg is a GDPR betartására való ösztönzés terén, megjegyezve, hogy a mindenkit megillető kártérítéshez való jog az e rendelet által előírt védelmi szabályok működőképességét erősíti, és alkalmas arra, hogy visszatartson a jogellenes magatartások megismétlésétől (lásd különösen: 2023. május 4-i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C-300/21, EU:C:2023:370, 38. és 40. pont; 2024. április 11-i juris ítélet, C-741/21, EU:C:2024:288, 59. pont).
23 Ezért a GDPR 82. cikkének (1) bekezdését a Bíróság úgy értelmezte, hogy az e rendelkezésben – különösen nem vagyoni kár esetén – biztosított kártérítéshez való jog kizárólag kompenzációs funkciót és nem büntető funkciót tölt be, mivel az említett rendelkezésen alapuló pénzbeli kártérítésnek lehetővé kell tennie az e rendelet megsértése következtében ténylegesen elszenvedett kár teljes megtérítését (lásd ebben az értelemben: 2023. május 4-i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C-300/21, EU:C:2023:370, 57. és 58. pont; 2024. április 11-i juris ítélet, C-741/21, EU:C:2024:288, 61. pont).
24 Következésképpen az első kérdésre és a második kérdés első részére azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy az e rendelkezésben előírt kártérítéshez való jog kizárólag kompenzációs funkciót tölt be, amennyiben az említett rendelkezésen alapuló pénzbeli kártérítésnek lehetővé kell tennie az elszenvedett kár teljes megtérítését.
A második kérdés második részéről
25 Az első kérdésre és a második kérdés első részére adott válaszra tekintettel a második kérdés második részére nem szükséges válaszolni.
A második kérdés harmadik részéről
26 Második kérdésének harmadik részével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell-e értelmezni, hogy az megköveteli, hogy e rendelet adatkezelő általi megsértésének súlyossági fokát és esetleges szándékosságát figyelembe vegyék az e rendelkezés alapján megítélendő kártérítés szempontjából.
27 Ami a GDPR 82. cikke alapján esetlegesen járó kártérítés vizsgálatát illeti, mivel az említett rendelet nem tartalmaz erre vonatkozó rendelkezést, a nemzeti bíróságoknak kell e vizsgálat során az egyes tagállamoknak a pénzbeli kártérítés mértékére vonatkozó belső szabályait alkalmazniuk, amennyiben azok tiszteletben tartják az uniós jog egyenértékűségének és tényleges érvényesülésének elvét (lásd ebben az értelemben: 2023. május 4-i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C-300/21, EU:C:2023:370, 53., 54. és 59. pont; 2024. január 25-i MediaMarktSaturn ítélet, C-687/21, EU:C:2024:72, 53. pont).
28 Hangsúlyozni kell azonban, hogy egyrészt az adatkezelő GDPR 82. cikke szerinti felelősségének megállapításához szükséges a vétkessége, amelyet vélelmezni kell, kivéve ha ezen utóbbi bizonyítja, hogy a kárt okozó esemény neki semmilyen módon nem róható fel, és másrészt e 82. cikk nem követeli meg e vétkesség súlyossági fokának a nem vagyoni kár megtérítéseként e rendelkezés alapján megítélt kártérítés összegének meghatározásakor való figyelembevételét (lásd: 2023. december 21-i ítélet, Krankenversicherung Nordrhein ítélet, C-667/21, EU:C:2023:1022, 103. pont; 2024. január 25-i MediaMarktSaturn ítélet, C-687/21, EU:C:2024:72, 52. pont).
29 Ezenkívül a GDPR 82. cikkének (1) bekezdésében előírt kártérítéshez való jog kizárólagosan kompenzációs funkciója kizárja, hogy a nem vagyoni kár megtérítéseként az említett rendelkezés alapján megítélendő kártérítés összegének meghatározása során figyelembe vegyék e rendelet adatkezelő általi vélelmezett megsértésének esetlegesen szándékos jellegét. Ezt az összeget azonban úgy kell meghatározni, hogy az teljes egészében kompenzálja az e rendelet megsértése miatt konkrétan elszenvedett kárt (lásd analógia útján: 2023. december 21-i Krankenversicherung Nordrhein ítélet, C-667/21, EU:C:2023:1022, 102. pont; 2024. január 25-i MediaMarktSaturn ítélet, C-687/21, EU:C:2024:72, 54. pont).
30 A fenti indokokra tekintettel a második kérdés harmadik részére azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy az nem követeli meg, hogy e rendelet adatkezelő általi megsértésének súlyossági fokát és esetleges szándékosságát figyelembe vegyék az e rendelkezés alapján megítélendő kártérítés szempontjából.
A harmadik kérdésről
31 Harmadik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell-e értelmezni, hogy a nem vagyoni kár megtérítéséhez való jog címén járó kártérítés összegének meghatározása keretében úgy kell tekinteni, hogy az adatvédelmi incidens által okozott nem vagyoni kár jellegénél fogva kevésbé jelentős, mint az egészségkárosodás.
32 E tekintetben emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlat szerint az adott területre vonatkozó uniós szabályozás hiányában a jogalanyok számára biztosított jogok védelmének garantálására irányuló bírósági felülvizsgálatra vonatkozó eljárási szabályok meghozatala az eljárási autonómia elve alapján az egyes tagállamok belső jogrendjére tartozik, azzal a feltétellel azonban, hogy e szabályok nem lehetnek kedvezőtlenebbek a hasonló jellegű belső jogi helyzetekre vonatkozókhoz képest (az egyenértékűség elve), és nem tehetik gyakorlatilag lehetetlenné vagy rendkívül nehézzé az uniós jog által biztosított jogok gyakorlását (a tényleges érvényesülés elve) (lásd ebben az értelemben: 2017. december 13-i El Hassani ítélet, C-403/16, EU:C:2017:960, 26. pont; 2023. május 4-i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C-300/21, EU:C:2023:370, 53. pont).
33 A jelen esetben hangsúlyozni kell, hogy a GDPR nem tartalmaz olyan rendelkezést, amelynek az lenne a célja, hogy meghatározza az azon kártérítés megítélésére vonatkozó szabályokat, amelyet az e rendelet 4. cikkének 1. pontja értelmében vett érintettek a rendelet 82. cikke alapján olyan esetben igényelhetnek, amikor az említett rendelet megsértése számukra kárt okoz. Ennélfogva, az adott területre vonatkozó uniós jogi szabályok hiányában az egyes tagállamok belső jogrendjére tartozik az azon keresetekre vonatkozó részletes szabályok meghatározása, amelyek azon jogok védelmének biztosítását szolgálják, amelyeket a jogalanyok a 82. cikkre alapítanak, és különösen az ennek keretében járó kártérítés terjedelmének meghatározását lehetővé tevő szempontok meghatározása, az egyenértékűség és a hatékony érvényesülés elveinek tiszteletben tartása mellett (2023. május 4-i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C-300/21, EU:C:2023:370, 54. pont).
34 Mivel a Bíróság rendelkezésére álló egyetlen irat sem utal arra, hogy az egyenértékűség elve releváns lehet a jelen alapeljárás keretében, a tényleges érvényesülés elvére kell összpontosítani. E tekintetben a kérdést előterjesztő bíróság feladata annak meghatározása, hogy a német jog által a GDPR 82. cikkében említett kártérítéshez való jog alapját képező károk bírósági meghatározása érdekében előírt részletes szabályok nem teszik-e a gyakorlatban lehetetlenné vagy túlságosan nehézzé az uniós jog, illetve konkrétan az e rendelet által biztosított jogok gyakorlását.
35 E tekintetben a jelen ítélet 23. pontjában felidézett ítélkezési gyakorlatból az következik, hogy tekintettel az e rendelet 82. cikkének (1) bekezdésében előírt kártérítéshez való jog kizárólagosan kompenzációs funkciójára, az e rendelkezésen alapuló pénzbeli kártérítést akkor kell „teljesnek és ténylegesnek” tekinteni, ha lehetővé teszi az említett rendelet megsértése miatt konkrétan elszenvedett kár teljes megtérítését.
36 E tekintetben a GDPR (146) preambulumbekezdése egyébiránt kimondja, hogy „[a] kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze e rendelet célkitűzéseit”, és „[a]z érintetteket az őket ért kárért teljes és tényleges kártérítés illeti meg.”
37 Arra is rá kell mutatni, hogy a GDPR (75) és (85) preambulumbekezdése, amely különböző, „fizikai, vagyoni vagy nem vagyoni károknak” minősíthető körülményeket határoz meg anélkül, hogy alá- és fölérendeltségi viszonyt állapítana meg közöttük, vagy utalna arra, hogy az adatvédelmi incidensből eredő sérelmek jellegüknél fogva kevésbé jelentősek, mint a testi sérülések.
38 Márpedig ha feltételeznénk, hogy az egészségkárosodás főszabály szerint jellegénél fogva jelentősebb, mint a nem vagyoni kár, az azzal a kockázattal járna, hogy megkérdőjeleződne az elszenvedett kár teljes és tényleges megtérítésének elve.
39 A fenti indokokra tekintettel a harmadik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy a nem vagyoni kár megtérítéséhez való jog címén járó kártérítés összegének meghatározása keretében úgy kell tekinteni, hogy az adatvédelmi incidens által okozott ilyen kár jellegénél fogva nem kevésbé jelentős, mint az egészségkárosodás.
A negyedik kérdésről
40 Negyedik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR 82. cikkének (1) bekezdését úgy kell-e értelmezni, hogy olyan kár megállapítása esetén, amely nem súlyos, a nemzeti bíróság megítélhet az érintettnek csekély, jelképesnek is tekinthető kártérítést.
41 Emlékeztetni kell arra, hogy az állandó ítélkezési gyakorlatból az következik, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy e rendelet egyszerű megsértése nem elegendő a kártérítéshez való jog megalapozásához, mivel a vagyoni vagy nem vagyoni „kár” vagy az „elszenvedett kár” megléte az említett 82. cikk (1) bekezdésében foglalt kártérítéshez való jog egyik feltételét képezi, akárcsak e rendelet megsértésének fennállása, valamint az e kár és az e jogsértés közötti okozati kapcsolat megléte, mivel e három feltétel együttes (2023. május 4-i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C-300/21, EU:C:2023:370, 32. pont; 2024. április 11-i juris ítélet, C-741/21, EU:C:2024:288, 34. pont).
42 Tehát az e rendelkezés alapján nem vagyoni kára megtérítését kérő személy nemcsak e rendelet rendelkezéseinek megsértését köteles bizonyítani, hanem azt is, hogy e jogsértés ilyen kárt okozott neki, e kár tehát nem vélelmezhető csupán az említett jogsértés bekövetkezése miatt (lásd ebben az értelemben: 2023. május 4-i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C-300/21, EU:C:2023:370, 42. és 50. pont; 2024. április 11-i juris ítélet, C-741/21, EU:C:2024:288, 35. pont).
43 Amennyiben a személy bizonyítani tudja, hogy a GDPR megsértése e rendelet 82. cikke értelmében kárt okozott neki, a jelen ítélet 33. pontjából lényegében az következik, hogy az a jogalanyokat e cikk alapján megillető jogok védelmének biztosítására szolgáló keresetek keretében megítélendő kártérítés értékelési szempontjait az egyes tagállami jogrendekben kell meghatározni úgy, hogy az ilyen kártérítés teljes és tényleges legyen.
44 A Bíróság e tekintetben kimondta, hogy a GDPR 82. cikkének (1) bekezdése nem követeli meg, hogy e rendelet rendelkezéseinek bizonyított megsértéséből következően az érintett által hivatkozott „nem vagyoni kárnak” el kell érnie egy „de minimis küszöbértéket” a kártérítéshez való jogosultsághoz (lásd ebben az értlemben: 2023. december 14-i Gemeinde Ummendorf ítélet, C-456/22, EU:C:2023:988, 18. pont).
45 E megfontolások azonban nem zárják ki azt, hogy a nemzeti bíróságok igen csekély összegű kártérítést ítélhessenek meg, amennyiben e kártérítés teljes mértékben megtéríti az említett kárt, amit a kérdést előterjesztő bíróságnak a jelen ítélet 43. pontjában felidézett elveket tiszteletben tartva kell megvizsgálnia.
46 A fenti indokokra tekintettel a negyedik kérdésre azt a választ kell adni, hogy a GDPR 82. cikkének (1) bekezdését úgy kell értelmezni, hogy olyan kár megállapítása esetén, amely nem súlyos, a nemzeti bíróság megítélhet csekély kártérítést az érintettnek, amennyiben e kártérítés lehetővé teszi az elszenvedett kár teljes megtérítését.
Az ötödik kérdésről
Az elfogadhatóságról
47 Írásbeli észrevételeiben az Európai Bizottság azt a kérdést vetette fel, hogy az ötödik kérdés releváns-e az alapjogviták eldöntése szempontjából, mivel megállapítja, hogy az előterjesztő bíróság nem hivatkozott az uniós jog egyetlen konkrét rendelkezésére sem.
48 E tekintetben az ötödik kérdés a GDPR (75) preambulumbekezdése értelmében vett „személyazonosság-lopás” fogalmára vonatkozik, és nem érinti kifejezetten e rendelet 82. cikkét. Azonban önmagában az, hogy a Bíróságnak elvont és általános értelemben kell döntenie, nem eredményezheti az előzetes döntéshozatal iránti kérelem elfogadhatatlanságát (2007. november 15-i International Mail Spain ítélet, C-162/06, EU:C:2007:681, 24. pont).
49 Az előterjesztő bíróság ugyanis azt kéri a Bíróságtól e kérdéssel, hogy értelmezze a GDPR (75) preambulumbekezdésében szereplő „személyazonosság-lopás” fogalmát a GDPR 82. cikke szerinti pénzbeli kártérítés összegének meghatározása érdekében. Az említett kérdés tehát igenis egy uniós jogi rendelkezésre vonatkozik. Ezen felül az e kérdésre adandó válasz azért is releváns, mert az előterjesztő bíróság és az alapeljárás felei nem értenek egyet e fogalomnak az alapügyekben elszenvedett kár értékelése céljából történő meghatározásában.
50 Ilyen körülmények között az ötödik kérdés elfogadható.
Az ügy érdeméről
51 Az állandó ítélkezési gyakorlat szerint a nemzeti bíróságok és a Bíróság között az EUMSZ 267. cikkel bevezetett együttműködési eljárás keretében a Bíróság feladata, hogy a nemzeti bíróságnak az előtte folyamatban lévő ügy eldöntéséhez érdemi választ adjon. Ennek érdekében adott esetben a Bíróságnak át kell fogalmaznia az elé terjesztett kérdéseket. A Bíróság ezenkívül figyelembe vehet olyan uniós jogi szabályokat, amelyekre a nemzeti bíróság kérdéseiben nem hivatkozott (2023. szeptember 7-i Groenland Poultry ítélet, C-169/22, EU:C:2023:638, 47. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
52 A jelen ügyben az ötödik kérdés a GDPR 82. cikkének (1) bekezdése szerinti kártérítéshez való jogra, és különösen a GDPR (75) preambulumbekezdésében szereplő „személyazonosság-lopás” fogalmára vonatkozik. Márpedig meg kell állapítani, hogy e preambulumbekezdésen kívül e fogalom szerepel e rendelet (85) preambulumbekezdésében is.
53 Következésképpen meg kell állapítani, hogy ötödik kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a GDPR (75) és (85) preambulumbekezdésével összefüggésben úgy kell-e értelmezni e rendelet 82. cikkének (1) bekezdését, hogy ahhoz, hogy megállapítható legyen a „személyazonosság-lopás” fogalma és e rendelkezés alapján nem vagyoni kártérítésre való jogosultság keletkezzen, e fogalom feltételezi, hogy a személyes adatok ellopásával érintett személy személyazonosságával egy harmadik személy ténylegesen visszaél, vagy ilyen személyazonosság-lopásnak minősül, ha e harmadik személy olyan adatokkal rendelkezik, amelyek alapján az érintett azonosíthatóvá válik.
54 A GDPR nem határozza meg a személyazonosság-lopás fogalmát. A „személyazonosság-lopást” vagy az azzal való „visszaélést” azonban e rendelet (75) preambulumbekezdése a személyes adatok olyan feldolgozása következményeinek nem kimerítő felsorolásaként említi, amely fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek. Az említett rendelet (85) preambulumbekezdése a „személyazonosság-lopást” vagy az azzal való „visszaélést” ismét együttesen említi a személyes adatok megsértésével esetlegesen okozott fizikai, vagyoni vagy nem vagyoni károk felsorolásában.
55 Amint arra a főtanácsnok az indítványának 29. pontjában rámutatott, a GDPR (75) és (85) preambulumbekezdésének különböző nyelvi változataiban a „személyazonosság-lopás”, „személyazonossággal való visszaélés”, a „személyazonosság visszaélésszerű felhasználása”, a „személyazonosság jogosulatlan felhasználása” és a „személyazonosság bitorlása” kifejezések különbségtétel nélkül szerepelnek. Következésképpen a „személyazonosság-lopás” és az azzal való „visszaélés” fogalma felcserélhető egymással, és semmilyen különbséget sem lehet közöttük tenni. Az utóbbi két fogalom alapján vélelmezhető az olyan személy személyazonosságának kisajátítására irányuló szándék, akinek személyes adatait korábban ellopták.
56 Ezenfelül, amint arra a főtanácsnok az indítványának 30. pontjában szintén rámutatott, a GDPR (75) és (85) preambulumbekezdésében szereplő felsorolásokban említett különböző fogalmak közül a személyes adatok feletti „rendelkezés elvesztése”, illetve az azok feletti „rendelkezés” lehetetlensége különbözik a „személyazonosság-lopástól”, illetve az azzal való „visszaéléstől”. Ebből következik, hogy az ilyen adatokhoz való hozzáférés és az azok feletti ellenőrzés megszerzése, amely az adatok ellopásához hasonló, önmagában nem azonos a „személyazonosság-lopással” vagy az azzal való „visszaéléssel”. Másként fogalmazva, a személyes adatok ellopása önmagában nem minősül személyazonosság-lopásnak vagy azzal való visszaélésnek.
57 Mindazonáltal e tekintetben pontosítani kell, hogy a személyes adatok ellopásával okozott nem vagyoni kárnak a GDPR 82. cikkének (1) bekezdése alapján történő megtérítése nem korlátozható azokra az esetekre, amelyekben bizonyítást nyer, hogy az ilyen adatlopás ezt követően személyazonosság-lopáshoz vagy azzal való visszaéléshez vezetett. Az érintett személyes adatainak ellopása ugyanis a GDPR 82. cikkének (1) bekezdése alapján akkor keletkeztet jogot az elszenvedett nem vagyoni kár megtérítésére, ha az e rendelkezésben meghatározott három feltétel – nevezetesen a személyes adatoknak a GDPR rendelkezéseit sértő kezelése, az érintett által elszenvedett kár, és az e jogellenes kezelés és e kár közötti okozati kapcsolat – teljesül (lásd ebben az értelemben: 2023. május 4-i Österreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C-300/21, EU:C:2023:370, 32. és 36. pont).
58 Ezen indokok alapján az ötödik kérdésre azt a választ kell adni, hogy a GDPR (75) és (85) preambulumbekezdésével összefüggésben úgy kell értelmezni e rendelet 82. cikkének (1) bekezdését, hogy ahhoz, hogy megállapítható legyen a „személyazonosság-lopás” fogalma és e rendelkezés alapján nem vagyoni kártérítésre való jogosultság keletkezzen, e fogalom feltételezi, hogy a személyes adatok ellopásával érintett személy személyazonosságával egy harmadik személy ténylegesen visszaél. A személyes adatok ellopásával okozott nem vagyoni kárnak az említett rendelkezés alapján történő megtérítése ugyanakkor nem korlátozható azokra az esetekre, amelyekben bizonyítást nyer, hogy az ilyen adatlopás ezt követően személyazonosság-lopáshoz vagy azzal való visszaéléshez vezetett.