–

AT és VX képviseletében O. Leuze Rechtsanwalt,

–

a Gemeinde Ummendorf képviseletében A. Staudacher Rechtsanwalt,

–

Írország képviseletében M. Browne, A. Joyce és M. Tierney, meghatalmazotti minőségben, segítőjük: D. Fennelly BL,

–

az Európai Bizottság képviseletében A. Bouchagiar, M. Heller és H. Kranenborg, meghatalmazotti minőségben,

1

Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: általános adatvédelmi rendelet) 82. cikke (1) bekezdésének értelmezésére vonatkozik.

2

E kérelem előterjesztésére egyfelől két természetes személy, AT és VX, másfelől a Gemeinde Ummendorf (Ummendorf önkormányzata, Németország) között az általános adatvédelmi rendelet 82. cikkének (1) bekezdése alapján fájdalomdíj (pretium doloris) formájában azon kár megtérítésére vonatkozó jogvita keretében került sor, amely kár az alapeljárás felpereseit állításuk szerint abból fakadóan érte, hogy a hozzájárulásuk nélkül tették hozzáférhetővé személyes adataikat e település honlapján.

3

Az általános adatvédelmi rendelet (146) preambulumbekezdésének harmadik és hatodik mondata a következőképpen rendelkezik:

„Az adatkezelő vagy az adatfeldolgozó az e rendeletet sértő adatkezelés miatt okozott kárt köteles megtéríteni. […] A kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze e rendelet célkitűzéseit. […] Az érintetteket az őket ért kárért teljes és tényleges kártérítés illeti meg. […]”

4

E rendelet „A személyes adatok kezelésére vonatkozó elvek” című 5. cikkének a) pontja kimondja:

„A személyes adatok:

5

Az említett rendelet „A kártérítéshez való jog és a felelősség” című 82. cikkének (1) bekezdése értelmében:

„Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.”

6

2020. június 19‑én az alapeljárás alperese az alapeljárás felpereseinek hozzájárulása nélkül közzétette az interneten egy önkormányzati ülés napirendjét, amelyben többször is szerepelt az alapeljárás felpereseinek neve, valamint a Verwaltungsgericht Sigmaringen (sigmaringeni közigazgatási bíróság, Németország) 2020. március 10‑i ítéletét, amelyben ugyancsak szerepelt az alapeljárás felpereseinek vezeték‑ és utóneve, valamint lakcíme. E dokumentumok 2020. június 22‑ig hozzáférhetők voltak e település honlapjának kezdőlapján.

7

Az alapeljárás felperesei, mivel úgy vélték, hogy e közzététel sérti az általános adatvédelmi rendeletet, és hogy Ummendorf önkormányzata szándékosan járt el, mivel az említett ítélethez vezető eljárásban részt vevő többi fél nevét törölték, azt kérték az önkormányzattól, hogy térítse meg az őket e rendelet 82. cikkének (1) bekezdése értelmében ért nem vagyoni kárt. Az alapeljárás felperesei úgy vélik, hogy valamely személy személyes adatainak jogellenes közzététele az e rendelkezés értelmében vett „kárnak” minősül, anélkül, hogy „de minimis küszöbértékre” lehetne hivatkozni, ami ellentétes volna az általános adatvédelmi rendelet rendszerével és az említett rendelkezés visszatartó hatásával.

8

Ummendorf önkormányzata ezzel szemben úgy véli, hogy az általános adatvédelmi rendelet 82. cikkének (1) bekezdése értelmében vett „nem vagyoni kár” megtérítése megköveteli az érzékelhető hátrány és a személyes érdekek objektíve érzékelhető megsértésének bizonyítását.

9

A Landgericht Ravensburg (ravensburgi regionális bíróság, Németország), amelyhez az alapeljárás felei közötti jogvitában fellebbezést nyújtottak be, úgy véli, hogy Ummendorf önkormányzata az alapeljárás felperesei személyes adatainak interneten való közzétételével megsértette az általános adatvédelmi rendelet 5. cikke (1) bekezdésének a) pontját. E bíróságban ugyanakkor felmerül a kérdés, hogy ez a közzététel az e rendelet 82. cikkének (1) bekezdése értelmében vett nem vagyoni kárt okozott‑e az említett felpereseknek, így azok jogosultak az őket ért sérelem miatti kártérítésre.

10

Közelebbről, a kérdést előterjesztő bíróság úgy véli, hogy az alapeljárás felpereseinek személyes adatai feletti ellenőrzés egyszerű elvesztése nem elegendő az általános adatvédelmi rendelet 82. cikkének (1) bekezdése értelmében vett nem vagyoni kár megállapításához. E bíróság szerint a nem vagyoni kár fennállásának elismeréséhez meg kell haladni egy „de minimis küszöbértéket”, és ez nem valósul meg, ha az érintett személyek az adataik feletti ellenőrzést csak rövid ideig veszítették el anélkül, hogy ez érzékelhető hátrányt okozott volna nekik, és anélkül, hogy a személyes érdekeik objektíve érzékelhető megsértését bizonyították volna.

11

E körülmények között a Landgericht Ravensburg (ravensburgi regionális bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdést terjeszti a Bíróság elé:

„Úgy kell‑e értelmezni az [általános adatvédelmi rendelet] 82. cikkének (1) bekezdésében foglalt nem vagyoni kár fogalmát, hogy a nem vagyoni kár megállapításához érzékelhető hátrány és a személyes érdekek objektíve érzékelhető megsértése szükséges, vagy elegendő e tekintetben, hogy az érintett a személyes adatoknak az interneten történő néhány napos, az érintettre nézve érzékelhető, illetve hátrányos következményekkel nem járó közzététele miatt az adatai feletti rendelkezést csak rövid ideig veszíti el?”

12

Kérdésével a kérdést előterjesztő bíróság lényegében arra keres választ, hogy az általános adatvédelmi rendelet 82. cikkének (1) bekezdését úgy kell‑e értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás vagy nemzeti gyakorlat, amely az e rendelet megsértésével okozott nem vagyoni kár minősítése céljából „de minimis küszöbértéket” állapít meg.

13

E tekintetben emlékeztetni kell arra, hogy e rendelkezés értelmében „[m]inden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult”.

14

Ahogyan azt a Bíróság hangsúlyozta, az általános adatvédelmi rendelet 82. cikke (1) bekezdésének szövegéből kitűnik, hogy az „elszenvedett”„kár” fennállása képezi az e rendelkezésben előírt kártérítéshez való jog egyik feltételét, akárcsak e rendelet megsértésének, valamint e kár és e jogsértés közötti okozati összefüggésnek a fennállása, mivel e három feltétel kumulatív (2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 32. pont; a mai napon hozott Natsionalna agentsia za prihodite ítélet, C‑340/21, 77. pont). Ebből következik, hogy e három feltétel szükséges és elégséges ahhoz, hogy az említett rendelkezés értelmében vett kártérítéshez való jog fennálljon.

15

Tekintettel arra, hogy az általános adatvédelmi rendelet 82. cikkének (1) bekezdése egyáltalán nem utal a tagállamok belső jogára, a „nem vagyoni kár” e rendelkezés értelmében vett fogalmának az uniós jog saját fogalmaként önálló és egységes definíciót kell adni (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 30. és 44. pont).

16

Ebből a szempontból a Bíróság mind szó szerinti, mind rendszertani, mind teleológiai megfontolások alapján úgy értelmezte az általános adatvédelmi rendelet 82. cikkének (1) bekezdését, hogy azzal ellentétes az olyan nemzeti szabály vagy gyakorlat, amely az e rendelkezés értelmében vett „nem vagyoni kár” megtérítését annak a feltételnek rendeli alá, hogy az érintett által elszenvedett kárnak el kell érnie egy bizonyos súlyossági küszöböt (2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 51. pont; a mai napon hozott Natsionalna agentsia za prihodite ítélet, C‑340/21, 78. pont).

17

Így nem lehet úgy tekinteni, hogy a jelen ítélet 14. pontjában említett három feltételen felül az általános adatvédelmi rendelet 82. cikkének (1) bekezdésében előírt felelősség megállapításának egyéb feltételei is előírhatók, mint például a kár érzékelhető jellege vagy a sérelem objektív jellege.

18

Ebből következik, hogy az általános adatvédelmi rendelet 82. cikkének (1) bekezdése nem követeli meg, hogy e rendelet rendelkezéseinek bizonyított megsértéséből következően az érintett által hivatkozott „nem vagyoni kárnak” el kell érnie egy „de minimis küszöbértéket” ahhoz, hogy e kár megtérítésére sor kerülhessen.

19

Ezen értelmezést támasztja alá az általános adatvédelmi rendelet (146) preambulumbekezdésének harmadik mondata, amely szerint „a kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze [e rendelet] célkitűzéseit”. Márpedig a „kár” fogalmának az uniós jogalkotó által előnyben részesített e tág értelmezésének ellentmondana, ha az említett fogalom kizárólag bizonyos súlyú károkra korlátozódna, különösen azon időszak hosszát illetően, amelynek során az említett rendelet megsértésének hátrányos következményeit az érintett személyek elszenvedték (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 46. pont; a mai napon hozott Natsionalna agentsia za prihodite ítélet, C‑340/21, 81. pont).

20

Ezenkívül az ilyen értelmezés összhangban van az általános adatvédelmi rendelet egyik célkitűzésével, amely a személyes adatok Unión belüli feldolgozása tekintetében a természetes személyek egységes és magas szintű védelmének biztosítására irányul. Ugyanis a nem vagyoni kár megtérítésének egy bizonyos súlyossági küszöbnek való alárendelése az e rendelet által bevezetett rendszer koherenciája sérelmének kockázatával járna, mivel az ilyen küszöb fokozatainak meghatározása, amelytől az említett kártérítésben való részesülés lehetősége függene, az eljáró bíróságok értékelésétől függően változhatna (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 48. és 49. pont).

21

Azon személy, akit az általános adatvédelmi rendelet megsértéséből következően hátrányos következmények érnek, mindazonáltal köteles bizonyítani, hogy e következmények az e rendelet 82. cikke értelmében vett nem vagyoni kárt képeznek (lásd ebben az értelemben: 2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 50. pont; a mai napon hozott Natsionalna agentsia za prihodite ítélet, C‑340/21, 84. pont). E rendelet rendelkezéseinek puszta megsértése ugyanis nem elegendő a kártérítéshez való jog megalapozásához (2023. május 4‑iÖsterreichische Post [Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár] ítélet, C‑300/21, EU:C:2023:370, 42. pont).

22

E körülmények között, bár semmi nem zárja ki, hogy a személyes adatoknak az interneten való közzététele és az azok feletti ellenőrzés ebből következő, rövid időn keresztül történő elvesztése az érintettek számára az általános adatvédelmi rendelet 82. cikkének (1) bekezdése értelmében vett, kártérítésre jogosító „nem vagyoni kárt” okozzon, az is szükséges, hogy e személyek bizonyítsák, hogy ténylegesen ilyen kárt szenvedtek el, bármilyen minimális is legyen az.

23

A fenti indokokra tekintettel az előterjesztett kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 82. cikkének (1) bekezdését úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás vagy nemzeti gyakorlat, amely az e rendelet megsértésével okozott nem vagyoni kár minősítése céljából „de minimis küszöbértéket” állapít meg. Az érintett személynek bizonyítania kell, hogy az általa e jogsértés következtében elszenvedett következmények olyan kárnak minősülnek, amely különbözik az említett rendelet rendelkezéseinek egyszerű megsértésétől.

24

Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (harmadik tanács) a következőképpen határozott:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 82. cikkének (1) bekezdését

a következőképpen kell értelmezni:

azzal ellentétes az olyan nemzeti szabályozás vagy nemzeti gyakorlat, amely az e rendelet megsértésével okozott nem vagyoni kár minősítése céljából „de minimis küszöbértéket” állapít meg. Az érintett személynek bizonyítania kell, hogy az általa e jogsértés következtében elszenvedett következmények olyan kárnak minősülnek, amely különbözik az említett rendelet rendelkezéseinek egyszerű megsértésétől.