HOTĂRÂREA CURȚII (Camera a cincea)
14 martie 2024(*)
„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 58 alineatul (2) literele (d) și (g) – Competențele autorității de supraveghere a unui stat membru – Articolul 17 alineatul (1) – Dreptul la ștergerea datelor («dreptul de a fi uitat») – Ștergerea datelor cu caracter personal care au fost prelucrate ilegal – Competența autorității naționale de supraveghere de a da dispoziții operatorului de date sau persoanei împuternicite de operator să șteargă aceste date fără o cerere prealabilă a persoanei vizate”
În cauza C‑46/23,
având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Fővárosi Törvényszék (Curtea din Budapesta Capitală, Ungaria), prin decizia din 8 decembrie 2022, primită de Curte la 31 ianuarie 2023, în procedura
Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala
împotriva
Nemzeti Adatvédelmi és Információszabadság Hatóság,
CURTEA (Camera a cincea),
compusă din domnul E. Regan, președinte de cameră, domnii Z. Csehi, M. Ilešič (raportor), I. Jarukaitis și D. Gratsias, judecători,
avocat general: doamna L. Medina,
grefier: domnul A. Calot Escobar,
având în vedere procedura scrisă,
luând în considerare observațiile prezentate:
– pentru Nemzeti Adatvédelmi és Információszabadság Hatóság, de G. J. Dudás, ügyvéd;
– pentru guvernul maghiar, de Zs. Biró‑Tóth și M. Z. Fehér, în calitate de agenți;
– pentru guvernul spaniol, de A. Ballesteros Panizo, în calitate de agent;
– pentru guvernul austriac, de A. Posch, J. Schmoll și C. Gabauer, în calitate de agenți;
– pentru guvernul polonez, de B. Majczyna, în calitate de agent;
– pentru guvernul portughez, de P. Barros da Costa, J. Ramos și C. Vieira Guerra, în calitate de agenți;
– pentru Comisia Europeană, de A. Bouchagiar, C. Kovács și H. Kranenborg, în calitate de agenți,
având în vedere decizia de judecare a cauzei fără concluzii, luată după ascultarea avocatului general,
pronunță prezenta
Hotărâre
1 Cererea de decizie preliminară privește interpretarea articolului 58 alineatul (2) literele (c), (d) și (g) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, rectificare în JO 2018, L 127, p. 2) (denumit în continuare „RGPD”).
2 Această cerere a fost formulată în cadrul unui litigiu între Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (Consiliul municipal din Újpest, Sectorul IV din Budapesta‑Capitală, Ungaria) (denumit în continuare „consiliul din Újpest”), pe de o parte, și Nemzeti Adatvédelmi és Információszabadság Hatóság (Autoritatea Națională pentru Protecția Datelor și Libertatea Informațională, Ungaria) (denumită în continuare „autoritatea de supraveghere maghiară”), pe de altă parte, cu privire la o decizie prin care aceasta din urmă a dat dispoziții administrației din Újpest să șteargă date cu caracter personal care au fost prelucrate ilegal.
Cadrul juridic
3 Considerentele (1), (10) și (129) ale RGPD au următorul cuprins:
„(1) Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene […] și articolul 16 alineatul (1) [TFUE] prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.
[…]
(10) Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii [Europene], nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. […]
[…]
(129) Pentru a se asigura consecvența monitorizării și a aplicării prezentului regulament în întreaga Uniune, autoritățile de supraveghere ar trebui să aibă în fiecare stat membru aceleași sarcini și competențe efective, inclusiv competențe de investigare, competențe corective și sancțiuni, precum și competențe de autorizare și de consiliere, în special în cazul plângerilor depuse de persoane fizice, precum și, fără a aduce atingere competențelor autorităților de urmărire penală în temeiul dreptului intern, de a aduce în atenția autorităților judiciare cazurile de încălcare a prezentului regulament și de a se implica în proceduri judiciare. […]”
4 Articolele 1-4 figurează în capitolul I din RGPD, intitulat „Dispoziții generale”.
5 Potrivit articolului 1 din acest regulament, intitulat „Obiect și obiective”:
„(1) Prezentul regulament stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu caracter personal.
(2) Prezentul regulament asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și în special a dreptului acestora la protecția datelor cu caracter personal.
[…]”
6 Articolul 4 din regulamentul menționat, intitulat „Definiții”, prevede la punctele 2, 7 și 21:
„În sensul prezentului regulament:
[…]
2. «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
[…]
7. «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
[…]
21. «autoritate de supraveghere» înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 51;
[…]”
7 Capitolul II din RGPD, intitulat „Principii”, cuprinde printre altele articolul 5 din acesta, intitulat, la rândul său, „Principii legate de prelucrarea datelor cu caracter personal”, care prevede:
„(1) Datele cu caracter personal sunt:
(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată («legalitate, echitate și transparență»);
(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într‑un mod incompatibil cu aceste scopuri; […] («limitările legate de scop»);
(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate («reducerea la minimum a datelor»);
[…]
(2) Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”
8 În capitolul III din RGPD, intitulat „Drepturile persoanei vizate”, figurează articolul 17 din acest regulament, intitulat „Dreptul la ștergerea datelor («dreptul de a fi uitat»)”, care prevede la alineatul (1):
„Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:
(a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
(b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), și nu există niciun alt temei juridic pentru prelucrare;
(c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2);
(d) datele cu caracter personal au fost prelucrate ilegal;
[…]”
9 Articolele 51-59 se regăsesc în capitolul VI din RGPD, intitulat „Autorități de supraveghere independente”.
10 Articolul 51 din acest regulament, intitulat „Autoritatea de supraveghere”, prevede la alineatele (1) și (2):
„(1) Fiecare stat membru se asigură că una sau mai multe autorități publice independente sunt responsabile de monitorizarea aplicării prezentului regulament, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii […]
(2) Fiecare autoritate de supraveghere contribuie la aplicarea coerentă a prezentului regulament în întreaga Uniune. În acest scop, autoritățile de supraveghere cooperează atât între ele, cât și cu Comisia [Europeană], în conformitate cu capitolul VII.”
11 Articolul 57 din regulamentul menționat, intitulat „Sarcini”, are următoarea formulare la alineatul (1):
„(1) Fără a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, fiecare autoritate de supraveghere, pe teritoriul său:
(a) monitorizează și asigură aplicarea prezentului regulament;
[…]
(h) desfășoară investigații privind aplicarea prezentului regulament, inclusiv pe baza unor informații primite de la o altă autoritate de supraveghere sau de la o altă autoritate publică;
[…]”
12 Articolul 58 din același regulament, intitulat „Competențe”, prevede la alineatul (2):
„Fiecare autoritate de supraveghere are toate competențele corective următoare:
[…]
(c) de a da dispoziții operatorului sau persoanei împuternicite de operator să respecte cererile persoanei vizate de a‑și exercita drepturile în temeiul prezentului regulament;
(d) de a da dispoziții operatorului sau persoanei împuternicite de operator să asigure conformitatea operațiunilor de prelucrare cu dispozițiile prezentului regulament, specificând, după caz, modalitatea și termenul‑limită pentru aceasta;
[…]
(g) de a dispune rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării, în temeiul articolelor 16, 17 și 18, precum și notificarea acestor acțiuni destinatarilor cărora le‑au fost divulgate datele cu caracter personal, în conformitate cu articolul 17 alineatul (2) și cu articolul 19.
[…]
(i) de a impune amenzi administrative în conformitate cu articolul 83, în completarea sau în locul măsurilor menționate la prezentul alineat, în funcție de circumstanțele fiecărui caz în parte;
[…]”
Litigiul principal și întrebările preliminare
13 În luna februarie 2020, consiliul din Újpest a decis să acorde un ajutor financiar rezidenților care făceau parte dintr‑o categorie de persoane care au devenit vulnerabile în contextul pandemiei COVID-19 și care îndeplineau anumite condiții de eligibilitate.
14 În acest scop, consiliul menționat s‑a adresat Magyar Államkincstár (Trezoreria statului maghiar) și Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (Biroul Sectorului IV din cadrul Delegației guvernului din Budapesta‑Capitală, Ungaria) (denumit în continuare „biroul sectorial”), pentru a obține datele cu caracter personal necesare verificării acestor condiții de eligibilitate. Datele respective cuprindeau în special datele de identificare de bază și numerele de securitate socială ale persoanelor fizice. Trezoreria statului maghiar și biroul sectorial au comunicat datele solicitate.
15 Pentru plata ajutorului financiar, consiliul din Újpest a adoptat az Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet [Decretul municipal nr. 16/2020. (IV. 30.) privind introducerea Programului Újpest+Megbecsülés], care a fost modificat și completat prin 30/2020. (VII. 15.) önkormányzati rendelet [Decretul municipal nr. 30/2020. (VII. 15.)]. Aceste decrete conțineau criteriile de eligibilitate pentru ajutorul stabilit în acest mod. Consiliul din Újpest a agregat datele obținute într‑o bază de date concepută în scopul punerii în aplicare a programului său de ajutor și a creat un identificator și un cod de bare specific pentru fiecare set de date.
16 Alertată printr‑o raportare, autoritatea de supraveghere maghiară a deschis din oficiu, la 2 septembrie 2020, o anchetă privind prelucrarea datelor cu caracter personal pe care se întemeia programul de ajutor sus‑menționat. Într‑o decizie adoptată la 22 aprilie 2021, această autoritate a constatat că au fost încălcate de către consiliul din Újpest mai multe dispoziții ale articolelor 5 și 14 din RGPD, precum și articolul 12 alineatul (1) din acesta. Autoritatea amintită a arătat în special că consiliul din Újpest nu a informat persoanele vizate, în termen de o lună, cu privire la categoriile de date cu caracter personal prelucrate în cadrul acestui program și la scopurile prelucrării în cauză și nici cu privire la modalitățile prin care aceste persoane își puteau exercita drepturile în această privință.
17 Autoritatea de supraveghere maghiară a dat dispoziții consiliului din Újpest, în temeiul articolului 58 alineatul (2) litera (d) din RGPD, să șteargă datele cu caracter personal ale persoanelor vizate care, conform informațiilor furnizate de biroul sectorial și de Trezoreria statului maghiar, ar fi avut dreptul la acest ajutor, dar nu l‑au solicitat. Aceasta a apreciat că atât Trezoreria statului maghiar, cât și biroul sectorial încălcaseră dispozițiile referitoare la prelucrarea datelor cu caracter personal ale respectivelor persoane. Aceasta a obligat de asemenea consiliul din Újpest și Trezoreria statului maghiar la plata unei amenzi în temeiul protecției datelor.
18 Printr‑o acțiune în contencios administrativ, introdusă la Fővárosi Törvényszék (Curtea din Budapesta‑Capitală, Ungaria), care este instanța de trimitere, consiliul din Újpest a contestat decizia autorității de supraveghere maghiare, susținând că aceasta din urmă nu are competența de a dispune ștergerea datelor cu caracter personal, în temeiul articolului 58 alineatul (2) litera (d) din RGPD, în lipsa unei cereri formulate de persoana vizată, în sensul articolului 17 din același regulament. În această privință, consiliul a invocat Hotărârea Kfv.II.37.001/2021/6. a Kúria (Curtea Supremă, Ungaria), în care s‑a statuat că autoritatea de supraveghere maghiară nu dispune de o asemenea competență, confirmând astfel o hotărâre a instanței de trimitere. Potrivit reclamantului din litigiul principal, dreptul la ștergerea datelor, prevăzut la articolul 17 din regulamentul menționat, este conceput doar ca un drept al persoanei vizate.
19 După declararea unei căi de atac constituționale de către autoritatea de supraveghere maghiară, Alkotmánybíróság (Curtea Constituțională, Ungaria) a anulat hotărârea pronunțată de Kúria (Curtea Supremă) menționată anterior, statuând că această autoritate are dreptul să dispună din oficiu ștergerea datelor cu caracter personal care au fost prelucrate ilegal, inclusiv în lipsa unei cereri formulate de persoana vizată. Alkotmánybíróság (Curtea Constituțională) s‑a întemeiat în această privință pe Avizul nr. 39/2021 al Comitetului european pentru protecția datelor, potrivit căruia articolul 17 din RGPD prevede două ipoteze de ștergere distincte, una fiind ștergerea la cererea persoanei vizate, iar cealaltă constând într‑o obligație autonomă a operatorului, astfel încât articolul 58 alineatul (2) litera (g) din RGPD ar trebui considerat un temei juridic valabil pentru ștergerea din oficiu a datelor cu caracter personal prelucrate în mod ilegal.
20 După pronunțarea deciziei de către Alkotmánybíróság (Curtea Constituțională) menționate la punctul anterior, instanța de trimitere a avut în continuare îndoieli în ceea ce privește interpretarea articolului 17 și a articolului 58 alineatul (2) din RGPD. Aceasta consideră că dreptul la ștergerea datelor cu caracter personal este definit la articolul 17 alineatul (1) din RGPD ca un drept al persoanei vizate și că această dispoziție nu cuprinde două ipoteze distincte de ștergere.
21 Această instanță adaugă că o persoană poate avea un interes ca datele cu caracter personal care o privesc să fie prelucrate, inclusiv atunci când autoritatea de supraveghere națională dispune, din cauza caracterului ilicit al prelucrării, ca operatorul să șteargă datele menționate. Într‑un asemenea caz, autoritatea ar exercita dreptul persoanei menționate împotriva voinței acesteia din urmă.
22 Instanța de trimitere urmărește astfel să se stabilească dacă, independent de exercitarea drepturilor persoanei vizate, autoritatea de supraveghere a unui stat membru poate impune operatorului sau persoanei împuternicite de operator să șteargă datele cu caracter personal care au fost prelucrate ilegal și, în caz afirmativ, pe baza cărui temei juridic, ținând seama în special de faptul că articolul 58 alineatul (2) litera (c) din RGPD prevede în mod expres ca persoana vizată să formuleze o cerere în vederea exercitării drepturilor sale, iar articolul 58 alineatul (2) litera (d) din acest regulament prevede la modul general ca operațiunile de prelucrare să fie conforme cu dispozițiile regulamentului amintit, în timp ce articolul 58 alineatul (2) litera (g) din același regulament face trimitere în mod direct la articolul 17 din acesta, a cărui aplicare ar necesita existența unei cereri explicite a persoanei vizate.
23 În ipoteza în care autoritatea națională de supraveghere ar putea, în pofida lipsei unei cereri din partea persoanei vizate, să dea dispoziții operatorului sau persoanei împuternicite de operator să șteargă datele cu caracter personal care au fost prelucrate ilegal, instanța de trimitere ridică problema dacă se poate face o distincție, la data la care este dispusă această ștergere, după cum datele cu caracter personal au fost colectate de la persoana vizată, ținând seama de obligația operatorului prevăzută la articolul 13 alineatul (2) litera (b) din RGPD, sau de la o altă persoană, având în vedere obligația prevăzută la articolul 14 alineatul (2) litera (c) din acest regulament.
24 În aceste condiții, Fővárosi Törvényszék (Curtea din Budapesta‑Capitală, Ungaria) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
„1) Articolul 58 alineatul (2), în special literele (c), (d) și (g), din [RGPD] trebuie interpretat în sensul că autoritatea de supraveghere a unui stat membru, în exercitarea competențelor corective, poate da dispoziții operatorului sau persoanei împuternicite de operator să fie șterse datele cu caracter personal care au fost prelucrate ilegal, chiar și în lipsa unei cereri exprese în acest sens din partea persoanei vizate, în conformitate cu articolul 17 alineatul (1) din RGPD?
2) În cazul în care răspunsul la prima întrebare preliminară este că autoritatea de supraveghere poate da dispoziții operatorului sau persoanei împuternicite de operator să șteargă datele cu caracter personal prelucrate ilegal chiar și în lipsa unei cereri în acest sens din partea persoanei vizate, răspunsul este același indiferent dacă datele cu caracter personal au fost sau nu colectate de la persoana vizată?”
Cu privire la întrebările preliminare
Cu privire la prima întrebare
25 Prin intermediul primei întrebări, instanța de trimitere solicită să se stabilească dacă articolul 58 alineatul (2) literele (c), (d) și (g) din RGPD trebuie interpretat în sensul că autoritatea de supraveghere a unui stat membru este abilitată ca, în exercitarea competențelor sale corective prevăzute de aceste dispoziții, să dea dispoziții operatorului sau persoanei împuternicite de operator să fie șterse datele cu caracter personal care au fost prelucrate ilegal, chiar și atunci când persoana vizată nu a formulat în acest sens nicio cerere în vederea exercitării drepturilor sale în temeiul articolului 17 alineatul (1) din acest regulament.
26 Această întrebare se înscrie în contextul unui litigiu privind legalitatea unei decizii a autorității de supraveghere maghiare prin care a dat dispoziții consiliului din Újpest, în virtutea articolului 58 alineatul (2) litera (d) din RGPD, să șteargă datele cu caracter personal care au fost prelucrate ilegal în cadrul programului de ajutor descris la punctele 13-15 din prezenta hotărâre.
27 În conformitate cu articolul 17 alineatul (1) din RGPD, persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc fără întârzieri nejustificate, iar operatorul are obligația de a șterge aceste date fără întârzieri nejustificate, în special în temeiul literei (d) a acestei dispoziții, în cazul în care datele în cauză au fost „prelucrate ilegal”.
28 Potrivit articolului 58 alineatul (2) litera (d) din RGPD, autoritatea de supraveghere poate da dispoziții operatorului sau persoanei împuternicite de operator să asigure conformitatea operațiunilor de prelucrare cu dispozițiile prezentului regulament, specificând, după caz, modalitatea și termenul‑limită pentru aceasta. În plus, articolul 58 alineatul (2) litera (g) din regulamentul menționat prevede că autoritatea de supraveghere are competența de a dispune rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării în temeiul articolelor 16, 17 și 18 din acesta, precum și notificarea acestor acțiuni destinatarilor cărora le‑au fost divulgate datele cu caracter personal în temeiul articolului 17 alineatul (2) și al articolului 19 din același regulament.
29 În acest context, instanța de trimitere ridică problema dacă autoritatea de supraveghere a unui stat membru este abilitată ca, în exercitarea competențelor sale corective, precum cele prevăzute la articolul 58 alineatul (2) literele (c), (d) și (g) din RGPD, să dea dispoziții din oficiu, mai precis în lipsa unei cereri prealabile adresate în acest sens de persoana vizată operatorului sau persoanei împuternicite de operator, să fie șterse datele cu caracter personal care au fost prelucrate ilegal.
30 Potrivit unei jurisprudențe constante, în vederea interpretării unei dispoziții a dreptului Uniunii, trebuie să se țină seama nu numai de formularea acesteia, ci și de contextul în care se înscrie aceasta și de obiectivele urmărite de reglementarea din care face parte (Hotărârea din 13 iulie 2023, G GmbH, C‑134/22, EU:C:2023:567, punctul 25 și jurisprudența citată).
31 Cu titlu introductiv, trebuie arătat că dispozițiile relevante ale dreptului Uniunii, menționate la punctele 27 și 28 din prezenta hotărâre, trebuie coroborate cu articolul 5 alineatul (1) din RGPD, care enunță principiile prelucrării datelor cu caracter personal și printre care figurează în special, la litera (a), cel care stipulează că datele cu caracter personal trebuie să fie prelucrate în mod legal, echitabil și transparent față de persoana vizată.
32 Potrivit alineatului (2) al acestui articol 5, operatorul, în conformitate cu principiul „responsabilității” enunțat în această dispoziție, este responsabil de respectarea alineatului (1) al articolului 5 menționat și trebuie să fie în măsură să demonstreze că respectă fiecare dintre principiile care sunt enunțate în acesta, probă care, pe de altă parte, este în sarcina sa [Hotărârea din 4 mai 2023, Bundesrepublik Deutschland (Căsuță electronică judiciară), C‑60/22, EU:C:2023:373, punctul 53 și jurisprudența citată].
33 Atunci când prelucrarea datelor cu caracter personal nu respectă principiile prevăzute mai ales la articolul 5 din RGPD, autoritățile de supraveghere ale statelor membre sunt împuternicite să intervină, în conformitate cu sarcinile și competențele lor prevăzute la articolele 57 și 58 din acest regulament. Printre aceste sarcini se numără inter alia monitorizarea aplicării regulamentului menționat și asigurarea respectării lui în temeiul articolului 57 alineatul (1) litera (a) din acesta (a se vedea în acest sens Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems, C‑311/18, EU:C:2020:559, punctul 108).
34 În această privință, Curtea a precizat deja că, atunci când o autoritate de supraveghere națională consideră, la finalul investigației sale, că persoana vizată nu beneficiază de un nivel de protecție adecvat, ea este obligată, în temeiul dreptului Uniunii, să reacționeze în mod corespunzător pentru a remedia insuficiența constatată, indiferent de originea sau de natura insuficienței menționate. În acest sens, articolul 58 alineatul (2) din RGPD enumeră diferitele competențe corective pe care le are autoritatea de supraveghere. Este de competența acestei autorități de supraveghere să aleagă mijloacele adecvate ca să își îndeplinească cu toată diligența sarcina care constă în a asigura respectarea deplină a acestui regulament (a se vedea în acest sens Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems, C‑311/18, EU:C:2020:559, punctele 111 și 112).
35 În ceea ce privește, mai exact, chestiunea dacă astfel de măsuri corective pot fi adoptate din oficiu de autoritatea de supraveghere în cauză, trebuie arătat mai întâi că, având în vedere modul său de redactare, articolul 58 alineatul (2) din RGPD face o distincție între măsurile corective care pot fi dispuse din oficiu, în special cele prevăzute la articolul 58 alineatul (2) literele (d) și (g), și cele care nu pot fi adoptate decât în urma unei cereri formulate de persoana vizată în vederea exercitării drepturilor sale în temeiul acestui regulament, cum sunt cele prevăzute la articolul 58 alineatul (2) litera (c) din regulamentul menționat.
36 Astfel, pe de o parte, reiese expres din textul articolului 58 alineatul (2) litera (c) din RGPD că adoptarea măsurii corective menționate în această dispoziție, și anume „de a da dispoziții operatorului sau persoanei împuternicite de operator să respecte cererile persoanei vizate de a‑și exercita drepturilor în temeiul prezentului regulament”, presupune ca, în prealabil, o persoană vizată să își fi exercitat drepturile prin formularea unei cereri în acest sens și ca această cerere să nu fi fost admisă înainte de decizia autorității de supraveghere prevăzută de dispoziția menționată. Pe de altă parte, spre deosebire de această dispoziție, textul articolului 58 alineatul (2) literele (d) și (g) din acest regulament nu permite să se considere că o intervenție a autorității de supraveghere a unui stat membru, în vederea aplicării măsurilor prevăzute de acesta, ar fi limitată numai la cazurile în care persoana vizată a formulat o cerere în acest sens, întrucât textul articolului nu conține nicio referire la o astfel de cerere.
37 În continuare, în ceea ce privește contextul acestor dispoziții, trebuie subliniat că termenii articolului 17 alineatul (1) din acest regulament fac distincție prin conjuncția coordonatoare „și” între dreptul persoanei vizate de a obține de la operator ștergerea datelor care o privesc, fără întârzieri nejustificate, pe de o parte, și obligația operatorului de a șterge aceste date cu caracter personal, fără întârzieri nejustificate, pe de altă parte. Trebuie să se deducă de aici că această dispoziție reglementează două ipoteze independente, și anume, pe de o parte, ștergerea datelor la cererea persoanei vizate și, pe de altă parte, ștergerea care decurge din existența unei obligații autonome ce revine operatorului, independent de vreo cerere a persoanei vizate.
38 Astfel, după cum a arătat Comitetul european pentru protecția datelor, în Avizul nr. 39/2021, o asemenea distincție este necesară dat fiind că, printre situațiile prevăzute la Acest articol 17 alineatul (1), unele acoperă situații în care persoana vizată nu a fost informată neapărat că sunt prelucrate date cu caracter personal care o privesc, astfel încât operatorul este singurul care poate constata existența acestor situații. Aceasta este situația în special atunci când aceste date au fost prelucrate ilegal, prevăzută la articolul 17 alineatul (1) litera (d) menționat.
39 Această interpretare este susținută de articolul 5 alineatul (2) din RGPD coroborat cu alineatul (1) litera (a) al acestui articol 5, în temeiul căruia operatorul trebuie să se asigure, printre altele, că prelucrarea datelor pe care o efectuează este legală [a se vedea în acest sens Hotărârea din 4 mai 2023, Bundesrepublik Deutschland (Căsuță electronică judiciară), C‑60/22, EU:C:2023:373, punctul 54].
40 În sfârșit, o asemenea interpretare este confirmată și de obiectivul urmărit de articolul 58 alineatul (2) din RGPD, astfel cum reiese din considerentul (129) al acestuia, și anume asigurarea conformității prelucrării datelor cu caracter personal cu acest regulament și restabilirea situațiilor în care acesta din urmă este încălcat pentru a le face să respecte dreptul Uniunii prin intervenția autorităților de supraveghere naționale.
41 În această privință, este necesar să se precizeze că, deși alegerea mijlocului adecvat și necesar aparține autorității de supraveghere naționale, iar aceasta din urmă trebuie să facă alegerea respectivă luând în considerare toate împrejurările din speță, totuși autoritatea menționată este obligată să își îndeplinească cu toată diligența necesară sarcina care constă în a asigura respectarea deplină a RGPD (a se vedea în acest sens Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems, C‑311/18, EU:C:2020:559, punctul 112). Prin urmare, pentru a asigura o aplicare efectivă a RGPD, este deosebit de importat ca această autoritate să dispună de competențe efective pentru a acționa în mod eficace împotriva încălcărilor aduse acestui regulament și în special pentru a le pune capăt, inclusiv în cazurile în care persoanele vizate nu sunt informate cu privire la prelucrarea datelor lor cu caracter personal, nu au cunoștință de acest lucru sau, eventual, nu au solicitat ștergerea acestor date.
42 În aceste condiții, se impune a se aprecia că competența de a adopta unele dintre măsurile corective prevăzute la articolul 58 alineatul (2) din RGPD, în special cele care figurează la literele (d) și (g) ale acestei dispoziții, poate fi exercitată din oficiu de autoritatea de supraveghere a unui stat membru în condițiile în care exercitarea din oficiu a acestei competențe este necesară pentru a‑i permite să își îndeplinească sarcina. Prin urmare, această autoritate, atunci când consideră, la finalul investigației sale, că prelucrarea nu îndeplinește cerințele prevăzute de acest regulament, este obligată, în temeiul dreptului Uniunii, să adopte măsurile adecvate pentru a remedia încălcarea constatată, independent de existența unei cereri prealabile formulate de persoana vizată în vederea exercitării drepturilor sale în temeiul articolului 17 alineatul (1) din acest regulament.
43 O asemenea interpretare este de altfel confirmată de obiectivele urmărite de RGPD, astfel cum rezultă acestea în special din articolul 1, precum și din considerentele (1) și (10) ale acestuia, care fac referire la asigurarea unui nivel ridicat de protecție a dreptului fundamental al persoanelor fizice la protecția datelor cu caracter personal care le privesc, consacrat la articolul 8 alineatul (1) din Carta drepturilor fundamentale și la articolul 16 alineatul (1) TFUE (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 207, precum și Hotărârea din 28 aprilie 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punctul 73).
44 O interpretare contrară celei reținute la punctul 42 din prezenta hotărâre, potrivit căreia o astfel de autoritate de supraveghere nu ar fi abilitată să acționeze decât în urma unei cereri formulate în acest sens de persoana vizată, ar compromite realizarea obiectivelor amintite la punctele 40 și 43 din prezenta hotărâre, în special într‑o situație precum cea în discuție în litigiul principal, în care ștergerea datelor cu caracter personal care au fost prelucrate ilegal privește un număr potențial important de persoane care nu și‑au valorificat dreptul la ștergerea datelor, în temeiul articolului 17 alineatul (1) din RGPD.
45 Astfel, după cum a arătat în esență Comisia în observațiile scrise, cerința unei cereri prealabile formulate de persoanele vizate, în sensul articolului 17 alineatul (1) din RGPD, ar însemna că operatorul ar putea, în lipsa unei asemenea cereri, să păstreze datele cu caracter personal în cauză și să continue să le prelucreze în mod ilegal. O astfel de interpretare ar aduce atingere caracterului efectiv al protecției prevăzute de acest regulament, din moment ce ar conduce la privarea de protecție a persoanelor inactive, deși datele lor cu caracter personal au fost prelucrate ilegal.
46 Având în vedere considerațiile care precedă, este necesar să se răspundă la prima întrebare că articolul 58 alineatul (2) literele (d) și (g) din RGPD trebuie interpretat în sensul că autoritatea de supraveghere a unui stat membru este abilitată ca, în exercitarea competențelor sale corective prevăzute de aceste dispoziții, să dea dispoziții operatorului sau persoanei împuternicite de operator să fie șterse datele cu caracter personal care au fost prelucrate ilegal, chiar și atunci când persoana vizată nu a formulat în acest sens nicio cerere în vederea exercitării drepturilor sale în temeiul articolului 17 alineatul (1) din acest regulament.
Cu privire la a doua întrebare
47 Prin intermediul celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 58 alineatul (2) din RGPD trebuie interpretat în sensul că competența autorității de supraveghere a unui stat membru de a dispune ștergerea datelor cu caracter personal care au fost prelucrate ilegal poate viza atât datele colectate de la persoana vizată, cât și datele care provin dintr‑o altă sursă.
48 În această privință, trebuie arătat, mai întâi, că modul de redactare a dispozițiilor menționate la punctul anterior din prezenta hotărâre nu cuprinde nicio indicație care ar lăsa să se înțeleagă că competența autorității de supraveghere de a adopta măsurile corective care sunt enumerate în cuprinsul acestora ar depinde de originea datelor în cauză și în special de împrejurarea ca acestea să fi fost colectate de la persoana vizată.
49 De asemenea, textul articolului 17 alineatul (1) din RGPD, care, astfel cum reiese din cuprinsul punctului 37 din prezenta hotărâre, instituie o obligație autonomă a operatorului de a șterge datele cu caracter personal care au fost prelucrate ilegal, nu include nicio cerință referitoare la originea datelor colectate.
50 În plus, astfel cum reiese din cuprinsul punctelor 41 și 42 din prezenta hotărâre, este necesar, în vederea asigurării unei aplicări efective și coerente a RGPD, ca autoritatea națională de supraveghere să dispună de competențe efective pentru a acționa în mod eficace împotriva încălcărilor aduse acestui regulament. Prin urmare, competențele corective, astfel cum sunt stabilite la articolul 58 alineatul (2) literele (d) și (g) din RGPD, nu poate depinde de originea datelor în cauză și mai ales de împrejurarea ca acestea să fi fost colectate de la persoana vizată.
51 În consecință, este necesar să se considere, asemenea tuturor guvernelor care au depus observații scrise și Comisiei, că exercitarea competențelor corective, în sensul articolului 58 alineatul (2) literele (d) și (g) din RGPD, nu poate depinde de faptul dacă datele cu caracter personal în discuție au fost sau nu colectate direct de la persoana vizată.
52 O asemenea interpretare este confirmată și de obiectivele urmărite de RGPD, în special de articolul 58 alineatul (2) din acest regulament, amintite la punctele 40 și 43 din prezenta hotărâre.
53 Având în vedere considerațiile care precedă, este necesar să se răspundă la a doua întrebare că articolul 58 alineatul (2) din RGPD trebuie interpretat în sensul că competența autorității de supraveghere a unui stat membru de a dispune ștergerea datelor cu caracter personal care au fost prelucrate ilegal poate viza atât datele colectate de la persoana vizată, cât și datele care provin dintr‑o altă sursă.
Cu privire la cheltuielile de judecată
54 Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.
Pentru aceste motive, Curtea (Camera a cincea) declară:
1) Articolul 58 alineatul (2) literele (d) și (g) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
trebuie interpretat în sensul că
autoritatea de supraveghere a unui stat membru este abilitată ca, în exercitarea competențelor sale corective prevăzute de aceste dispoziții, să dea dispoziții operatorului sau persoanei împuternicite de operator să fie șterse datele cu caracter personal care au fost prelucrate ilegal, chiar și atunci când persoana vizată nu a formulat în acest sens nicio cerere în vederea exercitării drepturilor sale în temeiul articolului 17 alineatul (1) din acest regulament.
2) Articolul 58 alineatul (2) din Regulamentul 2016/679
trebuie interpretat în sensul că
competența autorității de supraveghere a unui stat membru de a dispune ștergerea datelor cu caracter personal care au fost prelucrate ilegal poate viza atât datele colectate de la persoana vizată, cât și datele care provin dintr‑o altă sursă.
Semnături