HOTĂRÂREA CURȚII (Camera întâi)
12 ianuarie 2023(*)
„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 15 alineatul (1) litera (c) – Dreptul de acces al persoanei vizate la datele sale – Informații cu privire la destinatarii sau categoriile de destinatari cărora datele cu caracter personal le‑au fost sau urmează să le fie divulgate – Restrângeri”
În cauza C‑154/21,
având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Oberster Gerichtshof (Curtea Supremă, Austria), prin decizia din 18 februarie 2021, primită de Curte la 9 martie 2021, în procedura
RW
împotriva
Österreichische Post AG,
CURTEA (Camera întâi),
compusă din domnul A. Arabadjiev, președinte de cameră, domnul L. Bay Larsen, vicepreședintele Curții, îndeplinind funcția de judecător al Camerei întâi, domnii P. G. Xuereb și A. Kumin și doamna I. Ziemele (raportoare), judecători,
avocat general: domnul G. Pitruzzella,
grefier: domnul A. Calot Escobar,
având în vedere procedura scrisă,
luând în considerare observațiile prezentate:
– pentru RW, de R. Haupt, Rechtsanwalt;
– pentru Österreichische Post AG, de R. Marko, Rechtsanwalt;
– pentru guvernul austriac, de G. Kunnert, A. Posch și J. Schmoll, în calitate de agenți;
– pentru guvernul ceh, de M. Smolek și J. Vláčil, în calitate de agenți;
– pentru guvernul italian, de G. Palmieri, în calitate de agent, asistată de M. Russo, avvocato dello Stato;
– pentru guvernul leton, de J. Davidoviča, I. Hūna și K. Pommere, în calitate de agenți;
– pentru guvernul român, de L.‑E. Bațagoi, E. Gane și A. Wellman, în calitate de agenți;
– pentru guvernul suedez, de H. Eklinder, J. Lundberg, C. Meyer‑Seitz, A. M. Runeskjöld, Salborn Hodgson, R. Shahsavan Eriksson, H. Shev și O. Simonsson, în calitate de agenți;
– pentru Comisia Europeană, de F. Erlbacher și H. Kranenborg, în calitate de agenți,
după ascultarea concluziilor avocatului general în ședința din 9 iunie 2022,
pronunță prezenta
Hotărâre
1 Cererea de decizie preliminară privește interpretarea articolului 15 alineatul (1) litera (c) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1) (denumit în continuare „RGPD”).
2 Această cerere a fost formulată în cadrul unui litigiu între RW, pe de o parte, și Österreichische Post AG (denumită în continuare „Österreichische Post”), pe de altă parte, în legătură cu o cerere de acces la date cu caracter personal în temeiul articolului 15 alineatul (1) litera (c) din RGPD.
Cadrul juridic
3 Considerentele (4), (9), (10), (39), (63) și (74) ale RGPD au următorul cuprins:
„(4) […] Dreptul la protecția datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității. […]
[…]
(9) Obiectivele și principiile Directivei 95/46/CE [a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10)] rămân solide, dar aceasta nu a prevenit fragmentarea modului în care protecția datelor este pusă în aplicare în Uniune[a Europeană], insecuritatea juridică sau percepția publică larg răspândită conform căreia există riscuri semnificative pentru protecția persoanelor fizice, în special în legătură cu activitatea online. Diferențele dintre nivelurile de protecție a drepturilor și libertăților persoanelor fizice, în special a dreptului la protecția datelor cu caracter personal, în ceea ce privește prelucrarea datelor cu caracter personal din statele membre pot împiedica libera circulație a datelor cu caracter personal în întreaga Uniune. Aceste diferențe pot constitui, prin urmare, un obstacol în desfășurarea de activități economice la nivelul Uniunii, pot denatura concurența și pot împiedica autoritățile să îndeplinească responsabilitățile care le revin în temeiul dreptului Uniunii. Această diferență între nivelurile de protecție este cauzată de existența unor deosebiri în ceea ce privește transpunerea și aplicarea Directivei 95/46/CE.
(10) Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii, nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. […]
[…]
(39) Orice prelucrare de date cu caracter personal ar trebui să fie legală și echitabilă. Ar trebui să fie transparent pentru persoanele fizice că sunt colectate, utilizate, consultate sau prelucrate în alt mod datele cu caracter personal care le privesc și în ce măsură datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenței prevede că orice informații și comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar. […]
[…]
(63) O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc și ar trebui să își exercite acest drept cu ușurință și la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. […] Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica în special scopurile în care sunt prelucrate datele, dacă este posibil perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automată a datelor cu caracter personal și, cel puțin în cazul în care se bazează pe crearea de profiluri, consecințele unei astfel de prelucrări. […] Acest drept nu ar trebui să aducă atingere drepturilor sau libertăților altora, inclusiv secretului comercial sau proprietății intelectuale și, în special, drepturilor de autor care asigură protecția programelor software. Cu toate acestea, considerațiile de mai sus nu ar trebui să aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate. […]
[…]
(74) Ar trebui să se stabilească responsabilitatea și răspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să fie obligat să implementeze măsuri adecvate și eficace și să fie în măsură să demonstreze conformitatea activităților de prelucrare cu prezentul regulament, inclusiv eficacitatea măsurilor. Aceste măsuri ar trebui să țină seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscul pentru drepturile și libertățile persoanelor fizice.”
4 Articolul 1 din RGPD, intitulat „Obiect și obiective”, prevede la alineatul (2):
„Prezentul regulament asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și în special a dreptului acestora la protecția datelor cu caracter personal.”
5 Articolul 5 din RGPD, intitulat „Principii legate de prelucrarea datelor cu caracter personal”, prevede:
„(1) Datele cu caracter personal sunt:
(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată («legalitate, echitate și transparență»);
[…]
(2) Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”
6 Articolul 12 din RGPD, intitulat „Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, prevede:
„(1) Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la articolele 13 și 14 și orice comunicări în temeiul articolelor 15-22 și 34 referitoare la prelucrare, într‑o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil. Informațiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate, informațiile pot fi furnizate verbal, cu condiția ca identitatea persoanei vizate să fie dovedită prin alte mijloace.
(2) Operatorul facilitează exercitarea drepturilor persoanei vizate în temeiul articolelor 15-22. În cazurile menționate la articolul 11 alineatul (2), operatorul nu refuză să dea curs cererii persoanei vizate de a‑și exercita drepturile în conformitate cu articolele 15-22, cu excepția cazului în care operatorul demonstrează că nu este în măsură să identifice persoana vizată.
[…]
(5) Informațiile furnizate în temeiul articolelor 13 și 14 și orice comunicare și orice măsuri luate în temeiul articolelor 15-22 și 34 sunt oferite gratuit. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate:
(a) fie să perceapă o taxă rezonabilă ținând cont de costurile administrative pentru furnizarea informațiilor sau a comunicării sau pentru luarea măsurilor solicitate;
(b) fie să refuze să dea curs cererii.
În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.
[…]”
7 Articolul 13 din RGPD, intitulat „Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, prevede la alineatul (1):
„În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate toate informațiile următoare:
[…]
(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal; […]
[…]”
8 Articolul 14 din RGPD, intitulat „Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată”, prevede la alineatul (1):
„În cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, operatorul furnizează persoanei vizate următoarele informații:
[…]
(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
[…]”
9 Potrivit articolului 15 din RGPD, intitulat „Dreptul de acces al persoanei vizate”:
„(1) Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații:
(a) scopurile prelucrării;
(b) categoriile de date cu caracter personal vizate;
(c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le‑au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale;
(d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
(e) existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
(f) dreptul de a depune o plângere în fața unei autorități de supraveghere;
(g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora;
(h) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.
(2) În cazul în care datele cu caracter personal sunt transferate către o țară terță sau o organizație internațională, persoana vizată are dreptul să fie informată cu privire la garanțiile adecvate în temeiul articolului 46 referitoare la transfer.
(3) Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative. În cazul în care persoana vizată introduce cererea în format electronic și cu excepția cazului în care persoana vizată solicită un alt format, informațiile sunt furnizate într‑un format electronic utilizat în mod curent.
(4) Dreptul de a obține o copie menționată la alineatul (3) nu aduce atingere drepturilor și libertăților altora.”
10 Articolul 16 din RGPD, intitulat „Dreptul la rectificare”, prevede:
„Persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ținându‑se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.”
11 Potrivit articolului 17 din RGPD, intitulat „Dreptul la ștergerea datelor («dreptul de a fi uitat»)”:
„(1) Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:
(a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
(b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), și nu există niciun alt temei juridic pentru prelucrarea;
(c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2);
(d) datele cu caracter personal au fost prelucrate ilegal;
(e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află operatorul;
(f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății informaționale menționate la articolul 8 alineatul (1).
(2) În cazul în care operatorul a făcut publice datele cu caracter personal și este obligat, în temeiul alineatului (1), să le șteargă, operatorul, ținând seama de tehnologia disponibilă și de costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ștergerea de către acești operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.
[…]”
12 Articolul 18 din RGPD, intitulat „Dreptul la restricționarea prelucrării”, prevede la alineatul (1):
„Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării în cazul în care se aplică unul din următoarele cazuri:
(a) persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;
(b) prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;
(c) operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță sau
(d) persoana vizată s‑a opus prelucrării în conformitate cu articolul 21 alineatul (1), pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.
[…]”
13 Articolul 19 din RGPD are următorul cuprins:
„Operatorul comunică fiecărui destinatar căruia i‑au fost divulgate datele cu caracter personal orice rectificare sau ștergere a datelor cu caracter personal sau restricționare a prelucrării efectuate în conformitate cu articolul 16, articolul 17 alineatul (1) și articolul 18, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune eforturi disproporționate. Operatorul informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.”
14 Potrivit articolului 21 din RGPD, intitulat „Dreptul la opoziție”:
„(1) În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării în temeiul articolului 6 alineatul (1) litera (e) sau (f) […] a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.
(2) Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv.
(3) În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.
(4) Cel târziu în momentul primei comunicări cu persoana vizată, dreptul menționat la alineatele (1) și (2) este adus în mod explicit în atenția persoanei vizate și este prezentat în mod clar și separat de orice alte informații.
(5) În contextual utilizării serviciilor societății informaționale și în pofida Directivei 2002/58/CE [a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO 2002, L 201, p. 37, Ediție specială, 13/vol. 36, p. 63)], persoana vizată își poate exercita dreptul de a se opune prin mijloace automate care utilizează specificații tehnice.
(6) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare științifică sau istorică sau în scopuri statistice în conformitate cu articolul 89 alineatul (1), persoana vizată, din motive legate de situația sa particulară, are dreptul de a se opune prelucrării datelor cu caracter personal care o privesc, cu excepția cazului în care prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public.”
15 Articolul 79 din RGPD, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau unei persoane împuternicite de operator”, prevede la alineatul (1):
„Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.”
16 Articolul 82 din RGPD, intitulat „Dreptul la despăgubiri și răspunderea”, prevede la alineatul (1):
„Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.”
Litigiul principal și întrebarea preliminară
17 La 15 ianuarie 2019, RW s‑a adresat societății Österreichische Post pentru a obține, în temeiul articolului 15 din RGPD, accesul la datele cu caracter personal care îl priveau și care erau sau fuseseră păstrate în trecut de aceasta și, în cazul în care datele respective fuseseră divulgate către terți, identitatea acestor destinatari.
18 Ca răspuns la această cerere, Österreichische Post s‑a limitat să indice că utilizează date, în măsura autorizată de lege, în cadrul activității sale de editor al anuarelor telefonice și că propune aceste date cu caracter personal unor parteneri comerciali în scopuri de marketing. În plus, ea a făcut trimitere la un site internet pentru mai multe informații și privind alte scopuri de prelucrare a datelor. Ea nu i‑a comunicat lui RW identitatea destinatarilor concreți ai datelor.
19 RW a chemat societatea Österreichische Post în judecată în fața instanțelor austriece, solicitând obligarea acesteia din urmă să îi furnizeze, printre altele, identitatea destinatarului sau a destinatarilor datelor sale cu caracter personal astfel divulgate.
20 În cursul procedurii judiciare astfel inițiate, Österreichische Post l‑a informat pe RW că datele sale cu caracter personal fuseseră prelucrate în scopuri de marketing și fuseseră transmise unor clienți, printre care agenți de publicitate în sectorul vânzării prin corespondență și al comerțului fizic, întreprinderi informatice, editori de adrese și asociații, precum organizații caritabile, organizații neguvernamentale (ONG) sau partide politice.
21 Instanțele de prim grad și de apel au respins acțiunea lui RW pentru motivul că articolul 15 alineatul (1) litera (c) din RGPD, în măsura în care se referă la „destinatari sau categorii de destinatari”, ar acorda operatorului posibilitatea de a indica persoanei vizate numai categoriile de destinatari, fără a trebui să desemneze nominal destinatarii concreți cărora le sunt transmise datele cu caracter personal.
22 RW a formulat recurs la Oberster Gerichtshof (Curtea Supremă, Austria), instanța de trimitere.
23 Această instanță ridică problema interpretării articolului 15 alineatul (1) litera (c) din RGPD, întrucât modul de redactare a acestei dispoziții nu ar permite să se stabilească în mod clar dacă ea acordă persoanei vizate dreptul de a avea acces la informațiile referitoare la destinatarii concreți ai datelor divulgate sau dacă operatorul dispune de o alegere discreționară în ceea ce privește modul în care înțelege să dea curs unei cereri de acces la informațiile referitoare la destinatari.
24 Instanța menționată arată însă că ratio legis a dispoziției menționate ar pleda mai degrabă în favoarea interpretării potrivit căreia persoana vizată este cea care are alegerea de a solicita informații referitoare la categoriile de destinatari sau la destinatarii concreți ai datelor sale cu caracter personal. În opinia sa, orice interpretare contrară ar aduce gravă atingere efectivității căilor de atac de care dispune persoana vizată pentru a‑și proteja datele. Astfel, în cazul în care operatorii ar dispune de alegerea de a indica persoanelor vizate destinatarii concreți sau doar categoriile de destinatari, ar exista temerea că, în practică, aproape niciunul dintre ei nu va furniza informațiile referitoare la destinatarii concreți.
25 În plus, contrar articolului 13 alineatul (1) litera (e) și articolului 14 alineatul (1) litera (e) din RGPD, care prevăd obligația operatorului de a furniza informațiile pe care acestea le vizează, articolul 15 alineatul (1) din acest regulament ar pune accentul pe domeniul de aplicare al dreptului de acces al persoanei vizate, ceea ce ar tinde de asemenea să indice, potrivit instanței de trimitere, că persoana vizată are dreptul de a alege între a solicita informații cu privire la destinatarii concreți sau cu privire la categoriile de destinatari.
26 În sfârșit, instanța de trimitere adaugă că dreptul de acces prevăzut la articolul 15 alineatul (1) din RGPD privește nu numai datele cu caracter personal prelucrate în prezent, ci și ansamblul datelor prelucrate în trecut. În această privință, ea precizează că considerațiile care figurează în Hotărârea din 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), întemeiate pe finalitatea dreptului de acces prevăzut de Directiva 95/46, pot fi transpuse dreptului de acces prevăzut la articolul 15 din RGPD, iar aceasta cu atât mai mult cu cât se poate deduce din considerentele (9) și (10) ale acestuia că legiuitorul Uniunii nu a intenționat să reducă nivelul de protecție în raport cu această directivă.
27 În aceste împrejurări, Oberster Gerichtshof (Curtea Supremă) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarea întrebare preliminară:
„Articolul 15 alineatul (1) litera (c) din [RGPD] trebuie interpretat în sensul că dreptul de acces se limitează la informarea asupra categoriilor de destinatari atunci când destinatarii concreți nu sunt cunoscuți încă, în contextul divulgărilor preconizate, dar că acesta trebuie să se extindă în mod necesar și la informarea privind destinatarii acestor informații atunci când datele au fost deja divulgate?”
Cu privire la întrebarea preliminară
28 Prin intermediul întrebării preliminare, instanța de trimitere solicită în esență să se stabilească dacă articolul 15 alineatul (1) litera (c) din RGPD trebuie interpretat în sensul că dreptul de acces al persoanei vizate la datele cu caracter personal care o privesc, prevăzut de această dispoziție, implică, atunci când aceste date le‑au fost sau urmează să le fie divulgate unor destinatari, obligația operatorului de a furniza acestei persoane identitatea concretă a acestor destinatari.
29 Cu titlu introductiv, trebuie amintit că, potrivit unei jurisprudențe constante, interpretarea unei dispoziții de drept al Uniunii impune să se țină seama nu numai de termenii săi, ci și de contextul în care se înscrie, precum și de obiectivele și de finalitatea urmărite de actul din care aceasta face parte (Hotărârea din 15 martie 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, punctul 63). În plus, atunci când o dispoziție de drept al Uniunii poate face obiectul mai multor interpretări, trebuie să se acorde prioritate celei care este de natură să îi păstreze efectul util (Hotărârea din 7 martie 2018, Cristal Union, C‑31/17, EU:C:2018:168, punctul 41 și jurisprudența citată).
30 În ceea ce privește, mai întâi, modul de redactare a articolului 15 alineatul (1) litera (c) din RGPD, trebuie amintit că această dispoziție prevede că persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele cu caracter personal respective, precum și informațiile referitoare la destinatarii sau categoriile de destinatari cărora aceste date cu caracter personal le‑au fost sau urmează să le fie divulgate.
31 În această privință, este necesar să se arate că termenii „destinatari” și „categorii de destinatari” care figurează în această dispoziție sunt utilizați succesiv, fără a fi posibil să se deducă o ordine de prioritate între unul și celălalt.
32 Prin urmare, trebuie să se constate că modul de redactare a articolului 15 alineatul (1) litera (c) din RGPD nu permite să se stabilească în mod univoc dacă persoana vizată ar avea dreptul să fie informată, atunci când datele cu caracter personal care o privesc au fost sau urmează să fie divulgate, cu privire la identitatea concretă a destinatarilor acestora.
33 În continuare, în ceea ce privește contextul în care se înscrie articolul 15 alineatul (1) litera (c) din RGPD, trebuie amintit, în primul rând, că considerentul (63) al acestui regulament prevede că persoana vizată trebuie să aibă dreptul de a cunoaște și de a i se comunica în special destinatarii acestor date cu caracter personal și nu precizează că acest drept ar putea fi limitat doar la categoriile de destinatari, așa cum a arătat și domnul avocat general la punctul 23 din concluzii.
34 În al doilea rând, trebuie amintit de asemenea că, pentru a respecta dreptul de acces, orice prelucrare a datelor cu caracter personal ale persoanelor fizice trebuie să fie conformă cu principiile enunțate la articolul 5 din RGPD (a se vedea în acest sens Hotărârea din 16 ianuarie 2019, Deutsche Post, C‑496/17, EU:C:2019:26, punctul 57).
35 Or, printre aceste principii figurează principiul transparenței, prevăzut la articolul 5 alineatul (1) litera (a) din RGPD, care implică, așa cum reiese din considerentul (39) al acestui regulament, ca persoana vizată să dispună de informații referitoare la modul în care îi sunt prelucrate datele cu caracter personal și ca aceste informații să fie ușor accesibile și ușor de înțeles.
36 În al treilea rând, trebuie arătat, astfel cum a subliniat și domnul avocat general la punctul 21 din concluzii, că, spre deosebire de articolele 13 și 14 din RGPD, care stabilesc o obligație în sarcina operatorului de a furniza persoanei vizate informațiile referitoare la categoriile de destinatari sau la destinatarii concreți ai datelor cu caracter personal care o privesc atunci când acestea sunt sau nu sunt colectate de la persoana vizată, articolul 15 din RGPD prevede un veritabil drept de acces în favoarea persoanei vizate, astfel încât aceasta din urmă trebuie să dispună de alegerea de a obține fie informațiile cu privire la destinatarii specifici cărora le‑au fost sau urmează să le fie divulgate datele respective, atunci când aceasta este posibilă, fie pe cele referitoare la categoriile de destinatari.
37 În al patrulea rând, Curtea a statuat deja că exercitarea acestui drept de acces trebuie să permită persoanei vizate să verifice nu numai că datele care o privesc sunt exacte, ci și că ele sunt prelucrate în mod legal (a se vedea prin analogie Hotărârea din 17 iulie 2014, YS și alții, C‑141/12 și C‑372/12, EU:C:2014:2081, punctul 44, precum și Hotărârea din 20 decembrie 2017, Nowak, C‑434/16, EU:C:2017:994, punctul 57), în special că au fost divulgate unor destinatari autorizați (a se vedea prin analogie Hotărârea din 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, punctul 49).
38 Mai precis, acest drept de acces este necesar pentru a‑i permite persoanei vizate să își exercite, dacă este cazul, dreptul la rectificare, dreptul la ștergerea datelor („dreptul de a fi uitat”) sau dreptul la restricționarea prelucrării, care îi sunt recunoscute la articolele 16, 17 și, respectiv, 18 din RGDP (a se vedea prin analogie Hotărârea din 17 iulie 2014, YS și alții, C‑141/12 și C‑372/12, EU:C:2014:2081, punctul 44, precum și Hotărârea din 20 decembrie 2017, Nowak, C‑434/16, EU:C:2017:994, punctul 57), precum și dreptul de opoziție la prelucrarea datelor sale cu caracter personal prevăzut la articolul 21 din RGDP și dreptul la o cale de atac în cazul în care suferă un prejudiciu, prevăzut la articolele 79 și 82 din RGDP (a se vedea prin analogie Hotărârea din 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, punctul 52).
39 Astfel, pentru a garanta efectul util al tuturor drepturilor menționate la punctul precedent din prezenta hotărâre, persoana vizată trebuie să dispună în particular de un drept de a fi informată cu privire la identitatea destinatarilor concreți în cazul în care datele sale cu caracter personal au fost deja divulgate.
40 O asemenea interpretare este confirmată, în al cincilea și ultimul rând, de lectura articolului 19 din RGPD, care prevede, în prima sa teză, că operatorul comunică, în principiu, fiecărui destinatar căruia i‑au fost divulgate datele cu caracter personal orice rectificare sau ștergere a datelor cu caracter personal sau restricționare a prelucrării, iar în a doua teză, că acest operator informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.
41 Astfel, articolul 19 a doua teză din RGPD conferă în mod expres persoanei vizate dreptul de a fi informată cu privire la destinatarii concreți ai datelor care o privesc de către operator, în cadrul obligației pe care o are acesta din urmă de a‑i informa pe toți destinatarii cu privire la exercitarea drepturilor de care dispune această persoană în temeiul articolului 16, al articolului 17 alineatul (1) și al articolului 18 din RGPD.
42 Din analiza contextuală care precedă rezultă că articolul 15 alineatul (1) litera (c) din RGPD constituie una dintre dispozițiile destinate să garanteze transparența modalităților de prelucrare a datelor cu caracter personal față de persoana vizată și îi permite acesteia, așa cum a arătat și domnul avocat general la punctul 33 din concluzii, să exercite prerogativele prevăzute în special la articolele 16-19, 21, 79 și 82 din RGPD.
43 Prin urmare, trebuie să se considere că informațiile furnizate persoanei vizate în temeiul dreptului de acces prevăzut la articolul 15 alineatul (1) litera (c) din RGPD trebuie să fie cele mai exacte cu putință. În special, acest drept de acces implică posibilitatea persoanei vizate de a obține din partea operatorului informațiile cu privire la destinatarii specifici cărora le‑au fost sau urmează să le fie divulgate datele ori, alternativ, de a alege să se limiteze la a solicita informații privind categoriile de destinatari.
44 În sfârșit, în ceea ce privește finalitatea urmărită de RGPD, trebuie arătat că acest regulament urmărește în special, după cum reiese din considerentul (10) al acestuia, să asigure un nivel ridicat de protecție a persoanelor fizice în cadrul Uniunii (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 207). În această privință, așa cum a arătat în esență domnul avocat general la punctul 14 din concluzii, cadrul juridic general creat prin RGPD pune în aplicare cerințele care decurg din dreptul fundamental la protecția datelor cu caracter personal protejat de articolul 8 din Carta drepturilor fundamentale a Uniunii Europene, în special cerințele prevăzute în mod expres la alineatul (2) al acestui articol (a se vedea în acest sens Hotărârea din 9 martie 2017, Manni, C‑398/15, EU:C:2017:197, punctul 40).
45 Or, acest obiectiv confirmă interpretarea articolului 15 alineatul (1) din RGPD care figurează la punctul 43 din prezenta hotărâre.
46 În consecință, rezultă și din obiectivul urmărit de RGPD că persoana vizată are dreptul de a obține de la operator informații cu privire la destinatarii concreți cărora le‑au fost sau urmează să le fie divulgate datele cu caracter personal care o privesc.
47 În aceste condiții, este necesar să se sublinieze, în sfârșit, că, după cum reiese din considerentul (4) al RGPD, dreptul la protecția datelor cu caracter personal nu este un drept absolut. Astfel, acest drept trebuie să fie luat în considerare în raport cu funcția sa în societate și trebuie echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității, așa cum a reafirmat Curtea în esență la punctul 172 din Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems (C‑311/18, EU:C:2020:559).
48 Prin urmare, se poate admite ca, în împrejurări specifice, să nu fie posibil să se furnizeze informații cu privire la destinatari concreți. Prin urmare, dreptul de acces va putea fi restrâns la informarea privind categoriile de destinatari dacă este imposibil să se comunice identitatea destinatarilor concreți, mai ales atunci când aceștia nu sunt cunoscuți încă.
49 În plus, trebuie amintit că, în temeiul articolului 12 alineatul (5) litera (b) din RGPD, operatorul poate, în conformitate cu principiul răspunderii prevăzut la articolul 5 alineatul (2) din acest regulament, precum și în considerentul (74) al acestuia, să refuze să dea curs cererilor persoanei vizate atunci când acestea sunt în mod vădit nefondate sau excesive, precizându‑se că revine aceluiași operator sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererilor respective.
50 În speță, din cererea de decizie preliminară reiese că Österreichische Post a respins cererea formulată de RW în temeiul articolului 15 alineatul (1) din RGPD, prin care acesta solicitase să îi furnizeze identitatea destinatarilor cărora aceasta le divulgase datele cu caracter personal care o priveau. Va reveni instanței de trimitere sarcina de a verifica dacă, ținând seama de împrejurările în discuție în litigiul principal, Österreichische Post a dovedit caracterul vădit nefondat sau excesiv al acestei cereri.
51 Având în vedere ansamblul considerațiilor care precedă, este necesar să se răspundă la întrebarea preliminară că articolul 15 alineatul (1) litera (c) din RGPD trebuie interpretat în sensul că dreptul de acces al persoanei vizate la datele cu caracter personal care o privesc, prevăzut de această dispoziție, implică, atunci când aceste date le‑au fost sau urmează să le fie divulgate unor destinatari, obligația operatorului de a‑i furniza acestei persoane identitatea însăși a acestor destinatari, cu excepția cazului în care este imposibil să se identifice acești destinatari sau a cazului în care operatorul menționat demonstrează că cererile de acces ale persoanei vizate sunt în mod vădit nefondate sau excesive, în sensul articolului 12 alineatul (5) din RGPD, cazuri în care acesta îi poate indica acestei persoane numai categoriile de destinatari în cauză.
Cu privire la cheltuielile de judecată
52 Întrucât, în raport cu părțile din litigiul principal, procedura are caracterul unui incident apărut la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.
Pentru aceste motive, Curtea (Camera întâi) declară:
Articolul 15 alineatul (1) litera (c) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
trebuie interpretate în sensul că
dreptul de acces al persoanei vizate la datele cu caracter personal care o privesc, prevăzut de această dispoziție, implică, atunci când aceste date le‑au fost sau urmează să le fie divulgate unor destinatari, obligația operatorului de a‑i furniza acestei persoane identitatea însăși a acestor destinatari, cu excepția cazului în care este imposibil să se identifice acești destinatari sau a cazului în care operatorul menționat demonstrează că cererile de acces ale persoanei vizate sunt în mod vădit nefondate sau excesive, în sensul articolului 12 alineatul (5) din Regulamentul 2016/679, cazuri în care acesta îi poate indica acestei persoane numai categoriile de destinatari în cauză.
Semnături