Language of document : ECLI:EU:C:2023:369

HOTĂRÂREA CURȚII (Camera întâi)

4 mai 2023(*)

„Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Dreptul de acces al persoanei vizate la datele sale care fac obiectul prelucrării – Articolul 15 alineatul (3) – Furnizarea unei copii a datelor – Noțiunea de «copie» – Noțiunea de «informații»”

În cauza C-487/21,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Bundesverwaltungsgericht (Tribunalul Administrativ Federal, Austria), prin decizia din 9 august 2021, primită de Curte la 9 august 2021, în procedura

F.F.

împotriva

Österreichische Datenschutzbehörde,

cu participarea:

CRIF GmbH,

CURTEA (Camera întâi),

compusă din domnul A. Arabadjiev, președinte de cameră, domnii P. G. Xuereb, T. von Danwitz, A. Kumin și doamna I. Ziemele (raportoare), judecători,

avocat general: domnul G. Pitruzzella,

grefier: domnul A. Calot Escobar,

având în vedere procedura scrisă,

luând în considerare observațiile prezentate:

–        pentru F.F., de M. Schrems;

–        pentru Österreichische Datenschutzbehörde, de A. Jelinek și M. Schmidl, în calitate de agenți;

–        pentru CRIF GmbH, de L. Feiler și M. Raschhofer, Rechtsanwälte;

–        pentru guvernul austriac, de G. Kunnert, A. Posch și J. Schmoll, în calitate de agenți;

–        pentru guvernul ceh, de O. Serdula, M. Smolek și J. Vláčil, în calitate de agenți;

–        pentru guvernul italian, de G. Palmieri, în calitate de agent, asistată de M. Russo, avvocato dello Stato;

–        pentru Comisia Europeană, de A. Bouchagiar, M. Heller și H. Kranenborg, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 15 decembrie 2022,

pronunță prezenta

Hotărâre

1        Cererea de decizie preliminară privește interpretarea articolului 15 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).

2        Această cerere a fost formulată în cadrul unui litigiu între F.F., pe de o parte, și Österreichische Datenschutzbehörde (Autoritatea Austriacă de Protecție a Datelor) (denumită în continuare „DSB”), pe de altă parte, în legătură cu refuzul acesteia din urmă de a impune societății CRIF GmbH să îi transmită lui F.F. o copie a documentelor și a extraselor din bazele de date care conțin printre altele datele sale cu caracter personal care fac obiectul unei prelucrări.

 Cadrul juridic

3        Considerentele (10), (11), (26), (58), (60) și (63) ale RGPD au următorul cuprins:

„(10)      Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii, nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. […]

(11)      Protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea și stabilirea în detaliu a drepturilor persoanelor vizate și a obligațiilor celor care prelucrează și decid prelucrarea datelor cu caracter personal […]

[…]

(26)      Principiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată sau identificabilă. […] Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective.

[…]

(58)      Principiul transparenței prevede că orice informații care se adresează publicului sau persoanei vizate să fie concise, ușor accesibile și ușor de înțeles și să se utilizeze un limbaj simplu și clar […]

[…]

(60)      Conform principiilor prelucrării echitabile și transparente, persoana vizată este informată cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia. Operatorul ar trebui să furnizeze persoanei vizate orice informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă, ținând seama de circumstanțele specifice și de contextul în care sunt prelucrate datele cu caracter personal. […]

[…]

(63)      O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc și ar trebui să își exercite acest drept cu ușurință și la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. […] Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica în special scopurile în care sunt prelucrate datele, dacă este posibil perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automată a datelor cu caracter personal și, cel puțin în cazul în care se bazează pe crearea de profiluri, consecințele unei astfel de prelucrări. Dacă acest lucru este posibil, operatorul de date ar trebui să poată furniza acces de la distanță la un sistem sigur, care să ofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui să aducă atingere drepturilor sau libertăților altora, inclusiv secretului comercial sau proprietății intelectuale și, în special, drepturilor de autor care asigură protecția programelor software. […]”

4        Articolul 4 din acest regulament prevede:

„În sensul prezentului regulament:

1.      «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă […]; o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

2.      «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate […];

[…]”

5        Articolul 12 din regulamentul menționat, intitulat „Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, prevede:

„(1)      Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la articolele 13 și 14 și orice comunicări în temeiul articolelor 15-22 și 34 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil. Informațiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate, informațiile pot fi furnizate verbal, cu condiția ca identitatea persoanei vizate să fie dovedită prin alte mijloace.

[…]

(3)      Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cereri în temeiul articolelor 15-22, fără întârzieri nejustificate și în orice caz în cel mult o lună de la primirea cererii. […] În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic acolo unde este posibil, cu excepția cazului în care persoana vizată solicită un alt format.

[…]”

6        În temeiul articolului 15 din RGPD, intitulat „Dreptul de acces al persoanei vizate”:

„(1)      Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații:

(a)      scopurile prelucrării;

(b)      categoriile de date cu caracter personal vizate;

(c)      destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale;

(d)      acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(e)      existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;

(f)      dreptul de a depune o plângere în fața unei autorități de supraveghere;

(g)      în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora;

(h)      existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

(2)      În cazul în care datele cu caracter personal sunt transferate către o țară terță sau o organizație internațională, persoana vizată are dreptul să fie informată cu privire la garanțiile adecvate în temeiul articolului 46 referitoare la transfer.

(3)      Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative. În cazul în care persoana vizată introduce cererea în format electronic și cu excepția cazului în care persoana vizată solicită un alt format, informațiile sunt furnizate într-un format electronic utilizat în mod curent.

(4)      Dreptul de a obține o copie menționată la alineatul (3) nu aduce atingere drepturilor și libertăților altora.”

7        Articolul 16 din acest regulament, intitulat „Dreptul la rectificare”, prevede:

„Persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.”

8        Articolul 17 din regulamentul menționat, intitulat „Dreptul la ștergerea datelor («dreptul de a fi uitat»)”, prevede la alineatul (1):

„Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate […]

[…]”.

 Acțiunea principală și întrebările preliminare

9        CRIF este o agenție de consultanță comercială care furnizează, la cererea clienților săi, informații privind solvabilitatea unor terți. În acest scop, ea a prelucrat datele cu caracter personal ale reclamantului din litigiul principal.

10      La 20 decembrie 2018, acesta din urmă a solicitat CRIF, în temeiul articolului 15 din RGPD, să aibă acces la datele cu caracter personal care îl privesc. În plus, el a solicitat furnizarea unei copii a documentelor, și anume e-mailurile și extrasele din bazele de date, care conțin printre altele datele sale, „într-un format tehnic standard”.

11      Ca răspuns la această cerere, CRIF i‑a transmis reclamantului din litigiul principal, sub formă sintetică, lista datelor sale cu caracter personal care fac obiectul unei prelucrări.

12      Considerând că CRIF ar fi trebuit să îi transmită o copie a documentelor complete care conțineau datele sale, precum e-mailurile și extrasele din bazele de date, reclamantul din litigiul principal a sesizat DSB cu o reclamație.

13      Prin decizia din 11 septembrie 2019, DSB a respins această reclamație, considerând că CRIF nu a săvârșit nicio încălcare a dreptului de acces la datele cu caracter personal ale reclamantului din litigiul principal.

14      Instanța de trimitere, sesizată cu acțiunea reclamantului din litigiul principal împotriva acestei decizii, ridică problema domeniului de aplicare al articolului 15 alineatul (3) prima teză din RGPD. Ea ridică în special problema dacă obligația prevăzută de această dispoziție de a furniza o „copie” a datelor cu caracter personal este îndeplinită atunci când operatorul transmite datele cu caracter personal sub forma unui tabel sintetic sau dacă această obligație implică de asemenea transmiterea unor extrase din documente sau chiar a unor documente întregi, precum și a unor extrase din baze de date, în care sunt reproduse aceste date.

15      Mai precis, această instanță ridică problema dacă articolul 15 alineatul (3) prima teză din RGPD se limitează să definească forma în care trebuie să fie garantat dreptul de acces la informațiile vizate la articolul 15 alineatul (1) din acest regulament sau dacă această primă dispoziție consacră un drept autonom al persoanei vizate de acces la informațiile referitoare la contextul în care sunt prelucrate datele acestei persoane, sub forma unei copii a extraselor din documente sau chiar a unor documente întregi ori a unor extrase din bazele de date care conțin printre altele aceste date.

16      Instanța de trimitere ridică în plus problema dacă noțiunea de „informații” care figurează la articolul 15 alineatul (3) a treia teză din RGPD include și informațiile menționate la articolul 15 alineatul (1) literele (a)-(h) din acest regulament sau chiar informații suplimentare precum metadatele legate de date sau dacă aceasta cuprinde numai „datele cu caracter personal care fac obiectul prelucrării” menționate la articolul 15 alineatul (3) prima teză din regulamentul menționat.

17      În aceste condiții, Bundesverwaltungsgericht (Tribunalul Administrativ Federal, Austria) a decis să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1)      Noțiunea de «copie» prevăzută la articolul 15 alineatul (3) din [RGPD] trebuie interpretată în sensul că vizează o fotocopie, un facsimil ori o copie electronică a unei date (electronice) sau în această noțiune se încadrează și un «Abschrift», un «double» («duplicata») sau un «transcript», astfel cum sunt definite în dicționarele german, francez și englez?

2)      Articolul 15 alineatul (3) prima teză [din] RGPD, potrivit căruia «[o]peratorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării», trebuie interpretat în sensul că include un drept general al persoanei vizate de a i se preda o copie – inclusiv – a documentelor complete în care sunt prelucrate date cu caracter personal ale persoanei vizate sau de a i se preda o copie a unui extras dintr‑o bază de date, în cazul prelucrării datelor cu caracter personal într‑o astfel de bază de date, ori persoana vizată are dreptul – numai – la o reproducere fidelă a originalului datelor cu caracter personal care trebuie furnizate în temeiul articolului 15 alineatul (1) din RGPD?

3)      În ipoteza în care s‑ar răspunde la cea de a doua întrebare în sensul că pentru persoana vizată nu există decât un drept la reproducerea fidelă a datelor cu caracter personal care trebuie furnizate în temeiul articolului 15 alineatul (1) din RGPD, articolul 15 alineatul (3) prima teză din [acesta] trebuie interpretat în sensul că, în funcție de tipul datelor prelucrate [de exemplu cu privire la diagnosticele, rezultatele examinărilor, evaluările menționate în considerentul (63) al RGPD, precum și la documente în legătură cu un examen în sensul Hotărârii Curții din 20 decembrie 2017, Nowak (C-434/16, EU:C:2017:994] și de obligația de transparență prevăzută la articolul 12 alineatul (1) din RGPD, poate fi totuși necesară, de la caz la caz, punerea la dispoziția persoanei vizate a pasajelor de text sau a documentelor integrale?

4)      Noțiunea de «informații» care, potrivit articolului 15 alineatul (3) a treia teză din RGPD, în cazul în care persoana vizată introduce cererea în format electronic, sunt «furnizate într‑un format electronic utilizat în mod curent», «cu excepția cazului în care persoana vizată solicită un alt format», trebuie interpretată în sensul că se referă numai la «datel[e] cu caracter personal care fac obiectul prelucrării» prevăzute la articolul 15 alineatul (3) prima teză?

a)      În cazul unui răspuns negativ la cea de a patra întrebare, noțiunea de «informații» care, potrivit articolului 15 alineatul (3) a treia teză din RGPD, în cazul în care persoana vizată introduce cererea în format electronic, îi sunt «furnizate într‑un format electronic utilizat în mod curent», «cu excepția cazului în care persoana vizată solicită un alt format», trebuie interpretată în sensul că se referă de asemenea la informațiile prevăzute la articolul 15 alineatul (1) literele (a)-(h) din RGPD?

b)      În cazul unui răspuns negativ și la a patra întrebare litera a), noțiunea de «informații» care, potrivit articolului 15 alineatul (3) a treia teză din RGPD, în cazul în care persoana vizată introduce cererea în format electronic, îi sunt «furnizate într‑un format electronic utilizat în mod curent», «cu excepția cazului în care persoana vizată solicită un alt format», trebuie interpretată în sensul că se referă, pe lângă «datel[e] cu caracter personal care fac obiectul prelucrării», precum și informațiile menționate la articolul 15 alineatul (1) literele (a)-(h), inclusiv, de exemplu, la metadatele aferente?”

 Cu privire la întrebările preliminare

 Cu privire la primele trei întrebări preliminare

18      Prin intermediul primelor trei întrebări, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă articolul 15 alineatul (3) prima teză din RGPD, citit în lumina principiului transparenței prevăzut la articolul 12 alineatul (1) din acest regulament, trebuie interpretat în sensul că dreptul de a obține o copie a datelor cu caracter personal care fac obiectul unei prelucrări presupune ca persoanei vizate să i se predea nu numai o copie a acestor date, ci și o copie a extraselor din documente sau chiar a documentelor întregi ori, în plus, a unor extrase din baze de date care conțin printre altele datele menționate. Această instanță ridică în special problema întinderii acestui drept.

19      Cu titlu introductiv, trebuie amintit că, în conformitate cu o jurisprudență constantă a Curții, în vederea interpretării unei dispoziții de drept al Uniunii, trebuie să se țină seama nu numai de termenii acesteia, în conformitate cu sensul lor obișnuit în limbajul curent, ci și de contextul său și de obiectivele urmărite de reglementarea din care face parte această dispoziție [a se vedea în acest sens Hotărârea din 2 decembrie 2021, Vodafone Kabel Deutschland, C-484/20, EU:C:2021:975, punctul 19 și jurisprudența citată, precum și Hotărârea din 7 septembrie 2022, Staatssecretaris van Justitie en Veiligheid (Natura dreptului de ședere în temeiul articolului 20 TFUE), C-624/20, EU:C:2022:639, punctul 28]

20      În ceea ce privește modul de redactare a articolului 15 alineatul (3) prima teză din RGPD, această dispoziție prevede că operatorul „furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării”.

21      Deși RGPD nu conține o definiție a noțiunii de „copie” astfel utilizată, este necesar să se țină seama de sensul obișnuit al acestui termen, care desemnează, după cum a arătat domnul avocat general la punctul 30 din concluzii, reproducerea sau transcrierea fidelă a unui original, așa încât o descriere pur generală a datelor care fac obiectul unei prelucrări sau o trimitere la categorii de date cu caracter personal nu ar corespunde acestei definiții. În plus, din termenii articolului 15 alineatul (3) prima teză din acest regulament reiese că obligația de comunicare este legată de datele cu caracter personal care fac obiectul prelucrării în cauză.

22      Articolul 4 punctul 1 din RGPD definește noțiunea de „date cu caracter personal” ca fiind „orice informații privind o persoană fizică identificată sau identificabilă” și precizează că „o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.

23      Utilizarea expresiei „orice informații” în definiția noțiunii „date cu caracter personal”, care figurează în această dispoziție, reflectă obiectivul legiuitorului Uniunii de a atribui un sens larg acestei noțiuni, care înglobează potențial orice tip de informații, atât obiective, cât și subiective, sub formă de opinii sau de aprecieri, cu condiția ca acestea să fie „referitoare” la persoana în cauză (a se vedea prin analogie Hotărârea din 20 decembrie 2017, Nowak, C‑434/16, EU:C:2017:994, punctul 34).

24      În această privință, s-a statuat că o informație privește o persoană fizică identificată sau identificabilă atunci când, ca urmare a conținutului, a scopului sau a efectului său, informația este legată de o persoană identificabilă (a se vedea în acest sens Hotărârea din 20 decembrie 2017, Nowak, C‑434/16, EU:C:2017:994, punctul 35).

25      În ceea ce privește caracterul „identificabil” al unei persoane fizice, considerentul (26) al RGPD precizează că ar trebui să se ia în considerare „toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective”.

26      Astfel, după cum a arătat în esență domnul avocat general la punctele 36-39 din concluzii, definiția largă a noțiunii de „date cu caracter personal” nu acoperă numai datele colectate și păstrate de operator, ci include și toate informațiile care rezultă dintr-o prelucrare a datelor cu caracter personal care privesc o persoană identificată sau identificabilă, precum aprecierea solvabilității sau a disponibilității sale de a plăti.

27      În acest context, trebuie adăugat că legiuitorul Uniunii a intenționat să confere noțiunii de „prelucrare”, astfel cum este definită la articolul 4 punctul 2 din RGPD, un domeniu de aplicare larg prin recurgerea la o enumerare de operațiuni neexhaustivă [a se vedea în acest sens Hotărârea din 24 februarie 2022, Valsts ieņēmumu dienests (Prelucrarea datelor personale în scopuri fiscale), C‑175/20, EU:C:2022:124, punctul 35].

28      Prin urmare, din analiza textuală a articolului 15 alineatul (3) prima teză din RGPD reiese că această dispoziție conferă persoanei vizate dreptul de a obține o reproducere fidelă a datelor sale cu caracter personal, înțelese într-o accepțiune largă, care fac obiectul unor operațiuni ce trebuie calificate drept prelucrare efectuată de operatorul acestei prelucrări.

29      Cu toate acestea, trebuie să se constate că modul de redactare a aceleiași dispoziții nu permite, în sine, să se răspundă la primele trei întrebări în măsura în care nu conține nicio indicație cu privire la un eventual drept de a obține nu numai o copie a datelor cu caracter personal care fac obiectul unei prelucrări, ci și o copie a extraselor din documente sau chiar a unor documente întregi ori, în plus, a unor extrase din baze de date care conțin printre altele aceste date.

30      În ceea ce privește contextul în care se înscrie articolul 15 alineatul (3) prima teză din RGPD, trebuie arătat că articolul 15 din RGPD, care este intitulat „Dreptul de acces al persoanei vizate”, definește la alineatul (1) obiectul și domeniul de aplicare al dreptului de acces recunoscut persoanei vizate și consacră dreptul acesteia de a obține de la operator accesul la datele sale cu caracter personal, precum și informațiile menționate la literele (a)-(h) ale acestui alineat.

31      Articolul 15 alineatul (3) din RGPD precizează modalitățile practice de executare a obligației care îi revine operatorului, specificând în special în prima sa teză forma sub care acest operator trebuie să furnizeze „datel[e] cu caracter personal care fac obiectul prelucrării”, și anume sub forma unei „copi[i]”. În plus, acest alineat prevede, în a treia teză, că informațiile sunt furnizate în format electronic utilizat în mod curent atunci când cererea este introdusă în format electronic, cu excepția cazului în care persoana vizată solicită un alt format.

32      În consecință, articolul 15 din RGPD nu poate fi interpretat în sensul că ar consacra, la alineatul (3) prima teză, un drept distinct de cel prevăzut la alineatul (1). Pe de altă parte, așa cum a arătat Comisia Europeană în observațiile sale scrise, termenul „copie” nu se raportează la un document ca atare, ci la datele cu caracter personal pe care le conține și care trebuie să fie complete. Prin urmare, copia trebuie să conțină toate datele cu caracter personal care fac obiectul prelucrării.

33      În ceea ce privește obiectivele urmărite de articolul 15 din RGPD, este necesar să se arate că el are drept scop, astfel cum se precizează în considerentul (11) al acestuia, consolidarea și stabilirea drepturilor persoanelor vizate. Articolul 15 din acest regulament prevede, în această privință, un drept de a obține o copie, spre deosebire de articolul 12 litera (a) a doua liniuță din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31), care se limita la a impune „comunicarea într‑o formă inteligibilă a datelor care fac obiectul prelucrării”. Considerentul (63) al RGPD precizează, la rândul său, că „[o] persoană ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc și ar trebui să își exercite acest drept cu ușurință și la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia”.

34      Astfel, dreptul de acces prevăzut la articolul 15 din RGPD trebuie să permită persoanei vizate să verifice că datele care o privesc sunt exacte și că ele sunt prelucrate în mod legal [a se vedea în acest sens Hotărârea din 12 ianuarie 2023, Österreichische Post (Informații referitoare la destinatarii datelor cu caracter personal), C‑154/21, EU:C:2023:3, punctul 37 și jurisprudența citată].

35      În special, acest drept de acces este necesar pentru a‑i permite persoanei vizate să își exercite, dacă este cazul, dreptul la rectificare, dreptul la ștergerea datelor („dreptul de a fi uitat”) și dreptul la restricționarea prelucrării, care îi sunt recunoscute la articolele 16, 17 și, respectiv, 18 din RGPD, dreptul de opoziție la prelucrarea datelor sale cu caracter personal prevăzut la articolul 21 din RGDP, precum și dreptul la o cale de atac în cazul în care suferă un prejudiciu, prevăzut la articolele 79 și 82 din RGPD [Hotărârea din 12 ianuarie 2023, Österreichische Post (Informații referitoare la destinatarii datelor cu caracter personal), C‑154/21, EU:C:2023:3, punctul 38 și jurisprudența citată].

36      De asemenea, ar trebui remarcat faptul că, potrivit considerentului (60) al RGPD, principiile prelucrării echitabile și transparente impun ca persoana vizată să fie informată cu privire la existența și la scopurile operațiunii de prelucrare, subliniindu‑se că operatorul ar trebui să furnizeze orice informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă, ținând seama de circumstanțele specifice și de contextul în care sunt prelucrate datele cu caracter personal.

37      Pe de altă parte, în conformitate cu principiul transparenței, menționat de instanța de trimitere, la care face referire considerentul (58) al RGPD și pe care îl consacră în mod expres articolul 12 alineatul (1) din acest regulament, orice informație adresată persoanei vizate trebuie să fie concisă, ușor accesibilă și ușor de înțeles și formulată într‑un limbaj clar și simplu.

38      Astfel cum a arătat domnul avocat general la punctele 54 și 55 din concluzii, din această dispoziție reiese că operatorul este obligat să ia măsuri adecvate pentru a furniza persoanei vizate orice informație menționată în special la articolul 15 din RGPD, într-un mod concis, transparent, inteligibil și ușor accesibil, utilizând un limbaj clar și simplu, și că informațiile trebuie furnizate în scris sau prin alte mijloace, inclusiv, atunci când este oportun, prin mijloace electronice, cu excepția cazului în care persoana vizată solicită să îi fie furnizate verbal. Scopul acestei dispoziții, care este o expresie a principiului transparenței, este de a garanta că persoana vizată este în măsură să înțeleagă pe deplin informațiile care îi sunt transmise.

39      Rezultă de aici că copia datelor cu caracter personal care fac obiectul unei prelucrări, pe care operatorul trebuie să o furnizeze în temeiul articolului 15 alineatul (3) prima teză din RGPD, trebuie să prezinte toate caracteristicile care permit persoanei vizate să își exercite în mod efectiv drepturile în temeiul acestui regulament și trebuie, în consecință, să reproducă aceste date integral și fidel.

40      Această interpretare corespunde obiectivului regulamentului menționat, care urmărește în special, astfel cum reiese din considerentul (10) al acestuia, să asigure un nivel ridicat de protecție a persoanelor fizice în cadrul Uniunii și, în acest scop, să asigure aplicarea consecventă și omogenă a normelor în materie de protecție a libertăților și a drepturilor fundamentale ale acestor persoane în ceea ce privește prelucrarea datelor cu caracter personal în întreaga Uniune (a se vedea în acest sens Hotărârea din 9 februarie 2023, X-FAB Dresden, C‑453/21, EU:C:2023:79, punctul 25 și jurisprudența citată).

41      Așadar, pentru a garanta că informațiile astfel furnizate sunt ușor de înțeles, după cum impune articolul 12 alineatul (1) din RGPD coroborat cu considerentul (58) al acestui regulament, reproducerea unor extrase din documente sau chiar a unor documente întregi ori, în plus, a unor extrase din baze de date care conțin printre altele datele cu caracter personal care fac obiectul unei prelucrări se poate dovedi indispensabilă, după cum a arătat domnul avocat general la punctele 57 și 58 din concluzii, în cazul în care contextualizarea datelor prelucrate este necesară pentru a le asigura inteligibilitatea.

42      În special, în cazul în care datele cu caracter personal sunt generate pornind de la alte date sau atunci când astfel de date rezultă din câmpuri libere, și anume lipsa unei indicații care să dezvăluie o informație cu privire la persoana vizată, contextul prelucrării acestor date este un element indispensabil pentru a permite persoanei vizate să dispună de un acces transparent și de o prezentare inteligibilă a acestor date.

43      Pe de altă parte, în conformitate cu articolul 15 alineatul (4) din RGPD coroborat cu considerentul (63) al acestui regulament, dreptul de a obține o copie menționat la alineatul (3) nu ar trebui să aducă atingere drepturilor și libertăților altora, inclusiv secretului comercial sau proprietății intelectuale și, în special, drepturilor de autor care asigură protecția programelor software.

44      Prin urmare, astfel cum a subliniat domnul avocat general la punctul 61 din concluzii, în caz de conflict între, pe de o parte, exercitarea unui drept de acces deplin și complet la datele cu caracter personal și, pe de altă parte, drepturile sau libertățile altora, va fi necesar să se pună în balanță drepturile și libertățile în discuție. În măsura posibilului, trebuie să se aleagă modalitățile de comunicare a datelor cu caracter personal care nu aduc atingere drepturilor sau libertăților altora, ținând seama de faptul că aceste considerații nu trebuie „să aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate”, după cum rezultă din considerentul (63) al RGPD.

45      Având în vedere considerațiile care precedă, este necesar să se răspundă la primele trei întrebări preliminare că articolul 15 alineatul (3) prima teză din RGPD

trebuie interpretat în sensul că

dreptul de a obține din partea operatorului o copie a datelor cu caracter personal care fac obiectul prelucrării presupune ca persoanei vizate să îi fie predată o reproducere fidelă și inteligibilă a tuturor acestor date. Acest drept îl presupune pe cel de a obține copia unor extrase din documente sau chiar a unor documente întregi ori, în plus, a unor extrase din baze de date care conțin printre altele datele menționate, dacă furnizarea unei astfel de copii este indispensabilă pentru a‑i permite persoanei vizate să își exercite în mod efectiv drepturile care îi sunt conferite de acest regulament, subliniindu‑se că trebuie să se țină seama în această privință de drepturile și de libertățile altora.

 Cu privire la a patra întrebare preliminară

46      Prin intermediul acestei întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 15 alineatul (3) a treia teză din RGPD trebuie interpretat în sensul că noțiunea de „informații” pe care o vizează se referă exclusiv la datele cu caracter personal pentru care operatorul trebuie să furnizeze o copie în temeiul primei teze a acestui alineat sau dacă face trimitere de asemenea la ansamblul informațiilor menționate la alineatul (1) al acestui articol ori chiar înglobează elemente care le depășesc, precum metadatele.

47      Astfel cum s-a amintit la punctul 19 din prezenta hotărâre, în vederea interpretării unei dispoziții de drept al Uniunii, trebuie să se țină seama nu numai de termenii acesteia, ci și de contextul său și de obiectivele urmărite de reglementarea din care face parte această dispoziție.

48      În această privință, deși articolul 15 alineatul (3) a treia teză din RGPD prevede doar că, „[î]n cazul în care persoana vizată introduce cererea în format electronic […], informațiile sunt furnizate într-un format electronic utilizat în mod curent”, fără a preciza ce trebuie să se înțeleagă prin termenul „informații”, prima teză a acestui alineat prevede că „[o]peratorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării”.

49      Prin urmare, din contextul articolului 15 alineatul (3) a treia teză din RGPD rezultă că „informațiile” pe care le vizează corespund în mod necesar datelor cu caracter personal pentru care operatorul trebuie să furnizeze o copie în conformitate cu prima teză a acestui alineat.

50      O asemenea interpretare este confirmată de obiectivele urmărite de articolul 15 alineatul (3) din RGPD, care sunt, astfel cum s-a amintit la punctul 31 din prezenta hotărâre, de a defini modalitățile practice de executare a obligației care revine operatorului de a furniza o copie a datelor cu caracter personal ce fac obiectul unei prelucrări. În consecință, această dispoziție nu creează un drept distinct de cel de care beneficiază persoana vizată de a obține o reproducere fidelă și inteligibilă a acestor date, care să îi permită să își exercite în mod efectiv drepturile pe care i le conferă acest regulament.

51      Or, trebuie arătat că nicio dispoziție din regulamentul menționat nu stabilește o diferență de tratament al unei cereri în funcție de forma în care este prezentată, astfel încât întinderea dreptului de a obține o copie nu poate varia în funcție de această formă.

52      Pe de altă parte, trebuie arătat de asemenea că, în conformitate cu articolul 12 alineatul (3) din RGPD, atunci când cererea a fost depusă pe cale electronică, informațiile menționate la acest articol 15, inclusiv cele menționate la literele (a)-(h) ale alineatului (1) al articolului menționat, sunt furnizate pe cale electronică, cu excepția cazului în care persoana vizată indică altfel.

53      Având în vedere considerațiile care precedă, este necesar să se răspundă la a patra întrebare preliminară că articolul 15 alineatul (3) a treia teză din RGPD

trebuie interpretat în sensul că

noțiunea de „informații” pe care o vizează se referă exclusiv la datele cu caracter personal pentru care operatorul trebuie să furnizeze o copie în temeiul primei teze a acestui alineat.

 Cu privire la cheltuielile de judecată

54      Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Camera întâi) declară:

1)      Articolul 15 alineatul (3) prima teză din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

trebuie interpretat în sensul că

dreptul de a obține din partea operatorului o copie a datelor cu caracter personal care fac obiectul prelucrării presupune ca persoanei vizate să îi fie predată o reproducere fidelă și inteligibilă a tuturor acestor date. Acest drept îl presupune pe cel de a obține copia unor extrase din documente sau chiar a unor documente întregi ori, în plus, a unor extrase din baze de date care conțin printre altele datele menționate, dacă furnizarea unei astfel de copii este indispensabilă pentru ai permite persoanei vizate să își exercite în mod efectiv drepturile care îi sunt conferite de acest regulament, subliniinduse că trebuie să se țină seama în această privință de drepturile și de libertățile altora.

2)      Articolul 15 alineatul (3) a treia teză din Regulamentul 2016/679

trebuie interpretat în sensul că

noțiunea de „informații” pe care o vizează se referă exclusiv la datele cu caracter personal pentru care operatorul trebuie să furnizeze o copie în temeiul primei teze a acestui alineat.

Semnături

*      Limba de procedură: germana.