HOTĂRÂREA CURȚII (Camera întâi)
12 ianuarie 2023(*)
„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolele 77-79 – Căi de atac – Exercitare în paralel – Corelare – Autonomie procedurală – Efectivitatea normelor în materie de protecție stabilite prin acest regulament – Aplicare consecventă și omogenă a acestor norme în întreaga Uniune Europeană – Articolul 47 din Carta drepturilor fundamentale”
În cauza C‑132/21,
având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Fővárosi Törvényszék (Curtea din Budapesta‑Capitală, Ungaria), prin decizia din 2 martie 2021, primită de Curte la 3 martie 2021, în procedura
BE
împotriva
Nemzeti Adatvédelmi és Információszabadság Hatóság,
cu participarea:
Budapesti Elektromos Művek Zrt.,
CURTEA (Camera întâi),
compusă din domnul A. Arabadjiev, președinte de cameră, domnul L. Bay Larsen, vicepreședinte, îndeplinind funcția de judecător al Camerei întâi, domnii P. G. Xuereb și A. Kumin și doamna I. Ziemele (raportoare), judecători,
avocat general: domnul J. Richard de la Tour,
grefier: domnul I. Illéssy, administrator,
având în vedere procedura scrisă și în urma ședinței din 11 mai 2022,
luând în considerare observațiile prezentate:
– pentru BE, de I. Kulcsár, ügyvéd;
– pentru Nemzeti Adatvédelmi és Információszabadság Hatóság, de G. Barabás, jogtanácsos, și G. J. Dudás și Á. Hargita, ügyvédek;
– pentru guvernul maghiar, de Zs. Biró-Tóth și M. Z. Fehér, în calitate de agenți;
– pentru guvernul ceh, de O. Serdula, M. Smolek și J. Vláčil, în calitate de agenți;
– pentru guvernul italian, de G. Palmieri, în calitate de agent, asistată de E. De Bonis și M. F. Severi, avvocati dello Stato;
– pentru guvernul polonez, de B. Majczyna și J. Sawicka, în calitate de agenți;
– pentru Comisia Europeană, de H. Kranenborg, Zs. Teleki și P. J. O. Van Nuffel, în calitate de agenți,
după ascultarea concluziilor avocatului general în ședința din 8 septembrie 2022,
pronunță prezenta
Hotărâre
1 Cererea de decizie preliminară privește interpretarea articolului 77 alineatul (1), a articolului 78 alineatul (1) și a articolului 79 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1).
2 Această cerere a fost formulată în cadrul unui litigiu între BE, pe de o parte, și Nemzeti Adatvédelmi és Információszabadság Hatóság (Autoritatea Națională pentru Protecția Datelor și Libertatea Informației, Ungaria, denumită în continuare „autoritatea de supraveghere”), pe de altă parte, în legătură cu respingerea cererii lui BE de a i se comunica extrase din înregistrarea sonoră a adunării generale a acționarilor unei societăți la care BE a participat.
Cadrul juridic
Dreptul Uniunii
3 Potrivit considerentelor (10), (11), (141) și (143) ale Regulamentului 2016/679:
„(10) Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii [Europene], nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. […]
(11) Protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea și stabilirea în detaliu a drepturilor persoanelor vizate și a obligațiilor celor care prelucrează și decid prelucrarea datelor cu caracter personal […]
[…]
(141) Orice persoană vizată ar trebui să aibă dreptul de a depune o plângere la o singură autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, precum și dreptul la o cale de atac eficientă în conformitate cu articolul 47 din [Carta drepturilor fundamentale a Uniunii Europene], în cazul în care persoana vizată consideră că drepturile sale în temeiul prezentului regulament sunt încălcate sau în cazul în care autoritatea de supraveghere nu reacționează la o plângere, respinge sau refuză parțial sau total o plângere sau nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate. […]
[…]
(143) […] [o]rice persoană fizică sau juridică ar trebui să aibă dreptul la o cale de atac judiciară eficientă în fața instanței naționale competente împotriva unei decizii a unei autorități de supraveghere care produce efecte juridice privind respectiva persoană. […] Acțiunile împotriva unei autorități de supraveghere ar trebui să fie aduse în fața instanțelor statului membru în care este stabilită autoritatea de supraveghere și ar trebui să se desfășoare în conformitate cu dreptul procesual al statului membru respectiv. Respectivele instanțe ar trebui să își exercite competența judiciară deplină, care ar trebui să includă competența de a examina toate aspectele de fapt sau de drept care au relevanță pentru litigiul cu care acestea sunt sesizate.”
4 Articolele 60-63 din acest regulament stabilesc mecanisme de cooperare, de asistență reciprocă și de asigurare a coerenței între autoritățile de supraveghere ale statelor membre.
5 Articolul 77 alineatul (1) din regulamentul menționat prevede:
„Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament.”
6 Articolul 78 alineatul (1) din același regulament prevede:
„Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.”
7 Articolul 79 alineatul (1) din Regulamentul 2016/679 prevede:
„Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.”
8 Articolul 81 din acest regulament, intitulat „Suspendarea procedurilor”, are următorul cuprins:
„(1) În cazul în care o instanță competentă a unui stat membru are informații că pe rolul unei instanțe dintr‑un alt stat membru se află o acțiune având același obiect în ceea ce privește activitățile de prelucrare ale aceluiași operator sau ale aceleiași persoane împuternicite de operator, instanța respectivă contactează instanța din celălalt stat membru pentru a confirma existența unor astfel de acțiuni.
(2) Atunci când pe rolul unei instanțe dintr‑un alt stat membru se află o acțiune având același obiect în ceea ce privește activitățile de prelucrare ale aceluiași operator sau ale aceleiași persoane împuternicite de operator, orice altă instanță competentă decât instanța sesizată inițial poate suspenda acțiunea aflată la ea pe rol.
(3) În cazul în care o astfel de acțiune se judecă în primă instanță, orice instanță sesizată ulterior poate, de asemenea, la cererea uneia dintre părți, să‑și decline competența, cu condiția ca respectiva acțiune să fie de competența primei instanțe sesizate și ca dreptul aplicabil acesteia să permită conexarea acțiunilor.”
Dreptul maghiar
9 Articolul 22 din az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Legea nr. CXII din 2011 privind autodeterminarea în materie de informare și libertatea informației), în versiunea aplicabilă litigiului principal, prevede:
„În exercitarea drepturilor sale, persoana vizată poate, în conformitate cu dispozițiile capitolului VI:
a) să solicite [autorității de supraveghere] să inițieze o investigație privind legalitatea unei măsuri luate de operator, în cazul în care operatorul a limitat exercitarea drepturilor persoanei vizate, definite la articolul 14, sau a respins o cerere a persoanei vizate prin care aceasta încerca să își exercite drepturile, precum și
b) să solicite [autorității de supraveghere] să soluționeze o procedură administrativă de protecție a datelor cu caracter personal, în cazul în care persoana vizată consideră că, în cursul prelucrării datelor sale cu caracter personal, operatorul sau, după caz, un reprezentant sau persoana împuternicită de operator, care acționează la ordinul său, a încălcat obligațiile în materie de prelucrare a datelor cu caracter personal prevăzute de lege sau în virtutea legii ori de un act obligatoriu al Uniunii […]”
10 Articolul 23 din Legea nr. CXII din 2011, în versiunea aplicabilă litigiului principal, prevede:
„1. Persoana vizată poate introduce o acțiune în justiție împotriva operatorului sau a persoanei împuternicite de operator cu privire la operațiunile de prelucrare care intră în domeniul de activitate al acestuia din urmă, în cazul în care consideră că, la prelucrarea datelor sale cu caracter personal, operatorul sau, după caz, un reprezentant sau persoana împuternicită de operator, care acționează la ordinul său, a încălcat obligațiile în materie de prelucrare a datelor cu caracter personal prevăzute de lege sau în virtutea legii ori de un act obligatoriu al Uniunii.
[…]
4. Persoanele care, în mod normal, nu au calitate procesuală pot participa de asemenea la procedura judiciară. [Autoritatea de supraveghere] poate interveni în procedură în susținerea pretențiilor persoanei vizate.
5. În cazul în care instanța admite acțiunea, aceasta constată existența unei încălcări și obligă operatorul sau, după caz, persoana împuternicită de operator:
a) să înceteze operațiunea nelegală de prelucrare;
b) să restabilească legalitatea prelucrării datelor și/sau
c) să adopte un comportament determinat cu precizie pentru a garanta exercitarea drepturilor persoanei vizate
și, dacă este cazul, se pronunță în același timp cu privire la cererile de despăgubire pentru prejudiciile materiale și morale.”
Situația de fapt din litigiul principal și întrebările preliminare
11 La 26 aprilie 2019, BE a asistat la adunarea generală a unei societăți pe acțiuni al cărei acționar este și, cu această ocazie, a adresat întrebări membrilor consiliului de administrație al societății respective, precum și altor participanți la adunarea generală menționată. Ulterior, BE a solicitat societății respective, în calitate de operator al datelor cu caracter personal, să îi comunice înregistrarea sonoră realizată în cadrul adunării generale menționate.
12 Societatea în discuție nu a pus la dispoziția lui BE decât extrasele acestei înregistrări care reproduc intervențiile sale, cu excluderea celor ale celorlalți participanți la adunarea generală în cauză.
13 BE a solicitat atunci autorității de supraveghere, pe de o parte, să constate că, prin faptul că nu i s‑a pus la dispoziție înregistrarea respectivă care include răspunsurile date la întrebările sale, societatea menționată a acționat în mod ilicit și cu încălcarea Regulamentului 2016/679, precum și, pe de altă parte, să oblige societatea respectivă să îi comunice înregistrarea în cauză. Autoritatea de supraveghere a respins această cerere printr‑o decizie din 29 noiembrie 2019.
14 BE a introdus o cale de atac împotriva acestei decizii a autorității de supraveghere în fața instanței de trimitere, în temeiul articolului 78 alineatul (1) din regulamentul amintit, în vederea modificării, cu titlu principal, sau a anulării, cu titlu subsidiar, a deciziei menționate.
15 În paralel cu sesizarea autorității de supraveghere, BE a introdus o a doua cale de atac, de această dată în temeiul articolului 79 alineatul (1) din regulamentul menționat, în fața unei instanțe civile, și anume Fővárosi Ítélőtábla (Curtea Regională de Apel din Budapesta‑Capitală, Ungaria) și îndreptată împotriva deciziei operatorului de date.
16 În timp ce prima dintre aceste acțiuni este pendinte în fața instanței de trimitere, Fővárosi Ítélőtábla (Curtea Regională de Apel din Budapesta‑Capitală, Ungaria) a admis, printr‑o hotărâre rămasă definitivă, cea de a doua acțiune pentru motivul că operatorul a încălcat dreptul de acces al lui BE la datele sale cu caracter personal.
17 Instanța de trimitere arată că trebuie să examineze aceleași fapte și aceeași afirmație privind încălcarea Regulamentului 2016/679 ca și cele asupra cărora Fővárosi Ítélőtábla (Curtea Regională de Apel din Budapesta‑Capitală, Ungaria) s‑a pronunțat deja în mod definitiv. Aceasta solicită să se stabilească modul în care trebuie să coreleze aprecierea de către o instanță civilă a legalității unei decizii adoptate de operatorul de date cu caracter personal cu procedura administrativă care a condus la adoptarea deciziei autorității de supraveghere vizate la punctul 13 din prezenta hotărâre, care face obiectul căii de atac pendinte în fața sa și în special dacă o cale de atac ar fi prioritară față de alta.
18 Astfel, o exercitare în paralel a căilor de atac prevăzute la articolele 77-79 din Regulamentul 2016/679 ar putea conduce la adoptarea unor hotărâri contradictorii privind fapte identice.
19 O astfel de situație ar risca să aducă atingere securității juridice atât în ceea ce privește persoanele private, cât și autoritățile de supraveghere.
20 Instanța de trimitere arată că, având în vedere independența autorităților de supraveghere, precum și preponderența competențelor lor, definite de Regulamentul 2016/679, în sistemul de protecție a datelor cu caracter personal, atribuțiile și competențele acestor autorități ar fi compromise dacă ele ar fi ținute, în aprecierile lor, de cele ale unei instanțe civile sesizate în prealabil cu aceleași fapte, în temeiul articolului 79 alineatul (1) din regulamentul respectiv.
21 Având în vedere că dispozițiile regulamentului menționat nu prevăd nicio regulă de prioritate între căile de atac prevăzute la articolele 77-79 din acesta, instanța de trimitere consideră că este de competența Curții să clarifice raportul existent între căile de atac respective.
22 În aceste condiții, Fővárosi Törvényszék (Curtea din Budapesta‑Capitală, Ungaria) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
„1) Articolul 77 alineatul (1) și articolul 79 alineatul (1) din Regulamentul [2016/679] trebuie interpretate în sensul că respectiva cale de atac administrativă prevăzută la articolul 77 constituie un instrument de exercitare a drepturilor publice, în timp ce calea de atac judiciară prevăzută la articolul 79 constituie un instrument de exercitare a drepturilor private? În cazul unui răspuns afirmativ, trebuie să se deducă din aceasta că autoritatea de supraveghere, căreia îi revine sarcina de a soluționa căile de atac administrative, are competență prioritară pentru a stabili existența unei încălcări?
2) În cazul în care persoana vizată – care consideră că prelucrarea datelor cu caracter personal care o privesc a încălcat Regulamentul [2016/679] – își exercită simultan dreptul de a depune o plângere în temeiul articolului 77 alineatul (1) din acest regulament și dreptul de a introduce o cale de atac judiciară în temeiul articolului 79 alineatul (1) din regulamentul menționat, trebuie să se considere că o interpretare conformă cu articolul 47 din Carta drepturilor fundamentale presupune:
a) că autoritatea de supraveghere și instanța sunt obligate să examineze în mod independent existența unei încălcări și, prin urmare, pot să ajungă inclusiv la soluții divergente sau
b) că decizia autorității de supraveghere este prioritară, deoarece se referă la aprecierea săvârșirii unei încălcări, luând în considerare atribuțiile menționate la articolul 51 alineatul (1) din [RGPD] și competențele prevăzute la articolul 58 alineatul (2) literele (b) și (d) din regulament?
3) Independența autorității de supraveghere, garantată la articolul 51 alineatul (1) și la articolul 52 alineatul (1) din Regulamentul [2016/679], trebuie interpretată în sensul că autoritatea respectivă, la prelucrarea și soluționarea plângerii prevăzute la articolul 77 [din acest regulament], este independentă în raport cu ceea ce statuează prin hotărâre definitivă instanța competentă în temeiul articolului 79 [din regulamentul menționat], astfel încât aceasta poate inclusiv să adopte o decizie divergentă cu privire la aceeași pretinsă încălcare?”
Cu privire la întrebările preliminare
Cu privire la admisibilitate
23 Comisia Europeană exprimă îndoieli cu privire la admisibilitatea întrebărilor preliminare. Ea arată că, astfel cum reiese din cererea de decizie preliminară, la data acesteia, atât autoritatea de supraveghere, cât și instanța civilă își pronunțaseră deciziile, astfel încât întrebările respective sunt, ca atare, ipotetice. În realitate, instanța de trimitere ar ridica problema legăturii dintre deciziile fiecăreia dintre cele două instanțe naționale, și anume instanța administrativă și instanța civilă. Întrebarea respectivă nu ar fi fost însă formulată în decizia de trimitere.
24 În această privință, trebuie amintit că întrebările referitoare la interpretarea dreptului Uniunii adresate de instanța națională în cadrul normativ și factual pe care îl definește sub propria răspundere și a cărui exactitate Curtea nu are competența să o verifice beneficiază de o prezumție de pertinență. Respingerea de către Curte a unei cereri adresate de o instanță națională este posibilă numai dacă este evident că interpretarea solicitată a dreptului Uniunii nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când problema este de natură ipotetică sau atunci când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util la întrebările care i‑au fost adresate [Hotărârea din 10 februarie 2022, Bezirkshauptmannschaft Hartberg‑Fürstenfeld (Termen de prescripție), C‑219/20, EU:C:2022:89, punctul 20 și jurisprudența citată].
25 În plus, cererea de decizie preliminară trebuie să cuprindă, conform articolului 94 litera (c) din Regulamentul de procedură al Curții, expunerea motivelor care au determinat instanța de trimitere să aibă îndoieli cu privire la interpretarea anumitor dispoziții ale dreptului Uniunii, precum și legătura pe care instanța de trimitere o stabilește între aceste dispoziții și legislația națională aplicabilă litigiului principal.
26 În prezenta cauză, este cert că autoritatea de supraveghere, care fusese sesizată în temeiul articolului 77 alineatul (1) din Regulamentul 2016/679, a pronunțat hotărârea înainte de sesizarea instanței civile care s‑a pronunțat cu privire la calea de atac introdusă de BE în temeiul articolului 79 alineatul (1) din acest regulament. Din situația de fapt prezentată de instanța de trimitere reiese că această cale de atac a condus la pronunțarea unei hotărâri definitive. În plus, este adevărat că instanța de trimitere a menționat numai aceste două dispoziții în întrebările preliminare pe care le‑a adresat Curții.
27 Cu toate acestea, faptul că instanța de trimitere a formulat o întrebare referindu‑se numai la anumite dispoziții ale dreptului Uniunii nu împiedică Curtea să îi furnizeze toate elementele de interpretare ce pot fi utile pentru soluționarea cauzei cu care este sesizată, indiferent dacă respectiva instanță s‑a referit sau nu s‑a referit la acestea în enunțul întrebărilor sale. În această privință, revine Curții sarcina de a extrage din ansamblul elementelor furnizate de instanța națională și mai ales din motivarea deciziei de trimitere elementele din dreptul Uniunii care necesită o interpretare, având în vedere obiectul litigiului [Hotărârea din 10 februarie 2022, Bezirkshauptmannschaft Hartberg‑Fürstenfeld (Termen de prescripție), C‑219/20, EU:C:2022:89, punctul 34 și jurisprudența citată].
28 Or, pe de o parte, instanța de trimitere arată că, în temeiul dreptului procedural național, nu este ținută de hotărârea definitivă a instanței civile care s‑a pronunțat cu privire la calea de atac introdusă de BE în temeiul articolului 79 alineatul (1) din Regulamentul 2016/679. Pe de altă parte, întrucât BE nu a renunțat la calea sa de atac în fața instanței de trimitere, introdusă în temeiul articolului 78 alineatul (1) din acest regulament și având ca obiect modificarea sau anularea deciziei autorității de supraveghere vizate la punctul 13 din prezenta hotărâre, ar reveni acestei din urmă instanțe sarcina de a statua cu privire la legalitatea respectivei decizii înainte ca hotărârea instanței civile să fi fost pronunțată.
29 Astfel, prin intermediul întrebărilor formulate, instanța de trimitere, care este sesizată cu o cale de atac, în temeiul articolului 78 alineatul (1) din Regulamentul 2016/679, împotriva acestei decizii a autorității de supraveghere pronunțate în temeiul articolului 77 alineatul (1) din regulamentul respectiv, urmărește să afle dacă, în temeiul dispozițiilor acestuia din urmă, hotărârea definitivă adoptată de o instanță sesizată în temeiul articolului 79 alineatul (1) din regulamentul menționat este obligatorie în ceea ce privește constatarea existenței sau a inexistenței unei încălcări a drepturilor garantate de același regulament.
30 În aceste condiții, pentru a oferi un răspuns util instanței de trimitere, este necesar să se considere că, prin intermediul întrebărilor formulate, care trebuie analizate împreună, această instanță solicită în esență să se stabilească dacă articolul 77 alineatul (1), articolul 78 alineatul (1) și articolul 79 alineatul (1) din Regulamentul 2016/679, interpretate în lumina articolului 47 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”), trebuie interpretate în sensul că respectivele căi de atac prevăzute, pe de o parte, la aceleași articole 77 alineatul (1) și articolul 78 alineatul (1), precum și, pe de altă parte, la articolul 79 alineatul (1) menționat pot fi exercitate în mod concurent și independent sau dacă una dintre ele are caracter prioritar.
31 Prin urmare, întrebările preliminare astfel reformulate sunt, așadar. admisibile.
Cu privire la fond
32 Cu titlu introductiv, trebuie amintit că, în conformitate cu o jurisprudență constantă a Curții, în vederea interpretării unei dispoziții de drept al Uniunii, trebuie să se țină seama nu numai de termenii acesteia, ci și de contextul său și de obiectivele urmărite de reglementarea din care face parte această dispoziție (Hotărârea din 2 decembrie 2021, Vodafone Kabel Deutschland, C‑484/20, EU:C:2021:975, punctul 19 și jurisprudența citată).
33 În ceea ce privește modul de redactare a dispozițiilor Regulamentului 2016/679 menționate la punctul 30 din prezenta hotărâre, trebuie amintit, mai întâi, că articolul 77 alineatul (1) din acest regulament precizează că, „[f]ără a aduce atingere oricăror alte căi de atac administrative sau judiciare”, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere. Apoi, potrivit articolului 78 alineatul (1) din regulamentul menționat, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează „fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare”. În sfârșit, articolul 79 alineatul (1) din același regulament garantează fiecărei persoane vizate dreptul la o cale de atac judiciară eficientă „fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77”.
34 Astfel, aceste dispoziții ale Regulamentului 2016/679 oferă diferite căi de atac persoanelor care invocă o încălcare a acestui regulament, fiind de la sine înțeles că fiecare dintre căile de atac respective trebuie să poată fi exercitată „fără a aduce atingere” celorlalte căi de atac.
35 Rezultă, mai întâi, din modul de redactare a acestor dispoziții că Regulamentul 2016/679 nu prevede o competență prioritară sau exclusivă și nici vreo normă de prioritate a aprecierii efectuate de autoritatea sau de instanța care sunt vizate de acesta cu privire la existența unei încălcări a drepturilor conferite de regulamentul menționat. Calea de atac prevăzută la articolul 78 alineatul (1) din acesta din urmă, al cărei obiect este examinarea legalității deciziei unei autorități de supraveghere adoptate în temeiul articolului 77 din regulamentul amintit, și cea prevăzută la articolul 79 alineatul (1) din același regulament pot fi exercitate, așadar, în mod concomitent și independent.
36 O asemenea constatare este confirmată, apoi, de contextul în care se înscriu dispozițiile Regulamentului 2016/679 în cauză.
37 Astfel, în condițiile în care legiuitorul Uniunii a reglementat în mod expres relația dintre căile de atac prevăzute de Regulamentul 2016/679 în cazul sesizării simultane a unor autorități de supraveghere sau a unor instanțe din mai multe state membre cu privire la o prelucrare de date cu caracter personal efectuată de același operator, trebuie să se constate că această situație nu se regăsește în ceea ce privește căile de atac prevăzute la articolele 77-79 din regulamentul menționat.
38 Pe de o parte, articolele 60-63 din Regulamentul 2016/679 prevăd mecanisme de cooperare, de asistență reciprocă și de coordonare în temeiul cărora autoritățile de supraveghere își acordă reciproc asistență, se informează și desfășoară operațiuni comune pentru a asigura aplicarea coerentă și eficientă a dispozițiilor acestui regulament în întreaga Uniune.
39 Pe de altă parte, articolul 81 alineatele (2) și (3) din regulamentul menționat prevede norme care vizează cazurile de sesizare a mai multor instanțe din state membre diferite.
40 În schimb, astfel de norme nu sunt prevăzute de Regulamentul 2016/679 atunci când o plângere la o autoritate de supraveghere și căi de atac jurisdicționale sunt introduse în cadrul aceluiași stat membru cu privire la aceeași prelucrare de date cu caracter personal.
41 Pe de altă parte, din articolul 78 alineatul (1) din Regulamentul 2016/679, interpretat în lumina considerentului (143) al acestui regulament, rezultă că instanțele sesizate cu o cale de atac împotriva unei decizii a unei autorități de supraveghere ar trebui să dispună de o competență deplină, în special de cea de a examina toate aspectele de fapt și de drept referitoare la litigiul cu care sunt sesizate.
42 În sfârșit, în ceea ce privește obiectivele urmărite de regulamentul menționat, reiese în special din considerentul (10) al acestuia din urmă că el urmărește să asigure un nivel ridicat de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în cadrul Uniunii. Considerentul (11) al aceluiași regulament enunță, în plus, că o protecție efectivă a acestor date impune consolidarea drepturilor persoanelor vizate. Astfel cum a arătat domnul avocat general la punctul 55 din concluzii, alegerea făcută de legiuitorul Uniunii de a lăsa persoanelor vizate posibilitatea de a exercita în mod concurent și independent căile de atac prevăzute, pe de o parte, la articolul 77 alineatul (1) și la articolul 78 alineatul (1) din Regulamentul 2016/679 și, pe de altă parte, la articolul 79 alineatul (1) din acest regulament se înscrie în obiectivul regulamentului menționat.
43 Astfel, Regulamentul 2016/679 impune în special autorităților competente ale statelor membre sarcina de a asigura un nivel ridicat de protecție a drepturilor garantate la articolul 16 TFUE și la articolul 8 din cartă (a se vedea în acest sens Hotărârea din 15 iunie 2021, Facebook Ireland și alții, C‑645/19, EU:C:2021:483, punctul 45).
44 Punerea la dispoziție a mai multor căi de atac consolidează de asemenea obiectivul enunțat în considerentul (141) al Regulamentului 2016/679 de a garanta oricărei persoane care consideră că drepturile pe care i le conferă acest regulament sunt încălcate dreptul la o cale de atac efectivă în conformitate cu articolul 47 din cartă.
45 În lipsa unei reglementări a Uniunii în materie, revine fiecărui stat membru, în temeiul principiului autonomiei procedurale a statelor membre, atribuția de a stabili modalitățile procedurii administrative și pe cele ale procedurii jurisdicționale destinate să asigure un nivel ridicat de protecție a drepturilor conferite justițiabililor de dreptul Uniunii.
46 Prin urmare, este de competența instanței naționale să stabilească, tocmai pe baza dispozițiilor procedurale naționale, modul în care căile de atac prevăzute de Regulamentul 2016/679 trebuie să fie aplicate într‑un caz precum cel în discuție în litigiul principal.
47 În aceste condiții, modalitățile de punere în aplicare a acestor căi de atac concurente și independente nu ar trebui să repună în discuție efectul util și protecția efectivă a drepturilor garantate de regulamentul menționat.
48 Astfel, aceste modalități procedurale nu trebuie să fie mai puțin favorabile decât cele care privesc unele acțiuni similare prevăzute pentru protecția drepturilor întemeiate pe ordinea juridică internă (principiul echivalenței) și nici să facă practic imposibilă sau excesiv de dificilă exercitarea drepturilor conferite de ordinea juridică a Uniunii (principiul efectivității) (a se vedea în acest sens Hotărârea din 14 iulie 2022, EPIC Financial Consulting, C‑274/21 și C‑275/21, EU:C:2022:565, punctul 73 și jurisprudența citată).
49 Or, revine instanțelor din statele membre, în temeiul principiului cooperării loiale prevăzut la articolul 4 alineatul (3) TUE, atribuția de a asigura protecția jurisdicțională a drepturilor conferite justițiabililor de dreptul Uniunii, articolul 19 alineatul (1) TUE impunând, pe de altă parte, statelor membre obligația de a stabili căile de atac necesare pentru a asigura o protecție jurisdicțională efectivă în domeniile reglementate de dreptul Uniunii (Hotărârea din 27 septembrie 2017, Puškár, C‑73/16, EU:C:2017:725, punctul 57).
50 În special, atunci când statele membre definesc modalitățile procedurale ale căilor de atac în justiție menite să asigure protecția drepturilor conferite de Regulamentul 2016/679, ele trebuie să garanteze respectarea dreptului la o cale de atac efectivă și de acces la o instanță judecătorească imparțială, consacrat la articolul 47 din cartă, care constituie o reafirmare a principiului protecției jurisdicționale efective (a se vedea prin analogie Hotărârea din 27 septembrie 2017, Puškár, C‑73/16, EU:C:2017:725, punctul 59).
51 Astfel, statele membre trebuie să se asigure că modalitățile concrete de exercitare a căilor de atac prevăzute la articolul 77 alineatul (1), la articolul 78 alineatul (1) și la articolul 79 alineatul (1) din Regulamentul 2016/679 nu afectează în mod disproporționat dreptul la o cale de atac efectivă în fața unei instanțe judecătorești menționat la articolul 47 din cartă (a se vedea în acest sens Hotărârea din 27 septembrie 2017, Puškár, C‑73/16, EU:C:2017:725, punctul 76).
52 În speță, din decizia de trimitere reiese că sistemul de căi de atac prevăzut de dreptul maghiar este conceput astfel încât căile de atac prevăzute la articolul 78 alineatul (1) și la articolul 79 alineatul (1) din Regulamentul 2016/679 sunt independente. Într‑adevăr, instanța de trimitere precizează că, în temeiul acestui drept, nu este ținută de hotărârea pronunțată de instanța sesizată cu o cale de atac introdusă în temeiul acestui articol 79 alineatul (1), deși faptele cu care sunt sesizate instanțele respective sunt aceleași.
53 Prin urmare, nu se poate exclude ca hotărârile pronunțate de aceste două instanțe, una constatând o încălcare a dispozițiilor Regulamentului 2016/679, iar cealaltă, lipsa unei astfel de încălcări, să se contrazică.
54 În această ipoteză, pe de o parte, existența a două decizii contradictorii ar repune în discuție obiectivul de a asigura o aplicare coerentă și omogenă a normelor de protecție a libertăților și a drepturilor fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în întreaga Uniune, enunțat în considerentul (10) al acestui regulament.
55 Astfel, protecția acordată în temeiul unei hotărâri pronunțate în urma unei căi de atac introduse în temeiul articolului 79 alineatul (1) din regulamentul menționat, prin care se constată o încălcare a dispozițiilor acestuia din urmă, nu ar fi în concordanță cu o a doua hotărâre judecătorească ce rezultă dintr‑o cale de atac introdusă în temeiul articolului 78 alineatul (1) din același regulament, ce are un rezultat opus.
56 Pe de altă parte, ar rezulta de aici o slăbire a protecției persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal care le vizează, întrucât o astfel de incoerență ar crea o situație de insecuritate juridică.
57 Având în vedere ansamblul considerațiilor care precedă, trebuie să se răspundă la întrebările adresate că articolul 77 alineatul (1), articolul 78 alineatul (1) și articolul 79 alineatul (1) din Regulamentul 2016/679, citite în lumina articolului 47 din cartă, trebuie interpretate în sensul că permit o exercitare în mod concurent și independent a căilor de atac prevăzute, pe de o parte, la articolul 77 alineatul (1) și articolul 78 alineatul (1) menționate, precum și, pe de altă parte, la articolul 79 alineatul (1) menționat. Revine statelor membre, în acord cu principiul autonomiei procedurale, sarcina de a prevedea modalitățile de articulare a acestor căi de atac pentru a asigura efectivitatea protecției drepturilor garantate de regulamentul menționat, aplicarea coerentă și omogenă a dispozițiilor acestuia din urmă, precum și dreptul la o cale de atac efectivă în fața unei instanțe judecătorești, vizat la articolul 47 din cartă.
Cu privire la cheltuielile de judecată
58 Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.
Pentru aceste motive, Curtea (Camera întâi) declară:
Articolul 77 alineatul (1), articolul 78 alineatul (1) și articolul 79 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), citite în lumina articolului 47 din Carta drepturilor fundamentale,
trebuie interpretate în sensul că
permit o exercitare în mod concurent și independent a căilor de atac prevăzute, pe de o parte, la articolul 77 alineatul (1) și articolul 78 alineatul (1) menționate, precum și, pe de altă parte, la articolul 79 alineatul (1) menționat. Revine statelor membre, în acord cu principiul autonomiei procedurale, sarcina de a prevedea modalitățile de articulare a acestor căi de atac pentru a asigura efectivitatea protecției drepturilor garantate de regulamentul menționat, aplicarea coerentă și omogenă a dispozițiilor acestuia din urmă, precum și dreptul la o cale de atac efectivă în fața unei instanțe judecătorești, vizat la articolul 47 din cartă.
Semnături