CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

DOMSTOLENS DOM (Femte Afdeling)

14. marts 2024 (*)

»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 58, stk. 2, litra d) og g) – en medlemsstats tilsynsmyndigheds beføjelser – artikel 17, stk. 1 – retten til sletning (»retten til at blive glemt«) – sletning af personoplysninger, der er blevet behandlet ulovligt – den nationale tilsynsmyndigheds beføjelse til at give den dataansvarlige eller databehandleren påbud om at slette disse oplysninger uden forudgående anmodning fra den registrerede«

I sag C-46/23,

angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Fővárosi Törvényszék (retten i første instans i Budapest, Ungarn) ved afgørelse af 8. december 2022, indgået til Domstolen den 31. januar 2023, i sagen

Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala

mod

Nemzeti Adatvédelmi és Információszabadság Hatóság,

har

DOMSTOLEN (Femte Afdeling),

sammensat af afdelingsformanden, E. Regan, og dommerne Z. Csehi, M. Ilešič (refererende dommer), I. Jarukaitis og D. Gratsias,

generaladvokat: L. Medina,

justitssekretær: A. Calot Escobar,

på grundlag af den skriftlige forhandling,

efter at der er afgivet indlæg af:

– Nemzeti Adatvédelmi és Információszabadság Hatóság ved ügyvéd G.J. Dudás,

– den ungarske regering ved Zs. Biró-Tóth og M.Z. Fehér, som befuldmægtigede,

– den spanske regering ved A. Ballesteros Panizo, som befuldmægtiget,

– den østrigske regering ved A. Posch, J. Schmoll og C. Gabauer, som befuldmægtigede,

– den polske regering ved B. Majczyna, som befuldmægtiget,

– den portugisiske regering ved P. Barros da Costa, J. Ramos og C. Vieira Guerra, som befuldmægtigede,

– Europa-Kommissionen ved A. Bouchagiar, C. Kovács og H. Kranenborg, som befuldmægtigede,

og idet Domstolen efter at have hørt generaladvokaten har besluttet, at sagen skal pådømmes uden forslag til afgørelse,

afsagt følgende

Dom

1 Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 58, stk. 2, litra c), d) og g), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, berigtiget i EUT 2018, L 127, s. 2, herefter »databeskyttelsesforordningen«).

2 Anmodningen er blevet indgivet i forbindelse med en tvist mellem Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (kommunal administration i Újpest – fjerde distrikt i Budapest, Ungarn) (herefter »administrationen i Újpest«) og Nemzeti Adatvédelmi és Információszabadság Hatóság (national myndighed for databeskyttelse og informationsfrihed, Ungarn) (herefter »den ungarske tilsynsmyndighed«) vedrørende en afgørelse, hvorved sidstnævnte pålagde administrationen i Újpest at slette personoplysninger, der var blevet behandlet ulovligt.

Retsforskrifter

3 1., 10. og 129. betragtning til databeskyttelsesforordningen har følgende ordlyd:

»(1) Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed. I artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder [...] og i artikel 16, stk. 1, [TEUF] fastsættes det, at enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende.

[...]

(10) For at sikre et ensartet og højt niveau for beskyttelse af fysiske personer og for at fjerne hindringerne for udveksling af personoplysninger inden for [Den Europæiske Union] bør beskyttelsesniveauet for fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af sådanne oplysninger være ensartet i alle medlemsstater. Det bør sikres, at reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen. [...]

[...]

(129) For at sikre ensartet tilsyn med og håndhævelse af denne forordning i hele Unionen bør tilsynsmyndighederne i hver medlemsstat have samme opgaver og effektive beføjelser, herunder undersøgelsesbeføjelser og beføjelser til at fastsætte korrigerende foranstaltninger og sanktioner samt godkendelses- og rådgivningsbeføjelser, navnlig i tilfælde af klager fra fysiske personer, og med forbehold for de retsforfølgende myndigheders beføjelser i henhold til medlemsstaternes nationale ret, til at indbringe overtrædelser af denne forordning for de judicielle myndigheder og deltage i retssager. [...]«

4 Databeskyttelsesforordningens kapitel I, der har overskriften »Generelle bestemmelser«, indeholder forordningens artikel 1-4.

5 Denne forordnings artikel 1 med overskriften »Genstand og formål« har følgende ordlyd:

»1. I denne forordning fastsættes regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger.

2. Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.

[...]«

6 Forordningens artikel 4 med overskriften »Definitioner« bestemmer følgende i nr. 2), 7) og 21):

»I denne forordning forstås ved:

[...]

2) »behandling«: enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

[...]

7) »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret

[...]

21) »tilsynsmyndighed«: en uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold til artikel 51

[...]«

7 Databeskyttelsesforordningens kapitel II med overskriften »Principper« indeholder bl.a. forordningens artikel 5 med overskriften »Principper for behandling af personoplysninger«, som bestemmer:

»1. Personoplysninger skal:

a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)

b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; […] (»formålsbegrænsning«)

c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)

[...]

2. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

8 I databeskyttelsesforordningens kapitel III med overskriften »Den registreredes rettigheder« bestemmer forordningens artikel 17 med overskriften »Ret til sletning (»retten til at blive glemt«)« følgende i stk. 1:

»Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende:

a) Personoplysningerne er ikke længere nødvendige til at opfylde de formål, hvortil de blev indsamlet eller på anden vis behandlet.

b) Den registrerede trækker det samtykke, der er grundlaget for behandlingen, jf. artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), tilbage, og der er ikke et andet retsgrundlag for behandlingen.

c) Den registrerede gør indsigelse mod behandlingen i henhold til artikel 21, stk. 1, og der foreligger ikke legitime grunde til behandlingen, som går forud for indsigelsen, eller den registrerede gør indsigelse mod behandlingen i medfør af artikel 21, stk. 2.

d) Personoplysningerne er blevet behandlet ulovligt.

[...]«

9 Databeskyttelsesforordningens kapitel VI med overskriften »Uafhængige tilsynsmyndigheder« indeholder forordningens artikel 51-59.

10 Denne forordnings artikel 51 med overskriften »Tilsynsmyndighed« bestemmer i stk. 1 og 2:

»1. Hver medlemsstat sikrer, at en eller flere uafhængige offentlige myndigheder er ansvarlige for at føre tilsyn med anvendelsen af denne forordning, for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med behandling og for at lette fri udveksling af personoplysninger i Unionen [...]

2. Hver enkelt tilsynsmyndighed bidrager til ensartet anvendelse af denne forordning i hele Unionen. Til dette formål samarbejder tilsynsmyndighederne med hinanden og med Kommissionen i henhold til kapitel VII.«

11 I nævnte forordnings artikel 57 med overskriften »Opgaver« har stk. 1 følgende ordlyd:

»1. Uden at dette berører andre opgaver, der er fastsat i denne forordning, skal hver tilsynsmyndighed på sit område:

a) føre tilsyn med og håndhæve anvendelsen af denne forordning

[...]

h) gennemføre undersøgelser om anvendelsen af denne forordning, herunder på grundlag af oplysninger, der er modtaget fra en anden tilsynsmyndighed eller en anden offentlig myndighed

[...]«

12 Samme forordnings artikel 58 med overskriften »Beføjelser« bestemmer i stk. 2:

»Hver tilsynsmyndighed har alle af følgende korrigerende beføjelser:

[...]

c) at give den dataansvarlige eller databehandleren påbud om at imødekomme den registreredes anmodninger om at udøve sine rettigheder i henhold til denne forordning

d) at give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i overensstemmelse med bestemmelserne i denne forordning og, hvis det er hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist

[...]

g) at give påbud om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling i henhold til artikel 16, 17 og 18 og meddelelse af sådanne handlinger til de modtagere, som personoplysningerne er videregivet til i henhold til artikel 17, stk. 2, og artikel 19

[...]

i) at pålægge en administrativ bøde i henhold til artikel 83 i tillæg til eller i stedet for foranstaltningerne i dette stykke, afhængigt af omstændighederne i hvert enkelt tilfælde, og

[...]«

Tvisten i hovedsagen og de præjudicielle spørgsmål

13 I februar 2020 besluttede administrationen i Újpest at yde økonomisk støtte til borgere, der tilhørte en kategori af personer, der var blevet sårbare som følge af covid-19-pandemien, og som opfyldte visse betingelser for støtte.

14 Med henblik herpå rettede administrationen henvendelse til Magyar Államkincstár (den ungarske statskasse) og til Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (regeringskontor i fjerde distrikt i Budapest, Ungarn) (herefter »regeringskontoret«) med henblik på at indhente de personoplysninger, der var nødvendige for at kontrollere disse betingelser for støtte. Disse oplysninger omfattede bl.a. de fysiske personers grundlæggende identifikationsoplysninger og socialsikringsnumre. Den ungarske statskasse og regeringskontoret fremsendte de ønskede oplysninger.

15 Med henblik på udbetalingen af den økonomiske støtte vedtog administrationen i Újpest az Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet (kommunalt dekret nr. 16/2020. (IV. 30.) vedrørende indførelse af programmet Újpest+ Megbecsülés), som blev ændret og suppleret ved 30/2020. (VII. 15.) önkormányzati rendelet (kommunalt dekret nr. 30/2020. (VII. 15.)). Disse dekreter indeholdt betingelserne for at være berettiget til den således fastsatte støtte. Administrationen i Újpest samlede de indhentede data i en database, der var oprettet med henblik på gennemførelsen af dens støtteprogram, og oprettede en identifikator samt en specifik stregkode for hvert datasæt.

16 Efter at have modtaget en indberetning indledte den ungarske tilsynsmyndighed den 2. september 2020 ex officio en undersøgelse vedrørende behandlingen af de personoplysninger, som ovennævnte støtteprogram var baseret på. I en afgørelse vedtaget den 22. april 2021 konstaterede denne myndighed, at administrationen i Újpest havde tilsidesat flere bestemmelser i databeskyttelsesforordningens artikel 5 og 14 samt denne forordnings artikel 12, stk. 1. Myndigheden bemærkede bl.a., at administrationen i Újpest ikke, senest inden for en måned, havde underrettet de registrerede om de kategorier af personoplysninger, der blev behandlet i forbindelse med dette program, om formålene med den pågældende behandling eller om de nærmere regler for, hvorledes disse personer kunne udøve deres rettigheder i denne henseende.

17 Den ungarske tilsynsmyndighed gav i henhold til databeskyttelsesforordningens artikel 58, stk. 2, litra d), administrationen i Újpest påbud om at slette personoplysningerne vedrørende de registrerede, som ifølge de oplysninger, der er fremlagt af regeringskontoret og den ungarske statskasse, ganske vist var berettiget til denne støtte, men som ikke havde anmodet herom. Tilsynsmyndigheden fandt, at både den ungarske statskasse og regeringskontoret havde tilsidesat bestemmelserne om behandling af de nævnte personers personoplysninger. Myndigheden pålagde ligeledes administrationen i Újpest og den ungarske statskasse at betale en bøde på området for databeskyttelse.

18 Ved et forvaltningsretligt søgsmål anlagt ved Fővárosi Törvényszék (retten i første instans i Budapest, Ungarn), som er den forelæggende ret, har administrationen i Újpest anfægtet den ungarske tilsynsmyndigheds afgørelse, idet administrationen har gjort gældende, at sidstnævnte ikke har beføjelse til at give påbud om sletning af personoplysninger i henhold til databeskyttelsesforordningens artikel 58, stk. 2, litra d), når den registrerede ikke har fremsat en anmodning som omhandlet i denne forordnings artikel 17. I denne henseende har administrationen støttet sig på dom Kfv.II.37.001/2021/6. afsagt af Kúria (øverste domstol, Ungarn), hvori denne fastslog, at den ungarske tilsynsmyndighed ikke havde en sådan beføjelse, og således stadfæstede en dom fra den forelæggende ret. Ifølge sagsøgeren i hovedsagen er den ret til sletning, der er fastsat i nævnte forordnings artikel 17, udelukkende tænkt som en ret for den registrerede.

19 Efter et forfatningsmæssigt søgsmål anlagt af den ungarske tilsynsmyndighed ophævede Alkotmánybíróság (forfatningsdomstol, Ungarn) ovennævnte dom afsagt af Kúria (øverste domstol), idet den fastslog, at denne myndighed har ret til ex officio at give påbud om sletning af personoplysninger, der er blevet behandlet ulovligt, også når der ikke foreligger en anmodning fra den registrerede. Alkotmánybíróság (forfatningsdomstol) støttede sig i denne henseende på Det Europæiske Databeskyttelsesråds udtalelse nr. 39/2021, hvorefter databeskyttelsesforordningens artikel 17 fastsætter to forskellige tilfælde af sletning, idet det ene tilfælde er sletning efter anmodning fra den registrerede, og det andet tilfælde er en selvstændig pligt for den dataansvarlige, således at databeskyttelsesforordningens artikel 58, stk. 2, litra g), skal anses for et gyldigt retsgrundlag med henblik på ex officio-sletning af personoplysninger, der er blevet behandlet ulovligt.

20 Efter den afgørelse fra Alkotmánybíróság (forfatningsdomstol), der er nævnt i foregående præmis, er den forelæggende ret fortsat i tvivl om fortolkningen af databeskyttelsesforordningens artikel 17 og artikel 58, stk. 2. Den forelæggende ret er af den opfattelse, at retten til sletning af personoplysninger er defineret i databeskyttelsesforordningens artikel 17, stk. 1, som en ret for den registrerede, og at denne bestemmelse ikke omfatter to forskellige tilfælde af sletning.

21 Denne ret har tilføjet, at en person kan have en interesse i, at personoplysninger om den pågældende behandles, herunder når den nationale tilsynsmyndighed som følge af, at behandlingen er ulovlig, giver den dataansvarlige påbud om at slette de nævnte oplysninger. I et sådant tilfælde udøver denne myndighed den nævnte persons ret mod sidstnævntes vilje.

22 Den forelæggende ret ønsker således fastlagt, om tilsynsmyndigheden i en medlemsstat, uafhængigt af udøvelsen af den registreredes rettigheder, kan kræve, at den dataansvarlige eller databehandleren sletter personoplysninger, der er blevet behandlet ulovligt, og i bekræftende fald på hvilket retsgrundlag, bl.a. henset til den omstændighed, at databeskyttelsesforordningens artikel 58, stk. 2, litra c), udtrykkeligt forudsætter, at den registrerede har indgivet en anmodning om at udøve sine rettigheder, og at denne forordnings artikel 58, stk. 2, litra d), generelt fastsætter, at behandlingsaktiviteterne skal bringes i overensstemmelse med bestemmelserne i nævnte forordning, mens samme forordnings artikel 58, stk. 2, litra g), henviser direkte til forordningens artikel 17, hvis anvendelse kræver en udtrykkelig anmodning fra den registrerede.

23 I tilfælde af, at den nationale tilsynsmyndighed, på trods af, at der ikke foreligger en anmodning fra den registrerede, vil kunne give den dataansvarlige eller databehandleren påbud om at slette de personoplysninger, der er blevet behandlet ulovligt, er den forelæggende ret i tvivl om, hvorvidt der kan foretages en sondring på det tidspunkt, hvor denne sletning påbydes, alt efter om personoplysningerne er blevet indsamlet hos den registrerede, henset til den pligt for den dataansvarlige, der er fastsat i databeskyttelsesforordningens artikel 13, stk. 2, litra b), eller hos en anden person, henset til den pligt, der er fastsat i denne forordnings artikel 14, stk. 2, litra c).

24 På denne baggrund har Fővárosi Törvényszék (retten i første instans i Budapest) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1) Skal artikel 58, stk. 2, navnlig litra c), d) og g), i [databeskyttelsesforordningen] fortolkes således, at en national tilsynsmyndighed under udøvelse af sine korrigerende beføjelser kan give den dataansvarlige eller databehandleren påbud om at slette personoplysninger, der er blevet behandlet ulovligt, uden at der foreligger en udtrykkelig anmodning fra den registrerede i henhold til databeskyttelsesforordningens artikel 17, stk. 1?

2) Såfremt det første præjudicielle spørgsmål besvares således, at tilsynsmyndigheden kan give den dataansvarlige eller databehandleren påbud om at slette personoplysninger, der er blevet behandlet ulovligt, uden at der foreligger en anmodning fra den registrerede, afhænger dette svar da af, om de pågældende personoplysninger er indsamlet hos den registrerede?«

De præjudicielle spørgsmål

Det første spørgsmål

25 Med det første spørgsmål ønsker den forelæggende ret oplyst, om databeskyttelsesforordningens artikel 58, stk. 2, litra c), d) og g), skal fortolkes således, at en medlemsstats tilsynsmyndighed under udøvelsen af sin beføjelse til at vedtage de korrigerende foranstaltninger, der er fastsat i disse bestemmelser, har beføjelse til at give den dataansvarlige eller databehandleren påbud om at slette personoplysninger, der er blevet behandlet ulovligt, og dette selv om den registrerede ikke har fremsat nogen anmodning herom med henblik på at udøve sine rettigheder i medfør af denne forordnings artikel 17, stk. 1.

26 Dette spørgsmål er opstået i forbindelse med en tvist vedrørende lovligheden af en afgørelse truffet af den ungarske tilsynsmyndighed om i henhold til databeskyttelsesforordningens artikel 58, stk. 2, litra d), at give administrationen i Újpest påbud om at slette de personoplysninger, der var blevet behandlet ulovligt i forbindelse med det støtteprogram, der er beskrevet i nærværende doms præmis 13-15.

27 I overensstemmelse med databeskyttelsesforordningens artikel 17, stk. 1, har den registrerede ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette disse oplysninger uden unødig forsinkelse, bl.a., i henhold til denne bestemmelses litra d), når de pågældende oplysninger er blevet »behandlet ulovligt«.

28 I henhold til databeskyttelsesforordningens artikel 58, stk. 2, litra d), kan tilsynsmyndigheden give den dataansvarlige eller databehandleren påbud om at bringe behandlingsaktiviteter i overensstemmelse med bestemmelserne i denne forordning, og, hvis det er hensigtsmæssigt, på en nærmere angivet måde og inden for en nærmere angivet frist. Desuden fastsætter nævnte forordnings artikel 58, stk. 2, litra g), at tilsynsmyndigheden har beføjelse til at give påbud om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling i henhold til denne forordnings artikel 16, 17 og 18 samt meddelelse af sådanne handlinger til de modtagere, som personoplysningerne er videregivet til i henhold til samme forordnings artikel 17, stk. 2, og artikel 19.

29 I denne sammenhæng er den forelæggende ret i tvivl om, hvorvidt en medlemsstats tilsynsmyndighed i forbindelse med udøvelsen af sin beføjelse til at træffe korrigerende foranstaltninger såsom dem, der er fastsat i databeskyttelsesforordningens artikel 58, stk. 2, litra c), d) og g), har beføjelse til ex officio, dvs. uden at den registrerede forinden har fremsat en anmodning herom, at give den dataansvarlige eller databehandleren påbud om at slette personoplysninger, der er blevet behandlet ulovligt.

30 Ifølge fast retspraksis skal der ved fortolkningen af en EU-retlig bestemmelse ikke blot tages hensyn til dennes ordlyd, men også til den sammenhæng, hvori den indgår, og til de mål, der forfølges med den ordning, som den udgør en del af (dom af 13.7.2023, G GmbH, C-134/22, EU:C:2023:567, præmis 25 og den deri nævnte retspraksis).

31 Indledningsvis bemærkes, at de relevante EU-retlige bestemmelser, der er nævnt i nærværende doms præmis 27 og 28, skal sammenholdes med databeskyttelsesforordningens artikel 5, stk. 1, der fastsætter principper for behandling af personoplysninger, herunder bl.a. princippet i litra a), om, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.

32 I henhold til artikel 5, stk. 2, er den dataansvarlige i overensstemmelse med det princip om »ansvarlighed«, som er fastsat i denne bestemmelse, ansvarlig for overholdelsen af stk. 1 i nævnte artikel 5 og skal kunne påvise, at vedkommende overholder alle de principper, der er fastsat i nævnte stk. 1, idet bevisbyrden herfor i øvrigt påhviler den pågældende (dom af 4.5.2023, Bundesrepublik Deutschland (Domstolenes elektroniske postkasse), C-60/22, EU:C:2023:373, præmis 53 og den deri nævnte retspraksis).

33 Når behandlingen af personoplysninger ikke overholder de principper, der bl.a. er fastsat i databeskyttelsesforordningens artikel 5, har medlemsstaternes tilsynsmyndigheder beføjelse til at gribe ind, i overensstemmelse med deres opgaver og beføjelser, som fastsat i denne forordnings artikel 57 og 58. Disse opgaver omfatter bl.a. opgaven med at føre tilsyn med anvendelsen af nævnte forordning og at håndhæve overholdelsen heraf i henhold til forordningens artikel 57, stk. 1, litra a) (jf. i denne retning dom af 16.7.2020, Facebook Ireland og Schrems, C-311/18, EU:C:2020:559, præmis 108).

34 I denne henseende har Domstolen allerede præciseret, at når en national tilsynsmyndighed efter afslutningen af sin undersøgelse finder, at den registrerede ikke nyder godt af et tilstrækkeligt beskyttelsesniveau, har den i henhold til EU-retten pligt til at reagere på en passende måde med henblik på at afhjælpe det konstaterede utilstrækkelige beskyttelsesniveau, uanset hvad der er årsagen til eller karakteren af denne utilstrækkelighed. Med henblik herpå opregnes i databeskyttelsesforordningens artikel 58, stk. 2, de forskellige korrigerende foranstaltninger, som tilsynsmyndigheden kan vedtage. Det tilkommer denne tilsynsmyndighed at vælge det middel, som er hensigtsmæssigt, for at den med den fornødne omhu kan udføre sin opgave, som består i at sikre den fulde overholdelse af denne forordning (jf. i denne retning dom af 16.7.2020, Facebook Ireland og Schrems, C-311/18, EU:C:2020:559, præmis 111 og 112).

35 Hvad nærmere bestemt angår spørgsmålet om, hvorvidt sådanne korrigerende foranstaltninger kan vedtages af den pågældende tilsynsmyndighed ex officio, bemærkes indledningsvis, at databeskyttelsesforordningens artikel 58, stk. 2, henset til dens ordlyd, sondrer mellem korrigerende foranstaltninger, der kan anordnes ex officio, bl.a. dem, der er omhandlet i artikel 58, stk. 2, litra d) og g), og de foranstaltninger, der kun kan vedtages efter en anmodning fra den registrerede om at udøve sine rettigheder i medfør af denne forordning, således som omhandlet i nævnte forordnings artikel 58, stk. 2, litra c).

36 For det første fremgår det nemlig udtrykkeligt af ordlyden af databeskyttelsesforordningens artikel 58, stk. 2, litra c), at vedtagelsen af den korrigerende foranstaltning, der er omhandlet i denne bestemmelse, dvs. »at give den dataansvarlige eller databehandleren påbud om at imødekomme den registreredes anmodninger om at udøve sine rettigheder i henhold til denne forordning«, forudsætter, at en registreret forinden har gjort sine rettigheder gældende ved at fremsætte en anmodning herom, og at denne anmodning ikke er blevet imødekommet inden den afgørelse fra tilsynsmyndigheden, som den nævnte bestemmelse fastsætter. Til forskel fra denne bestemmelse gør ordlyden af denne forordnings artikel 58, stk. 2, litra d) og g), det for det andet ikke muligt at antage, at en medlemsstats tilsynsmyndigheds indgriben med henblik på at anvende de deri omhandlede foranstaltninger er begrænset alene til de tilfælde, hvor den registrerede har fremsat en anmodning herom, idet denne ordlyd ikke indeholder nogen henvisning til en sådan anmodning.

37 Hvad dernæst angår den sammenhæng, hvori disse bestemmelser indgår, bemærkes, at ordlyden af denne forordnings artikel 17, stk. 1, ved hjælp af den sideordnende konjunktion »og« sondrer mellem, for det første, den registreredes ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og, for det andet, den dataansvarliges pligt til at slette disse personoplysninger uden unødig forsinkelse. Det skal heraf udledes, at denne bestemmelse regulerer to uafhængige tilfælde, nemlig dels sletning af oplysninger efter anmodning fra den registrerede, dels sletning som følge af eksistensen af en selvstændig pligt, der påhviler den dataansvarlige, og dette uafhængigt af enhver anmodning fra den registrerede.

38 Som Det Europæiske Databeskyttelsesråd har anført i sin udtalelse nr. 39/2021, er en sådan sondring nemlig nødvendig, eftersom visse af de tilfælde, der er omhandlet i denne artikel 17, stk. 1, omfatter situationer, hvor den registrerede ikke nødvendigvis er blevet underrettet om, at personoplysninger om vedkommende behandles, således at den dataansvarlige er den eneste, der kan fastslå eksistensen heraf. Dette er navnlig tilfældet i den situation, hvor disse oplysninger er blevet behandlet ulovligt, jf. nævnte artikel 17, stk. 1, litra d).

39 Denne fortolkning understøttes af databeskyttelsesforordningens artikel 5, stk. 2, sammenholdt med denne artikels stk. 1, litra a), hvorefter den dataansvarlige bl.a. skal sikre sig, at vedkommendes behandling af oplysninger er lovlig (jf. i denne retning dom af 4.5.2023, Bundesrepublik Deutschland (Domstolenes elektroniske postkasse), C-60/22, EU:C:2023:373, præmis 54).

40 Endelig understøttes en sådan fortolkning ligeledes af det formål, der forfølges med databeskyttelsesforordningens artikel 58, stk. 2, således som det fremgår af 129. betragtning hertil, nemlig at sikre, at behandlingen af personoplysninger sker i overensstemmelse med denne forordning, og at tilfælde af brud på sidstnævnte forordning genoprettes for at bringe disse i overensstemmelse med EU-retten ved de nationale tilsynsmyndigheders indgriben.

41 I denne henseende skal det præciseres, at selv om det er op til den nationale tilsynsmyndighed at vælge det middel, som er hensigtsmæssigt og nødvendigt, og selv om denne myndighed skal foretage dette valg under hensyntagen til alle omstændighederne i den konkrete sag, har den dog pligt til at gøre dette med den fornødne omhu, som kræves af dens opgave bestående i at sikre den fulde overholdelse af databeskyttelsesforordningen (jf. i denne retning dom af 16.7.2020, Facebook Ireland og Schrems, C-311/18, EU:C:2020:559, præmis 112). Følgelig er det, med henblik på at sikre en effektiv anvendelse af databeskyttelsesforordningen, særlig vigtigt, at denne myndighed råder over effektive beføjelser med henblik på at gribe effektivt ind over for overtrædelser af denne forordning og navnlig bringe disse til ophør, herunder i tilfælde, hvor de registrerede ikke er blevet underrettet om behandlingen af deres personoplysninger, ikke har kendskab hertil eller under alle omstændigheder ikke har anmodet om sletning af disse oplysninger.

42 Under disse omstændigheder må det antages, at beføjelsen til at vedtage visse af de korrigerende foranstaltninger, der er omhandlet i databeskyttelsesforordningens artikel 58, stk. 2, navnlig dem, der fremgår af denne bestemmelses litra d) og g), kan udøves ex officio af en medlemsstats tilsynsmyndighed, for så vidt som udøvelsen ex officio af denne beføjelse kræves for at gøre det muligt for denne at udføre dens opgave. Når denne myndighed efter afslutningen af sin undersøgelse er af den opfattelse, at denne behandling ikke opfylder kravene i denne forordning, er den herefter i henhold til EU-retten forpligtet til at træffe passende foranstaltninger med henblik på at afhjælpe den konstaterede tilsidesættelse, og dette uanset om der foreligger en forudgående anmodning fra den registrerede om at udøve vedkommendes rettigheder i medfør af denne forordnings artikel 17, stk. 1.

43 En sådan fortolkning understøttes i øvrigt af de formål, der forfølges med databeskyttelsesforordningen, således som de bl.a. fremgår af forordningens artikel 1 samt af første og tiende betragtning hertil, hvori der henvises til at sikre et højt beskyttelsesniveau for så vidt angår fysiske personers grundlæggende ret til beskyttelse af personoplysninger, der vedrører de pågældende, og som er fastsat i artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder og i artikel 16, stk. 1, TEUF (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 207, og af 28.4.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, præmis 73).

44 En modsat fortolkning end den, der er anlagt i nærværende doms præmis 42, hvorefter en sådan tilsynsmyndighed kun har beføjelse til at handle efter en anmodning herom fra den registrerede, ville bringe gennemførelsen af de formål, der er nævnt i nærværende doms præmis 40 og 43, i fare, navnlig i en situation som den i hovedsagen omhandlede, hvor sletning af personoplysninger, der er blevet behandlet ulovligt, vedrører et potentielt stort antal personer, som ikke har gjort deres ret til sletning gældende i medfør af databeskyttelsesforordningens artikel 17, stk. 1.

45 Som Kommissionen i det væsentlige har gjort gældende i sine skriftlige indlæg, ville kravet om en forudgående anmodning fra de registrerede, som omhandlet i databeskyttelsesforordningens artikel 17, stk. 1, nemlig betyde, at den dataansvarlige, såfremt der ikke foreligger en sådan anmodning, ville kunne opbevare de pågældende personoplysninger og fortsætte med at behandle dem ulovligt. En sådan fortolkning ville skade effektiviteten af den beskyttelse, der er fastsat i denne forordning, eftersom den ville føre til, at personer, der er inaktive, fratages beskyttelse, selv om deres personoplysninger er blevet behandlet ulovligt.

46 Henset til ovenstående betragtninger skal det første spørgsmål besvares med, at databeskyttelsesforordningens artikel 58, stk. 2, litra d) og g), skal fortolkes således, at en medlemsstats tilsynsmyndighed under udøvelsen af sin beføjelse til at vedtage de korrigerende foranstaltninger, der er fastsat i disse bestemmelser, har beføjelse til at give den dataansvarlige eller databehandleren påbud om at slette personoplysninger, der er blevet behandlet ulovligt, og dette selv om den registrerede ikke har fremsat nogen anmodning herom med henblik på at udøve sine rettigheder i henhold til denne forordnings artikel 17, stk. 1.

Det andet spørgsmål

47 Med det andet spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 58, stk. 2, skal fortolkes således, at en medlemsstats tilsynsmyndigheds beføjelse til at give påbud om sletning af personoplysninger, der er blevet behandlet ulovligt, kan omfatte såvel oplysninger, der er indsamlet hos den registrerede, som oplysninger, der stammer fra en anden kilde.

48 I denne henseende bemærkes indledningsvis, at ordlyden af de bestemmelser, der er nævnt i foregående præmis, ikke indeholder nogen angivelse, der giver grund til at antage, at tilsynsmyndighedens beføjelse til at vedtage de korrigerende foranstaltninger, der er opregnet heri, afhænger af de pågældende oplysningers oprindelse og bl.a. af den omstændighed, at de er blevet indsamlet hos den registrerede.

49 Ligeledes indeholder ordlyden af databeskyttelsesforordningens artikel 17, stk. 1, der, som det fremgår af nærværende doms præmis 37, fastsætter en selvstændig pligt for den dataansvarlige til at slette personoplysninger, der er blevet behandlet ulovligt, heller ikke noget krav vedrørende de indsamlede oplysningers oprindelse.

50 Som det fremgår af nærværende doms præmis 41 og 42, er det desuden nødvendigt, med henblik på at sikre en effektiv og ensartet anvendelse af databeskyttelsesforordningen, at den nationale tilsynsmyndighed har effektive beføjelser med henblik på at gribe effektivt ind over for overtrædelser af denne forordning. Følgelig kan beføjelsen til at vedtage korrigerende foranstaltninger, som fastsat i databeskyttelsesforordningens artikel 58, stk. 2, litra d) og g), ikke afhænge af de pågældende oplysningers oprindelse, og bl.a. ikke af den omstændighed, at de er blevet indsamlet hos den registrerede.

51 Følgelig må det, i lighed med, hvad alle de regeringer, der har indgivet skriftlige indlæg, og Kommissionen har anført, antages, at udøvelsen af beføjelsen til at vedtage korrigerende foranstaltninger, som omhandlet i databeskyttelsesforordningens artikel 58, stk. 2, litra d) og g), ikke kan afhænge af, om de pågældende personoplysninger er blevet indsamlet direkte hos den registrerede.

52 En sådan fortolkning understøttes ligeledes af de formål, der forfølges med databeskyttelsesforordningen, navnlig med denne forordnings artikel 58, stk. 2, og som er nævnt i nærværende doms præmis 40 og 43.

53 Henset til ovenstående betragtninger skal det andet spørgsmål besvares med, at databeskyttelsesforordningens artikel 58, stk. 2, skal fortolkes således, at en medlemsstats tilsynsmyndigheds beføjelse til at give påbud om sletning af personoplysninger, der er blevet behandlet ulovligt, kan omfatte såvel oplysninger, der er indsamlet hos den registrerede, som oplysninger, der stammer fra en anden kilde.

Sagsomkostninger

54 Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Femte Afdeling) for ret:

1) Artikel 58, stk. 1, litra d) og g), i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

skal fortolkes således, at

en medlemsstats tilsynsmyndighed under udøvelsen af sin beføjelse til at vedtage de korrigerende foranstaltninger, der er fastsat i disse bestemmelser, har beføjelse til at give den dataansvarlige eller databehandleren påbud om at slette personoplysninger, der er blevet behandlet ulovligt, og dette selv om den registrerede ikke har fremsat nogen anmodning herom med henblik på at udøve sine rettigheder i henhold til denne forordnings artikel 17, stk. 1.

2) Artikel 58, stk. 2, i forordning 2016/679

skal fortolkes således, at

en medlemsstats tilsynsmyndigheds beføjelse til at give påbud om sletning af personoplysninger, der er blevet behandlet ulovligt, kan omfatte såvel oplysninger, der er indsamlet hos den registrerede, som oplysninger, der stammer fra en anden kilde.

Underskrifter

* Processprog: ungarsk.