Language of document : ECLI:EU:C:2024:239

РЕШЕНИЕ НА СЪДА (пети състав)

14 март 2024 година(*)

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 58, параграф 2, букви г) и ж) — Правомощия на надзорния орган на държава членка — Член 17, параграф 1 — Право на изтриване („право да бъдеш забравен“) — Изтриване на лични данни, които са били обработвани незаконосъобразно — Правомощие на националния надзорен орган да разпорежда на администратора или обработващия лични данни да изтрие тези данни без предварително искане от страна на субекта на данните“

По дело C‑46/23

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Fővárosi Törvényszék (Будапещенски градски съд, Унгария) с акт от 8 декември 2022 г., постъпил в Съда на 31 януари 2023 г., в рамките на производство по дело

Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala

срещу

Nemzeti Adatvédelmi és Információszabadság Hatóság,

СЪДЪТ (пети състав),

състоящ се от: E. Regan, председател на състава, Z. Csehi, M. Ilešič (докладчик), I. Jarukaitis и D. Gratsias, съдии,

генерален адвокат: L. Medina,

секретар: A. Calot Escobar,

предвид изложеното в писмената фаза на производството,

като има предвид становищата, представени:

–        за Nemzeti Adatvédelmi és Információszabadság Hatóság, от G. J. Dudás, ügyvéd,

–        за унгарското правителство, от Zs. Biró-Tóth и M. Z. Fehér, в качеството на представители,

–        за испанското правителство, от A. Ballesteros Panizo, в качеството на представител,

–        за австрийското правителство, от A. Posch, J. Schmoll и C. Gabauer, в качеството на представители,

–        за полското правителство, от B. Majczyna, в качеството на представител,

–        за португалското правителство, от P. Barros da Costa, J. Ramos и C. Vieira Guerra, в качеството на представители,

–        за Европейската комисия, от A. Bouchagiar, C. Kovács и H. Kranenborg, в качеството на представители,

предвид решението, взето след изслушване на генералния адвокат, делото да бъде разгледано без представяне на заключение,

постанови настоящото

Решение

1        Преюдициалното запитване се отнася до тълкуването на член 58, параграф 2, букви в), г) и ж) от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, и поправка в ОВ L 127, 2018 г., стр. 2) (наричан по-нататък „ОРЗД“).

2        Запитването е отправено в рамките на спор между Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (община Уйпещ, IV район на Будапеща-столица, Унгария) (наричана по-нататък „община Уйпещ“) и Nemzeti Adatvédelmi és Információszabadság Hatóság (национален орган, отговарящ за защитата на данните и за свободата на информацията, Унгария) (наричан по-нататък „унгарският надзорен орган“) по повод на решение, с което този орган разпорежда на община Уйпещ да изтрие лични данни, които са били обработвани незаконосъобразно.

 Правна уредба

3        Съображения 1, 10 и 129 от ОРЗД имат следния текст:

„(1)      Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз […] и член 16, параграф 1 [ДФЕС] предвиждат, че всеки има право на защита на личните му данни.

[…]

(10)      За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в Съюза, нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. Следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. […]

[…]

(129)      За да се гарантира последователно наблюдение и прилагане на настоящия регламент навсякъде в Съюза, надзорните органи следва да имат еднакви задачи и ефективни правомощия във всяка държава членка, включително правомощия за разследване, корективни правомощия и правомощия за налагане на санкции, правомощия за даване на разрешения и становища, особено в случаи на жалби от физически лица, и без да се засягат правомощията на прокуратурата съгласно правото на държавата членка — правомощието да довеждат нарушения на настоящия регламент до знанието на съдебните органи и да встъпват в съдебни производства. […]“.

4        Глава I („Общи разпоредби“) от ОРЗД включва членове 1—4.

5        Съгласно член 1 („Предмет и цели“) от този регламент:

„1.      С настоящия регламент се определят правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни.

2.      С настоящия регламент се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни.

[…]“.

6        Член 4 („Определения“) от посочения регламент гласи в точки 2, 7 и 21 следното:

„За целите на настоящия регламент:

[…]

2)      „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

[…]

7)      „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

[…]

21)      „надзорен орган“ означава независим публичен орган, създаден от държава членка съгласно член 51;

[…]“.

7        Глава II от ОРЗД, озаглавена „Принципи“, съдържа в частност член 5, озаглавен „Принципи, свързани с обработването на лични данни“, който предвижда:

„1.      Личните данни са:

а)      обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

б)      събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; […] („ограничение на целите“);

в)      подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

[…]

2.      Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

8        Член 17, озаглавен „Право на изтриване (право „да бъдеш забравен“)“, се намира в глава III от ОРЗД, озаглавена „Права на субекта на данни“, и параграф 1 от него предвижда:

„Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:

а)      личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

б)      субектът на данните оттегля своето съгласие, върху което се основава обработването на данните съгласно член 6, параграф 1, буква а) или член 9, параграф 2, буква а), и няма друго правно основание за обработването;

в)      субектът на данните възразява срещу обработването съгласно член 21, параграф 1 и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването съгласно член 21, параграф 2;

г)      личните данни са били обработвани незаконосъобразно;

[…]“.

9        Глава VI („Независими надзорни органи“) от ОРЗД включва членове 51—59.

10      Член 51 („Надзорен орган“), параграфи 1 и 2 от посочения регламент предвижда:

„1.      Всяка държава членка осигурява един или повече независими публични органи, които са отговорни за наблюдението на прилагането на настоящия регламент, за да се защитят основните права и свободи на физическите лица във връзка с обработването и да се улесни свободното движение на личните данни в рамките на Съюза […]

2.      Всеки надзорен орган допринася за последователното прилагане на настоящия регламент в рамките на Съюза. За тази цел надзорните органи си сътрудничат помежду си и с [Европейската комисия] в съответствие с глава VII“.

11      Член 57 („Задачи“), параграф 1 от посочения регламент има следния текст:

„1.      Без да се засягат останалите задачи, определени с настоящия регламент, на своята територия всеки надзорен орган:

а)      наблюдава и осигурява прилагането на настоящия регламент;

[…]

з)      извършва проучвания относно прилагането на настоящия регламент, включително въз основа на информация, получена от друг надзорен или публичен орган;

[…]“.

12      Член 58 („Правомощия“), параграф 2 от същия регламент гласи:

„Всеки надзорен орган има всички от посочените по-долу корективни правомощия:

[…]

в)      да разпорежда на администратора или обработващия лични данни да изпълнят исканията на субекта на данни да упражнява правата си съгласно настоящия регламент;

г)      да разпорежда на администратора или обработващия лични данни да съобразят операциите по обработване на данни с разпоредбите на настоящия регламент и, ако е целесъобразно, това да стане по указан начин и в определен срок;

[…]

ж)      да разпорежда коригирането, или изтриването на лични данни или ограничаването на обработването им съгласно членове 16, 17 и 18, както и уведомяването за тези действия на получатели, пред които личните данни са били разкрити съгласно член 17, параграф 2 и член 19;

[…]

i)      да налага административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, в допълнение към мерките, посочени в настоящия параграф, или вместо тях, в зависимост от особеностите на всеки отделен случай;

[…]“.

 Спорът в главното производство и преюдициалните въпроси

13      През февруари 2020 г. община Уйпещ решава да предостави финансова помощ на уязвими вследствие на пандемията от COVID‑19 местни лица, които отговарят на определени критерии за допустимост.

14      За целта тя се обръща към Magyar Államkincstár (унгарската дирекция „Държавно съкровище“) и към Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (Служба на район IV към централната администрация на столицата Будапеща, Унгария) (наричана по-нататък „районната служба“) с искане да получи личните данни, необходими за проверката на въпросните критерии за допустимост. Тези данни включват по-специално основните идентификационни данни и социалноосигурителните номера на физическите лица. Унгарската дирекция „Държавно съкровище“ и районната служба уважават това искане за предоставяне на данни.

15      За отпускането на финансовата помощ община Уйпещ приема Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet (Общинска наредба 16/2020 (IV. 30.) за въвеждането на програма „Újpest+ Megbecsülés“), която е изменена и допълнена с 30/2020. (VII. 15.) önkormányzati rendelet (Общинска наредба 30/2020 (VII. 15.) Тези наредби съдържат критериите за допустимост на предвидената помощ. Община Уйпещ събира предоставените данни в създадена за целите на изпълнението на програмата ѝ база данни, като установява отделен идентификатор и баркод за всеки набор от данни.

16      След подаден сигнал унгарският надзорен орган започва на 2 септември 2020 г. служебно разследване във връзка с обработването на личните данни, на които се основава горепосочената програма за подпомагане. С решение от 22 април 2021 г. този орган констатира, че община Уйпещ е нарушила редица разпоредби на членове 5 и 14 от ОРЗД, както и член 12, параграф 1 от същия. Той посочва по-специално, че община Уйпещ не е уведомила в едномесечния срок субектите на данните за категориите лични данни, обработвани във връзка с тази програма, за целта на обработването на тези данни, нито пък за начина, по който субектите на данните могат да упражнят съответните си права.

17      На основание член 58, параграф 2, буква г) от ОРЗД унгарският надзорен орган разпорежда на община Уйпещ да изтрие личните данни на субектите на данните, които съгласно предоставената от районната служба и унгарската дирекция „Държавно съкровище“ информация са имали право на помощта, но не са я поискали. Той преценява, че както унгарската дирекция „Държавно съкровище“, така и районната служба са нарушили съответните разпоредби при обработването на личните данни на въпросните субекти. Освен това налага на община Уйпещ и на унгарската дирекция „Държавно съкровище“ имуществена санкция във връзка със защитата на данните.

18      Община Уйпещ обжалва решението на унгарския надзорен орган пред Fővárosi Törvényszék (Будапещенски градски съд, Унгария), който е запитващата юрисдикция, като изтъква, че въпросният орган няма правомощие да разпореди изтриване на личните данни, съгласно член 58, параграф 2, буква г) от ОРЗД, тъй като субектът на данните не е направил искане по смисъла на член 17 от този регламент. В това отношение тя се позовава на решение Kfv.II.37.001/2021/6. на Kúria (Върховен съд, Унгария), в което последният е постановил, че унгарският надзорен орган не разполага с такова правомощие, като по този начин е потвърдил решение на запитващата юрисдикция. Според жалбоподателя в главното производство предвиденото в член 17 от посочения регламент право на изтриване е замислено единствено като право на субекта на данните.

19      След като унгарският надзорен орган подава конституционна жалба, Alkotmánybíróság (Конституционен съд, Унгария) отменя посоченото по-горе решение на Kúria (Върховен съд), като постановява, че въпросният орган има право служебно да разпорежда изтриването на обработвани незаконосъобразно лични данни, включително при липса на искане от субекта на данните. Alkotmánybíróság (Конституционен съд) се позовава в това отношение на Становище № 39/2021 на Европейския комитет по защита на данните, съгласно което член 17 от ОРЗД предвижда две отделни хипотези на изтриване на данни: едната — изтриване по искане на субекта на данните, а другата — изтриване като самостоятелно задължение на администратора, поради което член 58, параграф 2, буква ж) от ОРЗД трябва да се счита за надлежно правно основание за служебно изтриване на обработваните незаконосъобразно лични данни.

20      Запитващата юрисдикция продължава да има съмнения относно тълкуването на член 17 и член 58, параграф 2 от ОРЗД и след посоченото в предходната точка решение на Alkotmánybíróság (Конституционен съд). Тя счита, че правото на изтриване на лични данни е дефинирано в член 17, параграф 1 от ОРЗД като право на субекта на данните и че тази разпоредба не съдържа две отделни хипотези на изтриване.

21      Тази юрисдикция добавя, че субектът на данните може да има интерес от обработването на свързаните с него лични данни, включително когато поради незаконосъобразност на обработването националният надзорен орган разпорежда на администратора да изтрие съответните данни. В такъв случай този орган би упражнявал правото на субекта на данните против неговата воля.

22      Съответно запитващата юрисдикция иска да се установи може ли националният надзорен орган да разпорежда на администратора или обработващия лични данни да изтрие обработваните незаконосъобразно лични данни, независимо дали субектът на данните е упражнил правата си, и при утвърдителен отговор — на какво правно основание, предвид обстоятелството, че член 58, параграф 2, буква в) от ОРЗД изрично предвижда наличието на нарочно искане на субекта на данните и че буква г) от този параграф 2 предвижда като общо правило, че операциите по обработването трябва да са съобразени с разпоредбите на посочения регламент, докато буква ж) препраща директно към член 17, чието прилагане изисква изричното искане на субекта на данните.

23      В случай че националният надзорен орган може, въпреки липсата на искане от страна на субекта на данните, да разпорежда на администратора или обработващия лични данни да изтрие личните данни, които са били обработвани незаконосъобразно, запитващата юрисдикция си задава въпроса дали при издаването на разпореждането за изтриване може да се прави разграничение според това дали личните данни са събрани от субекта на данните, предвид задължението на администратора по член 13, параграф 2, буква б) от ОРЗД, или от друго лице, предвид задължението по член 14, параграф 2, буква в) от този регламент.

24      При тези обстоятелства Fővárosi Törvényszék (Будапещенски градски съд) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)      Трябва ли член 58, параграф 2, по-специално букви в), г) и ж) от [ОРЗД] да се тълкува в смисъл, че при упражняване на корективните си правомощия надзорният орган на държава членка може да разпореди на администратора или обработващия лични данни да изтрие обработваните незаконосъобразно лични данни, включително при липса на изрично искане от субекта на данните в съответствие с член 17, параграф 1 от ОРЗД?

2)      Ако на първия преюдициален въпрос бъде отговорено в смисъл, че надзорният орган може да разпореди на администратора или обработващия лични данни да изтрие обработваните незаконосъобразно лични данни, включително при липса на искане от субекта на данните, има ли значение в това отношение дали личните данни са събрани или не от субекта на данните?“.

 По преюдициалните въпроси

 По първия въпрос

25      С първия си въпрос запитващата юрисдикция иска да се установи дали член 58, параграф 2, букви в), г) и ж) от ОРЗД трябва да се тълкува в смисъл, че при упражняването на предвидените в тези разпоредби корективни правомощия надзорният орган на държава членка е овластен да разпорежда на администратора или обработващия лични данни да изтрие обработваните незаконосъобразно лични данни, при все че субектът на данните не е направил никакво нарочно искане, за да упражни правата си съгласно член 17, параграф 1 от този регламент.

26      Този въпрос се вписва в контекста на спор относно законосъобразността на решението, с което на основание член 58, параграф 2, буква г) от ОРЗД унгарският надзорен орган разпорежда на община Уйпещ да изтрие личните данни, които са били обработвани незаконосъобразно във връзка с описаната в точки 13—15 от настоящото решение програма за подпомагане.

27      Съгласно член 17, параграф 1 от ОРЗД субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението, по-специално съгласно буква г) от тази разпоредба, да изтрие без ненужно забавяне тези данни, когато същите са били „обработвани незаконосъобразно“.

28      Съгласно член 58, параграф 2, буква г) от ОРЗД надзорният орган може да разпорежда на администратора или обработващия лични данни да съобрази операциите по обработване на данни с разпоредбите на този регламент, и то евентуално по указан начин и в определен срок. Освен това член 58, параграф 2, буква ж) от посочения регламент предвижда, че надзорният орган има правомощието да разпорежда коригирането или изтриването на лични данни или ограничаването на обработването им съгласно членове 16, 17 и 18 от него, както и уведомяването на получатели, пред които личните данни са били разкрити съгласно член 17, параграф 2 и член 19 от същия регламент, за тези действия.

29      В този контекст запитващата юрисдикция си задава въпроса дали надзорният орган на държава членка е овластен при упражняването на корективните си правомощия, например тези по член 58, параграф 2, букви в), г) и ж) от ОРЗД, да разпорежда служебно — тоест без предварително нарочно искане от страна на субекта на данните — на администратора или обработващия лични данни да изтрие обработваните незаконосъобразно лични данни.

30      Съгласно постоянната съдебна практика, за целите на тълкуването на разпоредба от правото на Съюза следва да се вземат предвид не само нейният текст, но и контекстът, в който тя се вписва, и целите на правната уредба, от която тя е част (решение от 13 юли 2023 г., G GmbH, C‑134/22, EU:C:2023:567, т. 25 и цитираната съдебна практика).

31      Като начало е важно да се отбележи, че релевантните разпоредби от правото на Съюза, споменати в точки 27 и 28 от настоящото решение, трябва да се тълкуват във връзка с член 5, параграф 1 от ОРЗД, закрепващ принципите, свързани с обработването на лични данни, сред които в частност е и този по буква а), а именно принципът, че личните данни се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните.

32      Съгласно параграф 2 от посочения член 5, в съответствие с принципа на „отчетност“, прогласен в тази разпоредба, администраторът носи отговорност за спазването на параграф 1 от този член 5 и трябва да е в състояние да докаже, че спазва всеки от принципите, посочени в параграф 1, като доказването на това обстоятелство е в негова тежест (решение от 4 май 2023 г., Bundesrepublik Deutschland (Електронна пощенска кутия на съда), C‑60/22, EU:C:2023:373, т. 53 и цитираната съдебна практика).

33      Когато обработването на лични данни не е в съответствие с принципите, предвидени по-специално в член 5 от ОРЗД, надзорните органи на държавите членки имат право да се намесват в съответствие със своите задачи и правомощия, предвидени в членове 57 и 58 от този регламент. Съгласно член 57, параграф 1, буква а) от ОРЗД сред тези задачи в частност е тази да наблюдават и осигуряват прилагането на този регламент (вж. в този смисъл решение от 16 юли 2020 г., Facebook Ireland и Schrems, C‑311/18, EU:C:2020:559, т. 108).

34      В това отношение Съдът вече е уточнил, че когато в края на разследването си прецени, че на субекта на данните не е осигурено адекватно ниво на защита, националният надзорен орган е длъжен в съответствие с правото на Съюза да реагира по подходящ начин, за да отстрани констатирания недостатък, и то независимо от произхода или естеството на този недостатък. За целта член 58, параграф 2 от ОРЗД изброява различните корективни правомощия, които има надзорният орган. Последният следва да избере подходящото средство, за да изпълни с цялата дължима грижа своята задача да осигури пълното прилагане на този регламент (вж. в този смисъл решение от 16 юли 2020 г., Facebook Ireland и Schrems, C‑311/18, EU:C:2020:559, т. 111 и 112).

35      Що се отнася по-специално до въпроса дали такива корективни правомощия могат да бъдат упражнени служебно от съответния надзорен орган, следва най-напред да се отбележи, че предвид текста си член 58, параграф 2 от ОРЗД прави разграничение между корективните правомощия, които могат да бъдат упражнени служебно (по-специално тези по член 58, параграф 2, букви г) и ж), и корективните правомощия, които могат да бъдат упражнени само след като субектът на данните е отправил искане да упражнява правата си съгласно този регламент (тези по член 58, параграф 2, буква в) от посочения регламент).

36      Всъщност, от една страна, от текста на член 58, параграф 2, буква в) от ОРЗД изрично следва, че упражняването на посоченото в тази разпоредба корективно правомощие, а именно „да разпорежда на администратора или обработващия лични данни да изпълнят исканията на субекта на данни да упражнява правата си съгласно настоящия регламент“, предполага преди това субектът на данните да е предявил правата си, отправяйки искане в този смисъл, и това искане да не е било уважено преди предвиденото във въпросната разпоредба решение на надзорния орган. От друга страна, за разлика от тази разпоредба, текстът на член 58, параграф 2, букви г) и ж) от този регламент не дава основание да се смята, че намесата на надзорния орган на държава членка с цел упражняване на посочените там правомощия е допустима само в случаите, в които субектът на данните е отправил нарочно искане, тъй като в този текст не се споменава такова искане.

37      По-нататък, що се отнася до контекста на тези разпоредби, следва да се отбележи, че текстът на член 17, параграф 1 от този регламент разграничава чрез съчинителния съюз „а“, от една страна, правото на субекта на данните да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, и от друга страна, задължението на администратора да изтрие тези лични данни без ненужно забавяне. От това следва да се заключи, че тази разпоредба урежда две независими хипотези, а именно, от една страна, изтриване на данните по искане на субекта на данните и от друга страна, изтриване поради наличието на самостоятелно задължение в тежест на администратора, при това независимо от каквото и да било искане от страна на субекта на данните.

38      Всъщност, както отбелязва Европейският комитет по защита на данните в своето Становище № 39/2021, такова разграничение е необходимо, като се има предвид, че хипотезите по посочения член 17, параграф 1 обхващат и случаи, при които субектът на данните не е бил непременно уведомен, че се обработват свързани с него лични данни, така че единствено администраторът може да установи наличието на такова обработване. Такъв е в частност посоченият в член 17, параграф 1, буква г) от този регламент случай, когато тези данни са били обработвани незаконосъобразно.

39      Това тълкуване се потвърждава от член 5, параграф 2 от ОРЗД във връзка с параграф 1, буква а) от този член 5, съгласно който администраторът трябва да се увери, че извършваното от него обработване на данни е законосъобразно (вж. в този смисъл решение от 4 май 2023 г., Bundesrepublik Deutschland (Електронна пощенска кутия на съда), C‑60/22, EU:C:2023:373, т. 54).

40      Накрая, в подкрепа на подобно тълкуване е и целта, която, видно от съображение 129 от ОРЗД, се преследва с член 58, параграф 2 от същия, а именно чрез намесата на националните надзорни органи да се гарантират съответствието на обработването на лични данни с този регламент и отстраняването на нарушения на последния, за да се постигне съответствие с правото на Съюза.

41      В това отношение е важно да се уточни, че макар изборът на подходящото и необходимо средство да е от компетентността на националния надзорен орган и той да трябва да направи този избор предвид всички обстоятелства по конкретния случай, този орган все пак трябва да изпълни с цялата дължима грижа своята задача да осигури пълното прилагане на ОРЗД (вж. в този смисъл решение от 16 юли 2020 г., Facebook Ireland и Schrems, C‑311/18, EU:C:2020:559, т. 112). Затова, с цел да се осигури ефективното прилагане на ОРЗД, е особено важно този орган да разполага с ефективни правомощия, за да противодейства успешно на нарушенията на този регламент, и по-специално да ги прекратява, включително когато субектите на данните не са уведомени за обработването на техните лични данни, не са узнали за това или при всяко положение не са поискали изтриването на тези данни.

42      При това положение следва да се приеме, че някои от корективните правомощия по член 58, параграф 2 от ОРЗД, и по-специално тези по букви г) и ж) от тази разпоредба, могат да бъдат упражнявани служебно от надзорния орган на държава членка, доколкото служебното упражняване на тези правомощия е необходимо, за да може той да изпълнява задачите си. Затова, ако при разследването си прецени, че обработването не отговаря на изискванията на посочения регламент, този орган е длъжен в приложение на правото на Съюза да приеме подходящи мерки за отстраняване на установеното нарушение, и то независимо дали преди това субектът на данните е отправил искане да упражнява правата си съгласно член 17, параграф 1 от същия регламент.

43      В подкрепа на подобно тълкуване са и преследваните с ОРЗД цели, така както те произтичат по-специално от член 1 и съображения 1 и 10 от този регламент, а именно гарантиране на високо ниво на защита, що се отнася до основното право на физическите лица на защита на личните им данни, закрепено в член 8, параграф 1 от Хартата на основните права и в член 16, параграф 1 ДФЕС (вж. в този смисъл решения от 6 октомври 2020 г., La Quadrature du Net и др., C‑511/18, C‑512/18 и C‑520/18, EU:C:2020:791, т. 207, и от 28 април 2022 г., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, т. 73).

44      Обратно на възприетото в точка 42 от настоящото решение тълкуване, а именно че такъв надзорен орган е овластен да действа само след нарочно искане от страна на субекта на данните, би застрашило постигането на припомнените в точки 40 и 43 от настоящото решение цели, по-специално в случай като разглеждания в главното производство, при който изтриването на обработвани незаконосъобразно лични данни засяга потенциално голям брой лица, които не са упражнили правото си на изтриване на лични данни съгласно член 17, параграф 1 от ОРЗД.

45      Всъщност, както по същество изтъква Комисията в писменото си становище, изискването субектите на данни преди това да са отправили искане по смисъла на член 17, параграф 1 от ОРЗД, би означавало, че при липсата на такова искане администраторът би могъл да съхранява съответните лични данни и да продължава да ги обработва незаконосъобразно. Подобно тълкуване би било в ущърб на ефективността на предвидената в този регламент защита, тъй като би имало за последица лишаването от защита на лицата, които бездействат, въпреки че личните им данни са били обработвани незаконосъобразно.

46      С оглед на изложените по-горе съображения на първия въпрос следва да се отговори, че член 58, параграф 2, букви г) и ж) от ОРЗД трябва да се тълкува в смисъл, че при упражняването на предвидените в тези разпоредби корективни правомощия надзорният орган на държава членка е овластен да разпорежда на администратора или обработващия лични данни да изтрие обработваните незаконосъобразно лични данни, при все че субектът на данните не е направил никакво нарочно искане, за да упражни правата си съгласно член 17, параграф 1 от този регламент.

 По втория въпрос

47      С втория си въпрос запитващата юрисдикция по същество иска да се установи дали член 58, параграф 2 от ОРЗД трябва да се тълкува в смисъл, че правомощието на надзорния орган на държава членка да разпорежда изтриването на лични данни, които са били обработвани незаконосъобразно, може да се отнася както до данни, събрани от субекта на данните, така и до данни от друг източник.

48      В това отношение най-напред следва да се отбележи, че нищо в текста на посочените в предходната точка разпоредби не сочи, че изброените в него корективни правомощия на надзорния орган зависят от произхода на съответните данни, и по-специално от обстоятелството, че те са събрани от субекта на данните.

49      Също така текстът на член 17, параграф 1 от ОРЗД, който, както следва от точка 37 от настоящото решение, установява самостоятелно задължение за администратора да изтрие личните данни, които са били обработвани незаконосъобразно, не съдържа никакво изискване относно произхода на събираните данни.

50      Освен това, както следва от точки 41 и 42 от настоящото решение, за да се гарантира ефективно и последователно прилагане на ОРЗД, е необходимо националният надзорен орган да разполага с ефективни правомощия, за да може да противодейства успешно на нарушенията на този регламент. Корективните правомощия, така както са установени в член 58, параграф 2, букви г) и ж) от ОРЗД, съответно не могат да зависят от произхода на съответните данни, и по-специално от обстоятелството, че те са били събрани от субекта на данните.

51      Следователно трябва да се приеме, по примера на представилите писмени становища правителства и на Комисията, че упражняването на корективните правомощия по смисъла на член 58, параграф 2, букви г) и ж) от ОРЗД не може да зависи от това дали съответните лични данни са били или не събрани пряко от субекта на данните.

52      В подкрепа на такова тълкуване са и припомнените в точки 40 и 43 от настоящото решение цели, преследвани с ОРЗД, и в частност с член 58, параграф 2 от този регламент.

53      С оглед на изложените по-горе съображения на втория въпрос следва да се отговори, че член 58, параграф 2 от ОРЗД трябва да се тълкува в смисъл, че правомощието на надзорния орган на държава членка да разпорежда изтриването на лични данни, които са били обработвани незаконосъобразно, може да се отнася както до данни, събрани от субекта на данните, така и до данни от друг източник.

 По съдебните разноски

54      С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (пети състав) реши:

1)      Член 58, параграф 2, букви г) и ж) от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)

трябва да се тълкува в смисъл, че

при упражняването на предвидените в тези разпоредби корективни правомощия надзорният орган на държава членка е овластен да разпорежда на администратора или обработващия лични данни да изтрие обработваните незаконосъобразно лични данни, при все че субектът на данните не е направил никакво нарочно искане, за да упражни правата си съгласно член 17, параграф 1 от този регламент.

2)      Член 58, параграф 2 от Регламент 2016/679

трябва да се тълкува в смисъл, че

правомощието на надзорния орган на държава членка да разпорежда изтриването на лични данни, които са били обработвани незаконосъобразно, може да се отнася както до данни, събрани от субекта на данните, така и до данни от друг източник.

Подписи

*      Език на производството: унгарски.