TEISINGUMO TEISMO (penktoji kolegija) SPRENDIMAS
2024 m. kovo 14 d.(*)
„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 58 straipsnio 2 dalies d ir g punktai – Valstybės narės priežiūros institucijos įgaliojimai – 17 straipsnio 1 dalis – Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“) – Neteisėtai tvarkomų asmens duomenų ištrynimas – Nacionalinės priežiūros institucijos įgaliojimai nurodyti duomenų valdytojui arba duomenų tvarkytojui ištrinti tokius duomenis be išankstinio duomenų subjekto prašymo“
Byloje C‑46/23
dėl Fővárosi Törvényszék (Sostinės apygardos teismas, Vengrija) 2022 m. gruodžio 8 d. nutartimi, kurią Teisingumo Teismas gavo 2023 m. sausio 31 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje
Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala
prieš
Nemzeti Adatvédelmi és Információszabadság Hatóság
TEISINGUMO TEISMAS (penktoji kolegija),
kurį sudaro kolegijos pirmininkas E. Regan, teisėjai Z. Csehi, M. Ilešič (pranešėjas), I. Jarukaitis ir D. Gratsias,
generalinė advokatė L. Medina,
kancleris A. Calot Escobar,
atsižvelgęs į rašytinę proceso dalį,
išnagrinėjęs pastabas, pateiktas:
– Nemzeti Adatvédelmi és Információszabadság Hatóság, atstovaujamos ügyvéd G. J. Dudás,
– Vengrijos vyriausybės, atstovaujamos Zs. Biró-Tóth ir M. Z. Fehér,
– Ispanijos vyriausybės, atstovaujamos A. Ballesteros Panizo,
– Austrijos vyriausybės, atstovaujamos A. Posch, J. Schmoll ir C. Gabauer,
– Lenkijos vyriausybės, atstovaujamos B. Majczyna,
– Portugalijos vyriausybės, atstovaujamos P. Barros da Costa, J. Ramos ir C. Vieira Guerra,
– Europos Komisijos, atstovaujamos A. Bouchagiar, C. Kovács ir H. Kranenborg,
atsižvelgęs į sprendimą, priimtą susipažinus su generalinės advokatės nuomone, nagrinėti bylą be išvados,
priima šį
Sprendimą
1 Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1; klaidų ištaisymas OL L 127, 2018, p. 2; toliau – BDAR) 58 straipsnio 2 dalies c, d ir g punktų išaiškinimo.
2 Šis prašymas pateiktas nagrinėjant Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (Budapešto IV rajono Újpest savivaldybės administracija, Vengrija; toliau – Újpest administracija) ir Nemzeti Adatvédelmi és Információszabadság Hatóság (Nacionalinė duomenų apsaugos ir informacijos laisvės institucija, Vengrija, toliau – Vengrijos priežiūros institucija) ginčą dėl sprendimo, kuriuo pastaroji nurodė Újpest administracijai ištrinti neteisėtai tvarkomus asmens duomenis.
Teisinis pagrindas
3 BDAR 1, 10 ir 129 konstatuojamosios dalys suformuluotos taip:
„(1) fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė. Europos Sąjungos pagrindinių teisių chartijos <…> 8 straipsnio 1 dalyje ir [SESV] 16 straipsnio 1 dalyje numatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą;
<…>
(10) siekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo [Europos] Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis. Visoje Sąjungoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymas. <…>
<…>
(129) siekiant užtikrinti nuoseklią šio reglamento taikymo stebėseną ir jo vykdymą visoje Sąjungoje, priežiūros institucijos kiekvienoje valstybėje narėje turėtų vykdyti tas pačias užduotis ir naudotis tais pačiais veiksmingais įgaliojimais, įskaitant tyrimo įgaliojimus, įgaliojimus imtis taisomųjų veiksmų ir skirti sankcijas, taip pat leidimų išdavimo ir patariamuosius įgaliojimus, visų pirma tais atvejais, kai gaunami skundai iš fizinių asmenų, ir, nedarant poveikio baudžiamojo persekiojimo institucijų įgaliojimams pagal valstybės narės teisę, atkreipti teisminių institucijų dėmesį į šio reglamento pažeidimus ir (arba) būti teismo proceso šalimi. <…>“
4 BDAR I skyriuje „Bendrosios nuostatos“ yra 1–4 straipsniai.
5 Šio reglamento 1 straipsnyje „Dalykas ir tikslai“ nurodyta:
„1. Šiuo reglamentu nustatomos taisyklės, susijusios su fizinių asmenų apsauga tvarkant jų asmens duomenis, ir taisyklės, susijusios su laisvu asmens duomenų judėjimu.
2. Šiuo reglamentu saugomos fizinių asmenų pagrindinės teisės ir laisvės, visų pirma jų teisė į asmens duomenų apsaugą.
<…>“
6 Minėto reglamento 4 straipsnio „Apibrėžtys“ 2, 7 ir 21 punktuose nustatyta:
„Šiame reglamente:
<…>
2) duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;
<…>
7) duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise;
<…>
21) priežiūros institucija – valstybės narės pagal 51 straipsnį įsteigta nepriklausoma valdžios institucija;
<…>“
7 BDAR II skyriuje „Principai“ yra, be kita ko, 5 straipsnis „Su asmens duomenų tvarkymu susiję principai“, kuriame numatyta:
„1. Asmens duomenys turi būti:
a) duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas)
b) renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; <…> (tikslo apribojimo principas);
c) adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
<…>
2. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“
8 BDAR III skyriaus „Duomenų subjekto teisės“ 17 straipsnio „Teisė reikalauti ištrinti duomenis („Teisė būti pamirštam“)“ 1 dalyje numatyta:
„Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:
a) asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;
b) asmens duomenų subjektas atšaukia sutikimą, kuriuo pagal 6 straipsnio 1 dalies a punktą arba 9 straipsnio 2 dalies a punktą grindžiamas duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;
c) asmens duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 1 dalį ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis arba duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 2 dalį;
d) asmens duomenys buvo tvarkomi neteisėtai;
<…>“
9 BDAR VI skyriuje „Nepriklausomos priežiūros institucijos“ yra 51–59 straipsniai.
10 Šio reglamento 51 straipsnio „Priežiūros institucija“ 1 ir 2 dalyse numatyta:
„1. Kiekviena valstybė narė užtikrina, kad viena arba kelios nepriklausomos valdžios institucijos yra atsakingos už šio reglamento taikymo stebėseną, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Sąjungoje <…>.
2. Kiekviena priežiūros institucija prisideda prie nuoseklaus šio reglamento taikymo visoje Sąjungoje. Tuo tikslu priežiūros institucijos bendradarbiauja tarpusavyje ir su [Europos] Komisija vadovaudamosi VII skyriumi.“
11 Minėto reglamento 57 straipsnio „Užduotys“ 1 dalis suformuluota taip:
„1. Nedarant poveikio kitoms pagal šį reglamentą nustatytoms užduotims, kiekviena priežiūros institucija savo teritorijoje:
a) stebi, kaip taikomas šis reglamentas, ir užtikrina, kad jis būtų taikomas;
<…>
h) atlieka tyrimus šio reglamento taikymo srityje, be kita ko, remiantis iš kitos priežiūros institucijos arba kitos valdžios institucijos gauta informacija;
<…>“
12 Šio reglamento 58 straipsnio „Įgaliojimai“ 2 dalyje nurodyta:
„Kiekviena priežiūros institucija turi visus šiuos įgaliojimus imtis taisomųjų veiksmų:
<…>
c) nurodyti duomenų valdytojui arba duomenų tvarkytojui patenkinti duomenų subjekto prašymus pasinaudoti savo teisėmis pagal šį reglamentą;
d) nurodyti duomenų valdytojui arba duomenų tvarkytojui suderinti duomenų tvarkymo operacijas su šio reglamento nuostatomis, tam tikrais atvejais – nustatytu būdu ir per nustatytą laikotarpį;
<…>
g) nurodyti ištaisyti arba ištrinti asmens duomenis arba apriboti jų tvarkymą pagal 16, 17 ir 18 straipsnius ir pranešti apie tokius veiksmus duomenų gavėjams, kuriems asmens duomenys buvo atskleisti, pagal 17 straipsnio 2 dalį ir 19 straipsnį;
<…>
i) skirti administracinę baudą pagal 83 straipsnį, kartu taikydama šioje dalyje nurodytas priemones arba vietoj jų, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes;
<…>“
Pagrindinė byla ir prejudiciniai klausimai
13 2020 m. vasario mėnesį Újpest administracija nusprendė suteikti finansinę paramą gyventojams, priklausantiems dėl COVID-19 pandemijos pažeidžiamais tapusių asmenų kategorijai ir tenkinantiems tam tikras tinkamumo sąlygas.
14 Šiuo tikslu ji kreipėsi į Magyar Államkincstár (Vengrijos valstybės iždas) ir Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (už Budapešto IV rajoną atsakinga vyriausybės įstaiga, toliau – vyriausybės įstaiga), kad gautų asmens duomenis, būtinus šioms tinkamumo sąlygoms patikrinti. Šie duomenys, be kita ko, apėmė fizinių asmenų bazinius tapatybės duomenis ir socialinio draudimo numerius. Vengrijos valstybės iždas ir vyriausybės įstaiga pateikė prašomus duomenis.
15 Finansinės paramos mokėjimo tikslais Újpest administracija priėmė az Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet (Savivaldybės tarybos nutarimas Nr. 16/2020 (IV. 30.) dėl programos „Újpest+ Megbecsülés“ patvirtinimo), o jis buvo pakeistas ir papildytas 30/2020. (VII. 15.) önkormányzati rendelet (Savivaldybės tarybos nutarimas Nr. 30/2020. (VII.15.)). Šiais nutarimais nustatyti paramos skyrimo kriterijai. Gautus duomenis Újpest administracija apibendrino duomenų bazėje, sukurtoje jos paramos programai įgyvendinti, ir kiekvienam duomenų rinkiniui sukūrė specialų identifikatorių ir brūkšninį kodą.
16 Gavusi pranešimą Vengrijos priežiūros institucija 2020 m. rugsėjo 2 d. ex officio pradėjo tyrimą dėl asmens duomenų tvarkymo, kuriuo buvo grindžiama minėta paramos programa. 2021 m. balandžio 22 d. sprendime ši institucija konstatavo, kad Újpest administracija pažeidė įvairias BDAR 5 ir 14 straipsnių ir 12 straipsnio 1 dalies nuostatas. Ji visų pirma pažymėjo, kad Újpest administracija per vieną mėnesį duomenų subjektams nepranešė nei apie pagal šią programą tvarkomų asmens duomenų kategorijas, nei apie duomenų tvarkymo tikslus, nei apie būdus, kaip šie asmenys gali naudotis savo teisėmis šiuo klausimu.
17 Vengrijos priežiūros institucija, remdamasi BDAR 58 straipsnio 2 dalies d punktu, nurodė Újpest administracijai ištrinti duomenų subjektų, kurie, remiantis vyriausybės įstaigos ir Vengrijos valstybės iždo pateikta informacija, turėjo teisę gauti šią paramą, tačiau jos neprašė, asmens duomenis. Ji nusprendė, kad tiek Vengrijos valstybės iždas, tiek vyriausybės įstaiga pažeidė nuostatas, susijusias su minėtų asmenų asmens duomenų tvarkymu. Ji taip pat įpareigojo Újpest administraciją ir Vengrijos valstybės iždą sumokėti baudą, kiek susiję su duomenų apsauga.
18 Újpest administracija administraciniu skundu, pateiktu Fővįrosi Törvényszék (Sostinės apygardos teismas, Vengrija), prašymą priimti prejudicinį sprendimą pateikusiam teismui, ginčija Vengrijos priežiūros institucijos sprendimą ir teigia, kad ši institucija neturi įgaliojimų nurodyti ištrinti asmens duomenis pagal BDAR 58 straipsnio 2 dalies d punktą, kai duomenų subjektas nepateikė prašymo, kaip tai suprantama pagal šio reglamento 17 straipsnį. Šiuo klausimu ji remiasi Kúria (Aukščiausiasis Teismas, Vengrija) sprendimu Kfv.II.001/2021/6, kuriame tas teismas nusprendė, kad Vengrijos priežiūros institucija neturi tokių įgaliojimų, ir taip patvirtino prašymą priimti prejudicinį sprendimą pateikusio teismo sprendimą. Ieškovės pagrindinėje byloje teigimu, minėto reglamento 17 straipsnyje numatyta teisė reikalauti ištrinti duomenis suprantama tik kaip duomenų subjekto teisė.
19 Vengrijos priežiūros institucijai pateikus konstitucinį skundą, Alkotmánybíróság (Konstitucinis Teismas, Vengrija) panaikino minėtą Kúria (Aukščiausiasis Teismas) sprendimą ir nustatė, kad ši institucija turi teisę savo iniciatyva nurodyti ištrinti neteisėtai tvarkomus asmens duomenis, net ir nesant duomenų subjekto prašymo. Šiuo klausimu Alkotmánybíróság (Konstitucinis Teismas) rėmėsi Europos duomenų apsaugos valdybos nuomone Nr. 39/2021, pagal kurią BDAR 17 straipsnyje numatyti du atskiri ištrynimo atvejai: ištrynimas duomenų subjekto prašymu ir ištrynimas kaip savarankiška duomenų valdytojo pareiga, todėl BDAR 58 straipsnio 2 dalies g punktas turėtų būti laikomas tinkamu teisiniu pagrindu, siekiant ex officio ištrinti neteisėtai tvarkomus asmens duomenis.
20 Alkotmánybíróság (Konstitucinis Teismas) priėmus pirmesniame šio sprendimo punkte nurodytą sprendimą, prašymą priimti prejudicinį sprendimą pateikusiam teismui ir toliau kyla abejonių dėl BDAR 17 straipsnio ir 58 straipsnio 2 dalies aiškinimo. Jis mano, kad teisė reikalauti ištrinti asmens duomenis BDAR 17 straipsnio 1 dalyje apibrėžta kaip duomenų subjekto teisė ir kad ši nuostata neapima dviejų atskirų ištrynimo atvejų.
21 Tas teismas priduria, kad asmuo gali būti suinteresuotas su juo susijusių asmens duomenų tvarkymu, įskaitant atvejus, kai nacionalinė priežiūros institucija nurodo duomenų valdytojui ištrinti minėtus duomenis dėl jų neteisėto tvarkymo. Tokiu atveju ši institucija duomenų subjekto teisę įgyvendintų prieš jo valią.
22 Taigi prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar, neatsižvelgiant į tai, ar duomenų subjektas naudojasi savo teisėmis, valstybės narės priežiūros institucija gali reikalauti, kad duomenų valdytojas arba duomenų tvarkytojas ištrintų neteisėtai tvarkomus asmens duomenis, ir, jei taip, kokiu teisiniu pagrindu remiantis, be kita ko, atsižvelgiant į tai, kad BDAR 58 straipsnio 2 dalies c punkte aiškiai numatytas šio asmens prašymas siekiant pasinaudoti savo teisėmis, šio reglamento 58 straipsnio 2 dalies d punkte apskritai numatyta, kad duomenų tvarkymo operacijos turi būti suderintos su to reglamento nuostatomis, o to paties reglamento 58 straipsnio 2 dalies g punkte daroma tiesioginė nuoroda į jo 17 straipsnį, kurį taikant reikia aiškaus duomenų subjekto prašymo.
23 Jeigu nacionalinė priežiūros institucija, nepaisydama, kad nėra duomenų subjekto prašymo, galėtų nurodyti duomenų valdytojui arba duomenų tvarkytojui ištrinti neteisėtai tvarkomus asmens duomenis, prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar tuo metu, kai nurodoma ištrinti duomenis, gali būti daromas skirtumas atsižvelgiant į tai, ar asmens duomenys buvo surinkti iš duomenų subjekto, turint omeny BDAR 13 straipsnio 2 dalies b punkte numatytą duomenų valdytojo pareigą, ar iš kito asmens, turint omeny reglamento 14 straipsnio 2 dalies c punkte numatytą pareigą.
24 Šiomis aplinkybėmis Fővárosi Törvényszék (Sostinės apygardos teismas, Vengrija) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:
„1. Ar [BDAR] 58 straipsnio 2 dalis, visų pirma jos c, d ir g punktai, turi būti aiškinama taip, kad nacionalinė priežiūros institucija, naudodamasi savo įgaliojimais imtis taisomųjų veiksmų, gali nurodyti duomenų valdytojui arba duomenų tvarkytojui ištrinti neteisėtai tvarkomus asmens duomenis net ir nesant aiškaus duomenų subjekto prašymo pagal BDAR 17 straipsnio 1 dalį?
2. Jei į pirmąjį prejudicinį klausimą būtų atsakyta taip, kad priežiūros institucija gali nurodyti duomenų valdytojui arba duomenų tvarkytojui ištrinti neteisėtai tvarkomus asmens duomenis net be duomenų subjekto prašymo, ar tokia teisė nepriklauso nuo to, ar asmens duomenys buvo gauti iš duomenų subjekto, ar ne?“
Dėl prejudicinių klausimų
Dėl pirmojo klausimo
25 Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar BDAR 58 straipsnio 2 dalies c, d ir g punktai turi būti aiškinami taip, kad valstybės narės priežiūros institucija, naudodamasi savo įgaliojimais imtis šiose nuostatose numatytų taisomųjų veiksmų, turi teisę įpareigoti duomenų valdytoją arba duomenų tvarkytoją ištrinti neteisėtai tvarkomus asmens duomenis, jeigu duomenų subjektas šiuo tikslu nepateikė prašymo pasinaudoti savo teisėmis pagal šio reglamento 17 straipsnio 1 dalį.
26 Šis klausimas kilo nagrinėjant bylą dėl Vengrijos priežiūros institucijos sprendimo, kuriuo pagal BDAR 58 straipsnio 2 dalies d punktą Újpest administracijai nurodyta ištrinti asmens duomenis, neteisėtai tvarkomus pagal šio sprendimo 13–15 punktuose aprašytą paramos programą, teisėtumo.
27 Pagal BDAR 17 straipsnio 1 dalį duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas privalo nepagrįstai nedelsdamas ištrinti duomenis, be kita ko, pagal šios nuostatos d punktą, kai tie duomenys buvo „neteisėtai tvarkomi“.
28 Pagal BDAR 58 straipsnio 2 dalies d punktą priežiūros institucija gali nurodyti duomenų valdytojui arba duomenų tvarkytojui prireikus konkrečiu būdu ir per nustatytą laikotarpį suderinti duomenų tvarkymo operacijas su šio reglamento nuostatomis. Be to, minėto reglamento 58 straipsnio 2 dalies g punkte numatyta, kad priežiūros institucija turi įgaliojimus nurodyti ištaisyti ar ištrinti asmens duomenis arba apriboti jų tvarkymą pagal 16, 17 ir 18 straipsnius ir pranešti apie tokius veiksmus gavėjams, kuriems asmens duomenys buvo atskleisti pagal to paties reglamento 17 straipsnio 2 dalį ir 19 straipsnį.
29 Šiomis aplinkybėmis prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar valstybės narės priežiūros institucija, naudodamasi savo įgaliojimais imtis taisomųjų veiksmų, kaip antai numatytų BDAR 58 straipsnio 2 dalies c, d ir g punktuose, turi teisę ex officio, t. y. nesant išankstinio duomenų subjekto prašymo šiuo tikslu, nurodyti duomenų valdytojui arba duomenų tvarkytojui ištrinti neteisėtai tvarkomus asmens duomenis.
30 Pagal suformuotą jurisprudenciją aiškinant Sąjungos teisės nuostatą reikia atsižvelgti ne tik į jos tekstą, bet ir į kontekstą ir teisės akto, kuriame ji įtvirtinta, tikslus (2023 m. liepos 13 d. Sprendimo G GmbH, C‑134/22, EU:C:2023:567, 25 punktas ir jame nurodyta jurisprudencija).
31 Pirmiausia reikia pažymėti, kad šio sprendimo 27 ir 28 punktuose nurodytos reikšmingos Sąjungos teisės nuostatos turi būti aiškinamos kartu su BDAR 5 straipsnio 1 dalimi, kurioje įtvirtinti su asmens duomenų tvarkymu susiję principai, tarp jų, be kita ko, yra a punkte įtvirtintas principas, pagal kurį asmens duomenys duomenų subjekto atžvilgiu turi būti tvarkomi teisėtai, sąžiningai ir skaidriai.
32 Pagal šio 5 straipsnio 2 dalį, vadovaujantis šioje nuostatoje nurodytu atskaitomybės principu, duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi minėto 5 straipsnio 1 dalies, ir turi gebėti įrodyti, kad laikosi visų toje 1 dalyje nurodytų principų, turint omenyje tai, kad įrodinėjimo našta šiuo klausimu tenka jam (2023 m. gegužės 4 d. Sprendimo Bundesrepublik Deutschland (Teismo elektroninio pašto dėžutė), C‑60/22, EU:C:2023:373, 53 punktas ir jame nurodyta jurisprudencija).
33 Kai asmens duomenų tvarkymas neatitinka, be kita ko, BDAR 5 straipsnyje nustatytų principų, valstybių narių priežiūros institucijos turi teisę įsikišti, vykdydamos savo užduotis ir įgaliojimus, numatytus šio reglamento 57 ir 58 straipsniuose. Šios užduotys visų pirma apima šio reglamento taikymo kontrolę ir jo laikymosi užtikrinimą pagal jo 57 straipsnio 1 dalies a punktą (šiuo klausimu, be kita ko, žr. 2020 m. liepos 16 d. Sprendimo Facebook Ireland ir Schrems, C‑311/18, EU:C:2020:559, 108 punktą).
34 Šiuo klausimu Teisingumo Teismas jau yra pažymėjęs, kad kai atlikusi tyrimą nacionalinė priežiūros institucija mano, jog duomenų subjektui nesuteikiamas tinkamas apsaugos lygis, ji pagal Sąjungos teisę privalo tinkamai reaguoti, kad būtų ištaisytas nustatytas nepakankamumas, nepaisant šio nepakankamumo kilmės ar pobūdžio. Šiuo tikslu BDAR 58 straipsnio 2 dalyje išvardyti įvairūs taisomieji veiksmai, kurių gali imtis priežiūros institucija. Ši priežiūros institucija turi pasirinkti tinkamą priemonę, kad tinkamai įvykdytų savo užduotį užtikrinti visapusišką šio reglamento laikymąsi (šiuo klausimu žr. 2020 m. liepos 16 d. Sprendimo Facebook Ireland ir Schrems, C‑311/18, EU:C:2020:559, 111 ir 112 punktus).
35 Konkrečiau kalbant apie tai, ar tokių taisomųjų veiksmų atitinkama priežiūros institucija gali imtis ex officio, pirmiausia reikia pažymėti, kad, atsižvelgiant į BDAR 58 straipsnio 2 dalies formuluotę, joje daromas skirtumas tarp 58 straipsnio 2 dalies d ir g punktuose numatytų taisomųjų veiksmų, kurių gali būti imtasi ex officio, ir minėto reglamento 58 straipsnio 2 dalies c punkte nurodytų veiksmų, kurių galima imtis tik gavus duomenų subjekto prašymą pasinaudoti savo teisėmis pagal šį reglamentą.
36 Iš tiesų, pirma, iš BDAR 58 straipsnio 2 dalies c punkto formuluotės aiškiai matyti, kad ėmimasis šioje nuostatoje nurodytų taisomųjų veiksmų, t. y. „nurodyti duomenų valdytojui arba duomenų tvarkytojui patenkinti duomenų subjekto prašymus pasinaudoti savo teisėmis pagal šį reglamentą“, reiškia, kad duomenų subjektas iš anksto pasinaudojo savo teisėmis pateikdamas atitinkamą prašymą ir kad toks prašymas nebuvo patenkintas prieš priežiūros institucijai priimant toje nuostatoje numatytą sprendimą. Antra, skirtingai nuo šios nuostatos, iš šio reglamento 58 straipsnio 2 dalies d ir g punktų formuluotės negalima daryti išvados, kad valstybės narės priežiūros institucijos įsikišimas siekiant imtis juose nurodytų veiksmų galimas tik tais atvejais, kai atitinkamas asmuo šiuo tikslu pateikė prašymą, nes šioje formuluotėje nėra nuorodos į tokį prašymą.
37 Kalbant apie šių nuostatų kontekstą, reikia pažymėti, kad šio reglamento 17 straipsnio 1 dalyje vartojant jungtuką „o“ atskiriama, pirma, duomenų subjekto teisė reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius duomenis, ir, antra, duomenų valdytojo pareiga nepagrįstai nedelsiant ištrinti šiuos asmens duomenis. Tuo remiantis darytina išvada, kad ši nuostata reglamentuoja du nepriklausomus atvejus, t. y. pirma, duomenų ištrynimą duomenų subjekto prašymu ir, antra, duomenų ištrynimą dėl to, kad egzistuoja savarankiška duomenų valdytojui tenkanti pareiga, neatsižvelgiant į duomenų subjekto prašymą.
38 Iš tiesų, kaip Nuomonėje Nr. 39/2021 pažymėjo Europos duomenų apsaugos valdyba, toks atskyrimas būtinas, nes kai kurie iš šio 17 straipsnio 1 dalyje numatytų atvejų apima situacijas, kai duomenų subjektas nebūtinai buvo informuotas, kad tvarkomi su juo susiję asmens duomenys, todėl tik duomenų valdytojas gali konstatuoti tokių duomenų buvimą. Taip yra visų pirma tuo atveju, kai šie duomenys buvo tvarkomi neteisėtai, kaip nurodyta šio reglamento 17 straipsnio 1 dalies d punkte.
39 Tokį aiškinimą patvirtina BDAR 5 straipsnio 2 dalis, siejama su šio straipsnio 1 dalies a punktu, pagal kurį duomenų valdytojas turi įsitikinti, be kita ko, jo atliekamo duomenų tvarkymo teisėtumu (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Bundesrepublik Deutschland (Teismo elektroninio pašto dėžutė), C‑60/22, EU:C:2023:373, 54 punktą).
40 Galiausiai tokį aiškinimą taip pat patvirtina BDAR 58 straipsnio 2 dalimi siekiamas tikslas, išplaukiantis iš jo 129 konstatuojamosios dalies, t. y. užtikrinti, kad asmens duomenų tvarkymas atitiktų šį reglamentą ir kad, įsikišus nacionalinėms priežiūros institucijoms, būtų ištaisytos jo pažeidimo situacijos, kad jos atitiktų Sąjungos teisę.
41 Šiuo klausimu reikia pažymėti, kad nors tinkamą ir reikiamą priemonę turi pasirinkti priežiūros institucija ir tai daryti ji turi atsižvelgdama į visas konkretaus atvejo aplinkybes, ši institucija privalo ypač kruopščiai, kaip to reikalaujama, vykdyti savo užduotį – užtikrinti visapusišką BDAR laikymąsi (šiuo klausimu žr. 2020 m. liepos 16 d. Sprendimo Facebook Ireland ir Schrems, C‑311/18, EU:C:2020:559, 112 punktą). Taigi siekiant užtikrinti veiksmingą BDAR taikymą, ypač svarbu, kad ši institucija turėtų veiksmingus įgaliojimus, kad galėtų efektyviai imtis veiksmų dėl nustatytų šio reglamento pažeidimų ir juos nutraukti, be kita ko, tais atvejais, kai duomenų subjektai nėra informuoti apie jų asmens duomenų tvarkymą, apie juos nežino arba bet kuriuo atveju neprašė ištrinti šių duomenų.
42 Šiomis aplinkybėmis reikia konstatuoti, kad valstybės narės priežiūros institucija gali ex officio imtis kai kurių RGPD 58 straipsnio 2 dalyje nurodytų taisomųjų veiksmų, visų pirma nurodytų tos nuostatos d ir g punktuose, jei ji turi naudotis ex officio tais įgaliojimais, kad galėtų vykdyti savo užduotį. Taigi, kai atlikusi tyrimą ši institucija mano, kad toks duomenų tvarkymas neatitinka minėto reglamento reikalavimų, ji pagal Sąjungos teisę privalo imtis tinkamų priemonių konstatuotam pažeidimui ištaisyti, neatsižvelgdama į tai, ar atitinkamas asmuo pateikė išankstinį prašymą pasinaudoti savo teisėmis pagal minėto reglamento 17 straipsnio 1 dalį.
43 Be to, tokį aiškinimą patvirtina BDAR siekiami tikslai, išplaukiantys, be kita ko, iš jo 1 straipsnio ir 1 bei 10 konstatuojamųjų dalių, įskaitant aukšto lygio apsaugą, kiek tai susiję su fizinių asmenų pagrindine teise į jų asmens duomenų apsaugą, įtvirtinta Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio 1 dalyje ir SESV 16 straipsnio 1 dalyje (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 207 punktą ir 2022 m. balandžio 28 d. Sprendimo Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 73 punktą).
44 Aiškinimas, priešingas pateiktajam šio sprendimo 42 punkte, pagal kurį ši priežiūros institucija turi teisę veikti tik gavusi duomenų subjekto šiuo tikslu pateiktą prašymą, trukdytų pasiekti šio sprendimo 40 ir 43 punktuose primintus tikslus, visų pirma esant tokiai situacijai, kaip nagrinėjama pagrindinėje byloje, kai asmens duomenų, kurie buvo tvarkomi neteisėtai, ištrynimas susijęs su potencialiai dideliu skaičiumi asmenų, kurie nesirėmė savo teise reikalauti ištrinti duomenis pagal BDAR 17 straipsnio 1 dalį.
45 Iš tiesų, kaip savo rašytinėse pastabose iš esmės teigia Komisija, reikalavimas, kad iš anksto būtų pateiktas duomenų subjektų prašymas, kaip tai suprantama pagal BDAR 17 straipsnio 1 dalį, reiškia, kad, nesant tokio prašymo, duomenų valdytojas galėtų saugoti nagrinėjamus asmens duomenis ir toliau juos tvarkyti neteisėtai. Toks aiškinimas pakenktų šiame reglamente numatytos apsaugos veiksmingumui, nes dėl jo iš neaktyvių asmenų, net jei jų asmens duomenys buvo tvarkomi neteisėtai, būtų atimta apsauga.
46 Atsižvelgiant į tai, kas išdėstyta, į pirmąjį klausimą reikia atsakyti: BDAR 58 straipsnio 2 dalies c, d ir g punktai turi būti aiškinami taip, kad valstybės narės priežiūros institucija, naudodamasi savo įgaliojimais imtis šiose nuostatose numatytų taisomųjų veiksmų, turi teisę įpareigoti duomenų valdytoją arba duomenų tvarkytoją ištrinti neteisėtai tvarkomus asmens duomenis, jeigu duomenų subjektas šiuo tikslu nepateikė prašymo pasinaudoti savo teisėmis pagal šio reglamento 17 straipsnio 1 dalį.
Dėl antrojo klausimo
47 Antruoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 58 straipsnio 2 dalis turi būti aiškinama taip, kad valstybės narės priežiūros institucijos įgaliojimai nurodyti ištrinti neteisėtai tvarkomus asmens duomenis gali apimti tiek iš duomenų subjekto, tiek iš kito šaltinio gautus duomenis.
48 Šiuo klausimu visų pirma reikia pažymėti, kad šio sprendimo pirmesniame punkte minėtų nuostatų formuluotėse nėra jokios nuorodos, kuri leistų suprasti, kad priežiūros institucijos įgaliojimai imtis jame nurodytų taisomųjų veiksmų priklauso nuo atitinkamų duomenų kilmės, be kita ko, nuo to, ar jie buvo surinkti iš duomenų subjekto.
49 Be to, BDAR 17 straipsnio 1 dalies formuluotėje, kurioje, kaip matyti iš šio sprendimo 37 punkto, įtvirtinta savarankiška duomenų valdytojo pareiga ištrinti neteisėtai tvarkomus asmens duomenis, nėra jokio reikalavimo, susijusio su surinktų duomenų kilme.
50 Be to, kaip matyti iš šio sprendimo 41 ir 42 punktų, siekiant užtikrinti veiksmingą ir nuoseklų BDAR taikymą, būtina, kad nacionalinė priežiūros institucija turėtų veiksmingus įgaliojimus efektyviai imtis veiksmų dėl šio reglamento pažeidimų. Taigi BDAR 58 straipsnio 2 dalies d ir g punktuose numatyti įgaliojimai imtis taisomųjų veiksmų negali priklausyti nuo atitinkamų duomenų kilmės ir, be kita ko, nuo to, ar jie buvo surinkti iš duomenų subjekto.
51 Taigi reikia konstatuoti, kaip tai daro visos rašytines pastabas pateikusios vyriausybės ir Komisija, kad naudojimasis įgaliojimais imtis taisomųjų veiksmų, kaip tai suprantama pagal BDAR 58 straipsnio 2 dalies d ir g punktus, negali priklausyti nuo to, ar nagrinėjami asmens duomenys buvo surinkti tiesiogiai iš duomenų subjekto.
52 Tokį aiškinimą taip pat patvirtina BDAR, visų pirma šio reglamento 58 straipsnio 2 dalies, siekiami tikslai, priminti šio sprendimo 40 ir 43 punktuose.
53 Atsižvelgiant į tai, kas išdėstyta, į antrąjį klausimą reikia atsakyti: BDAR 58 straipsnio 2 dalis turi būti aiškinama taip, kad valstybės narės priežiūros institucijos įgaliojimai nurodyti ištrinti neteisėtai tvarkomus asmens duomenis gali apimti tiek iš duomenų subjekto, tiek iš kito šaltinio gautus duomenis.
Dėl bylinėjimosi išlaidų
54 Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.
Remdamasis šiais motyvais, Teisingumo Teismas (penktoji kolegija) nusprendžia:
1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 58 straipsnio 2 dalies d ir g punktai
turi būti aiškinama taip:
valstybės narės priežiūros institucija, naudodamasi savo įgaliojimais imtis šiose nuostatose numatytų taisomųjų veiksmų, turi teisę įpareigoti duomenų valdytoją arba duomenų tvarkytoją ištrinti neteisėtai tvarkomus asmens duomenis, jeigu duomenų subjektas šiuo tikslu nepateikė prašymo pasinaudoti savo teisėmis pagal šio reglamento 17 straipsnio 1 dalį.
2. Reglamento 2016/679 58 straipsnio 2 dalis
turi būti aiškinama taip:
valstybės narės priežiūros institucijos įgaliojimai nurodyti ištrinti neteisėtai tvarkomus asmens duomenis gali apimti tiek iš duomenų subjekto, tiek iš kito šaltinio gautus duomenis.
Parašai.