TIESAS SPRIEDUMS (piektā palāta)
2024. gada 14. martā (*)
Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula (ES) 2016/679 – 58. panta 2. punkta d) un g) apakšpunkts – Dalībvalsts uzraudzības iestādes pilnvaras – 17. panta 1. punkts – Tiesības uz dzēšanu (tiesības “tikt aizmirstam”) – Nelikumīgi apstrādātu personas datu dzēšana – Valsts uzraudzības iestādes pilnvaras uzdot pārzinim vai apstrādātājam dzēst šos datus bez datu subjekta iepriekšēja pieprasījuma
Lietā C‑46/23
par lūgumu sniegt prejudiciālu nolēmumu atbilstoši LESD 267. pantam, ko Fővárosi Törvényszék (Galvaspilsētas Budapeštas tiesa, Ungārija) iesniegusi ar 2022. gada 8. decembra lēmumu un kas Tiesā reģistrēts 2023. gada 31. janvārī, tiesvedībā
Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala
pret
Nemzeti Adatvédelmi és Információszabadság Hatóság,
TIESA (piektā palāta)
šādā sastāvā: palātas priekšsēdētājs J. Regans [E. Regan], tiesneši Z. Čehi [Z. Csehi], M. Ilešičs [M. Ilešič] (referents), I. Jarukaitis [I. Jarukaitis] un D. Gracijs [D. Gratsias],
ģenerāladvokāte: L. Medina,
sekretārs: A. Kalots Eskobars [A. Calot Escobar],
ņemot vērā rakstveida procesu,
ņemot vērā apsvērumus, ko snieguši:
– Nemzeti Adatvédelmi és Információszabadság Hatóság vārdā – G. J. Dudás, ügyvéd,
– Ungārijas valdības vārdā – Zs. Biró‑Tóth un M. Z. Fehér, pārstāvji,
– Spānijas valdības vārdā – A. Ballesteros Panizo, pārstāvis,
– Austrijas valdības vārdā – A. Posch, J. Schmoll un C. Gabauer, pārstāvji,
– Polijas valdības vārdā – B. Majczyna, pārstāvis,
– Portugāles valdības vārdā – P. Barros da Costa, M. J. Ramos un C. Vieira Guerra, pārstāves,
– Eiropas Komisijas vārdā – A. Bouchagiar, C. Kovács un H. Kranenborg, pārstāvji,
ņemot vērā pēc ģenerāladvokātes uzklausīšanas pieņemto lēmumu izskatīt lietu bez ģenerāladvokāta secinājumiem,
pasludina šo spriedumu.
Spriedums
1 Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt 58. panta 2. punkta c), d) un g) apakšpunktu Eiropas Parlamenta un Padomes Regulā (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp., un labojums OV 2018, L 127, 2. lpp.; turpmāk tekstā – “VDAR”).
2 Šis lūgums ir iesniegts saistībā ar tiesvedību starp Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (Galvaspilsētas Budapeštas IV rajona – Ujpeštas pašvaldības administrācija, Ungārija; turpmāk tekstā – “Ujpeštas administrācija”) un Nemzeti Adatvédelmi és Információszabadság Hatóság (Datu aizsardzības un informācijas brīvības valsts iestāde, Ungārija; turpmāk tekstā – “Ungārijas uzraudzības iestāde”) par lēmumu, ar kuru šī uzraudzības iestāde uzdeva Ujpeštas administrācijai dzēst nelikumīgi apstrādātos personas datus.
Atbilstošās tiesību normas
3 VDAR 1., 10. un 129. apsvērums ir formulēti šādi:
“(1) Fizisku personu aizsardzība attiecībā uz personas datu aizsardzību ir pamattiesības. Eiropas Savienības Pamattiesību hartas [..] 8. panta 1. punkts un [LESD] 16. panta 1. punkts paredz, ka ikvienai personai ir tiesības uz savu personas datu aizsardzību.
[..]
(10) Lai nodrošinātu konsekventu un augsta līmeņa aizsardzību fiziskām personām un novērstu šķēršļus personu datu apritei [Eiropas] Savienībā, fiziskas personas tiesību un brīvību aizsardzības līmenim attiecībā uz šādu datu apstrādi visās dalībvalstīs vajadzētu būt vienādam. Visā Savienībā būtu jānodrošina noteikumu par fiziskas personas pamattiesību un pamatbrīvību aizsardzību attiecībā uz personas datu apstrādi vienveidīga piemērošana. [..]
[..]
(129) Lai nodrošinātu konsekventu šīs regulas piemērošanas uzraudzību un izpildi visā Savienībā, uzraudzības iestādēm katrā dalībvalstī vajadzētu būt vieniem un tiem pašiem uzdevumiem un faktiskajām pilnvarām, tostarp izmeklēšanas pilnvarām, korektīvām pilnvarām, pilnvarām lemt par sankcijām un atļauju izsniegšanas un padomdevēja pilnvarām, jo īpaši fizisku personu sūdzību gadījumos un neskarot kriminālvajāšanas iestāžu pilnvaras saskaņā ar dalībvalsts tiesību aktiem, lai pievērstu tiesu iestāžu uzmanību šīs regulas pārkāpumiem un iesaistītos tiesvedībā. [..]”
4 VDAR I nodaļā “Vispārīgi noteikumi” ir ietverts tās 1.–4. pants.
5 Šīs regulas 1. pants “Priekšmets un mērķi” noteic:
“1. Šī regula paredz noteikumus fizisku personu aizsardzībai attiecībā uz personas datu apstrādi un noteikumus personas datu brīvai apritei.
2. Šī regula aizsargā fizisku personu pamattiesības un pamatbrīvības un jo īpaši to tiesības uz personas datu aizsardzību.
[..]”
6 Minētās regulas 4. panta “Definīcijas” 2., 7. un 21. punkts noteic:
“Šajā regulā:
[..]
2) “apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;
[..]
7) “pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja šādas apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesību aktiem, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesību aktos;
[..]
21) “uzraudzības iestāde” ir neatkarīga publiska iestāde, ko dalībvalsts izveidojusi, ievērojot 51. pantu;
[..].”
7 VDAR II nodaļa “Principi” citastarp ietver arī tās 5. pantu “Personas datu apstrādes principi”, kas noteic:
“1. Personas dati:
a) tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”);
b) tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā; [..] (“nolūka ierobežojumi”);
c) ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos (“datu minimizēšana”);
[..]
2. Pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt (“pārskatatbildība”).”
8 VDAR III nodaļā “Datu subjekta tiesības” ietvertā 17. panta “Tiesības uz dzēšanu (“tiesības tikt aizmirstam”)” 1. punkts noteic:
“Datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, un pārziņa pienākums ir bez nepamatotas kavēšanās dzēst personas datus, ja pastāv viens no šādiem nosacījumiem:
a) personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie tika vākti vai citādi apstrādāti;
b) datu subjekts atsauc savu piekrišanu, uz kuras pamata veikta apstrāde saskaņā ar 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu, un ja nav cita likumīga pamata apstrādei;
c) datu subjekts iebilst pret apstrādi saskaņā ar 21. panta 1. punktu, un apstrādei nav nekāda svarīgāka leģitīma pamata, vai arī datu subjekts iebilst pret apstrādi saskaņā ar 21. panta 2. punktu;
d) personas dati ir apstrādāti nelikumīgi;
[..].”
9 VDAR VI nodaļā “Neatkarīgas uzraudzības iestādes” ir ietverts tās 51.–59. pants.
10 Šīs regulas 51. panta “Uzraudzības iestāde” 1. un 2. punkts noteic:
“1. Katra dalībvalsts paredz, ka viena vai vairākas neatkarīgas publiskas iestādes ir atbildīgas par šīs regulas piemērošanas uzraudzību, lai aizsargātu fizisku personu pamattiesības un pamatbrīvības saistībā ar apstrādi un veicinātu personas datu brīvu apriti Savienībā [..]
2. Katra uzraudzības iestāde palīdz nodrošināt šīs regulas konsekventu piemērošanu visā Savienībā. Minētajā nolūkā uzraudzības iestādes sadarbojas cita ar citu un ar [Eiropas] Komisiju saskaņā ar VII nodaļu.”
11 Minētās regulas 57. panta “Uzdevumi” 1. punkts ir formulēts šādi:
“1. Neskarot citus uzdevumus, kas noteikti ar šo regulu, ikviena uzraudzības iestāde savā teritorijā:
a) uzrauga un īsteno šīs regulas piemērošanu;
[..]
h) veic izmeklēšanu par šīs regulas piemērošanu, tostarp, pamatojoties uz informāciju, kas saņemta no citas uzraudzības iestādes vai citas publiskās iestādes;
[..].”
12 Šīs pašas regulas 58. panta “Pilnvaras” 2. punkts noteic:
“Katrai uzraudzības iestādei ir visas šādas korektīvās pilnvaras:
[..]
c) izdot rīkojumu pārzinim vai apstrādātājam izpildīt datu subjekta pieprasījumu īstenot viņam saskaņā ar šo regulu piešķirtās tiesības;
d) izdot rīkojumu pārzinim vai apstrādātājam saskaņot apstrādes darbības ar šīs regulas noteikumiem, vajadzības gadījumā – konkrētā veidā un konkrētā laikposmā;
[..]
g) izdot rīkojumu par personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu, ievērojot 16., 17. un 18. pantu, un par šādām darbībām informēt saņēmējus, kuriem personas dati ir izpausti, ievērojot 17. panta 2. punktu un 19. pantu;
[..]
i) piemērot administratīvu naudas sodu saskaņā ar 83. pantu, papildinot vai aizstājot šajā punktā minētos pasākumus atkarībā no katras konkrētās lietas apstākļiem;
[..].”
Pamatlieta un prejudiciālie jautājumi
13 2020. gada februārī Ujpeštas administrācija nolēma sniegt finansiālu atbalstu iedzīvotājiem, kuri ir piederīgi to personu kategorijai, kuras Covid‑19 pandēmija padarījusi neaizsargātākas, un kuri atbilst noteiktiem atbilstības nosacījumiem.
14 Tālab tā vērsās pie Magyar Államkincstár (Ungārijas Valsts kase) un Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (Valdības pārstāvniecība Galvaspilsētas Budapeštas IV rajonā, Ungārija; turpmāk tekstā – “Valdības pārstāvniecība”), lai iegūtu šo atbilstības nosacījumu pārbaudei vajadzīgos personas datus. Šie dati ietvēra arī fizisko personu identifikācijas pamatdatus un sociālās apdrošināšanas numurus. Ungārijas Valsts kase un Valdības pārstāvniecība izpauda pieprasītos datus.
15 Finansiālā atbalsta izmaksāšanas nolūkā Ujpeštas administrācija pieņēma az Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet (Pašvaldības dekrēts Nr. 16/2020. (IV. 30.) par programmas “Újpest+ Megbecsülés” ieviešanu), kurš tika grozīts un papildināts ar 30/2020. (VII. 15.) önkormányzati rendelet (Pašvaldības dekrēts Nr. 30/2020. (VII. 15.)). Šajos dekrētos bija ietverti kritēriji šādi ieviestā atbalsta saņemšanas tiesību iegūšanai. Ujpeštas administrācija apkopoja iegūtos datus tās atbalsta programmas īstenošanai izveidotā datubāzē un katram datu kopumam piešķīra unikālu identifikatoru un svītrkodu.
16 Ungārijas uzraudzības iestāde, kurai tika ziņots par minētās atbalsta programmas vajadzībām veikto personas datu apstrādi, pēc savas ierosmes 2020. gada 2. septembrī sāka to izmeklēt. 2021. gada 22. aprīļa lēmumā šī iestāde konstatēja, ka Ujpeštas administrācija bija pārkāpusi vairākus VDAR 5. un 14. panta noteikumus, kā arī šīs regulas 12. panta 1. punktu. Tā tostarp norādīja, ka Ujpeštas administrācija nebija mēneša laikā informējusi datu subjektus par šīs programmas vajadzībām apstrādāto viņu personas datu kategorijām, par attiecīgās datu apstrādes nolūku un par to, kā šie subjekti šajā ziņā var īstenot savas tiesības.
17 Ungārijas uzraudzības iestāde uzdeva Ujpeštas administrācijai saskaņā ar VDAR 58. panta 2. punkta d) apakšpunktu dzēst to datu subjektu personas datus, kuri – lai arī tiem saskaņā ar Valdības pārstāvniecības un Ungārijas Valsts kases sniegto informāciju būtu bijušas tiesības saņemt atbalstu – šo atbalstu nebija pieprasījuši. Tā uzskatīja, ka gan Ungārijas Valsts kase, gan Valdības pārstāvniecība bija pārkāpušas minēto subjektu personas datu apstrādes noteikumus. Tā arī piesprieda Ujpeštas administrācijai un Ungārijas Valsts kasei samaksāt naudas sodu par datu aizsardzības pārkāpumu.
18 Ar administratīvo prasību, kas celta Fővárosi Törvényszék (Galvaspilsētas Budapeštas tiesa, Ungārija) – kas ir iesniedzējtiesa –, Ujpeštas administrācija apstrīd Ungārijas uzraudzības iestādes lēmumu, apgalvojot, ka šī iestāde neesot tiesīga uzdot dzēst personas datus saskaņā ar VDAR 58. panta 2. punkta d) apakšpunktu, ja par to nav saņemts datu subjekta pieprasījums šīs regulas 17. panta izpratnē. Šajā ziņā tā atsaucas uz Kúria (Augstākā tiesa, Ungārija) spriedumu Kfv.II.37.001/2021/6, kurā – atstājot iesniedzējtiesas spriedumu negrozītu – esot nospriests, ka Ungārijas uzraudzības iestādei nav šādu tiesību. Prasītāja pamatlietā uzskata, ka minētās regulas 17. pantā noteiktās tiesības uz dzēšanu ir paredzētas tikai un vienīgi kā datu subjekta tiesības.
19 Izskatījusi Ungārijas uzraudzības iestādes iesniegto konstitucionālo sūdzību, Alkotmánybíróság (Konstitucionālā tiesa, Ungārija) atcēla iepriekš minēto Kúria (Augstākā tiesa) spriedumu, nospriežot, ka šī iestāde ir tiesīga pēc savas ierosmes uzdot dzēst nelikumīgi apstrādātos personas datus arī tad, ja nav saņemts datu subjekta pieprasījums. Alkotmánybíróság (Konstitucionālā tiesa) šajā ziņā balstījās uz Eiropas Datu aizsardzības kolēģijas Atzinumu Nr. 39/2021, saskaņā ar kuru VDAR 17. pants paredz divas atšķirīgas hipotēzes, kad veicama dzēšana, proti, tad, kad tā jāveic pēc datu subjekta pieprasījuma, un tad, kad to darīt ir pārziņa patstāvīgs pienākums, un tādējādi VDAR 58. panta 2. punkta g) apakšpunkts esot jāuzskata par derīgu juridisko pamatu nelikumīgi apstrādātu personas datu dzēšanai pēc savas ierosmes.
20 Pēc iepriekšējā punktā minētā Alkotmánybíróság (Konstitucionālā tiesa) nolēmuma iesniedzējtiesai joprojām ir šaubas par VDAR 17. panta un 58. panta 2. punkta interpretāciju. Tā uzskata, ka tiesības uz personas datu dzēšanu VDAR 17. panta 1. punktā ir noteiktas kā datu subjekta tiesības un ka šajā tiesību normā nav paredzētas divas atšķirīgas hipotēzes, kad veicama dzēšana.
21 Šī tiesa piebilst, ka datu subjekts var būt ieinteresēts tajā, lai viņa personas dati tiktu apstrādāti pat tad, ja valsts uzraudzības iestāde šīs apstrādes nelikumīguma dēļ uzdod pārzinim dzēst minētos datus. Šādā gadījumā šī iestāde minētā subjekta tiesības īstenotu pret viņa gribu.
22 Tādējādi iesniedzējtiesa vēlas noskaidrot, vai – neatkarīgi no tā, vai datu subjekts īsteno savas tiesības – valsts uzraudzības iestāde var prasīt pārzinim vai apstrādātājam dzēst nelikumīgi apstrādātos personas datus, un – apstiprinošas atbildes gadījumā – ar kādu juridisko pamatu, it īpaši ņemot vērā to, ka VDAR 58. panta 2. punkta c) apakšpunkts skaidri paredz, ka šim datu subjektam jāiesniedz pieprasījums īstenot savas tiesības, un ka šīs regulas 58. panta 2. punkta d) apakšpunktā vispārīgi ir noteikts, ka apstrādes darbības ir jāpadara atbilstīgas minētās regulas normām, savukārt šīs pašas regulas 58. panta 2. punkta g) apakšpunktā ir tieša atsauce uz tās 17. pantu, kura piemērojamībai esot nepieciešams datu subjekta skaidri izteikts pieprasījums.
23 Gadījumā, ja valsts uzraudzības iestāde, neraugoties uz datu subjekta pieprasījuma neesamību, varētu uzdot pārzinim vai apstrādātājam dzēst nelikumīgi apstrādātos personas datus, iesniedzējtiesa vēlas noskaidrot, vai, veicot šo uzdošanu, var izdarīt nošķīrumu atkarībā no tā, vai personas dati ir iegūti vai nu no subjekta (ņemot vērā pārziņa pienākumu, kas ir minēts VDAR 13. panta 2. punkta b) apakšpunktā), vai arī no citas personas (saistībā ar pārziņa pienākumu saskaņā ar VDAR 14. panta 2. punkta c) apakšpunktu).
24 Šādos apstākļos Fővárosi Törvényszék (Galvaspilsētas Budapeštas tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:
“1) Vai [VDAR] 58. panta 2. punkts, konkrēti – tā c), d) un g) apakšpunkts, ir jāinterpretē tādējādi, ka valsts uzraudzības iestāde, īstenojot savas korektīvās pilnvaras, var uzdot pārzinim vai apstrādātājam dzēst nelikumīgi apstrādātos personas datus, pat ja datu subjekts to nav skaidri pieprasījis saskaņā ar [VDAR] 17. panta 1. punktu?
2) Gadījumā, ja uz pirmo jautājumu atbildams, ka uzraudzības iestāde var uzdot pārzinim vai apstrādātājam dzēst nelikumīgi apstrādātos personas datus pat tad, ja datu subjekts to nav pieprasījis, vai tas tā ir neatkarīgi no apstākļa, vai personas dati ir vai nav iegūti no datu subjekta?”
Par prejudiciālajiem jautājumiem
Par pirmo jautājumu
25 Ar pirmo jautājumu iesniedzējtiesa jautā, vai VDAR 58. panta 2. punkta c), d) un g) apakšpunkts ir jāinterpretē tādējādi, ka dalībvalsts uzraudzības iestāde ir tiesīga, īstenojot savas šajās tiesību normās paredzētās korektīvās pilnvaras, uzdot pārzinim vai apstrādātājam dzēst nelikumīgi apstrādātos personas datus pat tad, ja datu subjekts to nav pieprasījis, lai īstenotu savas tiesības saskaņā ar šīs regulas 17. panta 1. punktu.
26 Šis jautājums rodas saistībā ar strīdu par to, vai ir tiesisks Ungārijas uzraudzības iestādes lēmums, ar kuru Ujpeštas administrācijai ir uzdots saskaņā ar VDAR 58. panta 2. punkta d) apakšpunktu dzēst personas datus, kas nelikumīgi apstrādāti šā sprieduma 13.–15. punktā aprakstītās atbalsta programmas īstenošanas gaitā.
27 VDAR 17. panta 1. punkts noteic, ka datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, un pārziņa pienākums ir bez nepamatotas kavēšanās dzēst šos datus tostarp saskaņā ar šīs tiesību normas d) apakšpunktu tad, ja attiecīgie dati ir “apstrādāti nelikumīgi”.
28 Saskaņā ar VDAR 58. panta 2. punkta d) apakšpunktu uzraudzības iestāde var uzdot pārzinim vai apstrādātājam saskaņot apstrādes darbības ar šīs regulas noteikumiem, vajadzības gadījumā – konkrētā veidā un konkrētā laikposmā. Turklāt minētās regulas 58. panta 2. punkta g) apakšpunkts noteic, ka uzraudzības iestāde var uzdot personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu, ievērojot šīs regulas 16., 17. un 18. pantu, un par šādām darbībām informēt saņēmējus, kuriem personas dati ir izpausti, ievērojot šīs pašas regulas 17. panta 2. punktu un 19. pantu.
29 Šajā kontekstā iesniedzējtiesa vēlas noskaidrot, vai dalībvalsts uzraudzības iestāde ir tiesīga, īstenojot savas korektīvās pilnvaras, kas paredzētas, piemēram, VDAR 58. panta 2. punkta c), d) un g) apakšpunktā, pēc savas ierosmes, proti, bez attiecīga datu subjekta iepriekšēja pieprasījuma, uzdot pārzinim vai apstrādātājam dzēst nelikumīgi apstrādātos personas datus.
30 Pastāvīgās judikatūras atziņa ir tāda, ka, interpretējot Savienības tiesību normu, jāņem vērā ne tikai tās formulējums, bet arī tās konteksts un šo normu ietverošā tiesiskā regulējuma mērķi (spriedums, 2023. gada 13. jūlijs, G GmbH, C‑134/22, EU:C:2023:567, 25. punkts un tajā minētā judikatūra).
31 Ievadam jānorāda, ka lietā nozīmīgās Savienības tiesību normas, kas minētas šā sprieduma 27. un 28. punktā, ir jālasa kopsakarā ar VDAR 5. panta 1. punktu, kurā ir noteikti personas datu apstrādes principi, kuru vidū ir arī tā a) apakšpunktā izklāstītais princips, ka personas datiem jābūt apstrādātiem likumīgi, godprātīgi un datu subjektam pārredzamā veidā.
32 Šā 5. panta 2. punkts noteic, ka pārzinis saskaņā ar šajā tiesību normā izklāstīto “pārskatatbildības” principu ir atbildīgs par minētā 5. panta 1. punkta ievērošanu un tam jāspēj uzskatāmi parādīt, ka tas ievēro katru no tajā noteiktajiem principiem; tam arī ir pienākums to pierādīt (spriedums, 2023. gada 4. maijs, Bundesrepublik Deutschland (Tiesu elektroniskā pastkaste), C‑60/22, EU:C:2023:373, 53. punkts un tajā minētā judikatūra).
33 Situācijā, kad personas datu apstrāde neatbilst principiem, kas noteikti tostarp VDAR 5. pantā, dalībvalstu uzraudzības iestādes ir tiesīgas rīkoties atbilstoši to uzdevumiem un pilnvarām, ko noteic šīs regulas 57. un 58. pants. Šo uzdevumu vidū saskaņā ar tās 57. panta 1. punkta a) apakšpunktu ir arī konkrēti uzdevums kontrolēt minētās regulas piemērošanu un uzraudzīt tās ievērošanu (šajā nozīmē skat. spriedumu, 2020. gada 16. jūlijs, Facebook Ireland un Schrems, C‑311/18, EU:C:2020:559, 108. punkts).
34 Šajā ziņā Tiesa jau ir precizējusi, ka, ja valsts uzraudzības iestāde izmeklēšanas noslēgumā konstatē, ka datu subjektam netiek nodrošināts pienācīgs aizsardzības līmenis, tai neatkarīgi no konstatētā trūkuma izcelsmes vai rakstura saskaņā ar Savienības tiesībām ir atbilstoši jārīkojas, lai to novērstu. Tālab VDAR 58. panta 2. punktā ir uzskaitīti dažādi korektīvie pasākumi, ko uzraudzības iestāde var veikt. Šīs uzraudzības iestādes ziņā ir izvēlēties piemērotu līdzekli, lai ar visu pienācīgo rūpību izpildītu savu uzdevumu nodrošināt pilnīgu šīs regulas ievērošanu (šajā nozīmē skat. spriedumu, 2020. gada 16. jūlijs, Facebook Ireland un Schrems, C‑311/18, EU:C:2020:559, 111. un 112. punkts).
35 Konkrētāk par to, vai šādus korektīvos pasākumus attiecīgā uzraudzības iestāde var veikt pēc savas ierosmes, vispirms jānorāda, ka, ņemot vērā VDAR 58. panta 2. punkta formulējumu, šī norma veic nošķīrumu starp korektīvajiem pasākumiem, kas var tikt uzdoti pēc savas ierosmes, proti, šīs regulas 58. panta 2. punkta d) un g) apakšpunktā minētajiem pasākumiem, un tiem pasākumiem, kurus var veikt tikai pēc datu subjekta pieprasījuma īstenot viņam saskaņā ar šo regulu piešķirtās tiesības, kāds ir, piemēram, pasākums, kas minēts šīs regulas 58. panta 2. punkta c) apakšpunktā.
36 Proti, pirmkārt, no VDAR 58. panta 2. punkta c) apakšpunkta formulējuma skaidri izriet, ka, lai varētu veikt šajā tiesību normā paredzēto korektīvo pasākumu, proti, “izdot rīkojumu pārzinim vai apstrādātājam izpildīt datu subjekta pieprasījumu īstenot viņam saskaņā ar šo regulu piešķirtās tiesības”, ir vajadzīgs, lai datu subjekts iepriekš būtu aizstāvējis savas tiesības, iesniedzot attiecīgu pieprasījumu, un lai šis pieprasījums nebūtu ticis apmierināts, pirms uzraudzības iestāde ir pieņēmusi minētajā tiesību normā paredzēto lēmumu. Otrkārt, – atšķirībā no šīs tiesību normas – šīs regulas 58. panta 2. punkta d) un g) apakšpunkta formulējums neļauj uzskatīt, ka dalībvalsts uzraudzības iestādes rīkošanās, lai īstenotu tajā norādītos pasākumus, attiektos tikai uz gadījumiem, kad datu subjekts ir iesniedzis pieprasījumu to darīt, jo šajā formulējumā nav atsauces uz šādu pieprasījumu.
37 Turpinājumā, par šo tiesību normu kontekstu jānorāda, ka datu subjekta tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta datus, šīs regulas 17. panta 1. punkta formulējumā ar sakārtojuma saikli “un” tiek nodalītas no pārziņa pienākuma bez nepamatotas kavēšanās dzēst šos personas datus. No tā jāsecina, ka šajā tiesību normā ir reglamentētas divas savrupas hipotēzes, proti, situācija, kad dati ir dzēšami pēc datu subjekta pieprasījuma, un situācija, kad tie ir dzēšami pārziņa patstāvīga pienākuma dēļ neatkarīgi no jebkāda datu subjekta pieprasījuma.
38 Proti, kā norādījusi Eiropas Datu aizsardzības kolēģija savā Atzinumā Nr. 39/2021, šāda nošķiršana ir nepieciešama, ņemot vērā, ka daži no šajā 17. panta 1. punktā paredzētajiem gadījumiem ietver situācijas, kurās datu subjekts var arī nebūt informēts par to, ka tiek apstrādāti viņa personas dati, un tādējādi pārzinis ir vienīgais, kas var konstatēt šīs apstrādes esamību. Tas jo īpaši attiecas uz šīs regulas 17. panta 1. punkta d) apakšpunktā minēto situāciju, kad šie dati ir tikuši apstrādāti nelikumīgi.
39 Apstiprinājums šādas interpretācijas pareizībai ir rodams arī VDAR 5. panta 2. punktā, lasot to kopsakarā ar šā 5. panta 1. punkta a) apakšpunktu, saskaņā ar kuru pārzinim ir jānodrošina arī viņa veiktās datu apstrādes likumīgums (šajā nozīmē skat. spriedumu, 2023. gada 4. maijs, Bundesrepublik Deutschland (Tiesu elektroniskā pastkaste), C‑60/22, EU:C:2023:373, 54. punkts).
40 Visbeidzot šāda interpretācija ir arī saskanīga ar VDAR 58. panta 2. punkta mērķi, kas – kā izriet no šīs regulas 129. apsvēruma – ir ar valsts uzraudzības iestāžu iesaistīšanās palīdzību nodrošināt, ka personas datu apstrāde notiek atbilstīgi šai regulai, kā arī labot šīs regulas pārkāpumu situācijas, padarot tās par atbilstīgām Savienības tiesībām.
41 Šajā ziņā ir jāprecizē, ka, lai gan piemērota un nepieciešama līdzekļa izvēle ir valsts uzraudzības iestādes ziņā un tai šī izvēle ir jāizdara, ņemot vērā visus lietas apstākļus, šai iestādei tomēr ir ar visu pienācīgo rūpību jāpilda savs uzdevums nodrošināt, ka VDAR tiek pilnībā ievērota (šajā nozīmē skat. spriedumu, 2020. gada 16. jūlijs, Facebook Ireland un Schrems, C‑311/18, EU:C:2020:559, 112. punkts). Līdz ar to, lai nodrošinātu efektīvu VDAR piemērošanu, ir jo īpaši svarīgi, lai šai iestādei būtu efektīvas pilnvaras efektīvi rīkoties pret šīs regulas pārkāpumiem, konkrēti – šos pārkāpumus izbeigt, tostarp arī gadījumos, kad datu subjekti par savu personas datu apstrādi nav tikuši informēti vai nezina, vai jebkurā gadījumā nav pieprasījuši šos datus dzēst.
42 Šajos apstākļos jāuzskata, ka pilnvaras veikt kādus no VDAR 58. panta 2. punktā paredzētajiem korektīvajiem pasākumiem, tostarp tos, kas minēti šīs tiesību normas d) un g) apakšpunktā, dalībvalsts uzraudzības iestāde var īstenot pēc savas ierosmes, ciktāl šīs pilnvaras tai pēc savas ierosmes ir jāīsteno, lai tā varētu izpildīt savu uzdevumu. Līdz ar to, ja šī iestāde izmeklēšanas noslēgumā uzskata, ka attiecīgā apstrāde neatbilst šīs regulas prasībām, tai saskaņā ar Savienības tiesībām jāveic pienācīgi pasākumi, lai labotu konstatēto pārkāpumu, neatkarīgi no tā, vai datu subjekts iepriekš ir iesniedzis pieprasījumu īstenot savas tiesības saskaņā ar minētās regulas 17. panta 1. punktu.
43 Apstiprinājums šādas interpretācijas pareizībai ir rodams arī VDAR izvirzītajos mērķos, kas izriet konkrēti no tās 1. panta un 1. un 10. apsvēruma, kuros norādīts uz augsta līmeņa aizsardzību saistībā ar fizisko personu pamattiesībām uz savu personas datu aizsardzību, kas nostiprinātas Pamattiesību hartas 8. panta 1. punktā un LESD 16. panta 1. punktā (šajā nozīmē skat. spriedumus, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 207. punkts, kā arī 2022. gada 28. aprīlis, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 73. punkts).
44 Šā sprieduma 42. punktā izklāstītajai interpretācijai pretēja interpretācija, proti, ka šāda uzraudzības iestāde ir tiesīga rīkoties tikai pēc datu subjekta iesniegta pieprasījuma to darīt, apdraudētu šā sprieduma 40. un 43. punktā atgādināto mērķu sasniegšanu, it īpaši tādā situācijā kā pamatlietā aplūkotā, kurā nelikumīgi apstrādāto personas datu dzēšana varētu skart iespējami lielu skaitu personu, kuras nav izmantojušas savas tiesības uz dzēšanu saskaņā ar VDAR 17. panta 1. punktu.
45 Proti, kā rakstveida apsvērumos būtībā norāda Komisija, ja būtu vajadzīgs datu subjektu iepriekšējs pieprasījums VDAR 17. panta 1. punkta izpratnē, tas nozīmētu, ka pārzinis šāda pieprasījuma neesamības gadījumā varētu glabāt attiecīgos personas datus un turpināt tos nelikumīgi apstrādāt. Šāda interpretācija mazinātu šajā regulā paredzētās aizsardzības efektivitāti, jo tās rezultātā neaktīvām personām tiktu liegta aizsardzība, lai arī to personas dati ir tikuši apstrādāti nelikumīgi.
46 Ņemot vērā iepriekš izklāstītos apsvērumus, uz pirmo jautājumu ir atbildams, ka VDAR 58. panta 2. punkta d) un g) apakšpunkts ir jāinterpretē tādējādi, ka dalībvalsts uzraudzības iestāde ir tiesīga, īstenojot savas šajās tiesību normās paredzētās korektīvās pilnvaras, uzdot pārzinim vai apstrādātājam dzēst nelikumīgi apstrādātos personas datus pat tad, ja datu subjekts to nav pieprasījis, lai īstenotu savas tiesības saskaņā ar šīs regulas 17. panta 1. punktu.
Par otro jautājumu
47 Ar otro jautājumu iesniedzējtiesa būtībā vaicā, vai VDAR 58. panta 2. punkts ir jāinterpretē tādējādi, ka dalībvalsts uzraudzības iestādes pilnvaras uzdot dzēst nelikumīgi apstrādātos personas datus var attiekties gan uz datiem, kas iegūti no datu subjekta, gan uz datiem, kas iegūti no cita avota.
48 Šajā ziņā vispirms jānorāda, ka šā sprieduma iepriekšējā punktā minēto tiesību normu formulējumā nekas neliecina, ka uzraudzības iestādes pilnvaras veikt šajās normās uzskaitītos korektīvos pasākumus būtu atkarīgas no attiecīgo datu izcelsmes, tostarp no apstākļa, ka tie ir iegūti no datu subjekta.
49 Arī VDAR 17. panta 1. punkta formulējums, kurā – kā redzams šā sprieduma 37. punktā – pārzinim ir noteikts patstāvīgs pienākums dzēst nelikumīgi apstrādātos personas datus, neietver nevienu prasību par ievākto datu izcelsmi.
50 Turklāt, kā izriet no šā sprieduma 41. un 42. punkta, lai nodrošinātu VDAR efektīvu un konsekventu piemērošanu, valsts uzraudzības iestādei ir jābūt efektīvām pilnvarām efektīvi rīkoties pret šīs regulas pārkāpumiem. Līdz ar to pilnvaras veikt korektīvos pasākumus, kas noteiktas VDAR 58. panta 2. punkta d) un g) apakšpunktā, nevar būt atkarīgas no attiecīgo datu izcelsmes un it īpaši no apstākļa, ka tie ir iegūti no datu subjekta.
51 Līdz ar to jāuzskata – gluži tāpat, kā to dara visas rakstveida apsvērumus iesniegušās valdības un Komisija –, ka korektīvo pasākumu veikšanas pilnvaru īstenošana VDAR 58. panta 2. punkta d) un g) apakšpunkta izpratnē nevar būt atkarīga no tā, vai attiecīgie personas dati ir vai nav tikuši iegūti tieši no datu subjekta.
52 Apstiprinājums šādas interpretācijas pareizībai ir rodams arī šā sprieduma 40. un 43. punktā atgādinātajos VDAR, it īpaši tās 58. panta 2. punkta, mērķos.
53 Ņemot vērā iepriekš izklāstītos apsvērumus, uz otro jautājumu ir atbildams, ka VDAR 58. panta 2. punkts ir jāinterpretē tādējādi, ka dalībvalsts uzraudzības iestādes pilnvaras uzdot dzēst nelikumīgi apstrādātos personas datus var attiekties gan uz datiem, kas iegūti no datu subjekta, gan uz datiem, kas iegūti no cita avota.
Par tiesāšanās izdevumiem
54 Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.
Ar šādu pamatojumu Tiesa (piektā palāta) nospriež:
1) Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 58. panta 2. punkta d) un g) apakšpunkts
ir jāinterpretē tādējādi, ka
dalībvalsts uzraudzības iestāde ir tiesīga, īstenojot savas šajās tiesību normās paredzētās korektīvās pilnvaras, uzdot pārzinim vai apstrādātājam dzēst nelikumīgi apstrādātos personas datus pat tad, ja datu subjekts to nav pieprasījis, lai īstenotu savas tiesības saskaņā ar šīs regulas 17. panta 1. punktu.
2) Regulas 2016/679 58. panta 2. punkts
ir jāinterpretē tādējādi, ka
dalībvalsts uzraudzības iestādes pilnvaras uzdot dzēst nelikumīgi apstrādātos personas datus var attiekties gan uz datiem, kas iegūti no datu subjekta, gan uz datiem, kas iegūti no cita avota.
[Paraksti]