WYROK TRYBUNAŁU (piąta izba)
z dnia 14 marca 2024 r.(*)
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 58 ust. 2 lit. d) i g) – Uprawnienia organu nadzorczego państwa członkowskiego – Artykuł 17 ust. 1 – Prawo do usunięcia danych („prawo do bycia zapomnianym”) – Usunięcie danych osobowych przetwarzanych niezgodnie z prawem – Uprawnienie krajowego organu nadzorczego do nakazania administratorowi lub podmiotowi przetwarzającemu usunięcia tych danych bez uprzedniego żądania osoby, której dane dotyczą
W sprawie C‑46/23
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Fővárosi Törvényszék (sąd dla miasta stołecznego Budapeszt, Węgry) postanowieniem z dnia 8 grudnia 2022 r., które wpłynęło do Trybunału w dniu 31 stycznia 2023 r., w postępowaniu:
Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala
przeciwko
Nemzeti Adatvedélmi és Informaciószabadság Hatóság,
TRYBUNAŁ (piąta izba),
w składzie: E. Regan, prezes izby, Z. Csehi, M. Ilešič (sprawozdawca), I. Jarukaitis i D. Gratsias, sędziowie,
rzecznik generalny: L. Medina,
sekretarz: A. Calot Escobar,
uwzględniając pisemny etap postępowania,
rozważywszy uwagi, które przedstawili:
– w imieniu Nemzeti Adatvédelmi és Információszabadság Hatóság – G.J. Dudás, ügyvéd,
– w imieniu rządu węgierskiego – Zs. Biró-Tóth i M.Z. Fehér, w charakterze pełnomocników,
– w imieniu rządu hiszpańskiego – A. Ballesteros Panizo, w charakterze pełnomocnika,
– w imieniu rządu austriackiego – A. Posch, J. Schmoll i C. Gabauer, w charakterze pełnomocników,
– w imieniu rządu polskiego – B. Majczyna, w charakterze pełnomocnika,
– w imieniu rządu portugalskiego – P. Barros da Costa, J. Ramos i C. Vieira Guerra, w charakterze pełnomocników,
– w imieniu Komisji Europejskiej – A. Bouchagiar, C. Kovács i H. Kranenborg, w charakterze pełnomocników,
podjąwszy, po wysłuchaniu rzecznik generalnej, decyzję o rozstrzygnięciu sprawy bez opinii,
wydaje następujący
Wyrok
1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 5, art. 58 ust. 1 lit. d) i art. 18 ust. 1 lit. b) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2018, L 127, s. 2) (zwanego dalej „RODO”).
2 Wniosek ten został złożony w ramach sporu pomiędzy Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (urzędem miasta Újpest – czwartego okręgu wchodzącego w skład miasta stołecznego Budapeszt, Węgry) (zwanym dalej „administracją Újpestu”) a Nemzeti Adatvédelmi és Információszabadság Hatóság (krajowym organem ochrony danych i wolności informacji, Węgry) (zwanym dalej „węgierskim organem nadzorczym”) w przedmiocie decyzji, na mocy której organ ten nakazał administracji Újpestu usunięcie danych osobowych, które były przedmiotem niezgodnego z prawem przetwarzania.
Ramy prawne
3 Motywy 1, 10 i 129 RODO mają następujące brzmienie:
„(1) Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art[ykuł] 8 ust. 1 Karty praw podstawowych Unii Europejskiej […] oraz art. 16 ust. 1 [TFUE] stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.
[…]
(10) Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii [Europejskiej], należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. […]
[…]
(129) Aby zapewnić spójne monitorowanie i egzekwowanie niniejszego rozporządzenia w całej Unii, organy nadzorcze powinny mieć w każdym państwie członkowskim te same zadania i faktyczne uprawnienia, w tym uprawnienia do prowadzenia postępowań wyjaśniających, naprawcze, uprawnienia do nakładania kar oraz do udzielania zezwoleń i doradcze, w szczególności w przypadku skarg osób fizycznych, i – bez uszczerbku dla uprawnień organów prokuratorskich na mocy prawa państwa członkowskiego – uprawnienia do zgłaszania naruszeń niniejszego rozporządzenia organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym. […]”.
4 Rozdział I RODO, zatytułowany „Przepisy ogólne”, zawiera art. 1–4 tego rozporządzenia.
5 Zgodnie z art. 1 tego rozporządzenia, zatytułowanym „Przedmiot i cele”:
„1. W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.
2. Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.
[…]”.
6 Artykuł 4 wspomnianego rozporządzenia, zatytułowany „Definicje”, przewiduje w pkt 2, 7 i 21:
„Na użytek niniejszego rozporządzenia:
[…]
2) »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
[…]
7) »administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
[…]
21) »organ nadzorczy« oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51;
[…]”.
7 Rozdział II RODO, zatytułowany „Zasady”, zawiera między innymi art. 5 tego rozporządzenia, zatytułowany „Zasady przetwarzania danych osobowych”, który stanowi:
„1. Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; […] (»ograniczenie celu«);
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (»minimalizacja danych«);
[…]
2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.
8 Zawarty w rozdziale III RODO, zatytułowanym „Prawa osoby, której dane dotyczą”, art. 17, zatytułowany „Prawo do usunięcia danych (»prawo do bycia zapomnianym«)”, stanowi w ust. 1:
„Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
[…]”.
9 Rozdział VI RODO, zatytułowany „Prawa osoby, której dane dotyczą”, zawiera art. 51-59 tego rozporządzenia.
10 Artykuł 51 tego rozporządzenia, zatytułowany „Organ nadzorczy”, przewiduje w ust. 1 i 2:
„1. Każde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii […].
2. Każdy organ nadzorczy przyczynia się do spójnego stosowania niniejszego rozporządzenia w całej Unii. W tym celu organy nadzorcze współpracują ze sobą i z Komisją zgodnie z rozdziałem VII”.
11 Artykuł 57 wspomnianego rozporządzenia, zatytułowany „Zadania”, stanowi w ust. 1:
„1. Bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium:
a) monitoruje i egzekwuje stosowanie niniejszego rozporządzenia;
[…]
h) prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego;
[…]”.
12 Artykuł 58 RODO, zatytułowany „Uprawnienia”, stanowi w ust. 2:
„Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:
[…]
c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;
d) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;
[…]
g) nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
[…]
i) zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy;
[…]”.
Postępowanie główne i pytania prejudycjalne
13 W lutym 2020 r. administracja Újpestu podjęła decyzję o udzieleniu pomocy finansowej mieszkańcom, którzy należeli do kategorii osób szczególnie narażonych na skutki pandemii COVID-19 i którzy spełniali pewne warunki kwalifikowalności.
14 W tym celu zwróciła się ona do Magyar Államkincstár (węgierskiego skarbu państwa) i do Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (organu czwartego okręgu, wchodzącego w skład miasta stołecznego Budapeszt, Węgry) (zwanego dalej „organem municypalnym”) w celu uzyskania danych osobowych niezbędnych do sprawdzenia wspomnianych warunków kwalifikowalności. Dane te obejmowały w szczególności podstawowe dane identyfikacyjne i numery zabezpieczenia społecznego osób fizycznych. Węgierski skarb państwa i organ municypalny przekazały wymagane dane.
15 W celu wypłaty pomocy finansowej administracja Újpestu przyjęła az Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet [uchwałę rady miasta nr 16/2020. (IV. 30.), dotyczącą wprowadzenia programu Újpest+ Megbecsülés], która została zmieniona i uzupełniona przez 30/2020. (VII. 15.) önkormányzati rendelet [uchwałę rady miasta nr 30/2020. (VII. 15.)]. Uchwały ustalały kryteria kwalifikowalności do objęcia pomocą. Administracja Újpestu zgromadziła uzyskane dane w bazie danych stworzonej w celu realizacji programu pomocy i stworzyła specjalny identyfikator i kod kreskowy dla każdego zbioru danych.
16 W dniu 2 września 2020 r. węgierski organ nadzorczy, zawiadomiony w drodze zgłoszenia, wszczął z urzędu postępowanie dotyczące przetwarzania danych osobowych, będącego podstawą wyżej wymienionego programu pomocy. W decyzji z dnia 22 kwietnia 2021 r. organ ten stwierdził, że administracja Újpestu naruszyła wiele przepisów art. 5 i 14 RODO, a także art. 12 ust. 1 tego rozporządzenia. Organ ten w szczególności stwierdził, że administracja Újpestu nie poinformowała osób, których dane dotyczą, w terminie jednego miesiąca, o kategoriach danych osobowych przetwarzanych w ramach tego programu, celach przedmiotowego przetwarzania oraz środkach, za pomocą których mogą wykonywać swoje prawa w tym zakresie.
17 Węgierski organ nadzorczy nakazał administracji Újpestu, na podstawie art. 58 ust. 2 lit. d) RODO, usunięcie danych osobowych tych osób, których dane dotyczą, które na podstawie informacji przekazanych przez organ municypalny i węgierski skarb państwa były uprawnione do otrzymania pomocy, ale o nią nie wystąpiły. Organ nadzorczy uznał, że zarówno węgierski skarb państwa, jak i organ municypalny naruszyły przepisy dotyczące przetwarzania danych osobowych tych osób. Z tego tytułu nałożył również na administrację Újpestu i węgierski skarb państwa karę pieniężną.
18 W drodze skargi złożonej w sądowym postępowaniu administracyjnym do Fővárosi Törvényszék (sądu dla miasta stołecznego Budapeszt, Węgry), który jest sądem odsyłającym, administracja Újpestu kwestionuje decyzję węgierskiego organu nadzorczego, podnosząc, że organ ten nie jest uprawniony do nakazania usunięcia danych osobowych na podstawie art. 58 ust. 2 lit. d) RODO wobec braku żądania wyrażonego przez osobę, której dane dotyczą, w rozumieniu art. 17 tego rozporządzenia. W tym względzie opiera się on na wyroku Kfv.II.37.001/2021/6. Kúria (sądu najwyższego, Węgry), w którym sąd ten orzekł, że węgierskiemu organowi nadzorczemu nie przysługuje takie uprawnienie, potwierdzając tym samym wyrok sądu odsyłającego. Zdaniem strony skarżącej w postępowaniu głównym przewidziane w art. 17 wspomnianego rozporządzenia prawo do usunięcia danych jest ukształtowane wyłącznie jako prawo osoby, której dane dotyczą.
19 W następstwie skargi konstytucyjnej wniesionej przez węgierski organ nadzorczy Alkotmánybíróság (trybunał konstytucyjny, Węgry) uchylił wspomniany wyżej wyrok Kúria (sądu najwyższego), orzekając, że organ nadzorczy ma prawo nakazać z urzędu usunięcie danych osobowych, które były przedmiotem niezgodnego z prawem przetwarzania, w tym w sytuacji braku żądania wyrażonego przez osobę, której dane dotyczą. Podstawą orzeczenia Alkotmánybíróság (trybunału konstytucyjnego) była w tym względzie opinia Europejskiej Rady Ochrony Danych nr 39/2021, zgodnie z którą art. 17 RODO formułuje dwie odrębne hipotezy usunięcia danych, z których jedna dotyczy usunięcia danych na żądanie osoby, której dane dotyczą, a druga to autonomiczny obowiązek administratora, wobec czego art. 58 ust. 2 lit. g) RODO należy uznać za ważną podstawę prawną usunięcia z urzędu danych osobowych przetwarzanych niezgodnie z prawem.
20 W następstwie orzeczenia Alkotmánybíróság (trybunału konstytucyjnego), do którego odnosi się punkt poprzedni, sąd odsyłający ma nadal wątpliwości co do wykładni art. 17 i art. 58 ust. 2 RODO. W ocenie tego sądu uprawnienie do usunięcia danych osobowych zostało zdefiniowane w art. 17 ust. 1 RODO jako prawo osoby, której dane dotyczą, oraz że wywiedziona z tego przepisu norma nie formułuje dwóch odrębnych hipotez dla zastosowania dyspozycji usunięcia danych.
21 Sąd ten dodaje, że dana osoba może mieć interes w tym, aby dotyczące jej dane osobowe przetwarzano, również wtedy, gdy krajowy organ nadzorczy nakazuje administratorowi ich usunięcie ze względu na bezprawność przetwarzania. W takim przypadku organ ten wykonywałby prawo danej osoby wbrew jej woli.
22 Sąd odsyłający zmierza zatem do ustalenia, czy niezależnie od wykonywania praw przez osobę, której dane dotyczą, krajowy organ nadzorczy może wymagać od administratora lub podmiotu przetwarzającego usunięcia danych osobowych przetwarzanych niezgodnie z prawem, a w przypadku odpowiedzi twierdzącej, na jakiej podstawie prawnej – biorąc w szczególności pod uwagę okoliczność, że art. 58 ust. 2 lit. c) RODO wyraźnie stanowi o żądaniu wyrażonym przez tę osobę w celu wykonania jej praw, a art. 58 ust. 2 lit. d) tego rozporządzenia przewiduje ogólnie dostosowanie operacji przetwarzania do przepisów tego rozporządzenia, podczas gdy art. 58 ust. 2 lit. g) tego rozporządzenia odnosi się bezpośrednio do jego art. 17, którego zastosowanie wymagałoby wyraźnego żądania osoby, której dane dotyczą.
23 Jeżeli organ nadzorczy mimo braku żądania ze strony osoby, której dane dotyczą, może nakazać administratorowi lub podmiotowi przetwarzającemu usunięcie danych osobowych przetwarzanych niezgodnie z prawem, sąd odsyłający zastanawia się, czy w dniu wydania nakazu usunięcia danych można dokonać rozróżnienia w zależności od tego, czy dane osobowe uzyskano od osoby, której dane dotyczą, przy uwzględnieniu obowiązku administratora, przewidzianego w art. 13 ust. 2 lit. b) RODO, czy uzyskano je od innej osoby z uwagi na obowiązek przewidziany w art. 14 ust. 2 lit. c) tego rozporządzenia.
24 W tych okolicznościach Fővárosi Törvényszék (sąd dla miasta stołecznego Budapeszt) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1) Czy art. 58 ust. 2, w szczególności lit. c), d) i g), [RODO] należy interpretować w ten sposób, że krajowy organ nadzorczy, wykonując swoje uprawnienia naprawcze, może nakazać administratorowi lub podmiotowi przetwarzającemu usunięcie danych osobowych przetwarzanych niezgodnie z prawem nawet bez wyraźnego żądania osoby, której dane dotyczą, na podstawie art. 17 ust. 1 [RODO]?
2) W przypadku udzielenia na pytanie pierwsze odpowiedzi, że organ nadzorczy może nakazać administratorowi lub podmiotowi przetwarzającemu usunięcie danych osobowych przetwarzanych niezgodnie z prawem nawet bez żądania osoby, której dane dotyczą, czy może on tego dokonać niezależnie od tego, czy dane osobowe zostały uzyskane od osoby, której dane dotyczą, czy też nie zostały od niej uzyskane?”.
W przedmiocie pytań prejudycjalnych
W przedmiocie pytania pierwszego
25 Poprzez pytanie pierwsze sąd odsyłający dąży do ustalenia, czy art. 58 ust. 2 lit. c), d) i g) RODO należy interpretować w ten sposób, że organ nadzorczy państwa członkowskiego jest uprawniony, w ramach wykonywania swoich uprawnień naprawczych przewidzianych w tych przepisach, do nakazania administratorowi lub podmiotowi przetwarzającemu usunięcia danych osobowych przetwarzanych niezgodnie z prawem, i to nawet wówczas gdy osoba, której dane dotyczą, nie wyraziła w tym względzie jakiegokolwiek żądania w celu wykonania praw przysługujących jej na podstawie art. 17 ust. 1 tego rozporządzania.
26 Pytanie to wpisuje się w kontekst sporu dotyczącego zgodności z prawem decyzji węgierskiego organu nadzorczego nakazującej administracji Újpestu, na podstawie art. 58 ust. 2 lit. d) RODO, usunięcie danych osobowych przetwarzanych niezgodnie z prawem w ramach programu wsparcia opisanego w pkt 13–15 niniejszego wyroku.
27 Zgodnie z art. 17 ust. 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, zwłaszcza na postawie art. 17 ust. 1 lit. d), jeżeli dane te przetwarzano „niezgodnie z prawem”.
28 Zgodnie z brzmieniem art. 58 ust. 2 lit. d) RODO organ nadzorczy może nakazać administratorowi lub podmiotowi przetwarzającemu dostosowanie operacji przetwarzania do przepisów tego rozporządzenia, a w stosownych przypadkach wskazać sposób dostosowania i jego termin. Ponadto art. 58 ust. 2 lit. g) tego rozporządzenia przewiduje, że organ nadzorczy jest uprawniony na mocy jego art. 16, 17 i 18 nakazać sprostowanie lub usunięcie danych osobowych, lub ograniczenie ich przetwarzania oraz nakazać na mocy art. 17 ust. 2 i art. 19 powiadomienie o tych czynnościach odbiorców, których dane osobowe zostały ujawnione.
29 W tym kontekście sąd odsyłający rozważa, czy organ nadzorczy państwa członkowskiego jest uprawniony, w ramach wykonywania przysługującego mu uprawnienia do przyjęcia środków naprawczych, takich jak przewidziane w art. 58 ust. 2 lit. c), d) i g) RODO, do nakazania z urzędu – czyli w braku uprzedniego żądania osoby, której dane dotyczą – administratorowi lub podmiotowi przetwarzającemu usunięcia danych osobowych, przetwarzanych niezgodnie z prawem.
30 Aby udzielić odpowiedzi na to pytanie, trzeba najpierw przypomnieć, że zgodnie z utrwalonym orzecznictwem do celów dokonywania wykładni przepisu prawa Unii należy uwzględniać nie tylko jego brzmienie, ale także kontekst, w jaki się on wpisuje, oraz cele regulacji, której część stanowi (wyrok z dnia 13 lipca 2023 r., G GmbH, C‑134/22, EU:C:2023:567 pkt 25 i przytoczone tam orzecznictwo).
31 Na wstępie należy zauważyć, że właściwe przepisy prawa Unii, które zostały przywołane w pkt 27 i 28 niniejszego wyroku, należy interpretować w związku z art. 5 ust. 1 RODO, ustanawiającym zasady dotyczące przetwarzania danych osobowych, pośród których znajduje się w szczególności przewidziana w art. 5 ust. 1 lit. a) zasada stanowiąca, że dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
32 Na mocy art. 5 ust. 2 tego rozporządzenia administrator danych, zgodnie z zasadą „rozliczalności” ustanowioną w tym przepisie, jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać przestrzeganie każdej z zasad ustanowionych w art. 5 ust. 1, przy czym ciężar dowodu takiego przestrzegania spoczywa na nim [wyrok z dnia 4 maja 2023 r., Bundesrepublik Deutschland (Skrzynka doręczeń elektronicznych w sprawach sądowych), C‑60/22, EU:C:2023:373, pkt 53 i przytoczone tam orzecznictwo].
33 Jeżeli przetwarzanie danych osobowych nie jest zgodne z zasadami przewidzianymi przede wszystkim w art. 5 RODO, organy nadzorcze państw członkowskich są uprawnione do interweniowania zgodnie ze swoimi zadaniami i uprawnieniami określonymi w art. 57 i 58 tego rozporządzenia. Wśród nich znajduje się w szczególności zadanie polegające na monitorowaniu [stosowania] i egzekwowaniu [przestrzegania] tego rozporządzenia zgodnie z jego art. 57 ust. 1 lit. a) (zob. podobnie wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, pkt 108).
34 W tym względzie Trybunał wyjaśnił już, że jeżeli krajowy organ nadzorczy po zakończeniu postępowania uzna, że osoba, której dane dotyczą, nie korzysta z odpowiedniego stopnia ochrony, ma na podstawie prawa Unii obowiązek zareagować w sposób odpowiedni, aby zaradzić stwierdzonemu brakowi ochrony, niezależnie od jego przyczyny lub charakteru. W tym względzie art. 58 ust. 2 RODO wymienia różnego rodzaju uprawnienia naprawcze, które może zrealizować organ nadzorczy. Do tego organu nadzorczego należy wybór odpowiedniego działania, aby z należytą starannością wywiązać się z powierzonego mu zadania polegającego na egzekwowaniu pełnego przestrzegania tego rozporządzenia (zob. podobnie wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, pkt 111, 112).
35 Co się tyczy w szczególności wątpliwości, czy dany organ nadzorczy może przyjąć takie środki naprawcze z urzędu, należy przede wszystkim wskazać, że w świetle brzmienia art. 58 ust. 2 RODO przepis ten dokonuje rozróżnienia między uprawnieniami naprawczymi, które mogą zostać nakazane z urzędu, w szczególności tymi przewidzianymi w art. 58 ust. 2 lit. d) i g), a środkami, które mogą zostać przyjęte wyłącznie na żądanie osoby, której dane dotyczą, w celu wykonania jej praw wynikających z tego rozporządzenia, o których stanowi jego art. 58 ust. 2 lit. c).
36 Po pierwsze bowiem, z brzmienia art. 58 ust. 2 lit. c) RODO wyraźnie wynika, że przyjęcie środka naprawczego, do którego odnosi się ten przepis, a mianowicie „nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia”, zakłada, że osoba ta uprzednio dochodziła swoich praw, wyrażając stosowne żądanie, i że żądanie to nie zostało uwzględnione przed wydaniem przez organ nadzorczy decyzji, o której mowa w tym przepisie. Po drugie, w odróżnieniu od tego przepisu brzmienie art. 58 ust. 2 lit. d) i g) RODO nie pozwala uznać, że interwencja organu nadzorczego państwa członkowskiego mająca na celu zastosowanie środków nim ustanowionych byłaby ograniczona wyłącznie do przypadków, w których osoba, której dane dotyczą, wyraziła takie żądanie, ponieważ brzmienie tego przepisu nie zawiera odniesienia do takiego żądania.
37 Następnie, co się tyczy kontekstu tych przepisów, należy zauważyć, że brzmienie art. 17 ust. 1 tego rozporządzenia wyróżnia, za pomocą spójnika „a”, z jednej strony prawo osoby, której dane dotyczą, do żądania od administratora niezwłocznego usunięcia dotyczących jej danych, a z drugiej strony ciążący na administratorze obowiązek usunięcia tych danych osobowych bez zbędnej zwłoki. Należy stąd wywieść, że przepis ten reguluje dwie niezależne sytuacje, mianowicie z jednej strony usunięcie danych na żądanie osoby, której dane dotyczą, a drugiej strony usunięcie danych wynikające z istnienia autonomicznego obowiązku ciążącego na administratorze danych, i to niezależnie od jakiegokolwiek żądania osoby, której dane dotyczą.
38 Jak bowiem zauważyła Europejska Rada Ochrony Danych w opinii nr 39/2021, takie rozróżnienie jest konieczne, ponieważ niektóre z przypadków przewidzianych w art. 17 ust. 1 obejmują sytuacje, gdy osoba, której dane dotyczą, niekoniecznie została poinformowana o przetwarzaniu dotyczących jej danych osobowych, w związku z czym administrator jest jedynym podmiotem, który może stwierdzić ich istnienie. Jest tak w szczególności w sytuacji przetwarzania danych niezgodnie z prawem, o czym stanowi art. 17 ust. 1 lit. d) tego rozporządzenia.
39 Taką wykładnię potwierdza art. 5 ust. 2 RODO w związku z jego art. 5 ust. 1 lit. a), zgodnie z którym administrator danych ma obowiązek upewnienia się, że przetwarzanie przez niego danych jest przede wszystkim zgodne z prawem [zob. podobnie wyrok z dnia 4 maja 2023 r., Bundesrepublik Deutschland (Skrzynka doręczeń elektronicznych w sprawach sądowych), C‑60/22, EU:C:2023:373, pkt 54].
40 Wreszcie, za taką wykładnią przemawia również cel realizowany przez art. 58 ust. 2 RODO, określony w motywie 129 tego rozporządzenia, mianowicie zapewnienie zgodności przetwarzania danych osobowych z tym rozporządzeniem oraz usuwanie jego naruszeń, tak aby dostosować się do prawa Unii, dzięki interwencji krajowych organów nadzorczych.
41 W tym względzie należy podkreślić, że chociaż dokonanie wyboru odpowiedniego i skutecznego środka należy do organu nadzorczego, a organ ten powinien go dokonać z uwzględnieniem wszystkich okoliczności danej sprawy, to jednak organ ten ma obowiązek wywiązać się z powierzonego mu zadania, polegającego na egzekwowaniu pełnego przestrzegania RODO, z należytą starannością (zob. podobnie wyrok z dnia 16 lipca 2020 r. Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, pkt 112). W związku z tym dla zapewnienia skutecznego stosowania RODO jest szczególne ważne, by organ ten posiadał rzeczywiste uprawnienia do podejmowania skutecznych działań przeciwko naruszeniom tego rozporządzenia, a w szczególności do ich usuwania, również w przypadkach, gdy osoby, których dane dotyczą, nie zostały poinformowane o przetwarzaniu ich danych osobowych, nie miały o tym wiedzy, a w każdym razie nie zażądały ich usunięcia.
42 W tych okolicznościach należy uznać, że uprawnienie przyjęcia niektórych środków naprawczych, ustanowionych art. 58 ust. 2 RODO, w szczególności tych przewidzianych w art. 58 ust. 2 lit. d) i g), może być realizowane z urzędu przez organ nadzorczy państwa członkowskiego w zakresie, w jakim wykonywanie tego uprawnienia z urzędu jest wymagane w celu umożliwienia temu organowi wykonywania jego zadań. W związku z tym, jeżeli po przeprowadzeniu postępowania organ ten uzna, że przetwarzanie danych osobowych nie spełnia wymogów wspomnianego rozporządzenia, na podstawie prawa Unii ma on obowiązek przyjęcia odpowiednich środków w celu usunięcia stwierdzonego naruszenia, i to niezależnie od - wyrażonego wcześniej i zgodnego z celem wykonania praw przysługujących jej na podstawie art. 17 ust. 1 tego rozporządzania - żądania osoby, której dane dotyczą.
43 Taka wykładnia znajduje ponadto potwierdzenie w celach realizowanych przez RODO, które wynikają w szczególności z art. 1 oraz motywów 1 i 10 tego rozporządzenia, które odnoszą się do zapewnienia wysokiego stopnia ochrony prawa podstawowego osób fizycznych do ochrony dotyczących ich danych osobowych, ustanowionego w art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej i w art. 16 ust. 1 TFUE (zob. podobnie wyroki: z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 207; a także z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 73).
44 Wykładnia sprzeczna z tą przyjętą w pkt 42 niniejszego wyroku, oznaczająca, że taki organ nadzorczy byłby uprawniony do działania wyłącznie w następstwie zgodnego z tym celem żądania wyrażonego przez osobę, której dane dotyczą, zagrażałaby realizacji celów przywołanych w pkt 40 i 43 niniejszego wyroku, w szczególności w sytuacji takiej jak rozpatrywana w postępowaniu głównym, w której usunięcie danych osobowych przetwarzanych niezgodnie z prawem dotyczy potencjalnie dużej liczby osób, które nie powołały się na podstawie art. 17 ust. 1 RODO na swoje prawo do usunięcia danych.
45 Jak bowiem w głównych zarysach podniosła Komisja w swoich uwagach na piśmie, wymóg uprzedniego wyrażenia żądania, w rozumieniu art. 17 ust. 1 RODO, przez osoby, których dane dotyczą, oznaczałby, że administrator danych mógłby wobec braku takiego żądania przechowywać przedmiotowe dane osobowe i nadal przetwarzać je w sposób niezgodny z prawem. Taka wykładnia zaszkodziłaby skuteczności ochrony przewidzianej tym rozporządzeniem, ponieważ prowadziłaby do pozbawienia ochrony osób, które nie podjęły działania, mimo że ich dane osobowe przetwarzano niezgodnie z prawem.
46 W świetle powyższych rozważań na pytanie pierwsze należy odpowiedzieć, że art. 58 ust. 2 lit. d) i g) RODO należy interpretować w ten sposób, że organ nadzorczy państwa członkowskiego jest uprawniony, w ramach wykonywania swoich uprawnień naprawczych przewidzianych w tych przepisach, do nakazania administratorowi lub podmiotowi przetwarzającemu usunięcia danych osobowych przetwarzanych niezgodnie z prawem, i to nawet wówczas gdy osoba, której dane dotyczą, nie wyraziła w tym względzie jakiegokolwiek żądania w celu wykonania praw przysługujących jej na podstawie art. 17 ust. 1 tego rozporządzania.
W przedmiocie pytania drugiego
47 Poprzez pytanie drugie sąd odsyłający dąży w istocie do ustalenia, czy art. 58 ust. 2 RODO należy interpretować w ten sposób, że uprawnienie organu nadzorczego państwa członkowskiego do nakazania usunięcia danych osobowych przetwarzanych niezgodnie z prawem może dotyczyć zarówno danych pozyskanych od osoby, której dane dotyczą, jak i danych pochodzących z innego źródła.
48 W tym względzie należy przede wszystkim wskazać, że brzmienie przepisów przywołanych w punkcie poprzednim nie zawiera żadnej wskazówki, która pozwalałaby przyjąć, że uprawnienie organu nadzorczego do przyjęcia wymienionych w nim środków naprawczych zależy od pochodzenia danych osobowych, a w szczególności od okoliczności, że dane te zostały pozyskane od osoby, której dotyczą.
49 Podobnie brzmienie art. 17 ust. 1 RODO – który jak wynika z pkt 37 niniejszego wyroku, ustanawia ciążący na administratorze autonomiczny obowiązek usunięcia danych osobowych przetwarzanych niezgodnie z prawem – nie zawiera żadnego wymogu dotyczącego źródła gromadzonych danych.
50 Ponadto, jak wynika z pkt 41 i 42 niniejszego wyroku, w celu zapewnienia skutecznego i spójnego stosowania RODO konieczne jest, aby krajowy organ nadzorczy posiadał rzeczywiste uprawnienia do podejmowania skutecznych działań przeciwko naruszeniom tego rozporządzenia. W związku z tym uprawnienie do przyjęcia środków naprawczych ustanowione mocą art. 58 ust. 2 lit. d) i g) RODO nie może zależeć od pochodzenia danych, a w szczególności od okoliczności, że zostały one pozyskane od osoby, której dotyczą.
51 W konsekwencji należy uznać, podobnie jak wszystkie rządy, które przedstawiły uwagi na piśmie, oraz Komisja, że wykonywanie uprawnienia do przyjęcia środków naprawczych w rozumieniu art. 58 ust. 2 lit. d) i g) RODO nie może zależeć od okoliczności, że dane osobowe zostały pozyskane bezpośrednio od osoby, której dotyczą.
52 Taka wykładnia znajduje również potwierdzenie w przywołanych w pkt 40 i 43 niniejszego wyroku celach realizowanych przez RODO, w szczególności przez art. 58 ust. 2 tego rozporządzenia.
53 W świetle powyższych rozważań na pytanie drugie należy odpowiedzieć, iż art. 58 ust. 2 RODO należy interpretować w ten sposób, że uprawnienie organu nadzorczego państwa członkowskiego do nakazania usunięcia danych osobowych przetwarzanych niezgodnie z prawem może dotyczyć zarówno danych pozyskanych od osoby, której dane dotyczą, jak i danych pochodzących z innego źródła.
W przedmiocie kosztów
54 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (piąta izba) orzeka, co następuje:
1) Artykuł 58 ust. 2 lit. d) i g) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)
należy interpretować w ten sposób, że:
organ nadzorczy państwa członkowskiego jest uprawniony, w ramach wykonywania swoich uprawnień naprawczych przewidzianych w tych przepisach, do nakazania administratorowi lub podmiotowi przetwarzającemu usunięcia danych osobowych przetwarzanych niezgodnie z prawem, i to nawet wówczas gdy osoba, której dane dotyczą, nie wyraziła w tym względzie jakiegokolwiek żądania w celu wykonania praw przysługujących jej na podstawie art. 17 ust. 1 tego rozporządzania.
2) Artykuł 58 ust. 2 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
uprawnienie organu nadzorczego państwa członkowskiego do nakazania usunięcia danych osobowych przetwarzanych niezgodnie z prawem może dotyczyć zarówno danych pozyskanych od osoby, której dane dotyczą, jak i danych pochodzących z innego źródła.
Podpisy