CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:958

HOTĂRÂREA CURȚII (Camera întâi)

7 decembrie 2023(*)

„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 5 alineatul (1) litera (a) – Principiul «legalității» – Articolul 6 alineatul (1) primul paragraf litera (f) – Necesitatea prelucrării în scopul intereselor legitime urmărite de operator sau de un terț – Articolul 17 alineatul (1) litera (d) – Dreptul la ștergere în cazul prelucrării ilegale a datelor cu caracter personal – Articolul 40 – Coduri de conduită – Articolul 78 alineatul (1) – Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere – Decizie adoptată de autoritatea de supraveghere cu privire la o plângere – Întinderea controlului jurisdicțional asupra acestei decizii – Societăți care furnizează informații comerciale – Stocarea datelor dintr‑un registru public referitoare la liberarea de restul de datorie în favoarea unei persoane – Perioada de stocare”

În cauzele conexate C‑26/22 și C‑64/22,

având ca obiect cereri de decizie preliminară formulate în temeiul articolului 267 TFUE de Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden, Germania), prin deciziile din 23 decembrie 2021 și din 31 ianuarie 2022, primite de Curte la 11 ianuarie 2022 și la 2 februarie 2022, în procedurile

UF (C‑26/22),

AB (C‑64/22)

împotriva

Land Hessen,

cu participarea:

SCHUFA Holding AG,

CURTEA (Camera întâi),

compusă din domnul A. Arabadjiev, președinte de cameră, domnii T. von Danwitz, P. G. Xuereb și A. Kumin (raportor) și doamna I. Ziemele, judecători,

avocat general: domnul P. Pikamäe,

grefier: doamna K. Hötzel, administratoare,

având în vedere procedura scrisă și în urma ședinței din 26 ianuarie 2023,

luând în considerare observațiile prezentate:

– pentru UF și AB, de R. Rohrmoser și S. Tintemann, Rechtsanwälte;

– pentru Land Hessen, de M. Kottmann și G. Ziegenhorn, Rechtsanwälte;

– pentru SCHUFA Holding AG, de G. Thüsing și U. Wuermeling, Rechtsanwalt;

– pentru guvernul german, de J. Möller și P.‑L. Krüger, în calitate de agenți;

– pentru guvernul portughez, de P. Barros da Costa, J. Ramos și C. Vieira Guerra, în calitate de agenți;

– pentru Comisia Europeană, de A. Bouchagiar, F. Erlbacher, H. Kranenborg și W. Wils, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 16 martie 2023,

pronunță prezenta

Hotărâre

1 Cererile de decizie preliminară privesc interpretarea articolelor 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”), precum și a articolului 6 alineatul (1) primul paragraf litera (f), a articolului 17 alineatul (1) litera (d), a articolului 40, a articolului 77 alineatul (1) și a articolului 78 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, rectificare în JO 2018, L 127, p. 2, denumit în continuare „RGPD”).

2 Aceste cereri au fost formulate în cadrul a două litigii între UF (cauza C‑26/22) și AB (cauza C‑64/22), pe de o parte, și Land Hessen (landul Hessen, Germania), pe de altă parte, în legătură cu refuzul Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Comisarul landului Hessen pentru Protecția Datelor și Libertatea de Informare, Germania) (denumit în continuare „HBDI”) de a obliga SCHUFA Holding AG (denumită în continuare „SCHUFA”) să efectueze ștergerea datelor stocate de aceasta referitoare la liberările de restul de datorie în favoarea UF și a AB.

Cadrul juridic

Dreptul Uniunii

Directiva 2008/48/CE

3 Potrivit considerentelor (26) și (28) ale Directivei 2008/48/CE a Parlamentului European și a Consiliului din 23 aprilie 2008 privind contractele de credit pentru consumatori și de abrogare a Directivei 87/102/CEE a Consiliului (JO 2008, L 133, p. 66):

„(26) […] Este important ca, în special pe piața de credit, care este în curs de extindere, creditorii să nu se lanseze într‑un proces iresponsabil de acordare de împrumuturi sau să acorde credite fără evaluarea prealabilă a bonității, iar statele membre ar trebui să efectueze supravegherea necesară evitării unor astfel de conduite și să stabilească modalitățile necesare pentru sancționarea creditorilor în cazul în care aceștia se comportă astfel. […] [C]reditorii ar trebui să aibă răspunderea de a verifica individual bonitatea consumatorului. […]

[…]

(28) În vederea evaluării bonității unui consumator, creditorul ar trebui să consulte și bazele de date relevante; circumstanțele actuale și aspectele de natură juridică pot impune ca aceste consultări să varieze ca anvergură. Pentru a preveni orice denaturare a concurenței între creditori, acestora ar trebui să li se asigure accesul la bazele de date private sau publice privind consumatorii dintr‑un stat membru în care creditorii respectivi nu își au sediul, în condiții nediscriminatorii în raport cu creditorii din respectivul stat membru.”

4 Articolul 8 din această directivă, intitulat „Obligația de a evalua bonitatea consumatorului”, prevede la alineatul (1):

„Statele membre se asigură că, înainte de încheierea unui contract de credit, creditorul evaluează, atunci când este cazul, bonitatea consumatorului pe baza unui volum suficient de informații obținute de la consumator și, dacă este necesar, pe baza consultării bazei de date relevante. Statele membre a căror legislație prevede obligația evaluării bonității consumatorilor de către creditori, pe baza consultării bazei de date relevante, pot menține această obligație.”

Directiva 2014/17/UE

5 Potrivit considerentelor (55) și (59) ale Directivei 2014/17/UE a Parlamentului European și a Consiliului din 4 februarie 2014 privind contractele de credit oferite consumatorilor pentru bunuri imobile rezidențiale și de modificare a Directivelor 2008/48/CE și 2013/36/UE și a Regulamentul (UE) nr. 1093/2010 (JO 2014, L 60, p. 34):

„(55) Este esențial să se evalueze și să se verifice, înainte de încheierea contractului de credit, capacitatea și predispoziția consumatorului de a rambursa creditul. Această evaluare a bonității ar trebui să ia în considerare toți factorii necesari și relevanți care ar putea influența capacitatea consumatorului de a rambursa creditul pe durata acestuia. […]

[…]

(59) Consultarea unei baze de date privind creditele este un instrument util pentru evaluarea bonității. […]”

6 Articolul 18 din această directivă, intitulat „Obligația de a evalua bonitatea consumatorului”, prevede la alineatul (1):

„Statele membre se asigură că, înainte de încheierea unui contract de credit, creditorul efectuează o evaluare amănunțită a bonității consumatorului. Evaluarea respectivă ține seama în mod adecvat de factorii care sunt relevanți pentru a verifica probabilitatea îndeplinirii de către consumator a obligațiilor care îi revin în temeiul contractului de credit.”

7 Articolul 21 din directiva menționată, intitulat „Accesul la baze de date”, prevede la alineatele (1) și (2):

„(1) Fiecare stat membru asigură accesul tuturor creditorilor din toate statele membre la bazele de date utilizate în statul membru respectiv pentru evaluarea bonității consumatorilor și pentru scopul exclusiv de a monitoriza respectarea de către consumatori a obligațiilor legate de credit pe toată durata contractului de credit. Condițiile de acces sunt nediscriminatorii.

(2) Alineatul (1) se aplică atât bazelor de date care sunt administrate de birouri de credit private sau de agenții de informații privind creditele, cât și registrelor publice.”

Regulamentul (UE) 2015/848

8 Potrivit considerentului (76) al Regulamentului (UE) 2015/848 al Parlamentului European și al Consiliului din 20 mai 2015 privind procedurile de insolvență (JO 2015, L 141, p. 19):

„În vederea unei mai bune informări a creditorilor și a instanțelor relevante și pentru a preveni deschiderea de proceduri paralele de insolvență, statele membre ar trebui să aibă obligația de a publica informațiile relevante în cazurile transfrontaliere de insolvență într‑un registru electronic, accesibil publicului. Pentru a facilita accesul creditorilor domiciliați în alt stat membru și al instanțelor cu sediul în alt stat membru la aceste informații, prezentul regulament ar trebui să prevadă interconectarea unor astfel de registre de insolvență prin intermediul portalului european e‑Justiție. […]”

9 Articolul 79 din acest regulament, intitulat „Responsabilitățile statelor membre cu privire la prelucrarea datelor cu caracter personal în registrele naționale de insolvență”, prevede la alineatele (4) și (5):

„(4) Statele membre răspund, în conformitate cu Directiva 95/46/CE [a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10)], de colectarea și stocarea datelor în bazele de date naționale, precum și de deciziile luate cu privire la punerea acestor date la dispoziție în registrul interconectat care poate fi consultat prin intermediul portalului european e‑Justiție.

(5) Ca parte a informațiilor care ar trebui furnizate persoanelor vizate astfel încât să li se permită să își exercite drepturile, în special dreptul la ștergerea datelor, statele membre informează persoanele vizate în legătură cu perioada de accesibilitate stabilită pentru datele cu caracter personal stocate în registrele de insolvență.”

RGPD

10 Potrivit considerentelor (10), (11), (47), (50), (98), (141) și (143) ale RGPD:

„(10) Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii [Europene], nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. […]

(11) Protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea și stabilirea în detaliu a drepturilor persoanelor vizate și a obligațiilor celor care prelucrează și decid prelucrarea datelor cu caracter personal, ci și competențe echivalente pentru monitorizarea și asigurarea conformității cu normele de protecție a datelor cu caracter personal și sancțiuni echivalente pentru infracțiuni în statele membre.

[…]

(47) Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi pot fi divulgate datele cu caracter personal sau ale unei terțe părți, pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, luând în considerare așteptările rezonabile ale persoanelor vizate bazate pe relația acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci când există o relație relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în care persoana vizată este un client al operatorului sau se află în serviciul acestuia. În orice caz, existența unui interes legitim ar necesita o evaluare atentă, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în momentul și în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop. Interesele și drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare ulterioară. […]

[…]

(50) Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele cu caracter personal au fost inițial colectate ar trebui să fie permisă doar atunci când prelucrarea este compatibilă cu scopurile respective pentru care datele cu caracter personal au fost inițial colectate. În acest caz nu este necesar un temei juridic separat de cel pe baza căruia a fost permisă colectarea datelor cu caracter personal. […] Pentru a stabili dacă scopul prelucrării ulterioare este compatibil cu scopul pentru care au fost colectate inițial datele cu caracter personal, operatorul, după ce a îndeplinit toate cerințele privind legalitatea prelucrării inițiale, ar trebui să țină seama, printre altele, de orice legătură între respectivele scopuri și scopurile prelucrării ulterioare preconizate, de contextul în care au fost colectate datele cu caracter personal, în special de așteptările rezonabile ale persoanelor vizate, bazate pe relația lor cu operatorul, în ceea ce privește utilizarea ulterioară a datelor, de natura datelor cu caracter personal, de consecințele prelucrării ulterioare preconizate asupra persoanelor vizate, precum și de existența garanțiilor corespunzătoare atât în cadrul operațiunilor de prelucrare inițiale, cât și în cadrul operațiunilor de prelucrare ulterioare preconizate.

[…]

(98) Asociațiile sau alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori ar trebui încurajate să elaboreze coduri de conduită, în limitele prezentului regulament, astfel încât să se faciliteze aplicarea efectivă a prezentului regulament, luându‑se în considerare caracteristicile specifice ale prelucrării efectuate în anumite sectoare și necesitățile specifice ale microîntreprinderilor și ale întreprinderilor mici și mijlocii. În special, astfel de coduri de conduită ar putea să ajusteze obligațiile operatorilor și ale persoanelor împuternicite de operatori, ținând seama de riscul aferent prelucrării care este susceptibil de a fi generat pentru drepturile și libertățile persoanelor fizice.

[…]

(141) Orice persoană vizată ar trebui să aibă dreptul de a depune o plângere la o singură autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, precum și dreptul la o cale de atac eficientă în conformitate cu articolul 47 din cartă, în cazul în care persoana vizată consideră că drepturile sale în temeiul prezentului regulament sunt încălcate sau în cazul în care autoritatea de supraveghere nu reacționează la o plângere, respinge sau refuză parțial sau total o plângere sau nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate. Investigația în urma unei plângeri ar trebui să fie efectuată, sub control judiciar, în măsura în care este necesar, în funcție de caz. Autoritatea de supraveghere ar trebui să informeze persoana vizată cu privire la evoluția și soluționarea plângerii într‑un termen rezonabil. […]

[…]

(143) […] [O]rice persoană fizică sau juridică ar trebui să aibă dreptul la o cale de atac judiciară eficientă în fața instanței naționale competente împotriva unei decizii a unei autorități de supraveghere care produce efecte juridice privind respectiva persoană. O astfel de decizie se referă în special la exercitarea competențelor de investigare, corective și de autorizare de către autoritatea de supraveghere sau la refuzul sau respingerea plângerilor. Cu toate acestea, dreptul la o cale de atac judiciară eficientă nu include măsuri ale autorităților de supraveghere care nu sunt obligatorii din punct de vedere juridic, cum ar fi avizele emise de autoritatea de supraveghere sau consiliere furnizată de aceasta. Acțiunile împotriva unei autorități de supraveghere ar trebui să fie aduse în fața instanțelor statului membru în care este stabilită autoritatea de supraveghere și ar trebui să se desfășoare în conformitate cu dreptul procesual al statului membru respectiv. Respectivele instanțe ar trebui să își exercite competența judiciară deplină, care ar trebui să includă competența de a examina toate aspectele de fapt sau de drept care au relevanță pentru litigiul cu care acestea sunt sesizate.

În cazul în care o plângere a fost respinsă sau refuzată de o autoritate de supraveghere, reclamantul poate introduce o acțiune la instanțele din același stat membru. În contextul căilor de atac judiciare privind aplicarea prezentului regulament, instanțele naționale care consideră necesară o decizie privind chestiunea respectivă pentru a le permite să ia o hotărâre pot sau, în cazul prevăzut la articolul 267 din TFUE, trebuie să solicite Curții de Justiție să pronunțe o decizie preliminară privind interpretarea dreptului Uniunii, inclusiv a prezentului regulament. […]”

11 Articolul 5 din acest regulament, intitulat „Principii legate de prelucrarea datelor cu caracter personal”, are următorul cuprins:

„(1) Datele cu caracter personal sunt:

(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată («legalitate, echitate și transparență»);

[…]

(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate («reducerea la minimum a datelor»);

[…]

(2) Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”

12 Articolul 6 din regulamentul menționat, intitulat „Legalitatea prelucrării”, prevede:

„(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

[…]

(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

[…]

(4) În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimțământul persoanei vizate sau pe dreptul Uniunii sau dreptul intern, care constituie o măsură necesară și proporțională într‑o societate democratică pentru a proteja obiectivele menționate la articolul 23 alineatul (1), operatorul, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate inițial, ia în considerare, printre altele:

(a) orice legătură dintre scopurile în care datele cu caracter personal au fost colectate și scopurile prelucrării ulterioare preconizate;

(b) contextul în care datele cu caracter personal au fost colectate, în special în ceea ce privește relația dintre persoanele vizate și operator;

(c) natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale de date cu caracter personal, în conformitate cu articolul 9, sau în cazul în care sunt prelucrate date cu caracter personal referitoare la condamnări penale și infracțiuni, în conformitate cu articolul 10;

(d) posibilele consecințe asupra persoanelor vizate ale prelucrării ulterioare preconizate;

(e) existența unor garanții adecvate, care pot include criptarea sau pseudonimizarea.”

13 Articolul 17 din RGPD, intitulat „Dreptul la ștergerea datelor («dreptul de a fi uitat»)”, prevede la alineatul (1):

„Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:

[…]

(c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) și nu există motive legitime [imperioase] care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2);

(d) datele cu caracter personal au fost prelucrate ilegal;

[…]”

14 Articolul 21 din acest regulament, intitulat „Dreptul la opoziție”, prevede la alineatele (1) și (2):

„(1) În orice moment, persoana vizată are dreptul să se opună, din motive legate de situația particulară în care se află, prelucrării în temeiul articolului 6 alineatul (1) litera (e) sau (f), a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.

(2) Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv.”

15 Articolul 40 din regulamentul menționat, intitulat „Coduri de conduită”, prevede la alineatele (1), (2) și (5):

„(1) Statele membre, autoritățile de supraveghere, comitetul și Comisia [Europeană] încurajează elaborarea de coduri de conduită menite să contribuie la buna aplicare a prezentului regulament, ținând seama de caracteristicile specifice ale diverselor sectoare de prelucrare și de nevoile specifice ale microîntreprinderilor și ale întreprinderilor mici și mijlocii.

(2) Asociațiile și alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot pregăti coduri de conduită sau le pot modifica sau extinde pe cele existente, în scopul de a specifica modul de aplicare a prezentului regulament, cum ar fi în ceea ce privește:

(a) prelucrarea în mod echitabil și transparent;

(b) interesele legitime urmărite de operatori în contexte specifice;

[…]

(5) Asociațiile și alte organisme menționate la alineatul (2) din prezentul articol care intenționează să pregătească un cod de conduită sau să modifice sau să extindă un cod existent transmit proiectul de cod, de modificare sau de extindere autorității de supraveghere care este competentă în temeiul articolului 55. Autoritatea de supraveghere emite un aviz cu privire la conformitatea cu prezentul regulament a proiectului de cod, de modificare sau de extindere și îl aprobă în cazul în care se constată că acesta oferă garanții adecvate suficiente.”

16 Articolul 51 din RGPD, intitulat „Autoritatea de supraveghere”, prevede la alineatul (1):

„Fiecare stat membru se asigură că una sau mai multe autorități publice independente sunt responsabile de monitorizarea aplicării prezentului regulament, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii («autoritatea de supraveghere»).”

17 Articolul 52 din acest regulament, intitulat „Independență”, prevede la alineatele (1), (2) și (4):

„(1) Fiecare autoritate de supraveghere beneficiază de independență deplină în îndeplinirea sarcinilor sale și exercitarea competențelor sale în conformitate cu prezentul regulament.

(2) Membrul sau membrii fiecărei autorități de supraveghere, în cadrul îndeplinirii sarcinilor și al exercitării competențelor sale (lor) în conformitate cu prezentul regulament, rămâne (rămân) independent (independenți) de orice influență externă directă sau indirectă și nici nu solicită, nici nu acceptă instrucțiuni de la o parte externă.

[…]

(4) Fiecare stat membru se asigură că fiecare autoritate de supraveghere beneficiază de resurse umane, tehnice și financiare, de un sediu și de infrastructura necesară pentru îndeplinirea sarcinilor și exercitarea efectivă a competențelor sale, inclusiv a celor care urmează să fie aplicate în contextul asistenței reciproce, al cooperării și al participării în cadrul comitetului.”

18 Articolul 57 din regulamentul menționat, intitulat „Sarcini”, prevede la alineatul (1):

„Fără a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, fiecare autoritate de supraveghere, pe teritoriul său:

(a) monitorizează și asigură aplicarea prezentului regulament;

[…]

(f) tratează plângerile depuse de o persoană vizată, un organism, o organizație sau o asociație în conformitate cu articolul 80 și investighează într‑o măsură adecvată obiectul plângerii și informează reclamantul cu privire la evoluția și rezultatul investigației, într‑un termen rezonabil, în special dacă este necesară efectuarea unei investigații mai amănunțite sau coordonarea cu o altă autoritate de supraveghere;

[…]”

19 Articolul 58 din RGPD, intitulat „Competențe”, enumeră, la alineatul (1), competențele de investigare de care dispune fiecare autoritate de supraveghere și, la alineatul (2), măsurile corective pe care aceasta le poate adopta.

20 Articolul 77 din acest regulament, intitulat „Dreptul de a depune o plângere la o autoritate de supraveghere”, prevede:

„(1) Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament.

(2) Autoritatea de supraveghere la care s‑a depus plângerea informează reclamantul cu privire la evoluția și rezultatul plângerii, inclusiv posibilitatea de a exercita o cale de atac judiciară în temeiul articolului 78.”

21 Articolul 78 din regulamentul menționat, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere”, prevede la alineatele (1) și (2):

„(1) Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.

(2) Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care autoritatea de supraveghere care este competentă în temeiul articolelor 55 și 56 nu tratează o plângere sau nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii depuse în temeiul articolului 77.”

22 Articolul 79 din RGPD, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau a unei persoane împuternicite de operator”, prevede la alineatul (1):

„Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.”

Dreptul german

23 Potrivit articolului 9 alineatul (1) din Insolvenzordnung (Codul insolvenței) din 5 octombrie 1994 (BGBl. 1994 I, p. 2866), în versiunea aplicabilă situației de fapt din litigiile principale:

„Publicitatea oficială se realizează prin intermediul unei publicări pe internet la nivel central și al Länder; aceasta poate fi efectuată în extras. În acest scop, debitorul trebuie identificat cu precizie, în special prin indicarea adresei și a domeniului său comercial. Se consideră că publicitatea este efectivă la două zile de la data publicării.”

24 Articolul 3 din Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (Regulamentul privind publicitatea oficială difuzată pe internet în cadrul procedurilor de insolvență) din 12 februarie 2002 (BGBl. I, p. 677, denumit în continuare „InsoBekV”) prevede la alineatele (1) și (2):

„(1) Publicarea într‑un sistem electronic de informare și de comunicare a datelor provenite dintr‑o procedură de insolvență, inclusiv din procedura de deschidere, este ștearsă în termen de cel mult șase luni de la anularea procedurii de insolvență sau de la data la care suspendarea acestei proceduri a rămas definitivă. În cazul nedeschiderii procedurii, termenul începe să curgă de la anularea măsurilor asigurătorii publicate.

(2) În ceea ce privește publicările din cadrul procedurii de liberare de restul de datorie, inclusiv ordonanța menționată la articolul 289 din Codul insolvenței, se aplică alineatul (1) prima teză, cu condiția ca termenul să înceapă să curgă de la data la care decizia privind liberarea de restul de datorie devine definitivă.”

Litigiile principale și întrebările preliminare

25 În cadrul procedurilor de insolvență care li se aplică, UF și AB au beneficiat de decizii judecătorești de liberare anticipată de restul de datorie, care au fost pronunțate la 17 decembrie 2020 și, respectiv, la 23 martie 2021. Conform articolului 9 alineatul (1) din Codul insolvenței, precum și articolului 3 alineatele (1) și (2) din InsoBekV, publicitatea oficială pe internet a acestor decizii a fost ștearsă la expirarea unui termen de șase luni începând de la deciziile menționate.

26 SCHUFA este o societate privată care furnizează informații comerciale și care înregistrează și stochează, în propriile baze de date, informații provenite din registre publice, în special cele referitoare la liberări de restul de datorie. Ea șterge aceste din urmă informații la expirarea unui termen de trei ani de la înregistrare, în conformitate cu codul de conduită elaborat în Germania de asociația ce regrupează societățile care furnizează informații comerciale și aprobat de autoritatea de supraveghere competentă.

27 UF și AB s‑au adresat SCHUFA pentru a obține de la aceasta ștergerea înscrierilor referitoare la deciziile de liberare de restul de datorie ale căror destinatari au fost. Această societate a refuzat să le admită cererile, după ce a explicat că activitatea sa avea loc cu respectarea RGPD și că termenul de ștergere de șase luni prevăzut la articolul 3 alineatul (1) din InsoBekV nu îi era aplicabil.

28 UF și AB au depus fiecare o plângere la HBDI în calitate de autoritate de supraveghere competentă.

29 Prin deciziile pronunțate la 1 martie 2021 și, respectiv, la 9 iulie 2021, HBDI a considerat că prelucrarea datelor efectuată de SCHUFA era legală.

30 UF și AB au formulat fiecare o acțiune împotriva deciziei HBDI la Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden, Germania), instanța de trimitere. În susținerea acestor acțiuni, ei au arătat că HBDI avea obligația, în cadrul sarcinilor și al competențelor sale, să adopte măsuri împotriva SCHUFA pentru a‑i impune să efectueze ștergerea înscrierilor care îi priveau.

31 În apărare, HBDI a solicitat respingerea acțiunilor.

32 Pe de o parte, HBDI a susținut că dreptul de a depune o plângere prevăzut la articolul 77 alineatul (1) din RGPD este conceput numai ca un drept de petiționare. Astfel, controlul jurisdicțional s‑ar limita să verifice dacă autoritatea de supraveghere a tratat plângerea și l‑a informat pe autorul ei cu privire la progresele și la soluționarea acestei plângeri. În schimb, instanța sesizată nu ar avea sarcina de a controla exactitatea pe fond a deciziei de soluționare a plângerii.

33 Pe de altă parte, HBDI a subliniat că datele la care au acces societățile care furnizează informații comerciale pot fi stocate atât timp cât acest lucru este necesar în scopurile pentru care au fost stocate. În lipsa unei reglementări prevăzute de legiuitorul național, autoritățile de supraveghere ar fi adoptat coduri de conduită, iar cel elaborat de asociația ce regrupează societățile care furnizează informații comerciale ar prevedea ștergerea acestor date după exact trei ani de la înscrierea în fișier.

34 În această privință, în primul rând, instanța de trimitere consideră necesar să clarifice natura juridică a deciziei pe care autoritatea de supraveghere o adoptă după ce a fost sesizată cu o plângere în temeiul articolului 77 alineatul (1) din RGPD.

35 În special, instanța menționată are îndoieli cu privire la argumentația HBDI, din moment ce aceasta ar aduce atingere caracterului efectiv al căii de atac judiciare prevăzute la articolul 78 alineatul (1) din RGPD. În plus, având în vedere obiectivul acestui regulament, care, în cadrul punerii în aplicare a articolelor 7 și 8 din cartă, constă în asigurarea unei protecții efective a drepturilor și libertăților fundamentale ale persoanelor fizice, articolele 77 și 78 din regulamentul menționat nu pot primi o interpretare restrictivă.

36 Această instanță preconizează o interpretare potrivit căreia decizia adoptată pe fond de autoritatea de supraveghere trebuie să fie supusă unui control complet al instanței. Autoritatea de supraveghere ar dispune însă atât de o putere de apreciere, cât și de o putere discreționară și nu ar putea fi obligată să acționeze decât atunci când nu pot fi identificate opțiuni legale.

37 În al doilea rând, instanța de trimitere ridică, în două privințe, problema legalității stocării de către societățile care furnizează informații comerciale a unor date referitoare la bonitatea unei persoane care provin din registre publice precum registrul de insolvență.

38 Primo, ar exista îndoieli cu privire la legalitatea stocării de către o societate privată cum este SCHUFA, în propriile baze de date, a datelor transferate din registrele publice.

39 Astfel, mai întâi, această stocare ar interveni nu într‑un caz concret, ci în eventualitatea în care partenerii lor contractuali le‑ar solicita asemenea informații și ar conduce, în cele din urmă, la o păstrare a acestor date, mai ales atunci când ele au fost deja șterse din registrul public ca urmare a expirării termenului de stocare.

40 Pe de altă parte, o prelucrare și, așadar, o stocare de date ar fi permise numai dacă este îndeplinită una dintre condițiile prevăzute la articolul 6 alineatul (1) din RGPD. În speță ar fi luată în considerare doar condiția prevăzută la articolul 6 alineatul (1) primul paragraf litera (f) din acest regulament. Or, ar fi îndoielnic ca o societate care furnizează informații comerciale precum SCHUFA să urmărească un interes legitim în sensul acestei dispoziții.

41 În sfârșit, SCHUFA ar fi doar o societate printre alte societăți care furnizează informații comerciale, astfel încât datele ar fi stocate în Germania în mai multe forme, ceea ce ar implica o atingere masivă adusă dreptului fundamental consacrat la articolul 7 din cartă.

42 Secundo, chiar dacă se presupune că stocarea de către societăți private a unor date provenite din registre publice ar fi legală ca atare, s‑ar ridica problema duratei posibile a unei asemenea stocări.

43 În această privință, instanța de trimitere consideră că acestor societăți private ar trebui să li se impună să respecte termenul de șase luni prevăzut la articolul 3 din InsoBekV referitor la stocarea în registrul de insolvență a deciziilor de liberare de restul de datorie. Astfel, datele care trebuie șterse dintr‑un registru public ar trebui de asemenea șterse concomitent la toate societățile private care furnizează informații comerciale și care au stocat aceste date.

44 De altfel, s‑ar ridica problema dacă este necesar ca un cod de conduită aprobat în conformitate cu articolul 40 din RGPD, care prevede un termen de ștergere de trei ani pentru înscrierea referitoare la liberarea de restul de datorie, să fie luat în considerare la evaluarea comparativă care trebuie efectuată în cadrul aprecierii realizate în temeiul articolului 6 alineatul (1) primul paragraf litera (f) din RGPD.

45 În aceste condiții, Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden) a hotărât să suspende judecarea cauzelor și să adreseze Curții următoarele întrebări preliminare:

„1) Articolul 77 alineatul (1) coroborat cu articolul 78 alineatul (1) din [RGPD] trebuie interpretat în sensul că rezultatul autorității de supraveghere pe care aceasta îl comunică persoanei vizate

– are caracterul unui răspuns la o petiție? Aceasta are drept consecință faptul că controlul jurisdicțional al unei decizii privind plângerea adoptate de o autoritate de supraveghere în temeiul articolului 78 alineatul (1) din RGPD este, în principiu, limitat la problema dacă autoritatea a tratat plângerea, a investigat în mod adecvat obiectul plângerii și l‑a informat pe petiționar cu privire la rezultatul examinării

– trebuie interpretat ca fiind o decizie administrativă pe fond? Aceasta are drept consecință faptul că o decizie privind plângerea adoptată de o autoritate de supraveghere în temeiul articolului 78 alineatul (1) din RGPD trebuie analizată complet de către instanță, într‑un caz individual – de exemplu în cazul reducerii la zero a puterii discreționare –, autoritatea de supraveghere putând fi de asemenea obligată de instanță să adopte o măsură concretă în sensul articolului 58 din RGPD?

2) Stocarea datelor la o societate privată care furnizează informații comerciale, stocare în cadrul căreia sunt păstrate, fără un motiv concret, date cu caracter personal provenite dintr‑un registru public precum «bazele de date naționale», în sensul articolului 79 alineatele (4) și (5) din [Regulamentul 2015/848], pentru a putea furniza informații în cazul unei cereri, este compatibilă cu articolele 7 și 8 din [cartă]?

3) a) Bazele de date paralele private (în special bazele de date ale unei societăți care furnizează informații comerciale), create în plus față de bazele de date ale statului și în care datele provenite din bazele de date ale statului (în speță publicitatea referitoare la insolvență) sunt stocate mai mult timp decât este prevăzut în cadrul strict al Regulamentului 2015/848 coroborat cu dreptul național, sunt admisibile în principiu?

b) În cazul unui răspuns afirmativ la a treia întrebare litera a), dreptul de a fi uitat prevăzut la articolul 17 alineatul (1) litera (d) din RGPD implică faptul că aceste date trebuie șterse atunci când perioada de prelucrare prevăzută pentru registrul public a expirat?

4) În măsura în care articolul 6 alineatul (1) primul paragraf litera (f) din RGPD poate fi considerat drept temei juridic unic pentru stocarea datelor la societățile private de informații comerciale în ceea ce privește datele stocate și în registre publice, trebuie să se considere că există un interes legitim al unei societăți care furnizează informații comerciale atunci când această societate de informații preia datele din evidențele publice fără un motiv concret, pentru ca aceste date să fie ulterior disponibile în cazul unei cereri?

5) Codurile de conduită aprobate de autoritățile de supraveghere în temeiul articolului 40 din RGPD și care prevăd termene de examinare și de ștergere care depășesc perioadele de stocare ale registrelor publice pot suspenda evaluarea comparativă prevăzută la articolul 6 alineatul (1) primul paragraf litera (f) din RGPD?”

46 Prin decizia președintelui Curții din 11 februarie 2022, cauzele C‑26/22 și C‑64/22 au fost conexate pentru buna desfășurare a fazelor scrise și orale ale procedurii, precum și în vederea pronunțării hotărârii.

Cu privire la întrebările preliminare

Cu privire la prima întrebare

47 Prin intermediul primei întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 78 alineatul (1) din RGPD trebuie interpretat în sensul că controlul jurisdicțional exercitat asupra unei decizii adoptate de o autoritate de supraveghere cu privire la o plângere se limitează la chestiunea dacă autoritatea respectivă a tratat plângerea, a investigat în mod adecvat obiectul acesteia și l‑a informat pe autorul plângerii cu privire la rezultatul examinării sau dacă această decizie este supusă unui control jurisdicțional complet, care include competența instanței sesizate de a impune autorității de supraveghere să ia o măsură concretă.

48 Pentru a răspunde la această întrebare, trebuie amintit, cu titlu introductiv, că interpretarea unei dispoziții de drept al Uniunii impune să se țină seama nu numai de termenii săi, ci și de contextul în care se înscrie, precum și de obiectivele și de finalitatea urmărite de actul din care aceasta face parte (Hotărârea din 22 iunie 2023, Pankki S, C‑579/21, EU:C:2023:501, punctul 38 și jurisprudența citată).

49 În ceea ce privește termenii articolului 78 alineatul (1) din RGPD, această dispoziție prevede că, fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.

50 În această privință, trebuie să se arate de la bun început că, în speță, deciziile adoptate de HDBI constituie decizii obligatorii din punct de vedere juridic, în sensul articolului 78 alineatul (1) menționat. Astfel, după ce a examinat temeinicia plângerilor cu care a fost sesizată, această autoritate a constatat că prelucrarea datelor cu caracter personal contestată de reclamanții din litigiile principale era legală în temeiul RGPD. Caracterul obligatoriu din punct de vedere juridic al acestor decizii este de altfel confirmat de considerentul (143) al acestui regulament, potrivit căruia refuzul sau respingerea unei plângeri de către o autoritate de supraveghere constituie o decizie care produce efecte juridice față de autorul plângerii respective.

51 Trebuie să se arate de asemenea că reiese în mod explicit din această dispoziție, interpretată în lumina considerentului (141) al acestui regulament, că orice persoană vizată are dreptul la o cale de atac judiciară „eficientă”, în conformitate cu articolul 47 din cartă.

52 Astfel, Curtea a statuat deja că din articolul 78 alineatul (1) din RGPD, interpretat în lumina considerentului (143) al acestui regulament, rezultă că instanțele sesizate cu o cale de atac împotriva unei decizii a unei autorități de supraveghere ar trebui să dispună de o competență deplină, în special de cea de a examina toate chestiunile de fapt și de drept referitoare la litigiul cu care sunt sesizate (Hotărârea din 12 ianuarie 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punctul 41).

53 Prin urmare, articolul 78 alineatul (1) din RGPD nu poate fi interpretat în sensul că acest control jurisdicțional exercitat asupra unei decizii adoptate de o autoritate de supraveghere cu privire la o plângere s‑ar limita la chestiunea dacă autoritatea respectivă a tratat plângerea, a investigat în mod adecvat obiectul acesteia și l‑a informat pe autorul plângerii cu privire la rezultatul examinării. Dimpotrivă, pentru ca o cale de atac judiciară să fie „eficientă”, astfel cum impune această dispoziție, o asemenea decizie trebuie să fie supusă unui control jurisdicțional complet.

54 Această interpretare este confirmată de contextul în care se înscrie articolul 78 alineatul (1) din RGPD, precum și de obiectivele și de finalitatea pe care le urmărește acest regulament.

55 În ceea ce privește contextul care însoțește această dispoziție, trebuie să se arate că, în conformitate cu articolul 8 alineatul (3) din cartă, precum și cu articolul 51 alineatul (1) și cu articolul 57 alineatul (1) litera (a) din RGPD, autoritățile naționale de supraveghere sunt responsabile să supravegheze respectarea normelor Uniunii referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal (Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems, C‑311/18, EU:C:2020:559, punctul 107).

56 În special, în temeiul articolului 57 alineatul (1) litera (f) din RGPD, fiecare autoritate de supraveghere este obligată, pe teritoriul său, să trateze plângerile pe care orice persoană, conform articolului 77 alineatul (1) din acest regulament, are dreptul de a le depune în cazul în care consideră că o prelucrare a datelor cu caracter personal care o vizează încalcă regulamentul menționat și să investigheze într‑o măsură adecvată obiectul acestora. Autoritatea de supraveghere trebuie să soluționeze o astfel de plângere cu toată diligența necesară (Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems, C‑311/18, EU:C:2020:559, punctul 109).

57 În vederea soluționării plângerilor depuse, articolul 58 alineatul (1) din RGPD învestește fiecare autoritate de control cu competențe importante de investigare. Atunci când o asemenea autoritate constată, la finalul investigației sale, o încălcare a dispozițiilor acestui regulament, ea este obligată să reacționeze în mod corespunzător pentru a remedia insuficiența constatată. În acest scop, articolul 58 alineatul (2) din regulamentul respectiv enumeră diferitele competențe corective pe care le are autoritatea de supraveghere (a se vedea în acest sens Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems, C‑311/18, EU:C:2020:559, punctul 111).

58 Rezultă, astfel cum a arătat domnul avocat general la punctul 42 din concluzii, că procedura privind plângerea, care nu se aseamănă cu cea privind o petiție, este concepută ca un mecanism capabil să protejeze în mod eficient drepturile și interesele persoanelor vizate.

59 Or, având în vedere competențele extinse cu care este învestită autoritatea de supraveghere în temeiul RGPD, cerința unei protecții jurisdicționale efective nu ar fi îndeplinită dacă deciziile privind exercitarea de către o asemenea autoritate de supraveghere a unor competențe de investigare sau de adoptare a unor măsuri corective ar fi supuse doar unui control jurisdicțional restrâns.

60 Situația este aceeași în cazul deciziilor de respingere a unei plângeri, întrucât articolul 78 alineatul (1) din RGPD nu face distincție în funcție de natura deciziei adoptate de autoritatea de supraveghere.

61 Referitor la obiectivele urmărite de RGPD, reiese în special din considerentul (10) al acestuia că RGPD urmărește să asigure un nivel ridicat de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în cadrul Uniunii. Considerentul (11) al acestui regulament enunță, în plus, că protecția efectivă a acestor date necesită consolidarea drepturilor persoanelor vizate.

62 Or, dacă articolul 78 alineatul (1) din regulamentul menționat ar trebui interpretat în sensul că acest control jurisdicțional pe care îl urmărește se limitează la a se verifica dacă autoritatea de supraveghere a tratat plângerea, a investigat în mod adecvat obiectul acesteia și l‑a informat pe autorul acesteia cu privire la rezultatul investigației, realizarea obiectivelor și urmărirea finalității aceluiași regulament ar fi neîndoielnic compromise.

63 Pe de altă parte, interpretarea acestei dispoziții potrivit căreia o decizie adoptată de o autoritate de supraveghere cu privire la o plângere este supusă unui control jurisdicțional complet nu repune în discuție garanțiile de independență de care beneficiază autoritățile de supraveghere și nici dreptul la o cale de atac judiciară eficientă împotriva unui operator sau a unei persoane împuternicite de operator.

64 În primul rând, este adevărat că, în conformitate cu articolul 8 alineatul (3) din cartă, respectarea normelor în materia protecției datelor cu caracter personal este supusă controlului unei autorități independente. În acest context, articolul 52 din RGPD precizează printre altele că fiecare autoritate de supraveghere beneficiază de independență deplină în îndeplinirea sarcinilor sale și exercitarea competențelor sale în conformitate cu acest regulament [alineatul (1)], că membrul sau membrii fiecărei autorități de supraveghere, în cadrul îndeplinirii sarcinilor și al exercitării competențelor sale (lor), rămâne (rămân) independent (independenți) de orice influență externă [alineatul (2)] și că fiecare stat membru se asigură că fiecare autoritate de supraveghere dispune de resursele necesare pentru îndeplinirea sarcinilor și exercitarea efectivă a competențelor sale [alineatul (4)].

65 Aceste garanții de independență nu sunt însă nicidecum compromise de faptul că deciziile obligatorii din punct de vedere juridic ale unei autorități de supraveghere sunt supuse unui control jurisdicțional complet.

66 În al doilea rând, în ceea ce privește dreptul la o cale de atac judiciară eficientă împotriva unui operator sau a unei persoane împuternicite de operator, prevăzut la articolul 79 alineatul (1) din RGPD, este necesar să se arate că, potrivit jurisprudenței Curții, căile de atac prevăzute la articolul 78 alineatul (1) și, respectiv, la articolul 79 alineatul (1) din acest regulament pot fi exercitate în mod concurent și independent (Hotărârea din 12 ianuarie 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punctul 35 și dispozitivul). În acest context, Curtea a considerat printre altele că punerea la dispoziție a mai multor căi de atac consolidează obiectivul enunțat în considerentul (141) al regulamentului menționat de a garanta oricărei persoane interesate care apreciază că îi sunt încălcate drepturile ce îi sunt conferite de același regulament că dispune de dreptul la o cale de atac eficientă în conformitate cu articolul 47 din cartă (Hotărârea din 12 ianuarie 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punctul 44).

67 În consecință și chiar dacă revine statelor membre, în acord cu principiul autonomiei procedurale, sarcina de a prevedea modalitățile de articulare a acestor căi de atac (Hotărârea din 12 ianuarie 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punctul 45 și dispozitivul), existența dreptului la o cale de atac judiciară eficientă împotriva unui operator sau a unei persoane împuternicite de operator, prevăzut la articolul 79 alineatul (1) din RGPD, nu produce efecte asupra întinderii controlului jurisdicțional exercitat, în cadrul unei căi de atac formulate în temeiul articolului 78 alineatul (1) din acest regulament, asupra unei decizii adoptate de o autoritate de supraveghere cu privire la o plângere.

68 Cu toate acestea, este necesar să se adauge că, deși, astfel cum s‑a amintit la punctul 56 din prezenta hotărâre, autoritatea de supraveghere trebuie să trateze o plângere cu toată diligența necesară, această autoritate dispune, referitor la măsurile corective enumerate la articolul 58 alineatul (2) din RGPD, de o marjă de apreciere în ceea ce privește alegerea mijloacelor adecvate și necesare (a se vedea în acest sens Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems, C‑311/18, EU:C:2020:559, punctul 112).

69 Or, deși instanța națională sesizată cu o cale de atac în temeiul articolului 78 alineatul (1) din RGPD trebuie să dispună, astfel cum s‑a constatat la punctul 52 din prezenta hotărâre, de o competență deplină pentru a examina toate chestiunile de fapt și de drept referitoare la litigiul respectiv, garantarea unei protecții jurisdicționale efective nu presupune ca aceasta să fie abilitată să substituie aprecierea acestei autorități cu propria apreciere referitoare la alegerea măsurilor corective adecvate și necesare, ci impune ca instanța respectivă să examineze dacă autoritatea de supraveghere a respectat limitele puterii sale de apreciere.

70 Ținând seama de ansamblul considerațiilor care precedă, este necesar să se răspundă la prima întrebare că articolul 78 alineatul (1) din RGPD trebuie interpretat în sensul că o decizie adoptată de o autoritate de supraveghere cu privire la o plângere este supusă unui control jurisdicțional complet.

Cu privire la întrebările a doua-a cincea

71 Prin intermediul întrebărilor a doua-a cincea, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească:

– dacă articolul 5 alineatul (1) litera (a) din RGPD coroborat cu articolul 6 alineatul (1) primul paragraf litera (f) din acest regulament trebuie interpretat în sensul că se opune unei practici a unor societăți private care furnizează informații comerciale ce constă în stocarea în propriile baze de date a unor informații provenite dintr‑un registru public referitoare la acordarea unei liberări de restul de datorie în favoarea unor persoane fizice și în ștergerea acestor informații la sfârșitul unei perioade de trei ani, în conformitate cu un cod de conduită în sensul articolului 40 din același regulament, cu toate că durata de stocare a informațiilor menționate în registrul public este de șase luni, și

– dacă articolul 17 alineatul (1) literele (c) și (d) din RGPD trebuie interpretat în sensul că o societate privată care furnizează informații comerciale ce au preluat informații referitoare la acordarea unei liberări de restul de datorie dintr‑un registru public are obligația să le șteargă.

Cu privire la articolul 5 alineatul (1) litera (a) din RGPD

72 Potrivit articolului 5 alineatul (1) litera (a) din RGPD, datele cu caracter personal trebuie să fie prelucrate în mod legal, echitabil și transparent față de persoana vizată.

73 În acest context, articolul 6 alineatul (1) primul paragraf din acest regulament prevede o listă exhaustivă și limitativă de cazuri în care o prelucrare de date cu caracter personal poate fi considerată legală. Astfel, pentru a putea fi considerată legitimă, o prelucrare trebuie să se încadreze în unul dintre cazurile prevăzute de această dispoziție [Hotărârea din 4 iulie 2023, Meta Platforms și alții (Condiții generale de utilizare a unei rețele sociale), C‑252/21, EU:C:2023:537, punctul 90, precum și jurisprudența citată].

74 În speță, este cert că legalitatea prelucrării datelor cu caracter personal în discuție în litigiile principale trebuie să fie apreciată doar în lumina articolului 6 alineatul (1) primul paragraf litera (f) din RGPD. Potrivit acestei dispoziții, prelucrarea datelor cu caracter personal este legală numai dacă și în măsura în care este necesară în scopul intereselor legitime urmărite de operator sau de un terț, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

75 Astfel, pentru ca o prelucrare de date cu caracter personal să fie legală, dispoziția menționată prevede trei condiții cumulative și anume, în primul rând, urmărirea unui interes legitim de către operator sau de către un terț, în al doilea rând, necesitatea prelucrării datelor cu caracter personal pentru realizarea interesului legitim urmărit și, în al treilea rând, condiția ca interesele sau libertățile și drepturile fundamentale ale persoanei vizate să prevaleze [Hotărârea din 4 iulie 2023, Meta Platforms și alții (Condiții generale de utilizare a unei rețele sociale), C‑252/21, EU:C:2023:537, punctul 106, precum și jurisprudența citată].

76 În ceea ce privește, în primul rând, condiția referitoare la urmărirea unui „interes legitim”, în lipsa unei definiții a acestei noțiuni în RGPD, trebuie să se sublinieze, astfel cum a arătat domnul avocat general la punctul 61 din concluzii, că o gamă largă de interese poate fi considerată în principiu legitimă.

77 În ceea ce privește, în al doilea rând, condiția referitoare la necesitatea prelucrării datelor cu caracter personal pentru realizarea interesului legitim urmărit, aceasta impune instanței de trimitere să verifice dacă interesul legitim al prelucrării datelor urmărit nu poate fi atins în mod rezonabil la fel de eficient prin alte mijloace care să afecteze mai puțin libertățile și drepturile fundamentale ale persoanelor vizate, în special dreptul la respectarea vieții private și dreptul la protecția datelor cu caracter personal garantate prin articolele 7 și 8 din cartă [Hotărârea din 4 iulie 2023, Meta Platforms și alții (Condiții generale de utilizare a unei rețele sociale), C‑252/21, EU:C:2023:537, punctul 108, precum și jurisprudența citată].

78 În acest context, este necesar să se amintească de asemenea că această condiție privind necesitatea prelucrării trebuie examinată împreună cu principiul „reducerii la minimum a datelor” consacrat la articolul 5 alineatul (1) litera (c) din RGPD, potrivit căruia datele cu caracter personal trebuie să fie „adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate” [Hotărârea din 4 iulie 2023, Meta Platforms și alții (Condiții generale de utilizare a unei rețele sociale), C‑252/21, EU:C:2023:537, punctul 109, precum și jurisprudența citată].

79 În ceea ce privește, în al treilea rând, condiția ca interesele sau libertățile și drepturile fundamentale ale persoanei vizate de protecția datelor să nu prevaleze asupra interesului legitim al operatorului sau al unui terț, Curtea a statuat deja că aceasta implică o evaluare comparativă a drepturilor și a intereselor opuse în cauză care depinde în principiu de împrejurările concrete ale cazului și că, în consecință, instanței de trimitere îi revine sarcina de a efectua această evaluare comparativă ținând seama de împrejurările specifice respective [Hotărârea din 4 iulie 2023, Meta Platforms și alții (Condiții generale de utilizare a unei rețele sociale), C‑252/21, EU:C:2023:537, punctul 110, precum și jurisprudența citată].

80 În plus, astfel cum reiese din considerentul (47) al RGPD, interesele și drepturile fundamentale ale persoanei vizate pot prevala în special în raport cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o asemenea prelucrare [Hotărârea din 4 iulie 2023, Meta Platforms și alții (Condiții generale de utilizare a unei rețele sociale), C‑252/21, EU:C:2023:537, punctul 112].

81 Deși, în definitiv, instanței de trimitere îi revine, așadar, sarcina de a aprecia dacă, în privința prelucrării datelor cu caracter personal în discuție în litigiile principale, sunt îndeplinite cele trei condiții amintite la punctul 75 din prezenta hotărâre, Curtea, pronunțându‑se asupra trimiterii preliminare, poate oferi precizări destinate să orienteze instanța respectivă în această stabilire (a se vedea în acest sens Hotărârea din 20 octombrie 2022, Digi, C‑77/21, EU:C:2022:805, punctul 39 și jurisprudența citată).

82 În speță, în ceea ce privește urmărirea unui interes legitim, SCHUFA arată că societățile care furnizează informații comerciale prelucrează date necesare evaluării bonității persoanelor sau a întreprinderilor pentru a putea pune aceste informații la dispoziția partenerilor lor contractuali. Or, pe lângă faptul că această activitate ar proteja interesele economice ale întreprinderilor care doresc să încheie contracte de creditare, stabilirea bonității și furnizarea de informații privind bonitatea ar constitui temeiul creditului și al capacității de funcționare a economiei. Activitatea acestor societăți ar contribui de asemenea la îndeplinirea dezideratelor comerciale ale persoanelor interesate de operațiuni de creditare, întrucât informațiile ar permite o examinare rapidă și nebirocratică a acestor operațiuni.

83 În această privință, deși prelucrarea datelor cu caracter personal precum cea în discuție în litigiile principale servește intereselor economice ale SCHUFA, această prelucrare servește de asemenea urmăririi interesului legitim al partenerilor contractuali ai SCHUFA, care intenționează să încheie contracte în legătură cu un credit cu persoane, de a putea evalua bonitatea acestora din urmă și, prin urmare, a intereselor sectorului creditelor pe plan socioeconomic.

84 Într‑adevăr, în ceea ce privește contractele de credit pentru consumatori, din articolul 8 din Directiva 2008/48, citit în lumina considerentului (28) al acesteia, reiese că înainte de încheierea unui contract de credit creditorul are obligația să evalueze bonitatea consumatorului pe baza unui volum suficient de informații, inclusiv, dacă este cazul, de informații provenite din baze de date publice și private.

85 În plus, în ceea ce privește contractele de credit pentru consumatori referitoare la bunuri imobile rezidențiale, din articolul 18 alineatul (1) și din articolul 21 alineatul (1) din Directiva 2014/17, citite în lumina considerentelor (55) și (59) ale acesteia, reiese că creditorul trebuie să efectueze o evaluare riguroasă a bonității consumatorului și că el dispune de acces la bazele de date privind creditul, consultarea unor asemenea baze de date fiind un element util în scopul acestei evaluări.

86 Este necesar să se adauge că obligația de evaluare a bonității consumatorilor, astfel cum este prevăzută de Directivele 2008/48 și 2014/17, urmărește nu numai să protejeze solicitantul de credit, ci și, după cum se subliniază în considerentul (26) al Directivei 2008/48, să garanteze buna funcționare a sistemului de credit în ansamblul său.

87 Se impune totodată ca prelucrarea datelor să fie necesară pentru realizarea intereselor legitime urmărite de operator sau de un terț și ca interesele sau libertățile și drepturile fundamentale ale persoanei vizate să nu prevaleze asupra acestora. În cadrul acestei evaluări comparative a drepturilor și a intereselor opuse în cauză, și anume cele ale operatorului și ale terților implicați, pe de o parte, și cele ale persoanei vizate, pe de altă parte, trebuie să se țină seama, astfel cum s‑a arătat la punctul 80 din prezenta hotărâre, în special de așteptările rezonabile ale persoanei vizate, precum și de întinderea prelucrării în cauză și de impactul acesteia asupra persoanei respective [a se vedea Hotărârea din 4 iulie 2023, Meta Platforms și alții (Condiții generale de utilizare a unei rețele sociale), C‑252/21, EU:C:2023:537, punctul 116].

88 În ceea ce privește articolul 6 alineatul (1) primul paragraf litera (f) din RGPD, Curtea a statuat că această dispoziție trebuie interpretată în sensul că o prelucrare poate fi considerată necesară în scopul intereselor legitime urmărite de operator sau de un terț, în sensul acestei dispoziții, numai dacă această prelucrare este efectuată în limitele strictului necesar pentru realizarea acestui interes legitim și dacă reiese dintr‑o evaluare comparativă a intereselor opuse, în raport cu ansamblul circumstanțelor relevante, că interesele sau libertățile și drepturile fundamentale ale persoanelor vizate de prelucrare nu prevalează asupra interesului legitim respectiv al operatorului sau al unui terț [a se vedea în acest sens Hotărârea din 4 mai 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, punctul 30, precum și Hotărârea din 4 iulie 2023, Meta Platforms și alții (Condiții generale de utilizare a unei rețele sociale), C‑252/21, EU:C:2023:537, punctul 126].

89 În acest context, instanța de trimitere se referă la două aspecte ale prelucrării datelor cu caracter personal în discuție în litigiile principale. În primul rând, această prelucrare ar implica o stocare multiformă a datelor, și anume nu numai într‑un registru public, ci și în bazele de date ale societăților care furnizează informații comerciale, cu precizarea că aceste societăți ar efectua stocarea nu cu ocazia unui caz concret, ci în eventualitatea în care partenerii lor contractuali le‑ar solicita asemenea informații. În al doilea rând, societățile respective ar stoca aceste date timp de trei ani, pe baza unui cod de conduită în sensul articolului 40 din RGPD, cu toate că legislația națională ar prevedea, în ceea ce privește registrul public, o perioadă de stocare de numai șase luni.

90 Referitor la primul dintre aceste aspecte, SCHUFA susține că ar fi imposibil să se furnizeze informații în timp util în cazul în care o societate care furnizează informații comerciale ar fi obligată să aștepte o solicitare concretă înainte de a putea să înceapă colectarea datelor.

91 În această privință, instanței de trimitere îi revine sarcina de a verifica dacă stocarea datelor în discuție de către SCHUFA în propriile baze de date este limitată la strictul necesar pentru realizarea interesului legitim urmărit, cu toate că datele în discuție pot fi consultate în registrul public și fără ca o întreprindere comercială să fi solicitat informații într‑un caz concret. Dacă nu aceasta ar fi situația, stocarea acestor date de către SCHUFA nu ar putea fi considerată ca fiind necesară în perioada punerii la dispoziția publicului a datelor respective.

92 În legătură cu perioada de stocare a datelor, trebuie să se considere că examinările celei de a doua și celei de a treia condiții amintite la punctul 75 din prezenta hotărâre se confundă în măsura în care aprecierea aspectului dacă, în speță, interesele legitime urmărite de prelucrarea datelor cu caracter personal în discuție în litigiile principale nu pot fi atinse în mod rezonabil printr‑o perioadă mai scurtă de stocare a datelor necesită o evaluare comparativă a drepturilor și a intereselor opuse în cauză.

93 În ceea ce privește evaluarea comparativă a intereselor legitime urmărite, este necesar să se arate că, în măsura în care analiza efectuată de o societate care furnizează informații comerciale face posibilă evaluarea obiectivă și fiabilă a bonității clienților potențiali ai partenerilor contractuali ai societății care furnizează aceste informații comerciale, ea permite compensarea unor disparități în informații și, așadar, reducerea riscurilor de fraudă, precum și a altor incertitudini.

94 În ceea ce privește, în schimb, drepturile și interesele persoanei vizate, prelucrarea datelor referitoare la acordarea unei liberări de restul de datorie care este efectuată de o societate care furnizează informații comerciale, precum stocarea, analiza și comunicarea acestor date unui terț, constituie o ingerință gravă în drepturile fundamentale ale persoanei vizate, consacrate la articolele 7 și 8 din cartă. Astfel, asemenea date sunt utilizate ca un factor negativ la evaluarea bonității persoanei vizate și constituie, așadar, informații sensibile cu privire la viața sa privată (a se vedea în acest sens Hotărârea din 13 mai 2014, Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 98). Prelucrarea lor poate vătăma în mod considerabil interesele persoanei vizate în cazul în care această comunicare este de natură să complice în mod semnificativ exercitarea libertăților sale, în special atunci când este vorba despre acoperirea unor nevoi de bază.

95 În plus, astfel cum a arătat Comisia, cu cât stocarea datelor în cauză de către societățile care furnizează informații comerciale este mai lungă, cu atât consecințele asupra intereselor și asupra vieții private ale persoanei vizate sunt mai importante și cu atât cerințele referitoare la legalitatea stocării acestor informații sunt mai ridicate.

96 Pe de altă parte, este necesar să se arate că, astfel cum reiese din considerentul (76) al Regulamentului 2015/848, obiectivul unui registru public de insolvență este o mai bună informare a creditorilor, precum și a instanțelor relevante. În acest context, articolul 79 alineatul (5) din acest regulament se limitează să prevadă că statele membre informează persoanele vizate în legătură cu perioada de accesibilitate stabilită pentru datele cu caracter personal stocate în registrele de insolvență, fără a stabili un termen pentru stocarea datelor respective. În schimb, din articolul 79 alineatul (4) din acest regulament reiese că statele membre răspund, în conformitate cu acesta, de colectarea și stocarea datelor cu caracter personal în bazele de date naționale. Termenul de stocare a acestor date trebuie să fie stabilit, așadar, cu respectarea regulamentului menționat.

97 În speță, legiuitorul german prevede că informația privind acordarea unei liberări de restul de datorie este stocată în registrul de insolvență doar timp de șase luni. Acesta consideră, așadar, că, după expirarea unui termen de șase luni, drepturile și interesele persoanei vizate prevalează asupra intereselor publicului de a dispune de această informație.

98 În plus, astfel cum a arătat domnul avocat general la punctul 75 din concluzii, liberarea de restul de datorie este menită să permită persoanei care beneficiază de aceasta să participe din nou la viața economică și are, prin urmare, în general, o importanță existențială pentru acea persoană. Or, realizarea acestui obiectiv ar fi compromisă în cazul în care societățile care furnizează informații comerciale ar putea, în scopul evaluării situației economice a unei persoane, să stocheze date referitoare la o liberare de restul de datorie și să utilizeze asemenea date după ce au fost șterse din registrul public de insolvență, în măsura în care datele respective sunt încă utilizate ca un factor negativ la evaluarea bonității unei asemenea persoane.

99 În aceste condiții, interesele sectorului creditelor de a dispune de informații cu privire la o liberare de restul de datorie nu pot justifica o prelucrare a datelor cu caracter personal precum cea în discuție în litigiile principale după expirarea termenului de stocare a datelor în registrul public de insolvență, astfel încât stocarea acestor date de către o societate care furnizează informații comerciale nu se poate întemeia pe articolul 6 alineatul (1) primul paragraf litera (f) din RGPD în ceea ce privește perioada ulterioară ștergerii datelor menționate dintr‑un registru public de insolvență.

100 Referitor la perioada de șase luni în care datele în discuție sunt deopotrivă disponibile în acest registru public este necesar să se arate că, deși efectele unei stocări în paralel a acestor date în baze de date ale unor asemenea societăți pot fi considerate mai puțin grave numai după curgerea celor șase luni, această stocare constituie totuși o ingerință în drepturile consacrate la articolele 7 și 8 din cartă. În această privință, Curtea a statuat deja că prezența acelorași date cu caracter personal în mai multe surse accentuează ingerința în dreptul persoanei la viață privată (a se vedea Hotărârea din 13 mai 2014, Google Spain și Google, C‑131/12, EU:C:2014:317, punctele 86 și 87). Este de competența instanței de trimitere să evalueze comparativ interesele în discuție și efectele asupra persoanei vizate pentru a stabili dacă stocarea paralelă a acestor date de către societăți private care furnizează informații comerciale poate fi considerată ca fiind limitată la strictul necesar, astfel cum impune jurisprudența Curții citată la punctul 88 din prezenta hotărâre.

101 În sfârșit, în ceea ce privește existența, precum în speță, a unui cod de conduită care prevede că o societate care furnizează informații comerciale trebuie să șteargă datele referitoare la o liberare de restul de datorie după expirarea unui termen de trei ani, trebuie amintit că, în conformitate cu articolul 40 alineatele (1) și (2) din RGPD, codurile de conduită sunt menite să contribuie la buna aplicare a acestui regulament, ținând seama de caracteristicile specifice ale diverselor sectoare de prelucrare și de nevoile specifice ale microîntreprinderilor și ale întreprinderilor mici și mijlocii. Astfel, asociațiile și alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot elabora coduri de conduită sau le pot modifica ori extinde pe cele existente în scopul de a specifica modul de aplicare a acestui regulament, precum prelucrarea în mod echitabil și transparent, interesele legitime urmărite de operatori în contexte specifice și colectarea datelor cu caracter personal.

102 În plus, în temeiul articolului 40 alineatul (5) din RGPD, un proiect de cod este prezentat autorității de supraveghere competente, care îl aprobă în cazul în care constată că acesta oferă garanții adecvate suficiente.

103 În speță, codul de conduită în discuție în litigiile principale a fost elaborat de asociația ce regrupează societățile germane care furnizează informații comerciale și a fost aprobat de autoritatea de supraveghere competentă.

104 În aceste împrejurări, deși, conform articolului 40 alineatele (1) și (2) din RGPD, un cod de conduită este menit să contribuie la buna aplicare a acestui regulament și să îi specifice modul de aplicare, nu este mai puțin adevărat că, așa cum a arătat domnul avocat general la punctele 103 și 104 din concluzii, condițiile de legalitate a unei prelucrări a datelor cu caracter personal prevăzute de un asemenea cod nu pot fi diferite de condițiile prevăzute la articolul 6 alineatul (1) din RGPD.

105 Astfel, un cod de conduită care conduce la o apreciere diferită de cea care este obținută în aplicarea articolului 6 alineatul (1) primul paragraf litera (f) din RGPD nu poate fi luat în considerare în evaluarea comparativă efectuată în temeiul acestei dispoziții.

Cu privire la articolul 17 din RGPD

106 În sfârșit, instanța de trimitere ridică în esență problema obligațiilor ce revin unei societăți care furnizează informații comerciale în temeiul articolului 17 din RGPD.

107 În această privință, trebuie amintit că, în conformitate cu articolul 17 alineatul (1) litera (d) din RGPD, la care se referă instanța de trimitere, persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal, fără întârzieri nejustificate, în cazul în care datele cu caracter personal au fost prelucrate ilegal.

108 Prin urmare, potrivit modului clar de redactare a acestei dispoziții, în ipoteza în care instanța de trimitere ar trebui să concluzioneze, la finalul aprecierii sale cu privire la legalitatea prelucrării datelor cu caracter personal în discuție în litigiile principale, că această prelucrare nu este legală, operatorului, în speță SCHUFA, i‑ar reveni sarcina de a șterge datele în cauză, fără întârzieri nejustificate. Un asemenea caz ar fi, în conformitate cu constatările din cuprinsul punctului 99 din prezenta hotărâre, o prelucrare a datelor cu caracter personal care este efectuată după expirarea termenului de stocare a datelor de șase luni în registrul public de insolvență.

109 În ceea ce privește prelucrarea care intervine în perioada de șase luni în care datele sunt disponibile în registrul public de insolvență, în ipoteza în care instanța de trimitere ar trebui să concluzioneze că prelucrarea era conformă cu articolul 6 alineatul (1) primul paragraf litera (f) din RGPD, s‑ar aplica articolul 17 alineatul (1) litera (c) din acest regulament.

110 Această dispoziție prevede dreptul la ștergerea datelor cu caracter personal în cazul în care persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) din RGPD și nu există „motive legitime [imperioase] care să prevaleze în ceea ce privește prelucrarea”. În temeiul acestei din urmă dispoziții, persoana vizată are dreptul să se opună în orice moment, din motive legate de situația particulară în care se află, prelucrării în temeiul articolului 6 alineatul (1) primul paragraf litera (e) sau (f) din RGPD, a datelor cu caracter personal care o privesc. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.

111 Rezultă din coroborarea acestor dispoziții că, astfel cum a arătat domnul avocat general la punctul 93 din concluzii, persoana vizată dispune de un drept de a se opune prelucrării și de un drept la ștergerea datelor, cu excepția cazului în care există motive legitime imperioase care prevalează asupra intereselor și a drepturilor și libertăților acestei persoane, în sensul articolului 21 alineatul (1) din RGPD, pe care operatorul trebuie să le demonstreze.

112 Prin urmare, în cazul în care operatorul nu efectuează o asemenea demonstrație, persoana vizată are dreptul de a solicita ștergerea datelor respective în temeiul articolului 17 alineatul (1) litera (c) din RGPD atunci când se opune prelucrării în conformitate cu articolul 21 alineatul (1) din acest regulament. Este de competența instanței de trimitere să examineze dacă există, cu titlu excepțional, motive legitime imperioase de natură să justifice prelucrarea în cauză.

113 Ținând seama de ansamblul considerațiilor care precedă, este necesar să se răspundă la întrebările a doua-a cincea în modul următor:

– articolul 5 alineatul (1) litera (a) din RGPD coroborat cu articolul 6 alineatul (1) primul paragraf litera (f) din acest regulament trebuie interpretat în sensul că se opune unei practici a unor societăți private care furnizează informații comerciale ce constă în stocarea în propriile baze de date a unor informații provenite dintr‑un registru public referitoare la acordarea unei liberări de restul de datorie în favoarea unor persoane fizice pentru a putea furniza informații privind bonitatea acestor persoane pe o perioadă care depășește perioada în care datele sunt stocate în registrul public;

– articolul 17 alineatul (1) litera (c) din RGPD trebuie interpretat în sensul că persoana vizată are dreptul de a obține de la operator ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, atunci când ea se opune prelucrării în conformitate cu articolul 21 alineatul (1) din acest regulament și când nu există motive legitime imperioase de natură să justifice, cu titlu excepțional, prelucrarea în cauză;

– articolul 17 alineatul (1) litera (d) din RGPD trebuie interpretat în sensul că operatorul este obligat să șteargă, fără întârzieri nejustificate, datele cu caracter personal care au fost prelucrate ilegal.

Cu privire la cheltuielile de judecată

114 Întrucât, în privința părților din litigiile principale, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Camera întâi) declară:

1) Articolul 78 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

trebuie interpretat în sensul că

o decizie adoptată de o autoritate de supraveghere cu privire la o plângere este supusă unui control jurisdicțional complet.

2) Articolul 5 alineatul (1) litera (a) din Regulamentul 2016/679 coroborat cu articolul 6 alineatul (1) primul paragraf litera (f) din acest regulament

trebuie interpretat în sensul că

se opune unei practici a unor societăți private care furnizează informații comerciale ce constă în stocarea în propriile baze de date a unor informații provenite dintr‑un registru public referitoare la acordarea unei liberări de restul de datorie în favoarea unor persoane fizice pentru a putea furniza informații privind bonitatea acestor persoane pe o perioadă care depășește perioada în care datele sunt stocate în registrul public.

3) Articolul 17 alineatul (1) litera (c) din Regulamentul 2016/679

trebuie interpretat în sensul că

persoana vizată are dreptul de a obține de la operator ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, atunci când ea se opune prelucrării în conformitate cu articolul 21 alineatul (1) din acest regulament și când nu există motive legitime imperioase de natură să justifice, cu titlu excepțional, prelucrarea în cauză.

4) Articolul 17 alineatul (1) litera (d) din Regulamentul 2016/679

trebuie interpretat în sensul că

operatorul este obligat să șteargă, fără întârzieri nejustificate, datele cu caracter personal care au fost prelucrate ilegal.

Semnături

* Limba de procedură: germana.