Ediție provizorie
CONCLUZIILE AVOCATULUI GENERAL
DOMNUL PRIIT PIKAMÄE
prezentate la 22 februarie 2024(1)
Cauza C‑693/22
I. sp. z o. o.
împotriva
M. W.
[cerere de decizie preliminară formulată de Sąd Rejonowy dla m.st. Warszawy w Warszawie (Tribunalul Districtual al Orașului Varșovia, Polonia)]
„Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Vânzarea unei baze de date care conține date cu caracter personal în cadrul unei proceduri de executare silită – Articolul 4 punctul 7 – Noțiunea de «operator» – Articolul 5 alineatul (1) litera (b) – Limitări legate de scop – Articolul 6 alineatele (1), (3) și (4) – Legalitatea prelucrării – Respectarea unei obligații legale impuse operatorului – Îndeplinirea unei sarcini care servește unui interes public – Articolul 23 alineatul (1) litera (j) – Punerea în aplicare a pretențiilor de drept civil – Măsură necesară și proporțională”
1. Vânzarea, în cadrul unei proceduri de executare silită, a unei baze de date care conține date cu caracter personal poate fi conformă cu dispozițiile Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (denumit în continuare „RGPD”)(2) atunci când persoanele vizate nu și‑au dat consimțământul pentru o astfel de vânzare?
2. Aceasta este întrebarea principală adresată Curții de Sąd Rejonowy dla m. st. Warszawy w Warszawie (Tribunalul Districtual al Orașului Varșovia, Polonia) în cadrul prezentei trimiteri preliminare.
3. Curtea va trebui, așadar, să examineze o situație specială din perspectiva RGPD și să adopte o poziție cu privire la anumite elemente‑cheie ale acestui regulament, precum noțiunea de „operator”, legalitatea prelucrării și întinderea principiului limitărilor legate de scop.
I. Cadrul juridic
A. Dreptul Uniunii
4. Articolul 4 din RGPD prevede:
„În sensul prezentului regulament:
1. «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); […]
2. «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
[…]
7. «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
[…]”
5. Articolul 5 din acest regulament, intitulat „Principii legate de prelucrarea datelor cu caracter personal”, prevede la alineatele (1) și (2):
„(1) Datele cu caracter personal sunt:
(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată («legalitate, echitate și transparență»);
(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într‑un mod incompatibil cu aceste scopuri; […]
(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate («reducerea la minimum a datelor»);
[…]
(2) Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”
6. Articolul 6 din regulamentul menționat, intitulat „Legalitatea prelucrării”, are următorul cuprins:
„(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
(a) persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
[…]
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
[…]
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
[…]
(3) Temeiul pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în:
(a) dreptul Uniunii; sau
(b) dreptul intern care se aplică operatorului.
Scopul prelucrării este stabilit pe baza respectivului temei juridic sau, în ceea ce privește prelucrarea menționată la alineatul (1) litera (e), este necesar pentru îndeplinirea unei sarcini efectuate în interes public sau în cadrul exercitării unei funcții publice atribuite operatorului. […] Dreptul Uniunii sau dreptul intern urmărește un obiectiv de interes public și este proporțional cu obiectivul legitim urmărit.
(4) În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimțământul persoanei vizate sau pe dreptul Uniunii sau dreptul intern, care constituie o măsură necesară și proporțională într‑o societate democratică pentru a proteja obiectivele menționate la articolul 23 alineatul (1), operatorul, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate inițial, ia în considerare, printre altele:
(a) orice legătură dintre scopurile în care datele cu caracter personal au fost colectate și scopurile prelucrării ulterioare preconizate;
(b) contextul în care datele cu caracter personal au fost colectate, în special în ceea ce privește relația dintre persoanele vizate și operator;
(c) natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale de date cu caracter personal, în conformitate cu articolul 9, sau în cazul în care sunt prelucrate date cu caracter personal referitoare la condamnări penale și infracțiuni, în conformitate cu articolul 10;
(d) posibilele consecințe asupra persoanelor vizate ale prelucrării ulterioare preconizate;
(e) existența unor garanții adecvate, care pot include criptarea sau pseudonimizarea.”
7. Articolul 23 alineatul (1) din RGPD, intitulat „Restricții”, prevede:
„(1) Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr‑o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 12-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într‑o societate democratică, pentru a asigura:
[…]
(j) punerea în aplicare a pretențiilor de drept civil.”
B. Dreptul polonez
8. Articolul 299 din ustawa Kodeks spółek handlowych (Legea privind Codul societăților comerciale) din 15 septembrie 2000 (Dz. U. din 2022, poziția 1467, denumită în continuare „Codul societăților comerciale”) are următorul cuprins:
„§ 1. În cazul în care executarea silită împotriva societății se dovedește a fi ineficientă, membrii consiliului de administrație sunt răspunzători în mod solidar pentru obligațiile ei.
§ 2. Un membru al consiliului de administrație se poate exonera de răspunderea prevăzută la alineatul 1 în cazul în care dovedește că o cerere de declarare a falimentului a fost depusă în timp util sau că o decizie privind deschiderea procedurii de restructurare ori privind aprobarea unui concordat în cadrul procedurii de aprobare a unui concordat preventiv a fost emisă în același timp sau că omisiunea de a depune o cerere de declarare a falimentului nu îi este imputabilă sau că, în pofida omisiunii de a depune o cerere de declarare a falimentului ori a neemiterii unei decizii privind deschiderea procedurii de restructurare ori a neaprobării unui concordat preventiv în cadrul procedurii de aprobare a unui concordat preventiv, creditorul nu a suferit un prejudiciu.”
9. Potrivit articolului 796 alineatul 1 din ustawa Kodeks postępowania cywilnego (Legea privind Codul de procedură civilă) din 17 noiembrie 1964 (Dz. U. din 2021, poziția 1805), cu modificările ulterioare (denumită în continuare „Codul de procedură civilă”):
„Cererea de deschidere a procedurii de executare se depune, după caz, la instanța de judecată sau la executorul judecătoresc. Cererea adresată executorului judecătoresc poate fi depusă pe un formular oficial.”
10. Articolul 799 alineatul 1 prima teză din Codul de procedură civilă prevede:
„O cerere de începere a executării silite sau o somație de executare din oficiu permite ca executarea să se desfășoare conform tuturor metodelor permise, cu excepția executării silite asupra imobilului. [...]”
11. Articolul 824 alineatul 1 punctul 3 din acest cod are următorul cuprins:
„Încetarea completă sau parțială a procedurii de executare judiciară se constată din oficiu:
[...]
3) atunci când este evident că prin executarea silită nu se va obține o sumă mai mare decât costurile punerii în aplicare a acesteia.”
12. Articolul 831 din codul menționat prevede:
„§ 1 Nu pot face obiectul executării silite:
[…]
3) drepturile netransferabile, cu excepția cazului în care transferabilitatea este exclusă prin contract, iar obiectul prestației este executoriu sau exercitarea dreptului poate fi încredințată unei alte persoane.”
13. Ustawa o komornikach sądowych (Legea privind executorii judecătorești) din 22 martie 2018 (Dz. U. din 2022, poziția 1168), cu modificările ulterioare (denumită în continuare „Legea privind executorii judecătorești”), reglementează statutul și activitățile executorilor judecătorești. Potrivit articolului 3 alineatele 1 și 3:
„Executorul judecătoresc este un organ al autorității publice care efectuează acte în cadrul procedurilor de executare silită și asigurătorii. Aceste acte sunt îndeplinite de executorul judecătoresc, sub rezerva excepțiilor prevăzute de lege.
[…]
Executorul judecătoresc are următoarele sarcini:
1) executarea hotărârilor judecătorești în cauzele privind creanțe pecuniare și nepecuniare și depunerea de garanții, inclusiv ordonanțe asigurătorii europene de indisponibilizare a conturilor bancare, sub rezerva excepțiilor prevăzute de [Codul de procedură civilă];
[…]”
14. Articolul 9 alineatul 1 din această lege prevede:
„Executorul judecătoresc nu poate refuza o cerere având ca obiect:
1) punerea în aplicare a unei executări silite,
[…]
acte pentru care este competent în conformitate cu dispozițiile [Codului de procedură civilă]”.
15. Articolul 31 alineatul 1 prima teză din legea menționată are următorul cuprins:
„Executorul judecătoresc transferă către creditor creanțele executate silit dintr-un cont bancar, un cont deținut la o cooperativă de credit sau la un operator care desfășoară activitatea de brokeraj, dobândite în urma primei plăți realizate de către debitorul creanței poprite, nu mai devreme de a șaptea zi și nu mai târziu de a paisprezecea zi de la data primirii lor. […]”
16. Ustawa o ochronie baz danych (Legea privind protecția bazelor de date) din 27 iulie 2001 (Dz. U. din 2021, poziția 386) (denumită în continuare „Legea privind protecția bazelor de date”) prevede la articolul 2 alineatul 1 punctul 1:
„În sensul prezentei legi:
1. «bază de date» înseamnă o culegere de date sau de alte elemente colectate conform unei metode sau unui sistem specifice, accesibile individual în orice mod, inclusiv prin mijloace electronice, care necesită o investiție substanțială din punct de vedere calitativ sau cantitativ pentru a pregăti, verifica sau prezenta conținutul ei.”
17. Articolul 6 alineatul 1 din Legea privind protecția bazelor de date prevede:
„Producătorul bazei de date are dreptul exclusiv și alienabil de a extrage datele și de a le reutiliza, integral sau o parte substanțială, evaluată calitativ sau cantitativ.”
II. Litigiul principal, întrebarea preliminară și procedura în fața Curții
18. Societatea I. (denumită în continuare „reclamanta” sau „societatea creditoare”), cu sediul în Polonia, deține o creanță, confirmată printr‑o hotărâre judecătorească definitivă, față de societatea NMW, specializată în vânzarea online, în care M.W. este membru al consiliului de administrație.
19. La cererea reclamantei, împotriva societății NMW a fost inițiată o procedură de executare în vederea satisfacerii acestei creanțe. Procedura respectivă s‑a finalizat printr‑o decizie a executorului judecătoresc de a înceta executarea menționată pentru motivul că societatea NMW nu avea active care puteau face obiectul acesteia. În aceste condiții, reclamanta a introdus o acțiune împotriva lui M.W. la Sąd Rejonowy dla m. st. Warszawy w Warszawie (Tribunalul Districtual al Orașului Varșovia) în temeiul articolului 299 alineatul 1 din Codul societăților comerciale, care prevede răspunderea patrimonială a unui membru al consiliului de administrație al societății debitoare în cazul imposibilității recuperării unei creanțe prin intermediul activelor acestei societăți.
20. M.W. a solicitat respingerea acestei acțiuni pentru motivul că societatea NMW deținea active având fiecare o valoare mai mare decât creanța reclamantei, și anume un cod sursă al unui software pentru cumpărături online combinat cu un serviciu de quasi‑cashback (denumit în continuare „platforma M.”) și două baze de date ale utilizatorilor acestei platforme.
21. Instanța de trimitere arată totuși că vânzarea doar a platformei M., fără aceste baze de date, nu ar fi la fel de atractivă pe piață ca aceea a întregului „pachet”.
22. Prin urmare, este necesar, potrivit acestei instanțe, să se obțină un răspuns la întrebarea dacă bazele de date create de NMW pot fi înstrăinate în cadrul unei proceduri de executare judiciară. Un răspuns afirmativ ar conduce, în fapt, la respingerea acțiunii principale.
23. În această privință, instanța de trimitere precizează că, deși nu este ținută de evaluarea valorii activelor în cauză pe care s‑a întemeiat M.W. – cu atât mai mult cu cât această evaluare nu a fost realizată de un expert judiciar –, răspunsul la întrebarea menționată mai sus rămâne necesar pentru soluționarea litigiului principal, în măsura în care dispozițiile care reglementează procedura civilă poloneză nu permit administrarea unei astfel de probe fără ca relevanța sa să fie stabilită în prealabil.
24. Această instanță consideră că bazele de date în cauză intră în sfera noțiunii de „bază de date” în sensul articolului 1 din Directiva 96/9/CE a Parlamentului European și a Consiliului din 11 martie 1996 privind protecția juridică a bazelor de date(3), așa încât titularul lor, societatea NMW, ar deține dreptul patrimonial de a înstrăina aceste baze de date în temeiul articolului 7 din directiva menționată. Astfel, procedurile de executare ar putea fi desfășurate cu privire la orice drept patrimonial, cu excepția cazului în care o dispoziție ar exclude în mod expres o asemenea posibilitate. Or, legiuitorul polonez nu ar fi prevăzut nicio normă care să interzică executarea silită a unei baze de date precum cea avută în vedere în procedura principală.
25. Instanța de trimitere exprimă îndoieli cu privire la faptul că astfel de baze de date pot face obiectul unei executări judiciare, întrucât conțin date cu caracter personal a sute de mii de utilizatori ai platformei M. și nu există nicio dovadă că utilizatorii acestei platforme și‑ar fi dat consimțământul pentru prelucrarea datelor lor cu caracter personal sub forma punerii la dispoziția unor terți a acestor date în afara platformei menționate. În această privință, ea a precizat că datele în cauză nu se încadrează în categoriile speciale de date cu caracter personal în sensul articolului 9 din RGPD.
26. Această instanță ridică de asemenea problema relației dintre limitările privind prelucrarea datelor cu caracter personal stabilite prin RGPD și dreptul de a dispune în mod liber de o bază de date care decurge din Directiva 96/9 și din dreptul național, care include, în opinia sa, dreptul de a transfera baza de date în cadrul unei proceduri de executare.
27. În acest context, Sąd Rejonowy dla m.st. Warszawy w Warszwawie (Tribunalul Districtual al Orașului Varșovia) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarea întrebare preliminară:
„Articolul 5 alineatul (1) litera (a) coroborat cu articolul 6 alineatul (1) literele (a), (c) și (e) și cu articolul 6 alineatul (3) din [RGPD] trebuie interpretat în sensul că se opune unei dispoziții de drept intern care permite, în cadrul procedurilor de executare silită, vânzarea unei baze de date în sensul articolului 1 alineatul (2) din [Directiva 96/9] care cuprinde date cu caracter personal, în cazul în care persoanele vizate nu au consimțit la o astfel de vânzare?”
28. Guvernul polonez și Comisia Europeană au depus observații scrise. Aceleași părți interesate, precum și I. au prezentat observații orale în ședința din 16 noiembrie 2023.
III. Analiză
A. Cu privire la admisibilitate
29. Trebuie analizate mai întâi două aspecte referitoare la admisibilitatea prezentei întrebări preliminare.
30. În primul rând, reclamanta din litigiul principal a exprimat în ședință îndoieli cu privire la relevanța acestei întrebări. Potrivit acestei părți, societatea NMW și‑ar fi încetat deja activitatea economică în urmă cu câțiva ani. Mai precis, această societate nu ar mai avea consiliu de administrație sau de conducere și nu ar mai furniza servicii utilizatorilor platformei M. din aprilie 2019(4). Astfel, aceasta ar fi încetat în mod necesar orice prelucrare de date cu caracter personal legată de exercitarea activității sale. În aceste condiții, principiul limitărilor legate de scop și cel al limitărilor legate de stocare ar fi impus ștergerea datelor în cauză, în lipsa căreia însăși existența bazelor de date în discuție în litigiul principal ar fi nelegală. Având în vedere cele de mai sus, întrebarea adresată de instanța de trimitere, referitoare la legalitatea vânzării acestora în cadrul unei proceduri de executare silită, nu ar fi relevantă pentru soluționarea litigiului principal.
31. Trebuie să se observe că, potrivit articolului 5 alineatul (1) litera (e) din RGPD, datele cu caracter personal(5) sunt păstrate într‑o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele. Rezultă de aici că chiar și o prelucrare inițial legală a datelor poate deveni cu timpul incompatibilă cu RGPD atunci când aceste date nu mai sunt necesare pentru realizarea unor astfel de scopuri(6). Într‑o asemenea ipoteză, datele trebuie șterse(7). În speță, datele în cauză au fost în mod cert colectate în scopul activității de vânzare online desfășurate de NMW. Dacă aceasta din urmă și‑ar fi încetat activitatea în aprilie 2019, nu există nicio îndoială că aceste date nu ar mai fi fost necesare pentru realizarea acesteia și ar fi trebuit, așadar, să fie șterse. În lipsa unei asemenea ștergeri, existența bazelor de date în discuție nu ar fi conformă cu RGPD, iar lipsa de relevanță a prezentei întrebări preliminare pentru soluționarea litigiului principal ar fi vădită.
32. În aceste condiții, trebuie amintit că, potrivit unei jurisprudențe constante, Curtea este abilitată să se pronunțe numai cu privire la interpretarea dreptului Uniunii în raport cu cadrul factual și juridic definit de instanța națională sub răspunderea sa, fără a putea să îl repună în discuție sau să îi verifice exactitatea(8).
33. Or, din cuprinsul niciunui punct din decizia de trimitere nu reiese că societatea NMW și‑ar fi încetat activitatea în aprilie 2019, astfel cum susține reclamanta.
34. În al doilea rând, instanța de trimitere are îndoieli cu privire la aplicabilitatea RGPD, având în vedere dispozițiile Directivei 96/9.
35. Trebuie amintit, cu titlu introductiv, că Directiva 96/9 are ca obiectiv suprimarea, printr‑o apropiere a legislațiilor naționale, a neconcordanțelor care existau între acestea în materie de protecție juridică a bazelor de date și care denaturau funcționarea pieței interne, libera circulație a mărfurilor și serviciilor în Uniune, precum și dezvoltarea unei piețe informaționale în cadrul acesteia(9). În conformitate cu articolul 1 alineatul (1), această directivă privește protecția juridică a bazelor de date, indiferent de forma acestora, cu precizarea că alineatul (2) al aceluiași articol definește „baza de date” ca fiind „o culegere de opere, de date sau de alte elemente independente, dispuse sistematic sau metodic și accesibile în mod individual prin mijloace electronice sau de altă natură”.
36. Directiva menționată impune tuturor statelor membre să prevadă în dreptul lor național o protecție a bazelor de date printr‑un drept sui generis. Mai precis, articolul 7 alineatul (1) din Directiva 96/9 rezervă producătorului unei baze de date care a necesitat o investiție substanțială, din punct de vedere calitativ și cantitativ, dreptul de a interzice actele de extragere și de reutilizare privind ansamblul sau o parte substanțială a conținutului bazei respective. Acest drept este alienabil în temeiul articolului 7 alineatul (3) din această directivă.
37. Potrivit instanței de trimitere, bazele de date care aparțin societății NMW îndeplinesc condițiile pentru a intra sub incidența protecției asigurate de Legea privind protecția bazelor de date și de Directiva 96/9, dintre care prima constituie transpunerea în ordinea juridică poloneză a celei de a doua. Articolul 6 din această lege prevede printre altele că producătorul dispune de dreptul exclusiv și alienabil de a extrage datele și de a le reutiliza integral sau parțial. Prin urmare, potrivit instanței de trimitere, ar fi vorba despre un drept patrimonial care are o natură absolută și produce efecte erga omnes. În conformitate cu dreptul polonez, orice drept patrimonial ar putea fi vizat de o procedură de executare, sub rezerva unei excepții prevăzute în mod expres de lege. Or, legiuitorul polonez nu ar fi prevăzut nicio normă care să interzică executarea silită a unor baze de date. Ar rezulta că executorul judecătoresc ar fi, în speță, titularul unui drept de a înstrăina bazele de date în numele creditorului, care ar decurge din dreptul producătorului vizat de procedura de executare de a dispune în mod liber de acestea. Invocarea acestui drept ar putea să împiedice aplicarea normelor RGPD într‑un caz precum cel din speță și să determine astfel inadmisibilitatea prezentei întrebări.
38. Mai întâi, trebuie să se observe că dreptul sui generis recunoscut la articolul 7 din această directivă nu este identificat în mod corect de instanța de trimitere. Este vorba în realitate despre un drept de a se opune unor acte care constau în special în reconstituirea bazei de date sau a unei părți substanțiale a acesteia la un cost mult inferior celui pe care îl presupune o concepție autonomă(10), obiectivul astfel urmărit de legiuitorul Uniunii fiind acela de a garanta persoanei care a avut inițiativa și și‑a asumat riscul de a consacra o investiție substanțială obținerii, verificării sau prezentării conținutului unei baze de date remunerarea investiției sale prin protejarea acesteia împotriva însușirii neautorizate a rezultatelor acestei investiții(11).
39. În plus și mai ales, în ceea ce privește relația dintre Directiva 96/9 și RGPD, din articolul 13 din această directivă reiese că ea nu aduce atingere dispozițiilor privind în special protecția datelor cu caracter personal și respectarea vieții private, iar din considerentul (48) al directivei menționate, că dispozițiile sale nu aduc atingere aplicării normelor în materie de protecție a datelor prevăzute de Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date(12), căreia i‑a succedat RGPD(13).
40. Apreciem, așadar, că Curtea ar trebui să se pronunțe cu privire la fondul prezentei cauze.
B. Cu privire la fond
41. Prin intermediul întrebării formulate, instanța de trimitere urmărește să afle în esență dacă articolul 5 alineatul (1) litera (a) și articolul 6 alineatul (1) primul paragraf literele (a), (c) și (e) și alineatul (3) din RGPD trebuie interpretate în sensul că se opun unei reglementări naționale care permite unui executor judecătoresc să vândă, în cadrul unei proceduri de executare silită, o bază de date care conține date cu caracter personal atunci când persoanele vizate de aceste date nu și‑au dat consimțământul pentru o astfel de vânzare.
42. Analiza noastră juridică se va desfășura după cum urmează. În ceea ce privește RGPD, problema aplicabilității acestui regulament în speță și cea referitoare la identificarea operatorului în cauză vor fi abordate înainte de a examina interpretarea normelor care reglementează legalitatea unei astfel de prelucrări.
43. Raționamentul dezvoltat în prezentele concluzii va arăta că dispozițiile dreptului Uniunii pe care Curtea trebuie să le ia în considerare nu coincid decât parțial cu cele evocate în întrebarea preliminară. Prin urmare, răspunsul propus se va referi la aceste dispoziții(14).
Cu privire la existența unei prelucrări și la identificarea operatorului
44. Așa cum reiese din considerentul (10) al RGPD, acesta urmărește în special să asigure un nivel ridicat de protecție a persoanelor fizice în cadrul Uniunii și, în acest scop, să asigure o aplicare consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale acestor persoane în ceea ce privește prelucrarea datelor cu caracter personal în întreaga Uniune(15).
45. Potrivit articolului 2 alineatul (1) din regulamentul menționat, acesta se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență a datelor sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor.
46. Alineatul (2) al acestui articol prevede o serie de exceptări din domeniul de aplicare al regulamentului menționat, întemeiate pe tipul de activitate în cadrul căreia este efectuată prelucrarea. Reiese din jurisprudența Curții că, având în vedere necesitatea de a interpreta aceste excepții în mod restrictiv, este necesar ca activitatea respectivă să figureze printre cele care sunt menționate în mod expres la articolul 2 alineatul (2) din RGPD sau să poată fi încadrată în aceeași categorie ca acestea. Astfel, caracterizarea unei activități ca fiind proprie statului sau unei autorități publice nu este suficientă pentru a se putea considera că prelucrarea în cauză este efectuată în cadrul unei activități care nu intră în domeniul de aplicare al dreptului Uniunii în sensul excepției prevăzute la articolul 2 alineatul (2) litera (a) din RGPD(16).
47. Pentru ceea ce este relevant în cauză, trebuie să se observe că prelucrarea efectuată în cadrul executării silite a unei cereri de drept civil nu este exclusă din domeniul de aplicare al acestui regulament.
48. Limitele domeniului de aplicare al RGPD sunt definite de noțiunea de „prelucrare”. Potrivit articolului 4 punctul 2 din regulamentul menționat, această noțiune include orice operațiune efectuată asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal cu sau fără utilizarea de mijloace automatizate, cum ar fi, printre altele, „extragerea”, „consultarea”, „utilizarea” și „punerea la dispoziție în orice alt mod” a acestor date. Legiuitorul Uniunii a intenționat astfel să confere un domeniu de aplicare larg noțiunii menționate(17).
49. Există în prezenta cauză o prelucrare de date cu caracter personal?
50. Se impune o precizare introductivă. Operațiunile cu privire la date cu caracter personal realizate de societatea NMW în scopul desfășurării activității sale de vânzare online prin intermediul platformei M. nu fac parte din cadrul întrebării adresate de instanța de trimitere. Această întrebare privește exclusiv procedura de executare având ca obiect vânzarea silită a bazelor de date în cauză. Potrivit instanței de trimitere, o astfel de procedură ar implica o prelucrare în sensul RGPD, al cărei operator ar fi executorul judecătoresc.
51. Clarificările furnizate în ședință de guvernul polonez referitoare la misiunea încredințată executorului judecătoresc în cadrul unei astfel de proceduri de executare silită nu lasă să subziste nicio îndoială, în opinia noastră, cu privire la exactitatea acestei interpretări.
52. Guvernul menționat a explicat că procedura în discuție începe prin sechestrul asupra bazei de date, prin care executorul judecătoresc obține acces la datele cu caracter personal care figurează în aceasta pentru a‑i estima valoarea și a o indica în procesul‑verbal de sechestru. În vederea unei astfel de estimări, executorul judecătoresc efectuează o serie de operațiuni, incluzând extragerea, consultarea și utilizarea acestor date(18). Procedura de executare silită se încheie prin înstrăinarea bazei de date prin licitație publică. Odată ce adjudecarea este definitivă și a fost plătit prețul integral, executorul judecătoresc pune la dispoziția cumpărătorului baza de date menționată.
53. Rezultă că datele cu caracter personal conținute în baze de date precum cele în cauză sunt cel puțin extrase, consultate și utilizate de executorul judecătoresc în cadrul estimării valorii acestora, iar ulterior au fost puse la dispoziția cumpărătorului. În această privință, trebuie să se observe că o prelucrare de date cu caracter personal poate fi constituită din mai multe operațiuni, fiecare dintre acestea vizând una dintre diversele etape pe care le poate cuprinde o prelucrare(19). În speță, aceste operațiuni trebuie, așadar, să fie considerate ca reprezentând o „prelucrare” în sensul RGPD.
54. În continuare, este necesar să se identifice operatorul.
55. Amintim că, potrivit articolului 4 punctul 7 din RGPD, noțiunea de „operator” include persoanele fizice sau juridice, autoritățile publice, agențiile sau alte organisme care, singure sau împreună cu altele, stabilesc scopurile și mijloacele de prelucrare(20). Această dispoziție prevede de asemenea că, atunci când scopurile și mijloacele prelucrării sunt stabilite în special prin legislația unui stat membru, operatorul sau criteriile specifice aplicabile pentru desemnarea acestuia pot fi prevăzute în dreptul intern. O astfel de definiție largă a noțiunii de „operator” urmărește să asigure, potrivit unei jurisprudențe constante, o protecție eficientă și completă a persoanelor în cauză(21).
56. Atunci când stabilirea scopurilor și a mijloacelor prelucrării se face prin dreptul intern, trebuie să se verifice, în conformitate cu jurisprudența cea mai recentă, dacă acest drept desemnează operatorul sau prevede criteriile specifice pentru desemnarea acestuia. Desemnarea operatorului prin dreptul intern poate fi nu doar explicită, ci și implicită. În acest din urmă caz, este totuși necesar ca stabilirea respectivă să rezulte în mod suficient de cert din rolul, misiunea și atribuțiile conferite persoanei sau entității în cauză(22).
57. În speță, din articolul 3 alineatul 1 din Legea poloneză privind executorii judecătorești rezultă că executorul judecătoresc este o autoritate publică care efectuează, sub rezerva excepțiilor prevăzute de lege, acte în cadrul, printre altele, al procedurilor de executare silită. În plus și astfel cum s‑a menționat mai sus, din elementele dosarului reiese că, atunci când executarea silită privește baze de date, aceste acte constau în special în extragerea, consultarea, utilizarea datelor cu caracter personal care figurează în acestea în cadrul estimării valorii bazelor de date respective în vederea unei înstrăinări prin licitație publică, precum și în punerea la dispoziția cumpărătorului după ce adjudecarea a rămas definitivă. Considerăm că dreptul polonez a stabilit astfel, cel puțin implicit, scopurile și mijloacele prelucrării de date cu caracter personal efectuate de executorul judecătoresc.
58. Rezultă că executorul judecătoresc poate fi considerat în speță ca fiind, în calitate de autoritate publică însărcinată cu realizarea oricărei proceduri de executare silită, inclusiv cea care are ca obiect o bază de date, operatorul datelor cu caracter personal cuprinse în aceasta, în sensul articolului 4 punctul 7 din RGPD.
59. Instanța de trimitere nu menționează nicio dispoziție de drept polonez care ar pune în sarcina societății debitoare NMW obligații de cooperare cu executorul judecătoresc pentru a‑i permite să estimeze valoarea bazelor de date în cauză în vederea vânzării silite a acestora.
60. Nu se poate exclude că astfel de obligații ar implica efectuarea unei alte prelucrări în sensul RGPD, al cărei operator ar fi această societate. Trebuie amintit în această privință că, în Hotărârea Valsts ieņēmumu dienests (Prelucrarea datelor cu caracter personal în scopuri fiscale), Curtea a considerat că comunicarea și punerea la dispoziția administrației fiscale a unui stat membru de către un operator economic a unor date cu caracter personal pe care acesta din urmă este obligat din punct de vedere juridic să le furnizeze implicau o astfel de prelucrare, care se adaugă la prelucrarea efectuată de această administrație prin intermediul cererii prin care ea a solicitat comunicarea și punerea la dispoziție a datelor respective(23).
61. Mai puțin probabil, deși se poate concepe în mod abstract, este ca executorul judecătoresc și societatea debitoare NMW să poată fi considerați în comun operatori pentru prelucrările efectuate cu privire la datele cu caracter personal în cauză în scopul vânzării silite. Această concluzie este posibilă, potrivit Hotărârii État belge (Date prelucrate de un jurnal oficial), atunci când diferitele operațiuni de prelucrare sunt unite prin scopuri și mijloace stabilite în temeiul dreptului național, iar acesta definește obligațiile fiecăruia dintre operatorii asociați(24).
62. În aceste condiții, analiza care urmează se întemeiază, având în vedere elementele speței, pe premisa potrivit căreia executorul judecătoresc este singurul operator în cauză în litigiul principal.
63. În calitate de operator, executorul judecătoresc este responsabil nu numai de respectarea principiilor care reglementează prelucrarea datelor cu caracter personal(25), ci este și destinatarul unui număr considerabil de obligații, cărora le corespund drepturi pentru persoanele vizate(26). Aceste obligații pot fi limitate de legiuitorul național numai în condițiile prevăzute la articolul 23 din RGPD. Întrebat în ședință cu privire la existența unor astfel de dispoziții legislative în dreptul național, guvernul polonez a indicat doar articolul 4 din Legea privind protecția datelor. Acest articol limitează însă numai domeniul de aplicare al obligațiilor operatorului care exercită o misiune publică și care rezultă din articolul 14 alineatele (1), (2) și (4) din RGPD („Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată”).
Cu privire la legalitatea prelucrării datelor cu caracter personal în cauză
64. Astfel cum a statuat Curtea în mod repetat, orice prelucrare a datelor cu caracter personal trebuie, printre altele, să fie conformă cu principiile referitoare la prelucrarea datelor enunțate la articolul 5 alineatul (1) din RGPD și, având în vedere principiul legalității prelucrării, să îndeplinească condițiile de legalitate a prelucrării enumerate la articolul 6 din acest regulament(27).
65. Articolul 6 alineatul (1) primul paragraf din regulamentul menționat prevede o listă exhaustivă și limitativă de ipoteze în care o prelucrare de date cu caracter personal poate fi calificată drept legală. O astfel de calificare implică faptul că prelucrarea se încadrează în una dintre aceste ipoteze. Or, trebuie amintit că prelucrarea în cauză nu se încadrează în ipoteza principală prevăzută de această dispoziție, și anume cea în care persoana vizată și‑a dat consimțământul pentru prelucrare pentru unu sau mai multe scopuri specifice(28). După cum reiese din decizia de trimitere, în procedura principală nu a fost prezentată nicio probă care să permită să se constate că persoanele vizate de datele cu caracter personal colectate în bazele de date în cauză au consimțit ca datele lor să fie transferate unor terți în afara activității legate de platforma M., în special ca acestea să fie vândute în urma unei proceduri de executare silită.
66. Potrivit instanței de trimitere, prelucrarea de către executorul judecătoresc ar putea intra sub incidența articolului 6 alineatul (1) primul paragraf litera (c) din RGPD (prelucrare necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului) sau a articolului 6 alineatul (1) primul paragraf litera (e) din acest regulament (prelucrare necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul)(29).
67. Astfel cum observă instanța de trimitere, articolul 3 din Legea privind executorii judecătorești conferă executorului judecătoresc statutul de autoritate publică. Ar fi dificil, în opinia noastră, să se susțină că operațiunile care îi sunt încredințate în cadrul punerii în aplicare a unei executări silite prin care se urmărește satisfacerea creanțelor creditorului nu reflectă îndeplinirea unei sarcini care rezultă din exercitarea autorității publice cu care este învestit acest executor judecătoresc.
68. În plus, nu ar fi ușor să se considere că ipoteza prevăzută la articolul 6 alineatul (1) primul paragraf litera (c) din RGPD se aplică situației din speță. În această privință, trebuie să se observe că domeniul de aplicare al dispoziției menționate este strict delimitat. Astfel, după cum reiese din Avizul 6/2014 al grupului de lucru „Articolul 29”(30), obligația legală care îi revine operatorului trebuie să fie suficient de clară în ceea ce privește prelucrarea datelor cu caracter personal pe care o impune. Aceasta implică în special existența unor dispoziții juridice care menționează explicit natura și obiectul prelucrării(31).
69. În speță, nu considerăm că dispozițiile evocate de instanța de trimitere, și anume articolul 3 alineatul 1, articolul 9 alineatul 1 punctul 1 și articolul 31 alineatul 1 prima teză din Legea privind executorii judecătorești, precum și articolul 796 alineatul 1 și articolul 799 alineatul 1 prima teză din Codul de procedură civilă, pot fi calificate ca atare, în măsura în care din aceste dispoziții reiese numai că executorul judecătoresc, în calitatea sa de autoritate publică, este obligat să dea curs oricărei cereri având ca obiect o executare silită conform tuturor metodelor permise. Mai precis, dreptul polonez nu pare să impună executorului judecătoresc o obligație legală de vânzare silită a unei baze de date care conține date cu caracter personal. În această privință, trebuie să se arate că articolul 831 alineatul 1 punctul 3 din Codul de procedură civilă exclude de la executarea silită „drepturile netransferabile”, ceea ce ar putea fi înțeles ca o interdicție de cesiune a unei baze de date în cazul în care aceasta ar fi incompatibilă cu RGPD.
70. În orice caz, nu este necesar să se excludă posibilitatea ca această din urmă ipoteză să fie de asemenea relevantă în speță. Astfel, deși este suficient ca o singură ipoteză de legalitate să fie aplicabilă, după cum confirmă modul de redactare a articolului 6 alineatul (1) primul paragraf din RGPD, Curtea a admis că una și aceeași prelucrare poate răspunde la mai multe dintre aceste ipoteze(32).
71. Prin urmare, prelucrarea în cauză se încadrează, în opinia noastră, în ipoteza de legalitate prevăzută la articolul 6 alineatul (1) primul paragraf litera (e) din RGPD.
72. Trebuie să se observe că această ipoteză implică luarea în considerare a unei alte condiții de legalitate a prelucrării. Astfel, articolul 6 alineatul (3) din RGPD precizează că temeiul pentru prelucrarea menționată, printre altele, la articolul 6 alineatul (1) primul paragraf litera (e) din acest regulament trebuie să fie prevăzut în dreptul Uniunii sau în dreptul intern care se aplică operatorului și trebuie să urmărească un obiectiv de interes public, precum și să fie proporțional cu obiectivul legitim urmărit(33).
73. Dispozițiile coroborate ale articolului 6 alineatul (1) primul paragraf litera (e) și ale articolului 6 alineatul (3) din RGPD impun, așadar, existența un temei juridic, în special național, care servește drept fundament pentru prelucrarea datelor cu caracter personal de către operatorii în cauză care acționează, printre altele, pentru îndeplinirea unei sarcini care rezultă din exercitarea autorității publice, precum cea asigurată de executorul judecătoresc în cadrul executării silite a activelor unei societăți(34).
74. În opinia noastră, acest temei juridic constă în ansamblul dispozițiilor dreptului polonez menționate în prima frază a punctului 69 din prezentele concluzii, din care reiese că executorul judecătoresc, în calitatea sa de autoritate publică, este obligat să dea curs oricărei cereri având ca obiect o executare silită conform tuturor metodelor permise.
75. Aspectul dacă prelucrarea în cauză este conformă cu RGPD necesită, în sfârșit, analizarea unei problematici juridice suplimentare, care se situează în centrul prezentei cauze.
76. Observăm astfel că scopul prelucrării datelor cu caracter personal realizate de executorul judecătoresc, și anume vânzarea silită a bazelor de date ale utilizatorilor platformei M. pentru a satisface creanțele creditorilor societății NMW, diferă de scopul inițial al prelucrării datelor cu caracter personal de către această societate, și anume de a permite utilizarea platformei M. pentru necesitățile activității de vânzare online desfășurate de societatea menționată.
77. În această privință, trebuie amintit că, potrivit articolului 5 alineatul (1) litera (b) din RGPD, care prevede principiul „limitărilor legate de scop”, datele cu caracter personal sunt, pe de o parte, colectate în scopuri determinate, explicite și legitime și, pe de altă parte, nu sunt prelucrate ulterior într‑un mod incompatibil cu aceste scopuri. Această dispoziție nu cuprinde însă indicații cu privire la condițiile în care o prelucrare ulterioară a datelor cu caracter personal poate fi considerată compatibilă cu scopurile colectării inițiale a acestor date(35).
78. Din articolul 6 alineatul (4) din RGPD, interpretat în lumina considerentului (50) al acestui regulament(36), rezultă că examinarea unei asemenea compatibilități implică luarea în considerare a unei serii de criterii, neexhaustive, care sunt enumerate în acesta.
79. Este evident că luarea în considerare a acestor criterii în speță nu ar putea conduce la un răspuns afirmativ în ceea ce privește compatibilitatea scopurilor în cauză. Așa cum a precizat recent Curtea, criteriile menționate reflectă necesitatea unei legături concrete, logice și suficient de strânse între scopurile colectării inițiale a datelor cu caracter personal și prelucrarea ulterioară a acestor date și permit astfel să se asigure că această prelucrare ulterioară nu se îndepărtează de așteptările legitime ale persoanelor vizate în ceea ce privește utilizarea ulterioară a datelor lor(37). Or, o astfel de legătură nu poate fi stabilită în prezenta cauză.
80. În orice caz, din prima teză a articolului 6 alineatul (4) din RGPD reiese că aprecierea compatibilității scopurilor este necesară numai „[î]n cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimțământul persoanei vizate sau pe dreptul Uniunii sau dreptul intern, care constituie o măsură necesară și proporțională într‑o societate democratică pentru a proteja obiectivele menționate la articolul 23 alineatul (1) [din RGPD]”.
81. În speță, este cert că utilizatorii platformei M. nu și‑au dat consimțământul pentru o prelucrare în alt scop decât cel pentru care au fost colectate datele lor cu caracter personal. În acest caz, trebuie ridicată problema dacă o astfel de prelucrare se întemeiază pe dreptul național sau pe cel al Uniunii și dacă poate fi considerată o măsură necesară și proporțională într‑o societate democratică pentru a atinge unul dintre obiectivele enumerate la articolul 23 alineatul (1) din RGPD.
82. În această privință, considerăm necesar să precizăm că această ipoteză a fost interpretată de Curte ca reprezentând o adevărată derogare de la principiul limitărilor legate de scop. Întemeindu‑se pe considerentul (50) al RGPD, Curtea a arătat că operatorul are, așadar, posibilitatea de a prelucra în continuare datele în cauză indiferent de compatibilitatea acestei prelucrări cu scopurile pentru care aceste date au fost colectate inițial, pentru a salvgarda obiectivele importante de interes public general prevăzute la articolul 23 alineatul (1) din RGPD. Aceasta a concluzionat astfel că articolul 6 alineatul (4) prima teză din regulamentul menționat se aplică prezentării ca element de probă a unui document care conține date cu caracter personal ale unor terți colectate în principal în scopul controlului fiscal, dispusă de o instanță în cadrul unei proceduri jurisdicționale civile(38).
83. Cu toate că această interpretare i‑ar putea nemulțumi pe cei care consideră că dreptul la protecția datelor cu caracter personal ar trebui să poată fi limitat numai prin măsuri legislative naționale, ea este pe deplin conformă, în opinia noastră, cu intențiile legiuitorului Uniunii. Trebuie amintit astfel că expunerea de motive referitoare la poziția Consiliului în lucrările pregătitoare ale RGPD exprimă, poate chiar mai clar decât considerentul (50) al acestui regulament, alegerea de a permite operatorului o marjă, încadrată cu atenție, pentru a efectua o prelucrare incompatibilă cu scopurile indicate în momentul colectării datelor cu caracter personal care fac obiectul acesteia(39).
84. Întrucât existența unui temei juridic care servește drept fundament pentru prelucrarea în discuție în speță a fost deja stabilită, trebuie să se determine în continuare dacă această prelucrare urmărește să protejeze obiectivele prevăzute la articolul 23 din RGPD.
85. Observăm că printre aceste obiective figurează, în conformitate cu alineatul (1) litera (j) al acestei dispoziții, „punerea în aplicare a pretențiilor de drept civil”. Considerăm că prelucrarea datelor cu caracter personal în cauză este în măsură să asigure îndeplinirea acestui obiectiv. În această privință, trebuie să se observe că, potrivit instanței de trimitere, scopul acestei prelucrări rezultă din coroborarea articolului 911 din Codul de procedură civilă cu articolul 31 alineatul 1 prima teză din Legea privind executorii judecătorești, care abilitează executorul judecătoresc să vândă baza de date și ulterior să transfere creditorului suma obținută prin această vânzare silită.
86. Problema dacă prelucrarea efectuată de executorul judecătoresc în cadrul procedurii de executare silită reflectă o măsură necesară și proporțională într‑o societate democratică pentru a atinge obiectivul de a asigura punerea în aplicare a pretențiilor de drept civil este de competența instanței de trimitere. Revine totuși Curții sarcina de a furniza instanței menționate, pe baza informațiilor disponibile, toate indicațiile necesare în acest sens în raport cu dreptul Uniunii(40).
87. În ceea ce privește necesitatea, este cert că o măsură este necesară atunci când obiectivul legitim urmărit nu poate fi atins prin intermediul unei măsuri la fel de adecvate, dar mai puțin constrângătoare. Cu alte cuvinte, este posibil să se asigure executarea cererii societății creditoare prin alte mijloace la fel de eficiente, dar care afectează mai puțin dreptul utilizatorilor platformei M. la viața privată și la protecția datelor cu caracter personal? În această privință, ne limităm să observăm că, potrivit instanței de trimitere, satisfacerea creanței societății creditoare din patrimoniul societății debitoare nu este posibilă fără a proceda la vânzarea silită a bazelor de date în cauză.
88. În ceea ce privește proporționalitatea, aprecierea acestei condiții necesită efectuarea unei evaluări comparative a intereselor opuse în cauză în funcție de împrejurările concrete ale cazului particular examinat.
89. În speță, primul dintre aceste interese, care este un drept fundamental consacrat la articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”) și la articolul 16 TFUE, constă în protecția utilizatorilor platformei M. în ceea ce privește prelucrarea datelor cu caracter personal. Strâns legat de acesta este dreptul la respectarea vieții private, consacrat la articolul 7 din cartă. Astfel cum se arată în considerentul (4) al RGPD, dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității. Unul dintre aceste drepturi este dreptul de proprietate, care figurează la articolul 17 din cartă. Or, vânzarea unei baze de date care aparține debitorului în cadrul unei proceduri de executare silită contribuie, în opinia noastră, la respectarea dreptului de proprietate al deținătorului unei creanțe constatate pe cale judiciară.
90. În această privință, trebuie amintit că articolul 17 din cartă corespunde articolului 1 din Protocolul adițional la Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale, semnată la Roma la 4 noiembrie 1950 (denumită în continuare „CEDO»), astfel încât înțelesul și întinderea sa sunt, în temeiul articolului 52 alineatul (3) din cartă, aceleași ca și cele prevăzute de CEDO la acest articol 1.
91. Potrivit jurisprudenței Curții Europene a Drepturilor Omului, dreptul de proprietate presupune că statele au obligația pozitivă de a institui un sistem de executare a hotărârilor judecătorești care să fie efectiv deopotrivă în practică și în drept și care să permită asigurarea faptului că procedurile instituite de legislație pentru executarea hotărârilor judecătorești definitive sunt puse în aplicare fără întârzieri nejustificate(41). În cazul în care creditorul este un actor privat, statul este obligat să furnizeze creditorilor concursul necesar pentru executarea hotărârilor judecătorești respective, de exemplu prin intermediul unui serviciu de executori judecătorești(42). În acest context, atunci când autoritățile trebuie să acționeze în vederea executării unei hotărâri și se abțin, inactivitatea lor poate angaja răspunderea statului, printre altele în temeiul articolului 1 din Protocolul adițional nr. 1 la CEDO(43).
92. În cadrul aprecierii acestei ponderări între dreptul de proprietate, pe de o parte, și drepturile la protecția datelor cu caracter personal și la respectarea vieții private, pe de altă parte, ar putea, în opinia noastră, să fie luat în considerare un element specific care reiese din dosar.
93. Potrivit deciziei de trimitere, nicio dispoziție de drept polonez nu introduce limitări pe plan subiectiv în ceea ce privește cumpărătorul unei baze de date, singura condiție fiind deținerea capacității juridice, această lacună implicând că terțul cumpărător ar putea fi și o entitate stabilită în afara Uniunii Europene, care nu este obligată, ca atare, să respecte normele în materie de prelucrare a datelor cu caracter personal prevăzute de RGPD.
94. Într‑o asemenea situație, apreciem că prelucrarea în cauză ar conduce la o sacrificare excesivă a dreptului la protecția datelor cu caracter personal și, prin urmare, nu ar putea fi considerată o măsură proporțională. Ar permite evitarea unui astfel de rezultat, cu titlu ilustrativ, o normă juridică națională care ar obliga executorul judecătoresc să includă în caietul de sarcini redactat în vederea vânzării la licitație o clauză care să impună terțului cumpărător respectarea normelor RGPD.
IV. Concluzie
95. În lumina considerațiilor care precedă, propunem Curții să răspundă la întrebarea preliminară adresată de Sąd Rejonowy dla m. st. Warszawy w Warszawie (Tribunalul Districtual al Orașului Varșovia, Polonia) după cum urmează:
Articolul 6 alineatul (1) primul paragraf litera (e), alineatul (3) și alineatul (4) prima teză din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
trebuie interpretat în sensul că
nu se opune unei reglementări naționale care permite unui executor judecătoresc să vândă, în cadrul unei proceduri de executare silită, o bază de date care conține date cu caracter personal atunci când persoanele vizate de aceste date nu și‑au dat consimțământul pentru o astfel de vânzare, cu condiția ca prelucrarea efectuată de acest executor judecătoresc în privința datelor menționate să constituie o măsură necesară și proporțională într‑o societate democratică pentru a asigura punerea în aplicare a unei pretenții de drept civil.