ROZSUDEK SOUDNÍHO DVORA (pátého senátu)
14. března 2024(*)
„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 58 odst. 2 písm. d) a g) – Pravomoci dozorového úřadu členského státu – Článek 17 odst. 1 – Právo na výmaz (‚právo být zapomenut‘) – Výmaz osobních údajů zpracovaných protiprávně – Pravomoc vnitrostátního dozorového úřadu nařídit správci nebo zpracovateli, aby tyto údaje vymazal bez předchozí žádosti subjektu údajů“
Ve věci C‑46/23,
jejímž předmětem je žádost o rozhodnutí o předběžné otázce podaná na základě článku 267 SFEU rozhodnutím Fővárosi Törvényszék (Městský soud v Budapešti, Maďarsko) ze dne 8. prosince 2022, došlým Soudnímu dvoru dne 31. ledna 2023, v řízení
Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala
proti
Nemzeti Adatvédelmi és Információszabadság Hatóság,
SOUDNÍ DVŮR (pátý senát),
ve složení: E. Regan, předseda senátu, Z. Csehi, M. Ilešič (zpravodaj), I. Jarukaitis a D. Gratsias, soudci,
generální advokátka: L. Medina,
za soudní kancelář: A. Calot Escobar, vedoucí,
s přihlédnutím k písemné části řízení,
s ohledem na vyjádření, která předložili:
– za Nemzeti Adatvédelmi és Információszabadság Hatóság: G. J. Dudás, ügyvéd,
– za maďarskou vládu: Zs. Biró-Tóth a M. Z. Fehér, jako zmocněnci,
– za španělskou vládu: A. Ballesteros Panizo, jako zmocněnec,
– za rakouskou vládu: A. Posch, J. Schmoll a C. Gabauer, jako zmocněnci,
– za polskou vládu: B. Majczyna, jako zmocněnec,
– za portugalskou vládu: P. Barros da Costa, M. J. Ramos a C. Vieira Guerra, jako zmocněnkyně,
– za Evropskou komisi: A. Bouchagiar, C. Kovács a H. Kranenborg, jako zmocněnci,
s přihlédnutím k rozhodnutí, přijatému po vyslechnutí generální advokátky, rozhodnout věc bez stanoviska,
vydává tento
Rozsudek
1 Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 58 odst. 2 písm. c), d) a g) nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, a opravy Úř. věst. 2018, L 127, s. 2 a Úř. věst. 2021, L 74, s. 35) (dále jen „GDPR“).
2 Tato žádost byla předložena v rámci sporu mezi Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (Městský úřad Újpest – obvod IV hlavního města Budapešti, Maďarsko) (dále jen „městský úřad Újpest“) a Nemzeti Adatvédelmi és Információszabadság Hatóság (Národní úřad pro ochranu údajů a svobodu informací, Maďarsko) (dále jen „maďarský dozorový úřad“) ve věci rozhodnutí, kterým tento orgán uložil úřadu Újpest povinnost vymazat osobní údaje, které byly zpracovány protiprávně.
Právní rámec
3 Body 1, 10 a 129 odůvodnění GDPR znějí následovně:
„(1) Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie […] a čl. 16 odst. 1 [SFEU] přiznávají každému právo na ochranu osobních údajů, které se jej týkají.
[…]
(10) S cílem zajistit soudržnou a vysokou úroveň ochrany fyzických osob a odstranit překážky bránící pohybu osobních údajů v rámci [Evropské] [u]nie by měla být úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním těchto údajů rovnocenná ve všech členských státech. V celé Unii je třeba zajistit soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů. […]
[…]
(129) Aby se zajistilo jednotné monitorování a prosazování tohoto nařízení v celé Unii, měly by mít dozorové úřady v každém členském státě tytéž úkoly a účinné pravomoci, včetně pravomocí provádět šetření, ukládat nápravná opatření a sankce, vydávat povolení a poskytovat poradenství, zejména v případech stížností fyzických osob, a aniž jsou dotčeny pravomoci orgánů příslušných podávat obžalobu podle práva členského státu, pravomoci upozorňovat justiční orgány na porušení tohoto nařízení a obrátit se na soud. […]“
4 Kapitola I GDPR, nadepsaná „Obecná ustanovení“, obsahuje články 1 až 4 tohoto nařízení.
5 Článek 1 tohoto nařízení, nadepsaný „Předmět a cíle“, stanoví:
„1. Toto nařízení stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu osobních údajů.
2. Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů.
[…]“
6 Článek 4 uvedeného nařízení, nadepsaný „Definice“, v bodech 2, 7 a 21 stanoví:
„Pro účely tohoto nařízení se rozumí:
[…]
2) ‚zpracováním‘ jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
[…]
7) ‚správcem‘ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;
[…]
21) ‚dozorovým úřadem‘ nezávislý orgán veřejné moci zřízený členským státem podle článku 51;
[…]“
7 Kapitola II GDPR, nadepsaná „Zásady“, obsahuje mimo jiné článek 5 tohoto nařízení, nadepsaný „Zásady zpracování osobních údajů“, který stanoví:
„1. Osobní údaje musí být:
a) ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem (‚zákonnost, korektnost a transparentnost‘);
b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; […] (‚účelové omezení‘);
c) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány (‚minimalizace údajů‘);
[…]
2. Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“
8 V kapitole III GDPR, nadepsané „Práva subjektu údajů“, článek 17 tohoto nařízení, nadepsaný „Právo na výmaz (‚právo být zapomenut‘)“, v odstavci 1 stanoví:
„Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:
a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
b) subjekt údajů odvolá souhlas, na jehož základě byly údaje podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) zpracovány, a neexistuje žádný další právní důvod pro zpracování;
c) subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 2;
d) osobní údaje byly zpracovány protiprávně;
[…]“
9 Kapitola VI GDPR, nadepsaná „Nezávislé dozorové úřady“, obsahuje články 51 až 59 tohoto nařízení.
10 Článek 51 tohoto nařízení, nadepsaný „Dozorový úřad“, v odstavcích 1 a 2 stanoví:
„1. Každý členský stát stanoví, že jeden nebo více nezávislých orgánů veřejné moci jsou pověřeny monitorováním uplatňování tohoto nařízení s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů uvnitř Unie […]
2. Každý dozorový úřad přispívá k jednotnému uplatňování tohoto nařízení v celé Unii. Dozorové úřady za tímto účelem spolupracují mezi sebou a s Komisí v souladu s kapitolou VII.“
11 Článek 57 uvedeného nařízení, nadepsaný „Úkoly“, v odstavci 1 stanoví:
„1. Aniž jsou dotčeny další úkoly stanovené tímto nařízením, každý dozorový úřad na svém území:
a) monitoruje a vymáhá uplatňování tohoto nařízení;
[…]
h) provádí šetření o uplatňování tohoto nařízení, mimo jiné na základě informací obdržených od jiného dozorového úřadu či jiného orgánu veřejné moci;
[…]“
12 Článek 58 téhož nařízení, nadepsaný „Pravomoci“, v odstavci 2 stanoví:
„Každý dozorový úřad má všechny tyto nápravné pravomoci:
[…]
c) nařídit správci nebo zpracovateli, aby vyhověli žádostem subjektu údajů o výkon jeho práv podle tohoto nařízení;
d) nařídit správci či zpracovateli, aby uvedl operace zpracování do souladu s tímto nařízením, a to případně předepsaným způsobem a ve stanovené lhůtě;
[…]
g) nařídit opravu či výmaz osobních údajů nebo omezení zpracování podle článků 16, 17 a 18 a ohlašování takových opatření příjemcům, jimž byly osobní údaje zpřístupněny podle čl. 17 odst. 2 a článku 19;
[…]
i) uložit správní pokutu podle článku 83 vedle či namísto opatření uvedených v tomto odstavci, podle okolností každého jednotlivého případu;
[…]“
Spor v původním řízení a předběžné otázky
13 V únoru 2020 rozhodl městský úřad Újpest o poskytnutí finanční pomoci obyvatelům z kategorie osob, které byly postiženy pandemií covidu-19 a splňovaly určité podmínky způsobilosti.
14 Za tímto účelem se městský úřad Újpest obrátil na Magyar Államkincstár (Maďarská státní pokladna) a Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (Úřad státní správy pro obvod IV hlavního města Budapešti, Maďarsko) (dále jen „úřad státní správy“), aby získal osobní údaje nezbytné k ověření podmínek způsobilosti. Tyto údaje zahrnovaly zejména základní identifikační údaje a číslo sociálního zabezpečení fyzických osob. Maďarská státní pokladna a úřad státní správy požadované údaje sdělily.
15 Městský úřad Újpest přijal pro účely výplaty finanční pomoci az Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet [obecní vyhláška č. 16/2020 ze dne 30. dubna 2020 o zavedení programu Újpest+ Megbecsülés], která byla změněna a doplněna 30/2020. (VII. 15.) önkormányzati rendelet [obecní vyhláška č. 30/2020 ze dne 15. července 2020]. Tyto vyhlášky obsahovaly jimi stanovená kritéria způsobilosti pro pomoc. Městský úřad Újpest shromažďoval získané údaje v databázi, kterou zřídil pro účely provádění svého programu pomoci, a pro každý soubor údajů vytvořil jedinečný identifikátor a čárový kód.
16 Na základě upozornění o porušení zahájil maďarský dozorový úřad z moci úřední dne 2. září 2020 šetření zpracování osobních údajů, na němž byl založen výše uvedený program pomoci. Maďarský dozorový úřad ve svém rozhodnutí ze dne 22. dubna 2021 rozhodl, že městský úřad Újpest porušil některá ustanovení obsažená v článcích 5 a 14 GDPR a v čl. 12 odst. 1 téhož nařízení. Maďarský dozorový úřad mimo jiné uvedl, že městský úřad Újpest neinformoval subjekty údajů ve lhůtě jednoho měsíce o kategoriích osobních údajů zpracovávaných v souvislosti s tímto programem, účelu dotčeného zpracování ani postupech pro výkon práv subjektů údajů v tomto ohledu.
17 Maďarský dozorový úřad nařídil v souladu s čl. 58 odst. 2 písm. d) GDPR městskému úřadu Újpest, aby vymazal osobní údaje subjektů údajů, které měly podle informací poskytnutých úřadem státní správy a maďarskou státní pokladnou nárok na tuto pomoc, ale nepožádaly o ni. Maďarský dozorový úřad měl za to, že maďarská státní pokladna i úřad státní správy porušily ustanovení o zpracování osobních údajů uvedených osob. Městskému úřadu Újpest i maďarské státní pokladně uložil také pokutu v oblasti ochrany údajů.
18 Správní žalobou podanou k Fővárosi Törvényszék (soud hlavního města Budapešti, Maďarsko), který je předkládajícím soudem, městský úřad Újpest zpochybňuje rozhodnutí maďarského dozorového úřadu a tvrdí, že tento orgán nemá pravomoc nařídit výmaz osobních údajů podle čl. 58 odst. 2 písm. d) GDPR, jelikož subjekt údajů nepodal žádost ve smyslu článku 17 tohoto nařízení. Městský úřad Úpjest se v tomto ohledu opírá o rozsudek Kfv.II.37.001/2021/6. Kúria (Nejvyšší soud, Maďarsko), v němž uvedený soud rozhodl, že maďarský dozorový úřad takovou pravomoc nemá, čímž potvrdil rozsudek předkládajícího soudu. Podle městského úřadu Úpjest je právo na výmaz stanovené v článku 17 uvedeného nařízení koncipováno výlučně jako právo subjektu údajů.
19 Na základě ústavní stížnosti podané maďarským dozorovým úřadem Alkotmánybíróság (Ústavní soud, Maďarsko) výše uvedený rozsudek Kúria (Nejvyšší soud) zrušil s tím, že tento orgán je oprávněn nařídit z moci úřední výmaz osobních údajů, které byly zpracovány protiprávně, a to i v případě, že o to subjekt údajů nepožádal. Alkotmánybíróság (Ústavní soud) se v tomto ohledu opíral o stanovisko Evropského sboru pro ochranu osobních údajů č. 39/2021, podle něhož článek 17 GDPR stanoví dva odlišné případy výmazu, z nichž jeden je výmaz na základě podnětu subjektu údajů a druhý výmaz je samostatnou povinností správce, takže čl. 58 odst. 2 písm. g) GDPR je třeba považovat za platný právní základ pro výmaz z moci úřední osobních údajů zpracovaných protiprávně.
20 V návaznosti na rozhodnutí Alkotmánybíróság (Ústavní soud) uvedené v předchozím bodě má předkládající soud nadále pochybnosti o výkladu článku 17 a čl. 58 odst. 2 GDPR. Předkládající soud má za to, že právo na výmaz osobních údajů je definováno v čl. 17 odst. 1 GDPR jako právo subjektu údajů a že toto ustanovení nezahrnuje dva odlišné případy výmazu.
21 Předkládající soud dodává, že subjekt údajů může mít zájem na tom, aby byly osobní údaje, které se jej týkají, zpracovávány, a to i v případě, že vnitrostátní dozorový úřad nařídil správci, aby uvedené údaje vymazal z důvodu protiprávního zpracování. V takovém případě by dozorový úřad vykonal právo uvedeného subjektu údajů proti jeho vůli.
22 Předkládající soud se tak táže, zda bez ohledu na výkon práv subjektu údajů může dozorový úřad členského státu od správce nebo zpracovatele požadovat, aby vymazal osobní údaje, které byly zpracovány protiprávně, a pokud ano, na jakém právním základě, zejména s ohledem na skutečnost, že čl. 58 odst. 2 písm. c) nařízení GDPR výslovně upravuje žádost podanou tímto subjektem o výkon jeho práv a že čl. 58 odst. 2 písm. d) tohoto nařízení obecně stanoví, že operace zpracování musí být uvedeny do souladu s uvedeným nařízením, zatímco čl. 58 odst. 2 písm. g) téhož nařízení odkazuje přímo na článek 17 tohoto nařízení, jehož použití vyžaduje výslovnou žádost subjektu údajů.
23 V případě, že vnitrostátní dozorový úřad je oprávněn nařídit správci nebo zpracovateli, aby vymazal osobní údaje, které byly zpracovány protiprávně, a to i tehdy, když o to subjekt údajů nepožádá, se předkládající soud táže, zda lze při vydání příkazu k výmazu rozlišovat podle toho, zda byly osobní údaje shromažďovány od subjektu údajů s ohledem na povinnost správce upravenou v čl. 13 odst. 2 písm. b) GDPR, nebo od jiné osoby s ohledem na povinnost upravenou v čl. 14 odst. 2 písm. c) tohoto nařízení.
24 Za těchto okolností se Fővárosi Törvényszék (Městský soud v Budapešti, Maďarsko) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:
„1) Musí být čl. 58 odst. 2, zvláště písmena c), d) a g) [GDPR], vykládán v tom smyslu, že je dozorový úřad členského státu oprávněn k tomu, aby při výkonu svých nápravných pravomocí nařídil správci nebo zpracovateli, aby vymazal osobní údaje, které byly zpracovány protiprávně, a to i tehdy, když o to subjekt údajů výslovně nepožádá na základě čl. 17 odst. 1 [GDPR]?
2) V případě, že bude první předběžná otázka zodpovězena v tom smyslu, že dozorový úřad je oprávněn nařídit správci nebo zpracovateli, aby vymazal osobní údaje, které byly zpracovány protiprávně, a to i tehdy, když o to subjekt údajů nepožádá, je tak oprávněn učinit bez ohledu na to, zda byly osobní údaje shromažďovány od subjektu údajů?“
K předběžným otázkám
K první otázce
25 Podstatou první otázky předkládajícího soudu je, zda čl. 58 odst. 2 písm. c), d) a g) GDPR musí být vykládán v tom smyslu, že dozorový úřad členského státu je oprávněn při výkonu své pravomoci přijímání nápravných opatření stanovených těmito ustanoveními nařídit správci nebo zpracovateli, aby vymazal osobní údaje, které byly zpracovány protiprávně, a to i přesto, že subjekt údajů za tímto účelem nepodal žádnou žádost o výkon svých práv podle čl. 17 odst. 1 tohoto nařízení.
26 Tato otázka vyvstala v kontextu sporu týkajícího se legality rozhodnutí maďarského dozorového úřadu, který na základě čl. 58 odst. 2 písm. d) GDPR nařídil městskému úřadu Újpest, aby vymazal osobní údaje, které byly protiprávně zpracovány v rámci programu pomoci popsaného v bodech 13 až 15 tohoto rozsudku.
27 Podle čl. 17 odst. 1 GDPR má subjekt údajů právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat mimo jiné podle písm. d) tohoto ustanovení, pokud byly tyto údaje „zpracovány protiprávně“.
28 Podle čl. 58 odst. 2 písm. d) GDPR může dozorový úřad nařídit správci nebo zpracovateli, aby uvedl operace zpracování do souladu s tímto nařízením, a to případně předepsaným způsobem a ve stanovené lhůtě. Kromě toho čl. 58 odst. 2 písm. g) uvedeného nařízení stanoví, že dozorový úřad má pravomoc nařídit opravu či výmaz osobních údajů nebo omezení zpracování podle článků 16, 17 a 18 tohoto nařízení a ohlašování takových opatření příjemcům, jimž byly osobní údaje zpřístupněny podle čl. 17 odst. 2 a článku 19 téhož nařízení.
29 V této souvislosti si předkládající soud klade otázku, zda je dozorový úřad členského státu oprávněn při výkonu své pravomoci přijímání takových nápravných opatření, jako jsou opatření stanovená v čl. 58 odst. 2 písm. c), d) a g) GDPR, nařídit i z vlastního podnětu, a sice v případě, že subjekt údajů za tímto účelem předtím podnět nepodal, správci nebo zpracovateli, aby vymazal osobní údaje, které byly zpracovány protiprávně.
30 Podle ustálené judikatury platí, že při výkladu ustanovení unijního práva je třeba vzít v úvahu nejen jeho znění, ale i kontext, do kterého je zasazeno, a cíle sledované právní úpravou, jejíž je součástí (rozsudek ze dne 13. července 2023, G GmbH, C‑134/22, EU:C:2023:567, bod 25 a citovaná judikatura).
31 Nejprve je třeba uvést, že relevantní ustanovení unijního práva uvedená v bodech 27 a 28 tohoto rozsudku musí být vykládána ve spojení s čl. 5 odst. 1 GDPR, který stanoví zásady zpracování osobních údajů a který v písm. a) zahrnuje mimo jiné zásadu, že osobní údaje musí být ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem.
32 Podle odstavce 2 tohoto článku 5 správce v souladu se zásadou „odpovědnosti“ uvedenou v tomto ustanovení odpovídá za dodržení odstavce 1 uvedeného článku 5 a musí být schopen doložit, že dodržuje každou ze zásad uvedených v tomto odstavci 1, přičemž mimoto nese důkazní břemeno [rozsudek ze dne 4. května 2023, Bundesrepublik Deutschland (Elektronická soudní schránka), C‑60/22, EU:C:2023:373, bod 53 a citovaná judikatura].
33 Pokud zpracování osobních údajů není v souladu se zásadami stanovenými zejména v článku 5 nařízení GDPR, jsou dozorové úřady členských států oprávněny zasáhnout v souladu se svými úkoly a pravomocemi stanovenými v článcích 57 a 58 tohoto nařízení. K těmto úkolům patří zejména monitorování a vymáhání uplatňování uvedeného nařízení podle čl. 57 odst. 1 písm. a) tohoto nařízení (v tomto smyslu viz rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 108).
34 Soudní dvůr již v tomto ohledu uvedl, že pokud vnitrostátní dozorový úřad na základě šetření dospěje k závěru, že subjekt údajů nepožívá odpovídající úrovně ochrany, má podle unijního práva povinnost náležitě reagovat, aby zjednal nápravu shledaného nedostatku, a to bez ohledu na to, z čeho tento nedostatek pramení a jakou má povahu. Pro tyto účely jsou v čl. 58 odst. 2 GDPR vyjmenovány různé nápravné pravomoci, které má dozorový úřad. Je na tomto dozorovém orgánu, aby zvolil vhodný prostředek k tomu, aby s veškerou náležitou péčí splnil svůj úkol vymáhat uplatňování tohoto nařízení (v tomto smyslu viz rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, body 111 a 112).
35 Pokud jde konkrétně o otázku, zda dotyčný dozorový úřad může taková nápravná opatření přijmout z vlastního podnětu, je třeba nejprve uvést, že čl. 58 odst. 2 GDPR s ohledem na své znění rozlišuje mezi nápravnými opatřeními, která mohou být nařízena z moci úřední, mimo jiné opatření uvedená v čl. 58 odst. 2 písm. d) a g), a nápravnými opatřeními, která mohou být přijata pouze na základě podnětu subjektu údajů o výkon jeho práv podle tohoto nařízení a jsou uvedena v čl. 58 odst. 2 písm. c) uvedeného nařízení.
36 Ze znění čl. 58 odst. 2 písm. c) GDPR totiž výslovně vyplývá, že přijetí nápravného opatření uvedeného v tomto ustanovení, a sice „nařídit správci nebo zpracovateli, aby vyhověl žádostem subjektu údajů o výkon jeho práv podle tohoto nařízení“, předpokládá, že subjekt údajů nejprve uplatnil svá práva podáním žádosti v tomto smyslu a že této žádosti nebylo vyhověno před rozhodnutím dozorového úřadu podle uvedeného ustanovení. Na rozdíl od uvedeného ustanovení znění čl. 58 odst. 2 písm. d) a g) tohoto nařízení neumožňuje mít za to, že zásah dozorového úřadu členského státu za účelem uplatnění opatření, která jsou v něm uvedena, je omezen pouze na případy, kdy subjekt údajů podal žádost za tímto účelem, jelikož toto znění neobsahuje odkaz na takovou žádost.
37 Pokud jde dále o kontext těchto ustanovení, je třeba uvést, že znění čl. 17 odst. 1 tohoto nařízení rozlišuje prostřednictvím souřadicí spojky „a“ mezi právem subjektu údajů na to, aby správce bez zbytečného odkladu vymazal údaje, které se jej týkají, a povinností správce tyto osobní údaje co nejdříve vymazat. Z toho je třeba vyvodit, že toto ustanovení upravuje dva nezávislé případy, a sice zaprvé výmaz údajů na žádost subjektu údajů a zadruhé výmaz vyplývající z existence samostatné povinnosti správce, a to nezávisle na jakékoli žádosti subjektu údajů.
38 Jak totiž uvedl Evropský sbor pro ochranu osobních údajů ve svém stanovisku č. 39/2021, takové rozlišení je nezbytné vzhledem k tomu, že některé z případů uvedených v tomto čl. 17 odst. 1 se vztahují na situace, kdy subjekt údajů nebyl nutně informován o tom, že osobní údaje, které se ho týkají, jsou zpracovávány, takže jejich existenci může zjistit pouze správce. Tak je tomu zejména v případě, kdy tyto údaje byly zpracovány protiprávně ve smyslu uvedeného čl. 17 odst. 1 písm. d).
39 Takový výklad potvrzuje čl. 5 odst. 2 GDPR ve spojení s odst. 1 písm. a) tohoto článku 5, podle kterého se správce musí ujistit zejména o zákonnosti zpracování údajů, které provádí [v tomto smyslu viz rozsudek ze dne 4. května 2023, Bundesrepublik Deutschland (Elektronická soudní schránka), C‑60/22, EU:C:2023:373, bod 54].
40 A konečně tento výklad je rovněž podpořen cílem, který sleduje čl. 58 odst. 2 GDPR, jak vyplývá z bodu 129 odůvodnění tohoto nařízení, a sice zajistit, aby zpracování osobních údajů bylo v souladu s tímto nařízením a situace, v nichž bylo toto nařízení porušeno, byly napraveny tak, že budou uvedeny do souladu s unijním právem prostřednictvím zásahu vnitrostátních dozorových úřadů.
41 V tomto ohledu je třeba upřesnit, že i když volba vhodného a nezbytného prostředku přísluší vnitrostátnímu dozorovému úřadu, který ji musí provést s přihlédnutím ke všem okolnostem projednávané věci, musí tento orgán zároveň s veškerou náležitou péčí splnit svůj úkol prosazovat dodržování GDPR (v tomto smyslu viz rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 112). Je proto obzvláště důležité, aby tento orgán měl za účelem zajištění účinného uplatňování GDPR účinné pravomoci účinně zasáhnout proti porušování tohoto nařízení, a zejména je ukončit, a to i v případech, kdy subjekty údajů nejsou o zpracování svých osobních údajů informovány, nejsou si jej vědomy, nebo v žádném případě nepožádaly o výmaz těchto údajů.
42 Za těchto okolností je třeba mít za to, že pravomoc přijmout některá nápravná opatření uvedená v čl. 58 odst. 2 GDPR, mimo jiné opatření uvedená v písmenech d) a g) tohoto ustanovení, může být vykonávána dozorovým úřadem členského státu z vlastního podnětu v rozsahu, v němž je výkon této pravomoci z moci úřední vyžadován k tomu, aby mohl splnit svůj úkol. Pokud tedy takový orgán po ukončení svého šetření dospěje k závěru, že toto zpracování nesplňuje požadavky uvedeného nařízení, je na základě unijního práva povinen přijmout vhodná opatření k nápravě zjištěného porušení, a to bez ohledu na to, zda subjekt údajů předem požádal o výkon svých práv podle čl. 17 odst. 1 uvedeného nařízení.
43 Takový výklad je kromě toho potvrzen cíli, které sleduje GDPR, jak vyplývají mimo jiné z jeho článku 1, jakož i z bodů 1 a 10 jeho odůvodnění, které odkazují na záruku vysoké úrovně ochrany, pokud jde o základní právo fyzických osob na ochranu osobních údajů, které se jich týkají, zakotvené v čl. 8 odst. 1 Listiny základních práv a v čl. 16 odst. 1 SFEU (v tomto smyslu viz rozsudky ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 207, jakož i ze dne 28. dubna 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 73).
44 Výklad, který je v rozporu s výkladem uvedeným v bodě 42 tohoto rozsudku, podle kterého je takový dozorový úřad oprávněn jednat pouze na žádost subjektu údajů za tímto účelem, by ohrozil dosažení cílů připomenutých v bodech 40 a 43 tohoto rozsudku, zejména v takové situaci, jako je situace dotčená ve věci v původním řízení, kdy se výmaz osobních údajů, které byly zpracovány protiprávně, týká potenciálně vysokého počtu osob, které neuplatnily své právo na výmaz podle čl. 17 odst. 1 GDPR.
45 Jak totiž v podstatě tvrdila Komise ve svém písemném vyjádření, požadovat předchozí žádost subjektů údajů ve smyslu čl. 17 odst. 1 GDPR by znamenalo, že by správce v případě neexistence takové žádosti mohl uchovávat dotčené osobní údaje a pokračovat v jejich protiprávním zpracování. Takový výklad by ohrozil účinnost ochrany stanovené tímto nařízením, jelikož by vedl k tomu, že by neaktivní osoby byly zbaveny ochrany, přestože jejich osobní údaje byly zpracovány protiprávně.
46 S ohledem na výše uvedené úvahy je třeba na první otázku odpovědět tak, že čl. 58 odst. 2 písm. d) a g) GDPR musí být vykládán v tom smyslu, že dozorový úřad členského státu je oprávněn při výkonu své pravomoci přijímání nápravných opatření stanovených těmito ustanoveními nařídit správci nebo zpracovateli, aby vymazal osobní údaje, které byly zpracovány protiprávně, a to i přesto, že subjekt údajů za tímto účelem nepodal žádnou žádost o výkon svých práv podle čl. 17 odst. 1 tohoto nařízení.
K druhé otázce
47 Podstatou druhé otázky předkládajícího soudu je, zda čl. 58 odst. 2 GDPR musí být vykládán v tom smyslu, že pravomoc dozorového úřadu členského státu nařídit výmaz osobních údajů, které byly zpracovány protiprávně, se může vztahovat jak na údaje shromážděné od subjektu údajů, tak na údaje od jiného zdroje.
48 V tomto ohledu je třeba nejprve uvést, že znění ustanovení uvedených v předchozím bodě tohoto rozsudku neobsahuje nic, co by naznačovalo, že pravomoc dozorového úřadu přijmout nápravná opatření, která jsou v nich uvedena, závisí na původu dotčených údajů, a zejména na okolnosti, že byly shromážděny od subjektu údajů.
49 Stejně tak znění čl. 17 odst. 1 GDPR, které, jak vyplývá z bodu 37 tohoto rozsudku, stanoví samostatnou povinnost správce vymazat osobní údaje, které byly zpracovány protiprávně, neobsahuje žádný požadavek týkající se původu shromážděných údajů.
50 Jak dále vyplývá z bodů 41 a 42 tohoto rozsudku, za účelem zajištění účinného a jednotného uplatňování GDPR je nezbytné, aby měl vnitrostátní dozorový úřad účinné pravomoci k přijetí efektivních opatření proti porušování tohoto nařízení. Pravomoc přijmout nápravná opatření, jak je stanovena v čl. 58 odst. 2 písm. d) a g) GDPR, tudíž nemůže záviset na původu dotčených údajů, a zejména na okolnosti, zda byly shromážděny od subjektu údajů.
51 V důsledku toho je třeba mít za to, podobně jako všechny vlády, které předložily písemná vyjádření, a Komise, že výkon pravomoci přijímat nápravná opatření ve smyslu čl. 58 odst. 2 písm. d) a g) GDPR nemůže záviset na skutečnosti, zda dotčené osobní údaje byly shromážděny přímo od subjektu údajů, či nikoli.
52 Takový výklad je rovněž potvrzen cíli, které sleduje GDPR, zejména v čl. 58 odst. 2 tohoto nařízení, připomenutými v bodech 40 a 43 tohoto rozsudku.
53 S ohledem na výše uvedené úvahy je třeba na druhou otázku odpovědět tak, že čl. 58 odst. 2 GDPR musí být vykládán v tom smyslu, že pravomoc dozorového úřadu členského státu nařídit výmaz osobních údajů, které byly zpracovány protiprávně, se může vztahovat jak na údaje shromážděné od subjektu údajů, tak na údaje od jiného zdroje.
K nákladům řízení
54 Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.
Z těchto důvodů Soudní dvůr (pátý senát) rozhodl takto:
1) Článek 58 odst. 2 písm. d) a g) nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
musí být vykládán v tom smyslu, že
dozorový úřad členského státu je oprávněn při výkonu své pravomoci přijímání nápravných opatření stanovených těmito ustanoveními nařídit správci nebo zpracovateli, aby vymazal osobní údaje, které byly zpracovány protiprávně, a to i přesto, že subjekt údajů za tímto účelem nepodal žádnou žádost o výkon svých práv podle čl. 17 odst. 1 tohoto nařízení.
2) Článek 58 odst. 2 nařízení 2016/679
musí být vykládán v tom smyslu, že
pravomoc dozorového úřadu členského státu nařídit výmaz osobních údajů, které byly zpracovány protiprávně, se může vztahovat jak na údaje shromážděné od subjektu údajů, tak na údaje od jiného zdroje.
Podpisy