CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:239

SODBA SODIŠČA (peti senat)

z dne 14. marca 2024(*)

„Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba (EU) 2016/679 – Člen 58(2)(d) in (g) – Pooblastila nadzornega organa države članice – Člen 17(1) – Pravica do izbrisa (,pravica do pozabe‘) – Izbris osebnih podatkov, ki so bili obdelani nezakonito – Pooblastilo nacionalnega nadzornega organa, da upravljavcu ali obdelovalcu odredi izbris teh podatkov brez predhodne zahteve posameznika, na katerega se nanašajo osebni podatki“

V zadevi C‑46/23,

katere predmet je predlog za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ga je vložilo Fővárosi Törvényszék (županijsko sodišče v Budimpešti, Madžarska) z odločbo z dne 8. decembra 2022, ki je na Sodišče prispela 31. januarja 2023, v postopku

Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala

proti

Nemzeti Adatvédelmi és Információszabadság Hatóság,

SODIŠČE (peti senat),

v sestavi E. Regan, predsednik senata, Z. Csehi, sodnik, M. Ilešič (poročevalec), I. Jarukaitis in D. Gratsias, sodniki,

generalna pravobranilka: L. Medina,

sodni tajnik: A. Calot Escobar,

na podlagi pisnega postopka,

ob upoštevanju stališč, ki so jih predložili:

– za Nemzeti Adatvédelmi és Információszabadság Hatóság G. J. Dudás, ügyvéd,

– za madžarsko vlado Zs. Biró-Tóth in M. Z. Fehér, agenta,

– za špansko vlado A. Ballesteros Panizo, agent,

– za avstrijsko vlado A. Posch, J. Schmoll in C. Gabauer, agenti,

– za poljsko vlado B. Majczyna, agent,

– za portugalsko vlado P. Barros da Costa, M. J. Ramos in C. Vieira Guerra, agentke,

– za Evropsko komisijo A. Bouchagiar, C. Kovács in H. Kranenborg, agenti,

na podlagi sklepa, sprejetega po opredelitvi generalne pravobranilke, da bo v zadevi razsojeno brez sklepnih predlogov,

izreka naslednjo

Sodbo

1 Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 58(2)(c), (d) in (g) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2018, L 127, str. 2, v nadaljevanju: SUVP).

2 Ta predlog je bil vložen v okviru spora med Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (občinska uprava občine Újpest – četrto okrožje Budimpešte – glavno mesto, Madžarska) (v nadaljevanju: občina Újpest) in Nemzeti Adatvédelmi és Információszabadság Hatóság (nacionalni organ za varstvo podatkov in svobodo obveščanja, Madžarska) (v nadaljevanju: madžarski nadzorni organ) v zvezi z odločbo, s katero je zadnjenavedeni občini Újpest odredil izbris osebnih podatkov, ki so bili obdelani nezakonito.

Pravni okvir

3 V uvodnih izjavah 1, 10 in 129 SUVP je navedeno:

„(1) Varstvo posameznikov pri obdelavi osebnih podatkov je temeljna pravica. V členu 8(1) Listine Evropske unije o temeljnih pravicah […] in členu 16(1) [PDEU] je določeno, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj.

[…]

„(10) Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v [Evropski] [u]niji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov. […]

[…]

(129) Za zagotovitev doslednega spremljanja in izvajanja te uredbe v vsej Uniji bi morali biti naloge in učinkovita pooblastila nadzornih organov v vseh državah članicah enaki, vključno s pooblastili za preiskovanje, popravljalnimi pooblastili in sankcijami ter pooblastili v zvezi z dovoljenji in svetovalnimi pristojnostmi, zlasti v primerih pritožb posameznikov, hkrati pa ne bi smeli vplivati na pooblastila organov, pristojnih za pregon v skladu s pravom držav članic, da sodne organe opozorijo na kršitve te uredbe in sodelujejo v sodnih postopkih. […]“

4 Poglavje I SUVP, naslovljeno „Splošne določbe“, vsebuje člene od 1 do 4 te uredbe.

5 Člen 1 te uredbe, naslovljen „Predmet urejanja in cilji“, določa:

„1. Ta uredba določa pravila o varstvu posameznikov pri obdelavi osebnih podatkov in pravila o prostem pretoku osebnih podatkov.

2. Ta uredba varuje temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov.

[…]“

6 Člen 4 navedene uredbe, naslovljen „Opredelitev pojmov“, v točkah 2, 7 in 21 določa:

„V tej uredbi:

[…]

(2) ,obdelava‘ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

[…]

(7) ,upravljavec‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;

[…]

(21) ,nadzorni organ‘ pomeni neodvisen javni organ, ki ga v skladu s členom 51 ustanovi država članica;

[…]“

7 Poglavje II SUVP, naslovljeno „Načela“, vsebuje med drugim člen 5 te uredbe, naslovljen „Načela v zvezi z obdelavo osebnih podatkov“, ki določa:

„1. Osebni podatki morajo biti:

(a) obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (‚zakonitost, pravičnost in preglednost‘);

(b) zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; […] (‚omejitev namena‘);

(c) ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (‚najmanjši obseg podatkov‘);

[…]

2. Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati (‚odgovornost‘).“

8 V poglavju III SUVP, naslovljenem „Pravice posameznika, na katerega se nanašajo osebni podatki“, člen 17 te uredbe, naslovljen „Pravica do izbrisa (,pravica do pozabe‘)“, v odstavku 1 določa:

„Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

(a) osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;

(b) posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

(c) posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2);

(d) osebni podatki so bili obdelani nezakonito;

[…]“

9 Poglavje VI SUVP, naslovljeno „Neodvisni nadzorni organi“, vsebuje člene od 51 do 59 te uredbe.

10 Člen 51 te uredbe, naslovljen „Nadzorni organ“, v odstavkih 1 in 2 določa:

„1. Vsaka država članica zagotovi enega ali več neodvisnih javnih organov, ki so pristojni za spremljanje uporabe te uredbe, da se zaščitijo temeljne pravice in svoboščine posameznikov v zvezi z obdelavo ter olajša prost pretok osebnih podatkov v Uniji […].

2. Vsak nadzorni organ prispeva k dosledni uporabi te uredbe v vsej Uniji. V ta namen nadzorni organi sodelujejo med seboj in [z] [Evropsko] [k]omisijo v skladu s poglavjem VII.“

11 Člen 57 navedene uredbe, naslovljen „Naloge“, v odstavku 1 določa:

„1. Brez poseganja v druge naloge, določene v tej uredbi, vsak nadzorni organ na svojem ozemlju:

(a) spremlja in zagotavlja uporabo te uredbe;

[…]

(h) izvaja preiskave o uporabi te uredbe, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa;

[…]“

12 Člen 58 iste uredbe, naslovljen „Pooblastila“, v odstavku 2 določa:

„Vsak nadzorni organ ima vsa naslednja popravljalna pooblastila:

[…]

(c) da upravljavcu ali obdelovalcu odredi, naj ugodi zahtevam posameznika, na katerega se nanašajo osebni podatki, glede uresničevanja njegovih pravic na podlagi te uredbe;

(d) da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi z določbami te uredbe;

[…]

(g) da v skladu s členi 16, 17 in 18 odredi popravek ali izbris osebnih podatkov oziroma omejitev obdelave in o takšnih ukrepih v skladu s členom 17(2) in členom 19 uradno obvesti uporabnike, ki so jim bili osebni podatki razkriti;

[…]

(i) da glede na okoliščine posameznega primera poleg ali namesto ukrepov iz tega odstavka naloži upravno globo v skladu s členom 83;

[…]“

Spor o glavni stvari in vprašanji za predhodno odločanje

13 Občina Újpest se je februarja 2020 odločila dodeliti finančno pomoč prebivalcem, ki so pripadali kategoriji oseb, ki so zaradi pandemije covida-19 postale ranljive in ki so izpolnjevale določene pogoje za upravičenost.

14 Za to se je obrnila na Magyar Államkincstár (madžarska državna zakladnica) in na Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (vladni urad za četrto okrožje Budimpešte – glavno mesto, Madžarska) (v nadaljevanju: vladni urad), da bi pridobila osebne podatke, potrebne za preverjanje teh pogojev za upravičenost. Ti podatki so vključevali med drugim osnovne identifikacijske podatke in številke socialnega zavarovanja fizičnih oseb. Madžarska državna zakladnica in vladni urad sta zahtevane podatke posredovala.

15 Za izplačilo finančne pomoči je občina Újpest sprejela az Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet (občinski odlok št. 16/2020. (IV. 30.) v zvezi z uvedbo programa Újpest+ Megbecsülés), ki je bil spremenjen in dopolnjen s 30/2020. (VII. 15.) önkormányzati rendelet (občinski odlok št. 30/2020. (VII. 15.)). Ta odloka sta vsebovala merila za upravičenost do tako določene pomoči. Občina Újpest je prejete podatke zbrala v podatkovni zbirki, ki je bila ustvarjena za izvajanje njenega programa pomoči, ter za vsak sklop podatkov ustvarila identifikator in posebno črtno kodo.

16 Madžarski nadzorni organ je na podlagi prijave 2. septembra 2020 po uradni dolžnosti začel preiskavo v zvezi z obdelavo osebnih podatkov, na kateri je temeljil zgoraj navedeni program pomoči. Ta organ je v sklepu, sprejetem 22. aprila 2021, ugotovil, da je občina Újpest kršila več določb členov 5 in 14 SUVP ter člen 12(1) te uredbe. Med drugim je navedel, da občina Újpest posameznikov, na katere se nanašajo osebni podatki, ni v roku enega meseca obvestila o kategorijah osebnih podatkov, ki se obdelujejo v okviru tega programa, o namenu zadevne obdelave ali o načinih, kako lahko ti posamezniki uresničujejo svoje pravice v zvezi s tem.

17 Madžarski nadzorni organ je občini Újpest na podlagi člena 58(2)(d) SUVP odredil izbris osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki bi bili na podlagi informacij, ki sta jih zagotovila vladni urad in madžarska državna zakladnica, sicer upravičeni do te pomoči, vendar zanjo niso zaprosili. Menil je, da sta tako madžarska državna zakladnica kot vladni urad kršila določbe v zvezi z obdelavo osebnih podatkov navedenih oseb. Prav tako je občini Újpest in madžarski državni zakladnici naložil plačilo globe zaradi kršitve varstva podatkov.

18 Občina Újpest s tožbo v upravnem sporu, vloženo pri Fővárosi Törvényszék (županijsko sodišče v Budimpešti, Madžarska), ki je predložitveno sodišče, izpodbija odločbo madžarskega nadzornega organa in trdi, da zadnjenavedeni na podlagi člena 58(2)(d) SUVP nima pooblastila za odreditev izbrisa osebnih podatkov, če posameznik, na katerega se nanašajo osebni podatki, ne vloži zahteve v smislu člena 17 te uredbe. V zvezi s tem se sklicuje na sodbo Kúria (vrhovno sodišče, Madžarska) Kfv.II.37.001/2021/6., s katero naj bi zadnjenavedeno sodišče razsodilo, da madžarski nadzorni organ nima takega pooblastila, s čimer je potrdilo sodbo predložitvenega sodišča. Tožeča stranka iz postopka v glavni stvari meni, da je pravica do izbrisa, določena v členu 17 navedene uredbe, zasnovana izključno kot pravica posameznika, na katerega se nanašajo osebni podatki.

19 Alkotmánybíróság (ustavno sodišče, Madžarska) je po ustavni pritožbi, ki jo je vložil madžarski nadzorni organ, zgoraj navedeno sodbo Kúria (vrhovno sodišče) razveljavilo in razsodilo, da ima ta organ pravico po uradni dolžnosti odrediti izbris osebnih podatkov, ki so bili obdelani nezakonito, tudi če posameznik, na katerega se nanašajo osebni podatki, tega ni zahteval. Alkotmánybíróság (ustavno sodišče) se je v zvezi s tem sklicevalo na mnenje št. 39/2021 Evropskega odbora za varstvo podatkov, v skladu s katerim člen 17 SUVP določa dva ločena primera izbrisa, pri čemer gre pri enem za izbris na zahtevo posameznika, na katerega se nanašajo osebni podatki, pri drugem pa za samostojno obveznost upravljavca, tako da bi bilo treba člen 58(2)(g) SUVP šteti za veljavno pravno podlago za izbris osebnih podatkov, ki so bili obdelani nezakonito, po uradni dolžnosti.

20 Po odločbi Alkotmánybíróság (ustavno sodišče), navedeni v prejšnji točki, predložitveno sodišče še naprej dvomi o razlagi člena 17 in člena 58(2) SUVP. Meni, da je pravica do izbrisa osebnih podatkov v členu 17(1) SUVP opredeljena kot pravica posameznika, na katerega se nanašajo osebni podatki, in da ta določba ne zajema dveh ločenih primerov izbrisa.

21 Navedeno sodišče dodaja, da ima lahko posameznik interes za obdelavo osebnih podatkov, ki se nanašajo nanj, tudi kadar nacionalni nadzorni organ zaradi nezakonitosti obdelave upravljavcu odredi, naj navedene podatke izbriše. V takem primeru bi ta organ uresničeval pravico navedenega posameznika proti njegovi volji.

22 Predložitveno sodišče tako želi ugotoviti, ali lahko nadzorni organ države članice od upravljavca ali obdelovalca zahteva izbris osebnih podatkov, ki so bili obdelani nezakonito, ne glede na to, ali posameznik, na katerega se nanašajo osebni podatki, uresničuje svoje pravice, in če je odgovor pritrdilen, na kateri pravni podlagi, zlasti ob upoštevanju tega, da je v členu 58(2)(c) SUVP izrecno določena zahteva, ki jo ta posameznik vloži glede uresničevanja svojih pravic, in da člen 58(2)(d) te uredbe na splošno določa, da je treba dejanja obdelave uskladiti z določbami navedene uredbe, medtem ko člen 58(2)(g) iste uredbe neposredno napotuje na člen 17 te uredbe, za uporabo katerega se bi se zahtevala izrecna zahteva posameznika, na katerega se nanašajo osebni podatki.

23 Če bi nacionalni nadzorni organ upravljavcu ali obdelovalcu lahko odredil izbris osebnih podatkov, ki so bili obdelani nezakonito, kljub temu da posameznik, na katerega se nanašajo osebni podatki, tega ni zahteval, se predložitveno sodišče sprašuje, ali je – na datum odreditve tega izbrisa – mogoče razlikovati glede na to, ali so bili osebni podatki pridobljeni od posameznika, na katerega se nanašajo osebni podatki, ob upoštevanju obveznosti upravljavca iz člena 13(2)(b) SUVP, ali pa so bili pridobljeni od druge osebe, glede na obveznost iz člena 14(2)(c) te uredbe.

24 V teh okoliščinah je Fővárosi Törvényszék (županijsko sodišče v Budimpešti) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ti vprašanji:

„1. Ali je treba člen 58(2), zlasti točke (c), (d) in (g), [SUVP] razlagati tako, da lahko nadzorni organ države članice pri izvajanju svojih popravljalnih pooblastil upravljavcu ali obdelovalcu izbris nezakonito obdelanih osebnih podatkov odredi tudi brez izrecne zahteve posameznika, na katerega se nanašajo osebni podatki, predložene v skladu s členom 17(1) [SUVP]?

2. Če je odgovor na prvo vprašanje, da nadzorni organ upravljavcu ali obdelovalcu izbris osebnih podatkov, ki so bili predmet nezakonite obdelave, lahko odredi tudi brez zahteve posameznika, na katerega se nanašajo osebni podatki, ali lahko to stori neodvisno od tega, ali so bili osebni podatki pridobljeni od posameznika, na katerega se nanašajo osebni podatki, ali pa niso bili pridobljeni od njega?“

Vprašanji za predhodno odločanje

Prvo vprašanje

25 Predložitveno sodišče s prvim vprašanjem sprašuje, ali je treba člen 58(2)(c), (d) in (g) SUVP razlagati tako, da je nadzorni organ države članice pri izvrševanju svojega pooblastila za sprejetje popravljalnih ukrepov, določenih v teh določbah, pooblaščen, da upravljavcu ali obdelovalcu odredi izbris osebnih podatkov, ki so bili obdelani nezakonito, tudi če posameznik, na katerega se nanašajo osebni podatki, v ta namen ni vložil nobene zahteve glede uresničevanja svojih pravic na podlagi člena 17(1) te uredbe.

26 To vprašanje spada v okvir spora, ki se nanaša na zakonitost odločbe madžarskega nadzornega organa, s katero je bilo občini Újpest na podlagi člena 58(2)(d) SUVP odrejeno, naj izbriše osebne podatke, ki so bili nezakonito obdelani v okviru programa pomoči, opisanega v točkah od 13 do 15 te sodbe.

27 V skladu s členom 17(1) SUVP ima posameznik, na katerega se nanašajo osebni podatki, pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost te podatke brez nepotrebnega odlašanja izbrisati, med drugim kadar so bili zadevni podatki „obdelani nezakonito“, na podlagi točke (d) te določbe.

28 V skladu s členom 58(2)(d) SUVP lahko nadzorni organ upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi z določbami te uredbe. Poleg tega člen 58(2)(g) navedene uredbe določa, da je nadzorni organ pooblaščen, da v skladu s členi 16, 17 in 18 te uredbe odredi popravek ali izbris osebnih podatkov oziroma omejitev obdelave in o takšnih ukrepih v skladu s členom 17(2) in členom 19 iste uredbe uradno obvesti uporabnike, ki so jim bili osebni podatki razkriti.

29 V tem kontekstu se predložitveno sodišče sprašuje, ali lahko nadzorni organ države članice pri izvrševanju svojega pooblastila za sprejetje popravljalnih ukrepov, kot so ti iz člena 58(2)(c), (d) in (g) SUVP, po uradni dolžnosti, torej ne da bi posameznik, na katerega se nanašajo osebni podatki, predhodno to zahteval, upravljavcu ali obdelovalcu odredi izbris osebnih podatkov, ki so bili obdelani nezakonito.

30 V skladu z ustaljeno sodno prakso je treba pri razlagi določbe prava Unije upoštevati ne le njeno besedilo, ampak tudi kontekst, v katerega je umeščena, in cilje, ki se uresničujejo z ureditvijo, katere del je (sodba z dne 13. julija 2023, G GmbH, C‑134/22, EU:C:2023:567, točka 25 in navedena sodna praksa).

31 Najprej je treba navesti, da je treba upoštevne določbe prava Unije, navedene v točkah 27 in 28 te sodbe, razlagati v povezavi s členom 5(1) SUVP, v katerem so določena načela v zvezi z obdelavo osebnih podatkov, med katerimi je med drugim v točki (a) načelo, ki določa, da morajo biti osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, obdelani zakonito, pošteno in na pregleden način.

32 Na podlagi odstavka 2 tega člena 5 je upravljavec v skladu z načelom „odgovornosti“ iz te določbe odgovoren za skladnost z odstavkom 1 navedenega člena 5 in mora biti zmožen dokazati skladnost z vsakim od načel, določenih v njem, pri čemer sam nosi dokazno breme (sodba z dne 4. maja 2023, Bundesrepublik Deutschland (Elektronski predal sodišča), C‑60/22, EU:C:2023:373, točka 53 in navedena sodna praksa).

33 Kadar obdelava osebnih podatkov ni v skladu z načeli, določenimi med drugim v členu 5 SUVP, so nadzorni organi držav članic pooblaščeni, da ukrepajo v skladu s svojimi nalogami in pooblastili iz členov 57 in 58 te uredbe. Med temi nalogami je, med drugim, nadzor nad uporabo navedene uredbe in zagotavljanje njenega spoštovanja na podlagi člena 57(1)(a) te uredbe (glej v tem smislu sodbo z dne 16. julija 2020, Facebook Ireland in Schrems, C‑311/18, EU:C:2020:559, točka 108).

34 V zvezi s tem je Sodišče že pojasnilo, da se mora nacionalni nadzorni organ, kadar po preiskavi meni, da posameznik, na katerega se nanašajo osebni podatki, nima zagotovljene ustrezne ravni varstva, v skladu s pravom Unije ustrezno odzvati, da bi ugotovljeno pomanjkljivost odpravil, in to ne glede na izvor ali naravo te pomanjkljivosti. Za to so v členu 58(2) SUVP našteti različni popravljalni ukrepi, ki jih nadzorni organ lahko sprejme. Ta nadzorni organ mora izbrati ustrezno sredstvo, da bo z vso potrebno skrbnostjo opravil svojo nalogo zagotavljanja doslednega spoštovanja te uredbe (glej v tem smislu sodbo z dne 16. julija 2020, Facebook Ireland in Schrems, C‑311/18, EU:C:2020:559, točki 111 in 112).

35 Natančneje, v zvezi z vprašanjem, ali lahko zadevni nadzorni organ take popravljalne ukrepe sprejme po uradni dolžnosti, je treba najprej navesti, da člen 58(2) SUVP glede na svoje besedilo razlikuje med popravljalnimi ukrepi, ki se lahko odredijo po uradni dolžnosti, zlasti tistimi iz člena 58(2)(d) in (g) te uredbe, ter popravljalnimi ukrepi, ki se lahko sprejmejo le na podlagi zahteve posameznika, na katerega se nanašajo osebni podatki, glede uresničevanja njegovih pravic na podlagi te uredbe, kot so navedeni v členu 58(2)(c) navedene uredbe.

36 Na eni strani, iz besedila člena 58(2)(c) SUVP namreč izrecno izhaja, da sprejetje popravljalnega ukrepa iz te določbe, in sicer „da [se] upravljavcu ali obdelovalcu odredi, naj ugodi zahtevam posameznika, na katerega se nanašajo osebni podatki, glede uresničevanja njegovih pravic na podlagi te uredbe“, predpostavlja, da je posameznik, na katerega se nanašajo osebni podatki, pred tem uresničeval svoje pravice z vložitvijo zahteve v tem smislu in da tej zahtevi pred odločitvijo nadzornega organa iz navedene določbe ni bilo ugodeno. Na drugi strani, za razliko od te določbe na podlagi besedila člena 58(2)(d) in (g) te uredbe ni mogoče šteti, da je ukrepanje nadzornega organa države članice zaradi uporabe ukrepov iz tega člena omejeno le na primere, v katerih je posameznik, na katerega se nanašajo osebni podatki, vložil zahtevo v ta namen, saj v tem besedilu ni sklicevanja na tako zahtevo.

37 Dalje, v zvezi s kontekstom teh določb je treba navesti, da se v besedilu člena 17(1) te uredbe z uporabo prirednega veznika „in“ razlikuje med, na eni strani, pravico posameznika, na katerega se nanašajo osebni podatki, da doseže, da upravljavec brez nepotrebnega odlašanja izbriše podatke v zvezi z njim, in na drugi strani, obveznostjo upravljavca, da te osebne podatke brez nepotrebnega odlašanja izbriše. Iz tega je treba sklepati, da ta določba ureja dva neodvisna primera, in sicer, na eni strani, izbris podatkov na zahtevo posameznika, na katerega se nanašajo osebni podatki, in na drugi strani, izbris, ki izhaja iz obstoja samostojne obveznosti upravljavca, ne glede na kakršno koli zahtevo posameznika, na katerega se nanašajo osebni podatki.

38 Kot je namreč Evropski odbor za varstvo podatkov navedel v Mnenju št. 39/2021, je tako razlikovanje nujno, saj nekateri od primerov iz tega člena 17(1) zajemajo primere, v katerih posameznik, na katerega se nanašajo osebni podatki, ni bil nujno obveščen, da se osebni podatki, ki se nanašajo nanj, obdelujejo, tako da je upravljavec edini, ki lahko ugotovi obstoj te obdelave. To velja zlasti za položaj, v katerem so bili ti podatki predmet nezakonite obdelave iz navedenega člena 17(1)(d).

39 Ta razlaga je podprta s členom 5(2) SUVP v povezavi z odstavkom 1(a) tega člena 5, na podlagi katerega mora upravljavec med drugim zagotoviti, da je obdelava podatkov, ki jo izvaja, zakonita (glej v tem smislu sodbo z dne 4. maja 2023, Bundesrepublik Deutschland (Elektronski predal sodišča), C‑60/22, EU:C:2023:373, točka 54).

40 Nazadnje, taka razlaga je podkrepljena tudi s ciljem, ki se uresničuje s členom 58(2) SUVP, kot je razviden iz uvodne izjave 129 te uredbe, ki je zagotavljati skladnost obdelave osebnih podatkov s to uredbo in popraviti primere kršitve zadnjenavedene, da bodo zaradi ukrepanja nacionalnih nadzornih organov ti primeri spet skladni s pravom Unije.

41 V zvezi s tem je treba pojasniti, da čeprav je za izbiro ustreznega in potrebnega sredstva pristojen nacionalni nadzorni organ in mora ta to izbiro opraviti ob upoštevanju vseh okoliščin obravnavane zadeve, mora ta organ kljub temu z vso potrebno skrbnostjo opraviti svojo nalogo zagotavljanja doslednega spoštovanja SUVP (glej v tem smislu sodbo z dne 16. julija 2020, Facebook Ireland in Schrems, C‑311/18, EU:C:2020:559, točka 112). Zato je za zagotovitev učinkovite uporabe SUVP posebej pomembno, da ima ta organ dejanska pooblastila, da učinkovito ukrepa proti kršitvam te uredbe in, zlasti, da jih odpravi, tudi v primerih, ko posamezniki, na katere se nanašajo osebni podatki, niso bili obveščeni o obdelavi svojih osebnih podatkov, zanjo niso vedeli ali nikakor niso zahtevali izbrisa teh podatkov.

42 V teh okoliščinah je treba ugotoviti, da lahko nadzorni organ države članice pooblastilo za sprejetje nekaterih popravljalnih ukrepov iz člena 58(2) SUVP, zlasti tistih iz točk (d) in (g) te določbe, izvršuje po uradni dolžnosti v delu, v katerem je izvrševanje tega pooblastila po uradni dolžnosti zahtevano, da se mu omogoči opravljanje njegove naloge. Zato je ta organ, kadar po koncu preiskave meni, da ta obdelava ne izpolnjuje zahtev iz te uredbe, na podlagi prava Unije zavezan sprejeti ustrezne ukrepe za odpravo ugotovljene kršitve, in to ne glede na obstoj predhodne zahteve posameznika, na katerega se nanašajo osebni podatki, glede uresničevanja njegovih pravic na podlagi člena 17(1) navedene uredbe.

43 Takšna razlaga je podprta tudi s cilji, ki se uresničujejo s SUVP, kot izhajajo zlasti iz člena 1 ter uvodnih izjav 1 in 10 te uredbe, ki se nanašajo na zagotavljanje visoke ravni varstva temeljne pravice fizičnih oseb do varstva osebnih podatkov, ki se nanašajo nanje, določene v členu 8(1) Listine o temeljnih pravicah in členu 16(1) PDEU (glej v tem smislu sodbi z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točka 207, in z dne 28. aprila 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, točka 73).

44 Razlaga, ki bi bila v nasprotju z razlago iz točke 42 te sodbe, v skladu s katero naj bi bil tak nadzorni organ pooblaščen za ukrepanje le na podlagi zahteve, ki jo v ta namen vloži posameznik, na katerega se nanašajo osebni podatki, bi ogrozila uresničitev ciljev, navedenih v točkah 40 in 43 te sodbe, zlasti v položaju, kakršen je ta v postopku v glavni stvari, v katerem se izbris osebnih podatkov, ki so bili obdelani nezakonito, nanaša na potencialno veliko število oseb, ki niso uveljavljale svoje pravice do izbrisa v skladu s členom 17(1) SUVP.

45 Kot je Komisija v bistvu trdila v pisnih stališčih, bi namreč zahteva po predhodni zahtevi posameznikov, na katere se nanašajo osebni podatki, v smislu člena 17(1) SUVP pomenila, da bi lahko upravljavec, če take zahteve ne bi bilo, zadevne osebne podatke hranil in jih še naprej obdeloval nezakonito. Taka razlaga bi škodila učinkovitosti varstva, določenega s to uredbo, saj bi neaktivne osebe prikrajšala za varstvo, čeprav so bili njihovi osebni podatki obdelani nezakonito.

46 Glede na zgoraj navedene preudarke je treba na prvo vprašanje odgovoriti, da je treba člen 58(2)(d) in (g) SUVP razlagati tako, da je nadzorni organ države članice pri izvrševanju svojega pooblastila za sprejetje popravljalnih ukrepov, določenih v teh določbah, pooblaščen, da upravljavcu ali obdelovalcu odredi izbris osebnih podatkov, ki so bili obdelani nezakonito, tudi če posameznik, na katerega se nanašajo osebni podatki, v ta namen ni vložil nobene zahteve glede uresničevanja svojih pravic na podlagi člena 17(1) te uredbe.

Drugo vprašanje

47 Predložitveno sodišče z drugim vprašanjem v bistvu sprašuje, ali je treba člen 58(2) SUVP razlagati tako, da se pooblastilo nadzornega organa države članice, da odredi izbris osebnih podatkov, ki so bili obdelani nezakonito, lahko nanaša tako na podatke, pridobljene od posameznika, na katerega se nanašajo osebni podatki, kot na podatke, pridobljene iz drugega vira.

48 V zvezi s tem je treba najprej navesti, da v določbah, navedenih v prejšnji točki, ni nobene informacije, na podlagi katere bi bilo mogoče sklepati, da je pooblastilo nadzornega organa za sprejetje popravljalnih ukrepov, ki so v teh določbah našteti, odvisno od izvora zadevnih podatkov in zlasti od okoliščine, da so bili pridobljeni od posameznika, na katerega se nanašajo osebni podatki.

49 Prav tako v besedilu člena 17(1) SUVP, ki – kot je razvidno iz točke 37 te sodbe – določa samostojno obveznost upravljavca, da izbriše osebne podatke, ki so bili obdelani nezakonito, ni nobene zahteve v zvezi z izvorom zbranih podatkov.

50 Poleg tega – kot je razvidno iz točk 41 in 42 te sodbe – mora nacionalni nadzorni organ za zagotovitev učinkovite in dosledne uporabe SUVP imeti učinkovita pooblastila, da bi učinkovito ukrepal proti kršitvam te uredbe. Zato pooblastilo za sprejetje popravljalnih ukrepov, kot je določeno v členu 58(2)(d) in (g) SUVP, ne more biti odvisno od izvora zadevnih podatkov in zlasti ne od okoliščine, da so bili pridobljeni od posameznika, na katerega se nanašajo osebni podatki.

51 Zato je treba šteti – tako kot vse vlade, ki so predložile pisna stališča, in Komisija – da izvrševanje pooblastila za sprejetje popravljalnih ukrepov v smislu člena 58(2)(d) in (g) SUVP ne more biti odvisno od tega, ali so bili zadevni osebni podatki pridobljeni neposredno od posameznika, na katerega se nanašajo osebni podatki, ali ne.

52 Taka razlaga je podprta tudi s cilji, ki se uresničujejo s SUVP, zlasti s členom 58(2) te uredbe, in ki so bili navedeni v točkah 40 in 43 te sodbe.

53 Glede na zgoraj navedene preudarke je treba na drugo vprašanje odgovoriti, da je treba člen 58(2) SUVP razlagati tako, da se pooblastilo nadzornega organa države članice, da odredi izbris osebnih podatkov, ki so bili obdelani nezakonito, lahko nanaša tako na podatke, pridobljene od posameznika, na katerega se nanašajo osebni podatki, kot na podatke, pridobljene iz drugega vira.

Stroški

54 Ker je ta postopek za stranki iz postopka v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (peti senat) razsodilo:

1. Člen 58(2)(d) in (g) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)

je treba razlagati tako, da

je nadzorni organ države članice pri izvrševanju svojega pooblastila za sprejetje popravljalnih ukrepov, določenih v teh določbah, pooblaščen, da upravljavcu ali obdelovalcu odredi izbris osebnih podatkov, ki so bili obdelani nezakonito, tudi če posameznik, na katerega se nanašajo osebni podatki, v ta namen ni vložil nobene zahteve glede uresničevanja svojih pravic na podlagi člena 17(1) te uredbe.

2. Člen 58(2) Uredbe 2016/679

je treba razlagati tako, da

se pooblastilo nadzornega organa države članice, da odredi izbris osebnih podatkov, ki so bili obdelani nezakonito, lahko nanaša tako na podatke, pridobljene od posameznika, na katerega se nanašajo osebni podatki, kot na podatke, pridobljene iz drugega vira.

Podpisi

* Jezik postopka: madžarščina.