Language of document : ECLI:EU:C:2023:3

ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (πρώτο τμήμα)

της 12ης Ιανουαρίου 2023 (*)

«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 15, παράγραφος 1, στοιχείο γʹ – Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων στα δεδομένα του – Πληροφορίες σχετικά με τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα – Περιορισμοί»

Στην υπόθεση C‑154/21,

με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Oberster Gerichtshof (Ανώτατο Δικαστήριο, Αυστρία) με απόφαση της 18ης Φεβρουαρίου 2021, η οποία περιήλθε στο Δικαστήριο στις 9 Μαρτίου 2021, στο πλαίσιο της δίκης

RW

κατά

Österreichische Post AG,

ΤΟ ΔΙΚΑΣΤΗΡΙΟ (πρώτο τμήμα),

συγκείμενο από τους A. Arabadjiev, πρόεδρο τμήματος, L. Bay Larsen, Αντιπρόεδρο του Δικαστηρίου, ασκούντα καθήκοντα δικαστή του πρώτου τμήματος, P. G. Xuereb, A. Kumin και I. Ziemele (εισηγήτρια), δικαστές,

γενικός εισαγγελέας: G. Pitruzzella

γραμματέας: A. Calot Escobar

έχοντας υπόψη την έγγραφη διαδικασία,

λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:

–        ο RW, εκπροσωπούμενος από τον R. Haupt, Rechtsanwalt,

–        η Österreichische Post AG, εκπροσωπούμενη από τον R. Marko, Rechtsanwalt,

–        η Αυστριακή Κυβέρνηση, εκπροσωπούμενη από τους G. Kunnert, A. Posch και από την J. Schmoll,

–        η Τσεχική Κυβέρνηση, εκπροσωπούμενη από τους M. Smolek και J. Vláčil,

–        η Ιταλική Κυβέρνηση, εκπροσωπούμενη από την G. Palmieri, επικουρούμενη από την M. Russo, avvocato dello Stato,

–        η Λεττονική Κυβέρνηση, εκπροσωπούμενη από τις J. Davidoviča, I. Hūna και K. Pommere,

–        η Ρουμανική Κυβέρνηση, εκπροσωπούμενη από τις L.‑E. Baţagoi, E. Gane και A. Wellman,

–        η Σουηδική Κυβέρνηση, εκπροσωπούμενη από την H. Eklinder και από τον J. Lundberg, καθώς και από τις C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, R. Shahsavan Eriksson, H. Shev και από τον O. Simonsson,

–        η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τους F. Erlbacher και H. Kranenborg,

αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 9ης Ιουνίου 2022,

εκδίδει την ακόλουθη

Απόφαση

1        Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 15, παράγραφος 1, στοιχείο γʹ, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1) (στο εξής: ΓΚΠΔ).

2        Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ του RW και της Österreichische Post AG (στο εξής: Österreichische Post) σχετικά με αίτημα προσβάσεως σε δεδομένα προσωπικού χαρακτήρα δυνάμει του άρθρου 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ.

 Το νομικό πλαίσιο

3        Οι αιτιολογικές σκέψεις 4, 9, 10, 39, 63 και 74 του ΓΚΠΔ έχουν ως εξής:

«(4)      […] Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα· πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας. […]

[…]

(9)      Ενώ οι στόχοι και οι αρχές της οδηγίας 95/46/ΕΚ [του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 31)] παραμένουν ισχυροί, η οδηγία δεν κατόρθωσε να αποτρέψει τον κατακερματισμό της εφαρμογής της προστασίας των δεδομένων σε ολόκληρη την [Ευρωπαϊκή] Ένωση, την ανασφάλεια δικαίου ή τη διαδεδομένη στο κοινό αντίληψη ότι υπάρχουν σημαντικοί κίνδυνοι για την προστασία των φυσικών προσώπων, ιδίως όσον αφορά την επιγραμμική δραστηριότητα. Διαφορές στο επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων, ιδίως του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα, όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη, ενδέχεται να εμποδίζουν την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Επομένως, οι διαφορές αυτές μπορεί να συνιστούν εμπόδιο για την άσκηση οικονομικών δραστηριοτήτων στο επίπεδο της Ένωσης, να στρεβλώνουν τον ανταγωνισμό και να εμποδίζουν τις αρχές στην εκτέλεση των αρμοδιοτήτων τους, όπως αυτές απορρέουν από το δίκαιο της Ένωσης. Αυτή η διαφορά ως προς τα επίπεδα προστασίας οφείλεται στην ύπαρξη αποκλίσεων κατά την εκτέλεση και εφαρμογή της οδηγίας 95/46/ΕΚ.

(10)      Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. […]

[…]

(39)      Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη και δίκαιη. Θα πρέπει να είναι σαφές για τα φυσικά πρόσωπα ότι δεδομένα προσωπικού χαρακτήρα που τα αφορούν συλλέγονται, χρησιμοποιούνται, λαμβάνονται υπόψη ή υποβάλλονται κατ’ άλλο τρόπο σε επεξεργασία, καθώς και σε ποιο βαθμό τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται ή θα υποβληθούν σε επεξεργασία. Η αρχή αυτή απαιτεί κάθε πληροφορία και ανακοίνωση σχετικά με την επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα να είναι εύκολα προσβάσιμη και κατανοητή και να χρησιμοποιεί σαφή και απλή γλώσσα. […]

[…]

(63)      Ένα υποκείμενο των δεδομένων θα πρέπει να έχει δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα τα οποία συλλέχθηκαν και το αφορούν και να μπορεί να ασκεί το εν λόγω δικαίωμα ευχερώς και σε εύλογα τακτά διαστήματα, προκειμένου να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας. […] Επομένως, κάθε υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να γνωρίζει και να του ανακοινώνεται ιδίως για ποιους σκοπούς γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, εφόσον είναι δυνατόν για πόσο διάστημα γίνεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ποιοι αποδέκτες λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα, ποια λογική ακολουθείται στην τυχόν αυτόματη επεξεργασία δεδομένων προσωπικού χαρακτήρα και ποιες θα μπορούσαν να είναι οι συνέπειες της εν λόγω επεξεργασίας, τουλάχιστον όταν αυτή βασίζεται σε κατάρτιση προφίλ. […] Το δικαίωμα αυτό δεν θα πρέπει να επηρεάζει αρνητικά τα δικαιώματα ή τις ελευθερίες άλλων, όπως το επαγγελματικό απόρρητο ή το δικαίωμα διανοητικής ιδιοκτησίας και, ειδικότερα, το δικαίωμα δημιουργού που προστατεύει το λογισμικό. Ωστόσο, οι παράγοντες αυτοί δεν θα πρέπει να έχουν ως αποτέλεσμα την άρνηση παροχής κάθε πληροφορίας στο υποκείμενο των δεδομένων. […]

[…]

(74)      Θα πρέπει να θεσπιστεί ευθύνη και υποχρέωση αποζημίωσης του υπευθύνου επεξεργασίας για οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται από τον υπεύθυνο επεξεργασίας ή για λογαριασμό του υπευθύνου επεξεργασίας. Ειδικότερα, ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να υλοποιεί κατάλληλα και αποτελεσματικά μέτρα και να είναι σε θέση να αποδεικνύει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας με τον παρόντα κανονισμό, συμπεριλαμβανομένης της αποτελεσματικότητας των μέτρων. Τα εν λόγω μέτρα θα πρέπει να λαμβάνουν υπόψη τη φύση, το πλαίσιο, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.»

4        Το άρθρο 1 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Αντικείμενο και στόχοι», ορίζει στην παράγραφο 2 τα εξής:

«Ο παρών κανονισμός προστατεύει θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα.»

5        Το άρθρο 5 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα», προβλέπει τα εξής:

«1.      Τα δεδομένα προσωπικού χαρακτήρα:

α)      υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων (“νομιμότητα, αντικειμενικότητα και διαφάνεια”),

[…]

2.      Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 (“λογοδοσία”).»

6        Το άρθρο 12 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Διαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων», ορίζει τα εξής:

«1.      Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 έως 22 και του άρθρου 34 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα.

2.      Ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 15 έως 22. Στις περιπτώσεις που προβλέπονται στο άρθρο 11 παράγραφος 2, ο υπεύθυνος επεξεργασίας δεν αρνείται να ενεργήσει κατόπιν αιτήσεως του υποκειμένου των δεδομένων για να ασκήσει τα δικαιώματά του βάσει των άρθρων 15 έως 22, εκτός αν ο υπεύθυνος επεξεργασίας αποδείξει ότι δεν είναι σε θέση να εξακριβώσει την ταυτότητα του υποκειμένου των δεδομένων.

[…]

5.      Οι πληροφορίες που παρέχονται σύμφωνα με τα άρθρα 13 και 14 και κάθε ανακοίνωση καθώς και όλες οι ενέργειες που αναλαμβάνονται σύμφωνα με τα άρθρα 15 έως 22 και το άρθρο 34 παρέχονται δωρεάν. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί είτε:

α)      να επιβάλει την καταβολή εύλογου τέλους, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή της ενημέρωσης ή την ανακοίνωση ή την εκτέλεση της ζητούμενης ενέργειας, ή

β)      να αρνηθεί να δώσει συνέχεια στο αίτημα.

Ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή του υπερβολικού χαρακτήρα του αιτήματος.

[…]»

7        Το άρθρο 13 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων», προβλέπει στην παράγραφο 1 τα εξής:

«Όταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο των δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων όλες τις ακόλουθες πληροφορίες:

[…]

ε)      τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν· […]

[…]»

8        Το άρθρο 14 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων», ορίζει στην παράγραφο 1 τα εξής:

«Όταν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες:

[…]

ε)      τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, ενδεχομένως,

[…]».

9        Το άρθρο 15 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων», ορίζει τα εξής:

«1.      Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:

α)      τους σκοπούς της επεξεργασίας,

β)      τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα,

γ)      τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς.

δ)      εάν είναι δυνατόν, το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,

ε)      την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην εν λόγω επεξεργασία,

στ)      το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή,

ζ)      όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους,

η)      την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που προβλέπεται στο άρθρο 22 παράγραφοι 1 και 4, και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

2.      Όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα ή σε διεθνή οργανισμό, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται για τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 σχετικά με τη διαβίβαση.

3.      Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Για επιπλέον αντίγραφα που ενδέχεται να ζητηθούν από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή εύλογου τέλους για διοικητικά έξοδα. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα και εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως.

4.      Το δικαίωμα να λαμβάνεται αντίγραφο που αναφέρεται στην παράγραφο 3 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.»

10      Το άρθρο 16 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Δικαίωμα διόρθωσης», ορίζει τα εξής:

«Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.»

11      Το άρθρο 17 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Δικαίωμα διαγραφής (“δικαίωμα στη λήθη”)», ορίζει τα εξής:

«1.      Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:

α)      τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,

β)      το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) ή το άρθρο 9 παράγραφος 2 στοιχείο α) και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,

γ)      το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 2,

δ)      τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,

ε)      τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στ[ο] οποί[ο] υπόκειται ο υπεύθυνος επεξεργασίας,

στ)      τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών που αναφέρονται στο άρθρο 8 παράγραφος 1.

2.      Όταν ο υπεύθυνος επεξεργασίας έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σύμφωνα με την παράγραφο 1 να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, λαμβάνει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων, για να ενημερώσει τους υπευθύνους επεξεργασίας που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα ότι το υποκείμενο των δεδομένων ζήτησε τη διαγραφή από αυτούς τους υπευθύνους επεξεργασίας τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων προσωπικού χαρακτήρα.

[…]»

12      Το άρθρο 18 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Δικαίωμα περιορισμού της επεξεργασίας», ορίζει στην παράγραφο 1 τα εξής:

«Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:

α)      η ακρίβεια των δεδομένων προσωπικού χαρακτήρα αμφισβητείται από το υποκείμενο των δεδομένων, για χρονικό διάστημα που επιτρέπει στον υπεύθυνο επεξεργασίας να επαληθεύσει την ακρίβεια των δεδομένων προσωπικού χαρακτήρα,

β)      η επεξεργασία είναι παράνομη και το υποκείμενο των δεδομένων αντιτάσσεται στη διαγραφή των δεδομένων προσωπικού χαρακτήρα και ζητεί, αντ’ αυτής, τον περιορισμό της χρήσης τους,

γ)      ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων,

δ)      το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων.

[…]»

13      Το άρθρο 19 του ΓΚΠΔ ορίζει τα εξής:

«Ο υπεύθυνος επεξεργασίας ανακοινώνει κάθε διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων που διενεργείται σύμφωνα με το άρθρο 16, το άρθρο 17 παράγραφος 1 και το άρθρο 18 σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί από το υποκείμενο των δεδομένων.»

14      Το άρθρο 21 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Δικαίωμα εναντίωσης», ορίζει τα εξής:

«1.      Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, η οποία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο ε) ή στ), περιλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

2.      Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση.

3.      Όταν τα υποκείμενα των δεδομένων αντιτίθενται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, τα δεδομένα προσωπικού χαρακτήρα δεν υποβάλλονται πλέον σε επεξεργασία για τους σκοπούς αυτούς.

4.      Το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, το δικαίωμα που αναφέρεται στις παραγράφους 1 και 2 επισημαίνεται ρητώς στο υποκείμενο των δεδομένων και περιγράφεται με σαφήνεια και χωριστά από οποιαδήποτε άλλη πληροφορία.

5.      Στο πλαίσιο της χρήσης υπηρεσιών της κοινωνίας των πληροφοριών και με την επιφύλαξη της οδηγίας 2002/58/ΕΚ [του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ 2002, L 201, σ. 37)], το υποκείμενο των δεδομένων μπορεί να ασκεί το δικαίωμά του να αντιταχθεί με αυτοματοποιημένα μέσα τα οποία χρησιμοποιούν τεχνικές προδιαγραφές.

6.      Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς κατά το άρθρο 89 παράγραφος 1, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί, για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται για λόγους δημόσιου συμφέροντος.»

15      Το άρθρο 79 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Δικαίωμα πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία», ορίζει στην παράγραφο 1 τα εξής:

«Με την επιφύλαξη κάθε διαθέσιμης διοικητικής ή μη δικαστικής προσφυγής, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας σε εποπτική αρχή δυνάμει του άρθρου 77, έκαστο υποκείμενο των δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής εάν θεωρεί ότι τα δικαιώματά του που απορρέουν από τον παρόντα κανονισμό παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα του που το αφορούν κατά παράβαση του παρόντος κανονισμού.»

16      Το άρθρο 82 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Δικαίωμα αποζημίωσης και ευθύνη», προβλέπει στην παράγραφο 1 τα εξής:

«Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.»

 Η διαφορά της κύριας δίκης και το προδικαστικό ερώτημα

17      Στις 15 Ιανουαρίου 2019 ο RW ζήτησε από την Österreichische Post να του παράσχει, σύμφωνα με το άρθρο 15 του ΓΚΠΔ, πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τον αφορούν και τα οποία διατηρεί ή διατηρούσε στο παρελθόν η Österreichische Post, καθώς και να τον ενημερώσει, σε περίπτωση κοινολόγησης των δεδομένων σε τρίτους, για την ταυτότητα των εν λόγω αποδεκτών.

18      Με την απάντησή της στο αίτημα αυτό, η Österreichische Post περιορίστηκε να αναφέρει ότι χρησιμοποιεί δεδομένα, στο μέτρο που επιτρέπεται από τον νόμο, στο πλαίσιο της δραστηριότητάς της ως εκδότριας τηλεφωνικών καταλόγων, και ότι προσφέρει τα εν λόγω δεδομένα προσωπικού χαρακτήρα σε εμπορικούς εταίρους για σκοπούς εμπορικής προώθησης. Κατά τα λοιπά, η Österreichische παρέπεμψε σε έναν ιστότοπο για λεπτομερέστερες πληροφορίες καθώς και όσον αφορά άλλους σκοπούς επεξεργασίας δεδομένων. Δεν γνωστοποίησε στον RW την ταυτότητα των συγκεκριμένων αποδεκτών των δεδομένων.

19      Ο RW άσκησε αγωγή κατά της Österreichische Post ενώπιον των αυστριακών δικαστηρίων, με αίτημα να υποχρεωθεί η τελευταία να του παράσχει, μεταξύ άλλων, πληροφορίες σχετικά με την ταυτότητα του ή των αποδεκτών στους οποίους κοινολογήθηκαν κατά τα ανωτέρω τα δεδομένα προσωπικού χαρακτήρα που τον αφορούσαν.

20      Στη διάρκεια της ένδικης διαδικασίας που κινήθηκε κατ’ αυτόν τον τρόπο, η Österreichische Post ενημέρωσε τον RW ότι τα δεδομένα προσωπικού χαρακτήρα που τον αφορούσαν είχαν υποβληθεί σε επεξεργασία για σκοπούς εμπορικής προώθησης και είχαν διαβιβαστεί σε πελάτες, μεταξύ των οποίων περιλαμβάνονταν διαφημιζόμενοι στον τομέα των πωλήσεων δι’ αλληλογραφίας και των πωλήσεων σε φυσικά σημεία πώλησης, επιχειρήσεις πληροφορικής, εκδότες τηλεφωνικών καταλόγων και ενώσεις όπως φιλανθρωπικές οργανώσεις, μη κυβερνητικές οργανώσεις (ΜΚΟ) ή πολιτικά κόμματα.

21      Τα επιληφθέντα σε πρώτο και δεύτερο βαθμό δικαστήρια απέρριψαν την αγωγή του RW με το σκεπτικό ότι το άρθρο 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ, καθόσον αναφέρεται στους «αποδέκτες ή τις κατηγορίες αποδεκτών», παρέχει στον υπεύθυνο επεξεργασίας τη δυνατότητα να κοινοποιήσει στο υποκείμενο των δεδομένων μόνον τις κατηγορίες αποδεκτών, χωρίς να υποχρεούται να κατονομάσει τους συγκεκριμένους αποδέκτες στους οποίους διαβιβάζονται τα δεδομένα προσωπικού χαρακτήρα.

22      Ο RW άσκησε αναίρεση (Revision) ενώπιον του αιτούντος δικαστηρίου, του Oberster Gerichtshof (Ανωτάτου Δικαστηρίου, Αυστρία).

23      Το αιτούν δικαστήριο διερωτάται ως προς την ερμηνεία του άρθρου 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ, στο μέτρο που από το γράμμα της εν λόγω διατάξεως δεν καθίσταται σαφές αν αυτή παρέχει στο υποκείμενο των δεδομένων το δικαίωμα πρόσβασης στις πληροφορίες που αφορούν τους συγκεκριμένους αποδέκτες των δεδομένων που κοινολογήθηκαν ή αν ο υπεύθυνος επεξεργασίας διαθέτει διακριτική ευχέρεια ως προς τον τρόπο με τον οποίο προτίθεται να δώσει συνέχεια σε αίτηση παροχής πληροφοριών σχετικά με τους αποδέκτες.

24      Το αιτούν δικαστήριο παρατηρεί, ωστόσο, ότι η ratio legis της εν λόγω διατάξεως συνηγορεί μάλλον υπέρ της ερμηνείας κατά την οποία η επιλογή να ζητήσει πληροφορίες σχετικά με τις κατηγορίες αποδεκτών ή με τους συγκεκριμένους αποδέκτες των δεδομένων προσωπικού χαρακτήρα που το αφορούν ανήκει στο υποκείμενο των δεδομένων. Κατά το αιτούν δικαστήριο, αντίθετη ερμηνεία θα έθιγε σοβαρά την αποτελεσματικότητα των μέσων παροχής έννομης προστασίας που έχει στη διάθεσή του το υποκείμενο των δεδομένων για την προστασία των δεδομένων του. Συγκεκριμένα, σε περίπτωση που η επιλογή να γνωστοποιήσουν στο υποκείμενο των δεδομένων τους συγκεκριμένους αποδέκτες ή μόνον τις κατηγορίες αποδεκτών ανήκε στους υπεύθυνους επεξεργασίας, θα υπήρχε o φόβος, στην πράξη, σχεδόν κανείς από αυτούς να μην παράσχει τις πληροφορίες που αφορούν τους συγκεκριμένους αποδέκτες.

25      Επιπλέον, αντιθέτως προς το άρθρο 13, παράγραφος 1, στοιχείο εʹ, και το άρθρο 14, παράγραφος 1, στοιχείο εʹ, του ΓΚΠΔ, τα οποία προβλέπουν υποχρέωση του υπεύθυνου επεξεργασίας να παράσχει τις πληροφορίες που προβλέπονται σε αυτά, το άρθρο 15, παράγραφος 1, του κανονισμού δίνει έμφαση στο περιεχόμενο του δικαιώματος πρόσβασης του υποκειμένου των δεδομένων, γεγονός το οποίο συνηγορεί επίσης, κατά το αιτούν δικαστήριο, υπέρ του ότι το υποκείμενο των δεδομένων έχει το δικαίωμα να επιλέξει μεταξύ του να ζητήσει πληροφορίες για τους συγκεκριμένους αποδέκτες ή για τις κατηγορίες αποδεκτών.

26      Τέλος, το αιτούν δικαστήριο προσθέτει ότι το δικαίωμα πρόσβασης που προβλέπει το άρθρο 15, παράγραφος 1, του ΓΚΠΔ αφορά όχι μόνον τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία κατά την παρούσα χρονική στιγμή, αλλά και όλα τα δεδομένα που υποβλήθηκαν σε επεξεργασία κατά το παρελθόν. Συναφώς, το αιτούν δικαστήριο διευκρινίζει ότι οι εκτιμήσεις που περιλαμβάνονται στην απόφαση της 7ης Μαΐου 2009, Rijkeboer (C‑553/07, EU:C:2009:293), και οι οποίες στηρίζονται στον σκοπό του δικαιώματος πρόσβασης που προβλέπει η οδηγία 95/46 μπορούν να εφαρμοστούν στο δικαίωμα πρόσβασης που προβλέπεται στο άρθρο 15 του ΓΚΠΔ, τούτο δε κατά μείζονα λόγο διότι από τις αιτιολογικές σκέψεις 9 και 10 του εν λόγω κανονισμού συνάγεται ότι ο νομοθέτης της Ένωσης δεν είχε την πρόθεση να περιορίσει το επίπεδο προστασίας σε σχέση με την ως άνω οδηγία.

27      Υπό τις συνθήκες αυτές, το Oberster Gerichtshof (Ανώτατο Δικαστήριο) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο το ακόλουθο προδικαστικό ερώτημα:

«Έχει το άρθρο 15, παράγραφος 1, στοιχείο γʹ, του [ΓΚΠΔ] την έννοια ότι το δικαίωμα πρόσβασης περιορίζεται στις πληροφορίες σχετικά με τις κατηγορίες αποδεκτών αν οι συγκεκριμένοι αποδέκτες δεν έχουν ακόμη προσδιοριστεί στο πλαίσιο σχεδιαζόμενων κοινολογήσεων, ενώ, αν έχουν ήδη κοινολογηθεί δεδομένα, το εν λόγω δικαίωμα πρέπει υποχρεωτικώς να εκτείνεται και στις πληροφορίες σχετικά με τους αποδέκτες των εν λόγω κοινολογήσεων;»

 Επί του προδικαστικού ερωτήματος

28      Με το προδικαστικό ερώτημά του, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ έχει την έννοια ότι το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων στα δεδομένα προσωπικού χαρακτήρα που το αφορούν, το οποίο προβλέπει η εν λόγω διάταξη, συνεπάγεται, οσάκις τα δεδομένα αυτά κοινολογήθηκαν ή πρόκειται να κοινολογηθούν σε αποδέκτες, την υποχρέωση του υπεύθυνου επεξεργασίας να γνωστοποιήσει στο υποκείμενο των δεδομένων τη συγκεκριμένη ταυτότητα των αποδεκτών.

29      Προκαταρκτικώς υπενθυμίζεται ότι, κατά πάγια νομολογία, για την ερμηνεία διατάξεως του δικαίου της Ένωσης πρέπει να λαμβάνεται υπόψη όχι μόνον το γράμμα της, αλλά και το πλαίσιο στο οποίο εντάσσεται, καθώς και οι σκοποί που επιδιώκονται με την πράξη της οποίας αποτελεί μέρος (απόφαση της 15ης Μαρτίου 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, σκέψη 63). Επιπλέον, όταν διάταξη του δικαίου της Ένωσης επιδέχεται πλείονες ερμηνείες, πρέπει να προτιμάται η ερμηνεία η οποία διασφαλίζει την πρακτική της αποτελεσματικότητα (απόφαση της 7ης Μαρτίου 2018, Cristal Union, C‑31/17, EU:C:2018:168, σκέψη 41 και εκεί μνημονευόμενη νομολογία).

30      Όσον αφορά, καταρχάς, το γράμμα του άρθρου 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ, υπενθυμίζεται ότι η διάταξη αυτή προβλέπει ότι το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα εν λόγω δεδομένα προσωπικού χαρακτήρα καθώς και στις πληροφορίες σχετικά με τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα.

31      Συναφώς, επισημαίνεται ότι οι όροι «αποδέκτες» και «κατηγορίες αποδεκτών» που διαλαμβάνονται στην ως άνω διάταξη παρατίθενται διαδοχικώς χωρίς να είναι δυνατόν να συναχθεί ότι υφίσταται σχέση προτεραιότητας μεταξύ τους.

32      Επομένως, επιβάλλεται η διαπίστωση ότι από το γράμμα του άρθρου 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ δεν προκύπτει με σαφήνεια αν το υποκείμενο των δεδομένων έχει το δικαίωμα, οσάκις τα δεδομένα προσωπικού χαρακτήρα που το αφορούν κοινολογήθηκαν ή πρόκειται να κοινολογηθούν, να ενημερωθεί για τη συγκεκριμένη ταυτότητα των αποδεκτών τους.

33      Εν συνεχεία, όσον αφορά το πλαίσιο στο οποίο εντάσσεται το άρθρο 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ, πρέπει να υπομνησθεί, πρώτον, ότι η αιτιολογική σκέψη 63 του κανονισμού προβλέπει ότι το υποκείμενο των δεδομένων πρέπει να έχει το δικαίωμα να γνωρίζει και να του ανακοινώνεται, ειδικότερα, ποιοι αποδέκτες λαμβάνουν τα εν λόγω δεδομένα προσωπικού χαρακτήρα, χωρίς ουδόλως να αναφέρει, όπως επισήμανε ο γενικός εισαγγελέας με το σημείο 23 των προτάσεών του, ότι το δικαίωμα αυτό θα μπορούσε να περιοριστεί μόνο στις κατηγορίες αποδεκτών.

34      Δεύτερον, πρέπει επίσης να υπομνησθεί ότι, προκειμένου να γίνει σεβαστό το δικαίωμα πρόσβασης, κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα φυσικών προσώπων πρέπει να είναι σύμφωνη με τις αρχές που προβλέπονται στο άρθρο 5 του ΓΚΠΔ (πρβλ. απόφαση της 16ης Ιανουαρίου 2019, Deutsche Post, C‑496/17, EU:C:2019:26, σκέψη 57).

35      Μεταξύ των αρχών αυτών περιλαμβάνεται η αρχή της διαφάνειας που προβλέπεται στο άρθρο 5, παράγραφος 1, στοιχείο αʹ, του ΓΚΠΔ, η οποία, όπως προκύπτει από την αιτιολογική σκέψη 39 του εν λόγω κανονισμού, απαιτεί το υποκείμενο των δεδομένων να έχει στη διάθεσή του πληροφορίες σχετικά με τον τρόπο επεξεργασίας των δεδομένων του προσωπικού χαρακτήρα, οι δε πληροφορίες αυτές να είναι ευχερώς προσβάσιμες και κατανοητές.

36      Τρίτον, επισημαίνεται ότι, όπως υπογράμμισε ο γενικός εισαγγελέας με το σημείο 21 των προτάσεών του, σε αντίθεση με τα άρθρα 13 και 14 του ΓΚΠΔ, τα οποία θεσπίζουν υποχρέωση του υπεύθυνου επεξεργασίας να παρέχει στο υποκείμενο των δεδομένων πληροφορίες σχετικά με τις κατηγορίες αποδεκτών ή τους συγκεκριμένους αποδέκτες των δεδομένων προσωπικού χαρακτήρα που το αφορούν, οσάκις τα δεδομένα αυτά συλλέγονται από το υποκείμενο των δεδομένων ή δεν συλλέγονται από αυτό, το άρθρο 15 του ΓΚΠΔ προβλέπει γνήσιο δικαίωμα πρόσβασης υπέρ του υποκειμένου των δεδομένων, με αποτέλεσμα το υποκείμενο των δεδομένων να πρέπει να έχει τη δυνατότητα να επιλέξει εάν θα λάβει, εφόσον τούτο είναι δυνατόν, τις πληροφορίες σχετικά με τους συγκεκριμένους αποδέκτες στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα εν λόγω δεδομένα ή τις πληροφορίες σχετικά με τις κατηγορίες αποδεκτών.

37      Τέταρτον, το Δικαστήριο έχει κρίνει ότι η άσκηση του εν λόγω δικαιώματος πρόσβασης πρέπει να παρέχει στο υποκείμενο των δεδομένων τη δυνατότητα να βεβαιώνεται όχι μόνον ότι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν είναι ακριβή, αλλά και ότι η επεξεργασία τους γίνεται με νόμιμο τρόπο (βλ., κατ’ αναλογίαν, αποφάσεις της 17ης Ιουλίου 2014, YS κ.λπ., C‑141/12 και C‑372/12, EU:C:2014:2081, σκέψη 44, και της 20ής Δεκεμβρίου 2017, Nowak, C‑434/16, EU:C:2017:994, σκέψη 57), ιδίως δε ότι κοινολογήθηκαν σε αποδέκτες που έχουν σχετικό δικαίωμα (βλ., κατ’ αναλογίαν, απόφαση της 7ης Μαΐου 2009, Rijkeboer, C‑553/07, EU:C:2009:293, σκέψη 49).

38      Ειδικότερα, αυτό το δικαίωμα πρόσβασης είναι αναγκαίο προκειμένου το υποκείμενο των δεδομένων να μπορεί να ασκήσει, ενδεχομένως, το δικαίωμά του διόρθωσης, το δικαίωμά του διαγραφής των δεδομένων («δικαίωμα στη λήθη»), το δικαίωμά του περιορισμού της επεξεργασίας, τα οποία του αναγνωρίζονται, αντιστοίχως, από τα άρθρα 16, 17 και 18 του ΓΚΠΔ (βλ., κατ’ αναλογίαν, αποφάσεις της 17ης Ιουλίου 2014, YS κ.λπ., C‑141/12 και C‑372/12, EU:C:2014:2081, σκέψη 44, και της 20ής Δεκεμβρίου 2017, Nowak, C‑434/16, EU:C:2017:994, σκέψη 57), καθώς και το δικαίωμά του να αντιταχθεί στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, το οποίο προβλέπεται στο άρθρο 21 του ΓΚΠΔ, και το δικαίωμά του να ασκήσει αγωγή σε περίπτωση ζημίας, το οποίο προβλέπεται στα άρθρα 79 και 82 του ΓΚΠΔ (βλ., κατ’ αναλογίαν, απόφαση της 7ης Μαΐου 2009, Rijkeboer, C‑553/07, EU:C:2009:293, σκέψη 52).

39      Επομένως, προκειμένου να διασφαλιστεί η πρακτική αποτελεσματικότητα του συνόλου των δικαιωμάτων που μνημονεύονται στην προηγούμενη σκέψη της παρούσας αποφάσεως, το υποκείμενο των δεδομένων πρέπει, ειδικότερα, να έχει δικαίωμα να ενημερώνεται σχετικά με την ταυτότητα των συγκεκριμένων αποδεκτών σε περίπτωση που τα δεδομένα προσωπικού χαρακτήρα που το αφορούν έχουν ήδη κοινολογηθεί.

40      Πέμπτον και τελευταίο, η ως άνω ερμηνεία επιβεβαιώνεται από τη διατύπωση του άρθρου 19 του ΓΚΠΔ, το οποίο προβλέπει, στην πρώτη περίοδο, ότι ο υπεύθυνος επεξεργασίας ανακοινώνει, καταρχήν, κάθε διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, και, στη δεύτερη περίοδο, ότι ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί από το υποκείμενο των δεδομένων.

41      Επομένως, το άρθρο 19, δεύτερη περίοδος, του ΓΚΠΔ παρέχει ρητώς στο υποκείμενο των δεδομένων το δικαίωμα να ενημερώνεται από τον υπεύθυνο επεξεργασίας σχετικά με τους συγκεκριμένους αποδέκτες των δεδομένων που το αφορούν, στο πλαίσιο της υποχρεώσεως που υπέχει ο υπεύθυνος επεξεργασίας να ενημερώνει όλους τους αποδέκτες για την άσκηση των δικαιωμάτων τα οποία έχει το υποκείμενο των δεδομένων βάσει του άρθρου 16, του άρθρου 17, παράγραφος 1, και του άρθρου 18 του ΓΚΠΔ.

42      Από τη συστηματική ερμηνεία που προηγήθηκε προκύπτει ότι το άρθρο 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ αποτελεί μία από τις διατάξεις που αποσκοπούν να διασφαλίσουν τη διαφάνεια των τρόπων επεξεργασίας των δεδομένων προσωπικού χαρακτήρα έναντι του υποκειμένου των δεδομένων και παρέχει στο υποκείμενο των δεδομένων τη δυνατότητα, όπως επισήμανε ο γενικός εισαγγελέας με το σημείο 33 των προτάσεών του, να ασκήσει τα προνόμια που προβλέπονται, μεταξύ άλλων, στα άρθρα 16 έως 19, 21, 79 και 82 του ΓΚΠΔ.

43      Ως εκ τούτου, πρέπει να γίνει δεκτό ότι οι πληροφορίες που παρέχονται στο υποκείμενο των δεδομένων βάσει του δικαιώματος πρόσβασης που προβλέπεται στο άρθρο 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ θα πρέπει να είναι όσο το δυνατόν πιο ακριβείς. Ειδικότερα, το εν λόγω δικαίωμα πρόσβασης συνεπάγεται τη δυνατότητα του υποκειμένου των δεδομένων να λάβει από τον υπεύθυνο επεξεργασίας πληροφορίες σχετικά με τους συγκεκριμένους αποδέκτες στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα ή, εναλλακτικώς, να επιλέξει να ζητήσει πληροφορίες μόνο σχετικά με τις κατηγορίες αποδεκτών.

44      Τέλος, όσον αφορά τον σκοπό που επιδιώκει ο ΓΚΠΔ, επισημαίνεται ότι ο εν λόγω κανονισμός αποσκοπεί, μεταξύ άλλων, όπως προκύπτει από την αιτιολογική του σκέψη 10, στη διασφάλιση υψηλού επιπέδου προστασίας των φυσικών προσώπων εντός της Ένωσης (απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C‑511/18, C‑512/18 και C‑520/18, EU:C:2020:791, σκέψη 207). Συναφώς, όπως επισήμανε κατ’ ουσίαν ο γενικός εισαγγελέας με το σημείο 14 των προτάσεών του, το γενικό νομικό πλαίσιο που δημιούργησε ο ΓΚΠΔ θέτει σε εφαρμογή τις απαιτήσεις που απορρέουν από το θεμελιώδες δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα το οποίο προστατεύεται από το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, ιδίως δε τις απαιτήσεις που προβλέπονται ρητώς στην παράγραφο 2 του εν λόγω άρθρου (πρβλ. απόφαση της 9ης Μαρτίου 2017, Manni, C‑398/15, EU:C:2017:197, σκέψη 40).

45      Ο σκοπός αυτός συνηγορεί υπέρ της ερμηνείας του άρθρου 15, παράγραφος 1, του ΓΚΠΔ η οποία παρατίθεται στη σκέψη 43 της παρούσας αποφάσεως.

46      Επομένως, από τον σκοπό που επιδιώκει ο ΓΚΠΔ προκύπτει ομοίως ότι το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας πληροφορίες σχετικά με τους συγκεκριμένους αποδέκτες στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.

47      Τούτου λεχθέντος, υπογραμμίζεται τέλος ότι, όπως προκύπτει από την αιτιολογική σκέψη 4 του ΓΚΠΔ, το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα. Πράγματι, το δικαίωμα αυτό πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας, όπως επιβεβαίωσε, κατ’ ουσίαν, το Δικαστήριο εκ νέου με τη σκέψη 172 της αποφάσεως της 16ης Ιουλίου 2020, Facebook Ireland και Schrems (C‑311/18, EU:C:2020:559).

48      Ως εκ τούτου, μπορεί να γίνει δεκτό ότι, υπό ειδικές περιστάσεις, δεν είναι δυνατό να δοθούν πληροφορίες σχετικά με συγκεκριμένους αποδέκτες. Επομένως, το δικαίωμα πρόσβασης θα μπορεί να περιορίζεται στην παροχή πληροφοριών σχετικά με τις κατηγορίες αποδεκτών, εάν είναι αδύνατο να γνωστοποιηθεί η ταυτότητα των συγκεκριμένων αποδεκτών, ιδίως, όταν αυτοί δεν είναι ακόμη γνωστοί.

49      Επιπλέον, υπενθυμίζεται ότι, δυνάμει του άρθρου 12, παράγραφος 5, στοιχείο βʹ, του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας μπορεί, σύμφωνα με την αρχή της ευθύνης που προβλέπεται στο άρθρο 5, παράγραφος 2, του εν λόγω κανονισμού καθώς και στην αιτιολογική του σκέψη 74, να αρνηθεί να δώσει συνέχεια στα αιτήματα του υποκειμένου των δεδομένων, οσάκις αυτά είναι προδήλως αβάσιμα ή υπερβολικά, διευκρινιζομένου ότι ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή του υπερβολικού χαρακτήρα των εν λόγω αιτημάτων.

50      Εν προκειμένω, από την αίτηση προδικαστικής αποφάσεως προκύπτει ότι η Österreichische Post απέρριψε το αίτημα που υπέβαλε ο RW σύμφωνα με το άρθρο 15, παράγραφος 1, του ΓΚΠΔ περί παροχής πληροφοριών σχετικά την ταυτότητα των αποδεκτών στους οποίους αυτή είχε κοινολογήσει τα δεδομένα προσωπικού χαρακτήρα που τον αφορούν. Στο αιτούν δικαστήριο απόκειται να εξακριβώσει αν, λαμβανομένων υπόψη των περιστάσεων της υποθέσεως της κύριας δίκης, η Österreichische Post απέδειξε τον προδήλως αβάσιμο ή υπερβολικό χαρακτήρα του εν λόγω αιτήματος.

51      Κατόπιν του συνόλου των προεκτεθέντων, στο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ έχει την έννοια ότι το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων στα δεδομένα προσωπικού χαρακτήρα που το αφορούν, το οποίο προβλέπει η εν λόγω διάταξη, συνεπάγεται, οσάκις τα δεδομένα αυτά κοινολογήθηκαν ή πρόκειται να κοινολογηθούν σε αποδέκτες, την υποχρέωση του υπευθύνου επεξεργασίας να γνωστοποιήσει στο υποκείμενο των δεδομένων τη συγκεκριμένη ταυτότητα των αποδεκτών, εκτός αν οι αποδέκτες είναι αδύνατο να προσδιοριστούν ή αν ο υπεύθυνος επεξεργασίας αποδεικνύει ότι τα αιτήματα πρόσβασης του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, κατά την έννοια του άρθρου 12, παράγραφος 5, του ΓΚΠΔ, οπότε στις περιπτώσεις αυτές ο υπεύθυνος επεξεργασίας δύναται να γνωστοποιήσει στο υποκείμενο των δεδομένων μόνο τις κατηγορίες των εν λόγω αποδεκτών.

 Επί των δικαστικών εξόδων

52      Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σε αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.

Για τους λόγους αυτούς, το Δικαστήριο (πρώτο τμήμα) αποφαίνεται:

Το άρθρο 15, παράγραφος 1, στοιχείο γʹ, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων),

έχει την έννοια ότι:

το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων στα δεδομένα προσωπικού χαρακτήρα που το αφορούν, το οποίο προβλέπει η εν λόγω διάταξη, συνεπάγεται, οσάκις τα δεδομένα αυτά κοινολογήθηκαν ή πρόκειται να κοινολογηθούν σε αποδέκτες, την υποχρέωση του υπευθύνου επεξεργασίας να γνωστοποιήσει στο υποκείμενο των δεδομένων τη συγκεκριμένη ταυτότητα των αποδεκτών, εκτός αν οι αποδέκτες είναι αδύνατο να προσδιοριστούν ή αν ο υπεύθυνος επεξεργασίας αποδεικνύει ότι τα αιτήματα πρόσβασης του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, κατά την έννοια του άρθρου 12, παράγραφος 5, του κανονισμού 2016/679, οπότε στις περιπτώσεις αυτές ο υπεύθυνος επεξεργασίας δύναται να γνωστοποιήσει στο υποκείμενο των δεδομένων μόνο τις κατηγορίες των εν λόγω αποδεκτών.

(υπογραφές)

*      Γλώσσα διαδικασίας: η γερμανική.