ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (πέμπτο τμήμα)
της 14ης Μαρτίου 2024 (*)
«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 58, παράγραφος 2, στοιχεία δʹ και ζʹ – Εξουσίες της εποπτικής αρχής κράτους μέλους – Άρθρο 17, παράγραφος 1 – Δικαίωμα διαγραφής (“δικαίωμα στη λήθη”) – Διαγραφή των δεδομένων προσωπικού χαρακτήρα που έχουν υποβληθεί σε παράνομη επεξεργασία – Εξουσία της εθνικής εποπτικής αρχής να διατάξει τη διαγραφή των δεδομένων αυτών από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, χωρίς προηγούμενο αίτημα του υποκειμένου των δεδομένων»
Στην υπόθεση C‑46/23,
με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Fővárosi Törvényszék (περιφερειακό δικαστήριο Βουδαπέστης-Πρωτευούσης, Ουγγαρία) με απόφαση της 8ης Δεκεμβρίου 2022, η οποία περιήλθε στο Δικαστήριο στις 31 Ιανουαρίου 2023, στο πλαίσιο της δίκης
Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala
κατά
Nemzeti Adatvédelmi és Információszabadság Hatóság,
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (πέμπτο τμήμα),
συγκείμενο από τους E. Regan, πρόεδρο τμήματος, Z. Csehi, M. Ilešič (εισηγητή), I. Jarukaitis και Δ. Γρατσία, δικαστές,
γενική εισαγγελέας: L. Medina
γραμματέας: A. Calot Escobar
έχοντας υπόψη την έγγραφη διαδικασία,
λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:
– η Nemzeti Adatvédelmi és Információszabadság Hatóság, εκπροσωπούμενη από τον G. J. Dudás, ügyvéd,
– η Ουγγρική Κυβέρνηση, εκπροσωπούμενη από την Zs. Biró-Tóth και τον M. Z. Fehér,
– η Ισπανική Κυβέρνηση, εκπροσωπούμενη από τον A. Ballesteros Panizo,
– η Αυστριακή Κυβέρνηση, εκπροσωπούμενη από τον A. Posch, την J. Schmoll και την C. Gabauer,
– η Πολωνική Κυβέρνηση, εκπροσωπούμενη από τον B. Majczyna,
– η Πορτογαλική Κυβέρνηση, εκπροσωπούμενη από την P. Barros da Costa, την M. J. Ramos και την C. Vieira Guerra,
– η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τους A. Μπουχάγιαρ, C. Kovács και H. Kranenborg,
κατόπιν της αποφάσεως που έλαβε, αφού άκουσε τη γενική εισαγγελέα, να εκδικάσει την υπόθεση χωρίς ανάπτυξη προτάσεων,
εκδίδει την ακόλουθη
Απόφαση
1 Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 58, παράγραφος 2, στοιχεία γʹ, δʹ και ζʹ, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1) (στο εξής: ΓΚΠΔ).
2 Η αίτηση υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ της Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (δημοτικής αρχής Újpest – τετάρτου δημοτικού διαμερίσματος Βουδαπέστης-Πρωτευούσης, Ουγγαρία, στο εξής: δημοτική αρχή Újpest) και της Nemzeti Adatvédelmi és Információszabadság Hatóság (εθνικής αρχής προστασίας δεδομένων και ελεύθερης πληροφόρησης, Ουγγαρία, στο εξής: ουγγρική εποπτική αρχή), σχετικά με απόφαση με την οποία η τελευταία απηύθυνε εντολή στη δημοτική αρχή Újpest να διαγράψει δεδομένα προσωπικού χαρακτήρα που είχαν υποβληθεί σε παράνομη επεξεργασία.
Το νομικό πλαίσιο
3 Οι αιτιολογικές σκέψεις 1, 10 και 129 του ΓΚΠΔ έχουν ως εξής:
«(1) Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης […] και το άρθρο 16 παράγραφος 1 [ΣΛΕΕ] ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.
[…]
(10) Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της [Ευρωπαϊκής] Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. […]
[…]
(129) Για να διασφαλιστεί ομοιόμορφη παρακολούθηση και επιβολή του παρόντος κανονισμού σε ολόκληρη την Ένωση, οι εποπτικές αρχές θα πρέπει να έχουν σε κάθε κράτος μέλος τα ίδια καθήκοντα και τις ίδιες πραγματικές εξουσίες, μεταξύ των οποίων εξουσίες διερεύνησης, διορθωτικές εξουσίες και κυρώσεις, καθώς και αδειοδοτικές και συμβουλευτικές εξουσίες, ιδίως στην περίπτωση καταγγελιών εκ μέρους φυσικών προσώπων, και, με την επιφύλαξη των εξουσιών των εισαγγελικών αρχών δυνάμει του δικαίου του κράτους μέλους, την εξουσία να παραπέμπουν παραβάσεις των διατάξεων του παρόντος κανονισμού στις δικαστικές αρχές και να παίρνουν μέρος σε νομικές διαδικασίες. […]»
4 Το κεφάλαιο I του ΓΚΠΔ, το οποίο επιγράφεται «Γενικές διατάξεις», περιλαμβάνει τα άρθρα 1 έως 4 του κανονισμού.
5 Το άρθρο 1 του κανονισμού, το οποίο φέρει τον τίτλο «Αντικείμενο και στόχοι», ορίζει τα ακόλουθα:
«1. Ο παρών κανονισμός θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και κανόνες που αφορούν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα.
2. Ο παρών κανονισμός προστατεύει θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα.
[…]»
6 Το άρθρο 4 του κανονισμού, το οποίο φέρει τον τίτλο «Ορισμοί», προβλέπει στα σημεία 2, 7 και 21 τα εξής:
«Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:
[…]
2) “επεξεργασία”: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
[…]
7) “υπεύθυνος επεξεργασίας”: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,
[…]
21) “εποπτική αρχή”: ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος σύμφωνα με το άρθρο 51,
[…]».
7 Το επιγραφόμενο «Αρχές» κεφάλαιο II του ΓΚΠΔ περιλαμβάνει, μεταξύ άλλων, το άρθρο 5 του κανονισμού, το οποίο φέρει τον τίτλο «Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα» και προβλέπει τα ακόλουθα:
«1. Τα δεδομένα προσωπικού χαρακτήρα:
α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων (“νομιμότητα, αντικειμενικότητα και διαφάνεια”),
β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς·[…] (“περιορισμός του σκοπού”),
γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία (“ελαχιστοποίηση των δεδομένων”),
[…]
2. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 (“λογοδοσία”)».
8 Στο επιγραφόμενο «Δικαιώματα του υποκειμένου των δεδομένων» κεφάλαιο III του ΓΚΠΔ, το άρθρο 17 του κανονισμού, το οποίο φέρει τον τίτλο «Δικαίωμα διαγραφής (“δικαίωμα στη λήθη”)», προβλέπει στην παράγραφο 1 τα εξής:
«Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:
α) τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,
β) το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) ή το άρθρο 9 παράγραφος 2 στοιχείο α) και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,
γ) το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 2,
δ) τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,
[…]».
9 Το κεφάλαιο VI του ΓΚΠΔ, το οποίο επιγράφεται «Ανεξάρτητες εποπτικές αρχές», περιλαμβάνει τα άρθρα 51 έως 59 του κανονισμού.
10 Το άρθρο 51 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Εποπτική αρχή», ορίζει στις παραγράφους 1 και 2 τα ακόλουθα:
«1. Κάθε κράτος μέλος διασφαλίζει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής του παρόντος κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση […].
2. Κάθε εποπτική αρχή συμβάλλει στη συνεκτική εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση. Για τον σκοπό αυτόν, οι εποπτικές αρχές συνεργάζονται μεταξύ τους και με την Επιτροπή σύμφωνα με το κεφάλαιο VII.»
11 Το άρθρο 57 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Καθήκοντα», προβλέπει στην παράγραφο 1 τα εξής:
«1. Με την επιφύλαξη των άλλων καθηκόντων που ορίζονται στον παρόντα κανονισμό, κάθε εποπτική αρχή στο έδαφός της:
α) παρακολουθεί και επιβάλλει την εφαρμογή του παρόντος κανονισμού,
[…]
η) διενεργεί έρευνες σχετικά με την εφαρμογή του παρόντος κανονισμού, μεταξύ άλλων βάσει πληροφοριών που λαμβάνει από άλλη εποπτική αρχή ή άλλη δημόσια αρχή,
[…]».
12 Το άρθρο 58 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Εξουσίες», ορίζει στην παράγραφο 2 τα ακόλουθα:
«Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες:
[…]
γ) να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφώνεται προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον παρόντα κανονισμό,
δ) να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καθιστούν τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του παρόντος κανονισμού, εάν χρειάζεται, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας,
[…]
ζ) να δίνει εντολή διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας δυνάμει των άρθρων 16, 17 και 18 και εντολή κοινοποίησης των ενεργειών αυτών σε αποδέκτες στους οποίους τα δεδομένα προσωπικού χαρακτήρα γνωστοποιήθηκαν δυνάμει του άρθρου 17 παράγραφος 2 και του άρθρου 19,
[…]
θ) να επιβάλλει διοικητικό πρόστιμο δυνάμει του άρθρου 83, επιπλέον ή αντί των μέτρων που αναφέρονται στην παρούσα παράγραφο, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης,
[…]».
Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα
13 Τον Φεβρουάριο του 2020 η δημοτική αρχή Újpest αποφάσισε να παράσχει οικονομική στήριξη σε κατοίκους που ανήκαν σε κατηγορία ατόμων που είχαν καταστεί ευάλωτα λόγω της πανδημίας COVID‑19 και πληρούσαν ορισμένες προϋποθέσεις επιλεξιμότητας.
14 Προς τον σκοπό αυτόν, η δημοτική αρχή Újpest απευθύνθηκε στο Magyar Államkincstár (ουγγρικό δημόσιο ταμείο) και στο Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (κυβερνητικό γραφείο του τέταρτου τοπικού διαμερίσματος Βουδαπέστης-Πρωτευούσης, Ουγγαρία, στο εξής: κυβερνητικό γραφείο), προκειμένου να λάβει τα δεδομένα προσωπικού χαρακτήρα που ήταν αναγκαία για την επαλήθευση της συνδρομής των εν λόγω προϋποθέσεων επιλεξιμότητας. Τα δεδομένα αυτά περιλάμβαναν, μεταξύ άλλων, τα βασικά στοιχεία ταυτοποίησης και τους αριθμούς κοινωνικής ασφάλισης των φυσικών προσώπων. Το ουγγρικό δημόσιο ταμείο και το κυβερνητικό γραφείο γνωστοποίησαν στη δημοτική αρχή Újpest τα ζητηθέντα δεδομένα.
15 Για την καταβολή των οικείων χρηματικών ποσών, η δημοτική αρχή Újpest εξέδωσε το az Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet [δημοτικό διάταγμα 16/2020. (IV. 30.), σχετικά με τη θέσπιση του προγράμματος Újpest+ Megbecsülés], το οποίο τροποποιήθηκε και συμπληρώθηκε με το 30/2020. (VII. 15.) önkormányzati rendelet [δημοτικό διάταγμα 30/2020. (VII. 15.)]. Τα διατάγματα αυτά περιλάμβαναν τα κριτήρια επιλεξιμότητας για λήψη της στήριξης. Η δημοτική αρχή Újpest συγκέντρωσε τα συλλεγέντα δεδομένα σε βάση δεδομένων σχεδιασθείσα προς τον σκοπό της υλοποίησης του προγράμματος στήριξης και δημιούργησε αναγνωριστικό κωδικό καθώς και ειδικό γραμμωτό κώδικα για κάθε σύνολο δεδομένων.
16 Κατόπιν σχετικής ενημερώσεως, η ουγγρική εποπτική αρχή κίνησε αυτεπαγγέλτως στις 2 Σεπτεμβρίου 2020 έρευνα σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στην οποία στηρίχθηκε το πρόγραμμα για την καταβολή των ποσών της οικονομικής στήριξης. Με απόφαση της 22ας Απριλίου 2021, η εποπτική αρχή διαπίστωσε ότι η δημοτική αρχή Újpest είχε παραβιάσει πλείονες διατάξεις των άρθρων 5 και 14 του ΓΚΠΔ, καθώς και το άρθρο 12, παράγραφος 1, του ίδιου κανονισμού. Συγκεκριμένα, διαπίστωσε, μεταξύ άλλων, ότι η δημοτική αρχή Újpest δεν είχε ενημερώσει εντός μηνός τα υποκείμενα των δεδομένων σχετικά με τις κατηγορίες των δεδομένων προσωπικού χαρακτήρα που θα υποβάλλονταν σε επεξεργασία στο πλαίσιο του εν λόγω προγράμματος, τους σκοπούς της επεξεργασίας και τους όρους άσκησης των σχετικών δικαιωμάτων από τα πρόσωπα αυτά.
17 Η ουγγρική εποπτική αρχή έδωσε στη δημοτική αρχή Újpest, κατ’ εφαρμογήν του άρθρου 58, παράγραφος 2, στοιχείο δʹ, του ΓΚΠΔ, εντολή να διαγράψει τα δεδομένα προσωπικού χαρακτήρα των υποκειμένων των δεδομένων τα οποία ήταν μεν δικαιούχοι της ενίσχυσης –βάσει των παρασχεθεισών από το κυβερνητικό γραφείο και το ουγγρικό δημόσιο ταμείο πληροφοριών–, πλην όμως δεν την είχαν ζητήσει. Η εποπτική αρχή έκρινε ότι τόσο το ουγγρικό δημόσιο ταμείο όσο και το κυβερνητικό γραφείο είχαν παραβιάσει τις διατάξεις σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα των εν λόγω προσώπων. Επέβαλε επίσης στη δημοτική αρχή Újpest και στο ουγγρικό δημόσιο ταμείο πρόστιμο βάσει της νομοθεσίας για την προστασία των δεδομένων.
18 Με ένδικη διοικητική προσφυγή ασκηθείσα ενώπιον του αιτούντος δικαστηρίου, του Fővárosi Törvényszék (περιφερειακού δικαστηρίου Βουδαπέστης-Πρωτευούσης, Ουγγαρία), η δημοτική αρχή Újpest βάλλει κατά της απόφασης της ουγγρικής εποπτικής αρχής, υποστηρίζοντας ότι η συγκεκριμένη αρχή δεν έχει την εξουσία να διατάξει τη διαγραφή των δεδομένων προσωπικού χαρακτήρα στηριζόμενη στο άρθρο 58, παράγραφος 2, στοιχείο δʹ, του ΓΚΠΔ, διότι δεν έχει υποβληθεί σχετικό αίτημα από το υποκείμενο των δεδομένων κατά την έννοια του άρθρου 17 του ίδιου κανονισμού. Συναφώς, επικαλείται την απόφαση Kfv.II.37.001/2021/6. του Kúria (Ανωτάτου Δικαστηρίου, Ουγγαρία), με την οποία το δικαστήριο αυτό έκρινε ότι η ουγγρική εποπτική αρχή δεν διέθετε τέτοια εξουσία, επιβεβαιώνοντας έτσι προγενέστερη απόφαση του αιτούντος δικαστηρίου. Κατά την προσφεύγουσα της κύριας δίκης, το δικαίωμα διαγραφής, το οποίο προβλέπεται στο άρθρο 17 του ΓΚΠΔ, νοείται αποκλειστικά ως δικαίωμα του υποκειμένου των δεδομένων.
19 Κατόπιν αίτησης ελέγχου συνταγματικότητας την οποία άσκησε η ουγγρική εποπτική αρχή, το Alkotmánybíróság (Συνταγματικό Δικαστήριο, Ουγγαρία) ακύρωσε την προαναφερθείσα απόφαση του Kúria (Ανωτάτου Δικαστηρίου), κρίνοντας ότι η εποπτική αρχή δύναται να διατάξει αυτεπαγγέλτως τη διαγραφή των δεδομένων προσωπικού χαρακτήρα που έχουν υποβληθεί σε παράνομη επεξεργασία, ακόμη και ελλείψει σχετικού αιτήματος του υποκειμένου των δεδομένων. Το Alkotmánybíróság (Συνταγματικό Δικαστήριο) στηρίχθηκε συναφώς στη γνώμη 39/2021 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, κατά την οποία το άρθρο 17 του ΓΚΠΔ προβλέπει δύο διακριτές περιπτώσεις διαγραφής, εκ των οποίων η μία είναι η διαγραφή κατόπιν σχετικού αιτήματος του υποκειμένου των δεδομένων και η άλλη συνίσταται σε αυτοτελή σχετική υποχρέωση του υπευθύνου επεξεργασίας, με αποτέλεσμα το άρθρο 58 παράγραφος 2, στοιχείο ζʹ, του ΓΚΠΔ να αποτελεί έγκυρη νομική βάση προς τον σκοπό της αυτεπαγγέλτως διατασσόμενης διαγραφής δεδομένων προσωπικού χαρακτήρα που έχουν υποβληθεί σε παράνομη επεξεργασία.
20 Παρά την απόφαση του Alkotmánybíróság (Συνταγματικού Δικαστηρίου) για την οποία έγινε λόγος στην προηγούμενη σκέψη της παρούσας αποφάσεως, το αιτούν δικαστήριο εξακολουθεί να διατηρεί αμφιβολίες όσον αφορά την ερμηνεία του άρθρου 17 και του άρθρου 58, παράγραφος 2, του ΓΚΠΔ. Εκτιμά ότι το δικαίωμα διαγραφής των δεδομένων προσωπικού χαρακτήρα ορίζεται στο άρθρο 17, παράγραφος 1 του ΓΚΠΔ ως δικαίωμα του υποκειμένου των δεδομένων και ότι η διάταξη αυτή δεν περιλαμβάνει δύο διακριτές περιπτώσεις διαγραφής.
21 Το αιτούν δικαστήριο σημειώνει επίσης ότι ένα πρόσωπο ενδέχεται να αντλεί όφελος από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, τούτο δε ακόμη και στην περίπτωση που η εθνική εποπτική αρχή δίνει στον υπεύθυνο επεξεργασίας εντολή για διαγραφή των δεδομένων λόγω της παράνομης επεξεργασίας τους. Σε μια τέτοια περίπτωση, η εποπτική αρχή θα ασκούσε το δικαίωμα του υποκειμένου των δεδομένων ενάντια στη βούλησή του.
22 Επομένως, το αιτούν δικαστήριο ζητεί να διευκρινιστεί αν –ανεξαρτήτως της άσκησης από το υποκείμενο των δεδομένων των δικαιωμάτων του– η εποπτική αρχή κράτους μέλους μπορεί να απαιτήσει από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να διαγράψει τα δεδομένα προσωπικού χαρακτήρα που έχουν υποβληθεί σε παράνομη επεξεργασία και, σε περίπτωση καταφατικής απάντησης, επί ποιας νομικής βάσης, λαμβανομένων υπόψη ιδίως της διάταξης του άρθρου 58, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ, που προβλέπει ρητώς αίτημα του εν λόγω υποκειμένου των δεδομένων προς άσκηση των δικαιωμάτων του, καθώς και εκείνης του άρθρου 58, παράγραφος 2, στοιχείο δʹ, του ίδιου κανονισμού, που προβλέπει γενικώς την τήρηση των διατάξεων του κανονισμού στο πλαίσιο της εκτέλεσης πράξεων επεξεργασίας, ενώ το άρθρο 58, παράγραφος 2, στοιχείο ζʹ, του ΓΚΠΔ παραπέμπει ευθέως στο άρθρο 17 του ίδιου κανονισμού, του οποίου η εφαρμογή απαιτεί ρητό αίτημα του υποκειμένου των δεδομένων.
23 Εάν η εποπτική αρχή μπορεί να δώσει στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία εντολή διαγραφής δεδομένων προσωπικού χαρακτήρα που έχουν υποβληθεί σε παράνομη επεξεργασία, ακόμη και χωρίς να έχει υποβληθεί σχετικό αίτημα από το υποκείμενο των δεδομένων, το αιτούν δικαστήριο διερωτάται επίσης αν κατά την έκδοση της εντολής διαγραφής μπορεί να γίνει διάκριση αναλόγως του εάν πηγή της συλλογής των δεδομένων προσωπικού χαρακτήρα είναι το υποκείμενο των δεδομένων, λαμβανομένης υπόψη της υποχρέωσης του υπευθύνου επεξεργασίας βάσει του άρθρου 13, παράγραφος 2, στοιχείο βʹ, του ΓΚΠΔ, ή εάν είναι άλλο πρόσωπο, λαμβανομένης υπόψη της υποχρέωσης που προβλέπεται στο άρθρο 14, παράγραφος 2, στοιχείο γʹ, του κανονισμού.
24 Υπό τις συνθήκες αυτές, το Fővárosi Törvényszék (περιφερειακό δικαστήριο Βουδαπέστης-Πρωτευούσης, Ουγγαρία) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:
«1) Έχει το άρθρο 58, παράγραφος 2, ιδίως δε τα στοιχεία γʹ, δʹ και ζʹ, του [ΓΚΠΔ], την έννοια ότι η εθνική εποπτική αρχή δύναται, κατά την άσκηση των διορθωτικών εξουσιών της, να δώσει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να διαγράψουν τα δεδομένα προσωπικού χαρακτήρα που υποβλήθηκαν παρανόμως σε επεξεργασία, έστω και αν αυτό δεν έχει ζητηθεί ρητώς από το υποκείμενο των δεδομένων βάσει του άρθρου 17, παράγραφος 1, του ΓΚΠΔ;
2) Σε περίπτωση καταφατικής απάντησης στο πρώτο προδικαστικό ερώτημα, έχει η εν λόγω εποπτική αρχή την ανωτέρω περιγραφείσα εξουσία, ανεξαρτήτως από το αν πηγή της συλλογής των δεδομένων προσωπικού χαρακτήρα είναι το υποκείμενο των δεδομένων;»
Επί των προδικαστικών ερωτημάτων
Επί του πρώτου προδικαστικού ερωτήματος
25 Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί να διευκρινιστεί αν το άρθρο 58, παράγραφος 2, στοιχεία δʹ και ζʹ, του ΓΚΠΔ έχει την έννοια ότι η εποπτική αρχή κράτους μέλους έχει την εξουσία, στο πλαίσιο της λήψης των προβλεπόμενων από τις διατάξεις αυτές διορθωτικών μέτρων, να απευθύνει στον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία εντολή διαγραφής δεδομένων προσωπικού χαρακτήρα που έχουν υποβληθεί σε παράνομη επεξεργασία, ακόμη και σε περίπτωση που δεν έχει προηγουμένως υποβληθεί σχετικό αίτημα από το υποκείμενο των δεδομένων προς άσκηση των δικαιωμάτων του κατ’ εφαρμογήν του άρθρου 17 παράγραφος 1, του ΓΚΠΔ.
26 Το προδικαστικό αυτό ερώτημα εντάσσεται στο πλαίσιο διαφοράς που αφορά τη νομιμότητα αποφάσεως της ουγγρικής εποπτικής αρχής με την οποία δόθηκε εντολή στη δημοτική αρχή Újpest, βάσει του άρθρου 58, παράγραφος 2, στοιχείο δʹ, του ΓΚΠΔ, να διαγράψει τα δεδομένα προσωπικού χαρακτήρα που είχαν υποβληθεί σε παράνομη επεξεργασία στο πλαίσιο του προγράμματος στήριξης που περιγράφεται στις σκέψεις 13 έως 15 της παρούσας αποφάσεως.
27 Σύμφωνα με το άρθρο 17, παράγραφος 1, του ΓΚΠΔ, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή, χωρίς αδικαιολόγητη καθυστέρηση, δεδομένων προσωπικού χαρακτήρα που το αφορούν και ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να διαγράψει χωρίς αδικαιολόγητη καθυστέρηση τα εν λόγω δεδομένα, μεταξύ άλλων βάσει του στοιχείου δʹ της διάταξης αυτής, όταν έχουν υποβληθεί σε «παράνομη επεξεργασία».
28 Κατά το άρθρο 58, παράγραφος 2, στοιχείο δʹ, του ΓΚΠΔ, η εποπτική αρχή μπορεί να δώσει στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία εντολή να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του κανονισμού, εάν χρειάζεται, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας. Επιπλέον, το άρθρο 58, παράγραφος 2, στοιχείο ζʹ, του εν λόγω κανονισμού προβλέπει ότι η εποπτική αρχή μπορεί να δώσει εντολή διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας δυνάμει των άρθρων 16, 17 και 18 και εντολή κοινοποίησης των ενεργειών αυτών σε αποδέκτες στους οποίους τα δεδομένα προσωπικού χαρακτήρα γνωστοποιήθηκαν δυνάμει του άρθρου 17, παράγραφος 2, και του άρθρου 19.
29 Στο πλαίσιο αυτό, το αιτούν δικαστήριο διερωτάται αν η εποπτική αρχή κράτους μέλους έχει την εξουσία, στο πλαίσιο της λήψης διορθωτικών μέτρων όπως τα προβλεπόμενα στο άρθρο 58, παράγραφος 2, στοιχεία γʹ, δʹ και ζʹ, του ΓΚΠΔ, να απευθύνει αυτεπαγγέλτως, ήτοι ελλείψει προηγούμενου σχετικού αιτήματος του υποκειμένου των δεδομένων, εντολή στον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για διαγραφή δεδομένων προσωπικού χαρακτήρα που έχουν υποβληθεί σε παράνομη επεξεργασία.
30 Κατά πάγια νομολογία, για την ερμηνεία διάταξης του δικαίου της Ένωσης πρέπει να λαμβάνεται υπόψη όχι μόνον το γράμμα της, αλλά και το πλαίσιο στο οποίο εντάσσεται και οι σκοποί που επιδιώκονται με τη ρύθμιση της οποίας αποτελεί μέρος (απόφαση της 13ης Ιουλίου 2023, G GmbH, C‑134/22, EU:C:2023:567, σκέψη 25 και εκεί μνημονευόμενη νομολογία).
31 Προκαταρκτικώς, επισημαίνεται ότι οι κρίσιμες διατάξεις του δικαίου της Ένωσης, για τις οποίες γίνεται λόγος στις σκέψεις 27 και 28 της παρούσας αποφάσεως, πρέπει να ερμηνευθούν σε συνδυασμό με το άρθρο 5, παράγραφος 1, του ΓΚΠΔ, το οποίο θέτει τις αρχές που διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, μεταξύ των οποίων περιλαμβάνεται, στο στοιχείο αʹ, η αρχή που ορίζει ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων.
32 Κατά την παράγραφο 2 του εν λόγω άρθρου 5, ο υπεύθυνος επεξεργασίας, κατ’ εφαρμογήν της αρχής της «λογοδοσίας» που προβλέπεται στη συγκεκριμένη διάταξη, φέρει την ευθύνη για την τήρηση της παραγράφου 1 του άρθρου αυτού και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση προς καθεμιά από τις αρχές που διατυπώνονται στην παράγραφο 1, καθώς φέρει άλλωστε το σχετικό βάρος αποδείξεως [απόφαση της 4ης Μαΐου 2023, Bundesrepublik Deutschland (Ηλεκτρονική ταχυδρομική θυρίδα δικαστηρίου), C‑60/22, EU:C:2023:373, σκέψη 53 και εκεί μνημονευόμενη νομολογία].
33 Όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν είναι σύμφωνη με τις αρχές που προβλέπονται, μεταξύ άλλων, στο άρθρο 5 του ΓΚΠΔ, οι εποπτικές αρχές των κρατών μελών έχουν την εξουσία να παρεμβαίνουν, τηρουμένων των καθηκόντων και των εξουσιών τους που προβλέπονται στα άρθρα 57 και 58 του κανονισμού. Μεταξύ των καθηκόντων αυτών περιλαμβάνεται και το καθήκον παρακολούθησης και επιβολής της εφαρμογής του κανονισμού, δυνάμει του άρθρου 57, παράγραφος 1, στοιχείο αʹ, του ίδιου κανονισμού (πρβλ. απόφαση της 16ης Ιουλίου 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, σκέψη 108).
34 Συναφώς, το Δικαστήριο έχει διευκρινίσει ότι όταν μια εθνική εποπτική αρχή εκτιμά, μετά το πέρας της έρευνάς της, ότι το υποκείμενο των δεδομένων δεν απολαύει ικανοποιητικού επιπέδου προστασίας, τότε οφείλει, κατ’ εφαρμογήν του δικαίου της Ένωσης, να αντιδράσει προσηκόντως προκειμένου να θεραπεύσει τη διαπιστωθείσα ανεπάρκεια, ανεξαρτήτως μάλιστα της αιτίας ή του είδους της ανεπάρκειας αυτής. Προς τούτο, το άρθρο 58, παράγραφος 2, του ΓΚΠΔ απαριθμεί τα διάφορα διορθωτικά μέτρα που μπορεί να λάβει η εποπτική αρχή. Εναπόκειται στην εν λόγω εποπτική αρχή να επιλέξει το κατάλληλο μέσο προκειμένου να εκπληρώσει με όλη την απαιτούμενη επιμέλεια το καθήκον που συνίσταται στην επιβολή της πλήρους τήρησης του κανονισμού το οποίο υπέχει (πρβλ. απόφαση της 16ης Ιουλίου 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, σκέψεις 111 και 112).
35 Όσον αφορά, ειδικότερα, το ζήτημα αν τέτοια διορθωτικά μέτρα μπορούν να ληφθούν αυτεπαγγέλτως από την οικεία εποπτική αρχή, επισημαίνεται κατ’ αρχάς ότι, λαμβανομένης υπόψη της διατύπωσής του, το άρθρο 58, παράγραφος 2, του ΓΚΠΔ διακρίνει μεταξύ των διορθωτικών μέτρων που μπορούν να διαταχθούν αυτεπαγγέλτως, όπως είναι εκείνα του άρθρου 58, παράγραφος 2, του ΓΚΠΔ, και των διορθωτικών μέτρων που μπορούν να ληφθούν μόνον κατόπιν αιτήματος που υποβάλλει το υποκείμενο των δεδομένων προς άσκηση των δικαιωμάτων του κατ’ εφαρμογήν του κανονισμού, όπως αυτά προβλέπονται στο άρθρο 58, παράγραφος 2, στοιχείο γʹ, του ίδιου κανονισμού.
36 Πράγματι, αφενός, από το γράμμα του άρθρου 58, παράγραφος 2, στοιχείο γʹ, του ΓΚΠΔ προκύπτει ρητώς ότι η λήψη του διορθωτικού μέτρου που διαλαμβάνεται στη διάταξη αυτή, ήτοι η «εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφωθεί προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον παρόντα κανονισμό», προϋποθέτει ότι το υποκείμενο των δεδομένων έχει ασκήσει προηγουμένως τα δικαιώματά του υποβάλλοντας σχετικό αίτημα και ότι το αίτημα αυτό δεν έχει γίνει δεκτό πριν από την απόφαση της εποπτικής αρχής την οποία προβλέπει η εν λόγω διάταξη. Αφετέρου, σε αντίθεση με την ανωτέρω διάταξη, δεν μπορεί να θεωρηθεί, βάσει του γράμματος του άρθρου 58, παράγραφος 2, στοιχεία δʹ και ζʹ, του ΓΚΠΔ, ότι η παρέμβαση της εποπτικής αρχής κράτους μέλους, προς τον σκοπό της εφαρμογής των προβλεπόμενων από το άρθρο αυτό μέτρων, είναι δυνατή μόνο στις περιπτώσεις που έχει υποβληθεί σχετικό αίτημα από το υποκείμενο των δεδομένων, λαμβανομένου υπόψη ότι δεν γίνεται αναφορά σε τέτοιο αίτημα.
37 Εν συνεχεία, όσον αφορά το πλαίσιο στο οποίο εντάσσονται οι ανωτέρω διατάξεις, επισημαίνεται ότι το γράμμα του άρθρου 17, παράγραφος 1, του ΓΚΠΔ διακρίνει, μέσω του συμπλεκτικού συνδέσμου «και», μεταξύ, αφενός, του δικαιώματος του υποκειμένου των δεδομένων να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή, χωρίς αδικαιολόγητη καθυστέρηση, των δεδομένων που το αφορούν και, αφετέρου, της υποχρέωσης του υπευθύνου επεξεργασίας να διαγράψει χωρίς αδικαιολόγητη καθυστέρηση τα εν λόγω δεδομένα προσωπικού χαρακτήρα. Εξ αυτού συνάγεται ότι η συγκεκριμένη διάταξη διέπει δύο ανεξάρτητες περιπτώσεις, ήτοι, αφενός, τη διαγραφή των δεδομένων κατόπιν αιτήματος του υποκειμένου των δεδομένων και, αφετέρου, τη διαγραφή που απορρέει από την ύπαρξη αυτοτελούς υποχρέωσης την οποία υπέχει ο υπεύθυνος της επεξεργασίας ανεξάρτητα από οποιοδήποτε αίτημα του υποκειμένου των δεδομένων.
38 Πράγματι, όπως επισήμανε το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων στη γνώμη που εξέδωσε υπό τον αριθμό 39/2021, η ανωτέρω διάκριση είναι αναγκαία, δεδομένου ότι, μεταξύ των περιπτώσεων που προβλέπονται στο εν λόγω άρθρο 17, παράγραφος 1, ορισμένες καλύπτουν καταστάσεις που το υποκείμενο των δεδομένων δεν έχει ενημερωθεί κατ’ ανάγκην για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, με αποτέλεσμα ο υπεύθυνος της επεξεργασίας να είναι ο μόνος που μπορεί να διαπιστώσει τη διενέργεια της επεξεργασίας. Τούτο ισχύει, ειδικότερα, όταν τα οικεία δεδομένα έχουν υποβληθεί σε παράνομη επεξεργασία κατά το άρθρο 17, παράγραφος 1, στοιχείο δʹ, του κανονισμού.
39 Η ερμηνεία αυτή επιρρωννύεται από το άρθρο 5, παράγραφος 2, του ΓΚΠΔ, σε συνδυασμό με την παράγραφο 1, στοιχείο αʹ, του ίδιου άρθρου 5, κατά το οποίο ο υπεύθυνος επεξεργασίας πρέπει να βεβαιώνεται, μεταξύ άλλων, για τη νομιμότητα της επεξεργασίας δεδομένων την οποία διενεργεί [πρβλ. απόφαση της 4ης Μαΐου 2023, Bundesrepublik Deutschland (Ηλεκτρονική ταχυδρομική θυρίδα δικαστηρίου), C‑60/22, EU:C:2023:373, σκέψη 54].
40 Τέλος, η ερμηνεία αυτή επιρρωννύεται επίσης από τον σκοπό τον οποίον επιδιώκει το άρθρο 58, παράγραφος 2, του ΓΚΠΔ, όπως αυτός προκύπτει από την αιτιολογική του σκέψη 129, ήτοι τη διασφάλιση της σύμφωνης προς τον κανονισμό επεξεργασίας των δεδομένων προσωπικού χαρακτήρα καθώς και της αποκατάστασης περιπτώσεων παραβάσεώς του προκειμένου αυτές να καταστούν σύμφωνες με το δίκαιο της Ένωσης μέσω των παρεμβάσεων των εθνικών εποπτικών αρχών.
41 Συναφώς, πρέπει να διευκρινιστεί ότι, μολονότι η επιλογή του κατάλληλου και αναγκαίου μέσου εμπίπτει στην αρμοδιότητα της εθνικής εποπτικής αρχής, η οποία οφείλει να προβαίνει στην επιλογή αυτή λαμβάνοντας υπόψη όλες τις περιστάσεις της προκείμενης περίπτωσης, εντούτοις η προαναφερθείσα αρχή υποχρεούται να εκπληρώνει με όλη την απαιτούμενη επιμέλεια το καθήκον της να επιβάλλει την πλήρη εφαρμογή του ΓΚΠΔ (πρβλ. απόφαση της 16ης Ιουλίου 2020, Facebook Ireland και Schrems, C‑311/18, EU:C:2020:559, σκέψη 112). Επομένως, προκειμένου να διασφαλιστεί η ουσιαστική εφαρμογή του ΓΚΠΔ, είναι ιδιαιτέρως σημαντικό να διαθέτει η αρχή αυτή πραγματικές εξουσίες ώστε να αναλαμβάνει αποτελεσματικά δράση κατά των παραβάσεων του κανονισμού, ιδίως με στόχο τον τερματισμό τους, ακόμη και στις περιπτώσεις που τα υποκείμενα των δεδομένων δεν έχουν ενημερωθεί για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν ή δεν τη γνωρίζουν ή, εν πάση περιπτώσει, δεν έχουν ζητήσει τη διαγραφή των δεδομένων.
42 Υπό τις συνθήκες αυτές, πρέπει να γίνει δεκτό ότι η εξουσία λήψης ορισμένων από τα διορθωτικά μέτρα που προβλέπονται στο άρθρο 58, παράγραφος 2, του ΓΚΠΔ, ιδίως δε εκείνων που προβλέπονται στα στοιχεία δʹ και ζʹ της διάταξης αυτής, μπορεί να ασκηθεί αυτεπαγγέλτως από την εποπτική αρχή κράτους μέλους στις περιπτώσεις που τούτο απαιτείται προκειμένου η εν λόγω αρχή να είναι σε θέση να εκπληρώσει τα καθήκοντά της. Ως εκ τούτου, όταν η εποπτική αρχή εκτιμά, κατά το πέρας της έρευνάς της, ότι η επεξεργασία δεν πληροί τις απαιτήσεις του κανονισμού, υποχρεούται, κατ’ εφαρμογήν του δικαίου της Ένωσης, να λάβει τα κατάλληλα μέτρα προκειμένου να αποκαταστήσει τη διαπιστωθείσα παράβαση, τούτο δε ανεξαρτήτως του αν το υποκείμενο των δεδομένων έχει υποβάλει αίτημα προς άσκηση των δικαιωμάτων του κατ’ εφαρμογήν του άρθρου 17, παράγραφος 1, του κανονισμού.
43 Η ανωτέρω ερμηνεία επιρρωννύεται εξάλλου από τους σκοπούς που επιδιώκει ο ΓΚΠΔ, όπως αυτοί προκύπτουν ιδίως από το άρθρο 1 καθώς και από τις αιτιολογικές σκέψεις 1 και 10, όπου γίνεται λόγος για διασφάλιση υψηλού επιπέδου προστασίας όσον αφορά το θεμελιώδες δικαίωμα των φυσικών προσώπων στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, το οποίο κατοχυρώνεται στο άρθρο 8, παράγραφος 1, του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και στο άρθρο 16, παράγραφος 1, ΣΛΕΕ (πρβλ. αποφάσεις της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C‑511/18, C‑512/18 και C‑520/18, EU:C:2020:791, σκέψη 207, και της 28ης Απριλίου 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, σκέψη 73).
44 Ερμηνεία αντίθετη προς αυτή που έγινε δεκτή στη σκέψη 42 της παρούσας αποφάσεως, κατά την οποία η εποπτική αρχή θα είχε δικαίωμα να ενεργήσει μόνον κατόπιν σχετικού αιτήματος του υποκειμένου των δεδομένων, θα διακύβευε την επίτευξη των σκοπών που υπομνήσθηκαν στις σκέψεις 40 και 43 της παρούσας αποφάσεως, ιδίως σε περίπτωση όπως η επίμαχη στην κύρια δίκη, όπου η διαγραφή δεδομένων προσωπικού χαρακτήρα που έχουν υποβληθεί σε παράνομη επεξεργασία αφορά δυνητικά μεγάλο αριθμό προσώπων που δεν άσκησαν το δικαίωμα διαγραφής που διαθέτουν βάσει του άρθρου 17, παράγραφος 1, του ΓΚΠΔ.
45 Πράγματι, όπως υποστήριξε, κατ’ ουσίαν, η Επιτροπή με τις γραπτές παρατηρήσεις της, η απαίτηση να έχει υποβληθεί προηγουμένως αίτημα από τα υποκείμενα των δεδομένων, κατά την έννοια του άρθρου 17, παράγραφος 1, του ΓΚΠΔ, θα συνεπαγόταν, ελλείψει τέτοιου αιτήματος, τη δυνατότητα του υπεύθυνου επεξεργασίας να διατηρεί τα επίμαχα δεδομένα προσωπικού χαρακτήρα και να εξακολουθεί να τα επεξεργάζεται παρανόμως. Μια τέτοια ερμηνεία θα υπονόμευε την αποτελεσματικότητα της προστασίας που προβλέπεται στον κανονισμό, αφού θα είχε ως αποτέλεσμα να μην προστατεύονται τα πρόσωπα που δεν έχουν προβεί σε σχετικές ενέργειες, μολονότι τα δεδομένα προσωπικού χαρακτήρα που τα αφορούν έχουν υποβληθεί σε παράνομη επεξεργασία.
46 Λαμβανομένων υπόψη των ανωτέρω σκέψεων, στο πρώτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 58, παράγραφος 2, στοιχεία δʹ και ζʹ, του ΓΚΠΔ έχει την έννοια ότι η εποπτική αρχή κράτους μέλους έχει την εξουσία, στο πλαίσιο της λήψης των προβλεπόμενων από τις διατάξεις αυτές διορθωτικών μέτρων, να απευθύνει στον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία εντολή διαγραφής δεδομένων προσωπικού χαρακτήρα που έχουν υποβληθεί σε παράνομη επεξεργασία, ακόμη και σε περίπτωση που δεν έχει προηγουμένως υποβληθεί σχετικό αίτημα από το υποκείμενο των δεδομένων προς άσκηση των δικαιωμάτων του κατ’ εφαρμογήν του άρθρου 17 παράγραφος 1, του ΓΚΠΔ.
Επί του δεύτερου προδικαστικού ερωτήματος
47 Με το δεύτερο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 58, παράγραφος 2, του ΓΚΠΔ έχει την έννοια ότι η εξουσία της εποπτικής αρχής κράτους μέλους να διατάσσει τη διαγραφή δεδομένων προσωπικού χαρακτήρα που έχουν υποβληθεί σε παράνομη επεξεργασία υφίσταται τόσο στην περίπτωση που πηγή της συλλογής των δεδομένων είναι το ίδιο το υποκείμενο των δεδομένων όσο και στην περίπτωση που τα δεδομένα προέρχονται από άλλη πηγή.
48 Συναφώς, επισημαίνεται, κατ’ αρχάς, ότι από το γράμμα των διατάξεων που μνημονεύθηκαν στην προηγούμενη σκέψη της παρούσας αποφάσεως δεν προκύπτει καμία ένδειξη από την οποία να μπορεί να συναχθεί ότι η εξουσία της εποπτικής αρχής να λαμβάνει τα προβλεπόμενα στις εν λόγω διατάξεις διορθωτικά μέτρα εξαρτάται από την προέλευση των οικείων δεδομένων και, ιδίως, από το αν πηγή της συλλογής τους είναι το υποκείμενο των δεδομένων.
49 Ομοίως, το γράμμα του άρθρου 17, παράγραφος 1, του ΓΚΠΔ, το οποίο, όπως προκύπτει από τη σκέψη 37 της παρούσας αποφάσεως, επιβάλλει στον υπεύθυνο επεξεργασίας αυτοτελή υποχρέωση να διαγράφει τα δεδομένα προσωπικού χαρακτήρα που έχουν υποβληθεί σε παράνομη επεξεργασία, δεν περιλαμβάνει καμία απαίτηση σχετικά με την προέλευση των συλλεγέντων δεδομένων.
50 Επιπλέον, όπως προκύπτει από τις σκέψεις 41 και 42 της παρούσας αποφάσεως, είναι αναγκαίο, προκειμένου να διασφαλιστεί η αποτελεσματική και συνεπής εφαρμογή του ΓΚΠΔ, η εθνική εποπτική αρχή να διαθέτει πραγματικές εξουσίες ώστε να δύναται να αντιμετωπίζει καταλλήλως τις παραβάσεις του κανονισμού. Ως εκ τούτου, η εξουσία λήψης διορθωτικών μέτρων, όπως καθιερώνεται στο άρθρο 58, παράγραφος 2, στοιχεία δʹ και ζʹ, του ΓΚΠΔ, δεν μπορεί να εξαρτάται από την προέλευση των οικείων δεδομένων και, ιδίως, από το αν πηγή της συλλογής τους είναι το υποκείμενο των δεδομένων.
51 Κατά συνέπεια, πρέπει να γίνει δεκτό, όπως υποστηρίζουν όλες οι κυβερνήσεις που κατέθεσαν γραπτές παρατηρήσεις και η Επιτροπή, ότι η άσκηση της εξουσίας λήψης διορθωτικών μέτρων, κατά την έννοια του άρθρου 58, παράγραφος 2, στοιχεία δʹ και ζʹ, του ΓΚΠΔ, δεν μπορεί να εξαρτάται από το αν πηγή της συλλογής των επίμαχων δεδομένων προσωπικού χαρακτήρα είναι ευθέως το υποκείμενο των δεδομένων.
52 Η ερμηνεία αυτή επιρρωννύεται επίσης από τους σκοπούς που επιδιώκει ο ΓΚΠΔ, ιδίως το άρθρο 58, παράγραφος 2, του κανονισμού αυτού, οι οποίοι υπομνήσθηκαν στις σκέψεις 40 και 43 της παρούσας αποφάσεως.
53 Λαμβανομένων υπόψη των ανωτέρω σκέψεων, στο δεύτερο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 58, παράγραφος 2, του ΓΚΠΔ έχει την έννοια ότι η εξουσία της εποπτικής αρχής κράτους μέλους να διατάσσει τη διαγραφή δεδομένων προσωπικού χαρακτήρα που έχουν υποβληθεί σε παράνομη επεξεργασία υφίσταται τόσο στην περίπτωση που πηγή της συλλογής των δεδομένων είναι το ίδιο το υποκείμενο των δεδομένων όσο και στην περίπτωση που τα δεδομένα προέρχονται από άλλη πηγή.
Επί των δικαστικών εξόδων
54 Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.
Για τους λόγους αυτούς, το Δικαστήριο (πέμπτο τμήμα) αποφαίνεται:
1) Το άρθρο 58, παράγραφος 2, στοιχεία δʹ και ζʹ, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων),
έχει την έννοια ότι:
η εποπτική αρχή κράτους μέλους έχει την εξουσία, στο πλαίσιο της λήψης των προβλεπόμενων από τις διατάξεις αυτές διορθωτικών μέτρων, να απευθύνει στον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία εντολή διαγραφής δεδομένων προσωπικού χαρακτήρα που έχουν υποβληθεί σε παράνομη επεξεργασία, ακόμη και σε περίπτωση που δεν έχει προηγουμένως υποβληθεί σχετικό αίτημα από το υποκείμενο των δεδομένων προς άσκηση των δικαιωμάτων του κατ’ εφαρμογήν του άρθρου 17 παράγραφος 1, του ΓΚΠΔ.
2) Το άρθρο 58, παράγραφος 2, του κανονισμού 2016/679
έχει την έννοια ότι:
η εξουσία της εποπτικής αρχής κράτους μέλους να διατάσσει τη διαγραφή δεδομένων προσωπικού χαρακτήρα που έχουν υποβληθεί σε παράνομη επεξεργασία υφίσταται τόσο στην περίπτωση που πηγή της συλλογής των δεδομένων είναι το ίδιο το υποκείμενο των δεδομένων όσο και στην περίπτωση που τα δεδομένα προέρχονται από άλλη πηγή.
(υπογραφές)