ΠΡΟΤΑΣΕΙΣ ΤΟΥ ΓΕΝΙΚΟΥ ΕΙΣΑΓΓΕΛΕΑ
PRIIT PIKAMÄE
Υπόθεση C‑768/21
TR
κατά
Land Hessen
[αίτηση του Verwaltungsgericht Wiesbaden
(διοικητικού πρωτοδικείου Wiesbaden, Γερμανία)
για την έκδοση προδικαστικής αποφάσεως]
«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 57, παράγραφος 1, στοιχεία αʹ και στʹ – Καθήκοντα της εποπτικής αρχής – Άρθρο 58, παράγραφος 2 – Εξουσίες της εποπτικής αρχής – Άρθρο 77, παράγραφος 1 – Δικαίωμα υποβολής καταγγελίας – Παραβίαση δεδομένων προσωπικού χαρακτήρα – Υποχρέωση της εποπτικής αρχής να λαμβάνει μέτρα»
I. Εισαγωγή
1. Η υπό κρίση αίτηση προδικαστικής αποφάσεως που υπέβαλε το Verwaltungsgericht Wiesbaden (διοικητικό πρωτοδικείο Wiesbaden, Γερμανία) δυνάμει του άρθρου 267 ΣΛΕΕ έχει ως αντικείμενο την ερμηνεία του άρθρου 57, παράγραφος 1, στοιχεία αʹ και στʹ, του άρθρου 58, παράγραφος 2, καθώς και του άρθρου 77, παράγραφος 1, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (2) (στο εξής: ΓΚΠΔ).
2. Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ του TR και του Land Hessen (ομόσπονδου κράτους της Έσσης, Γερμανία), εκπροσωπούμενου από τον Hessischer Beauftragte für Datenschutz und Informationsfreiheit (επίτροπο προστασίας δεδομένων και ελευθερίας της πληροφόρησης για το ομόσπονδο κράτος της Έσσης, στο εξής: HBDI), σχετικά με την άρνηση του τελευταίου να παρέμβει κατά του Ταμιευτηρίου λόγω παραβίασης δεδομένων προσωπικού χαρακτήρα. Το αιτούν δικαστήριο διερωτάται αν η εποπτική αρχή, όταν διαπιστώνει επεξεργασία δεδομένων που προσβάλλει τα δικαιώματα του υποκειμένου των δεδομένων, οφείλει, σε κάθε περίπτωση, να παρεμβαίνει στο πλαίσιο των εξουσιών που της παρέχει το άρθρο 58, παράγραφος 2, του ΓΚΠΔ ή αν, σε συγκεκριμένη περίπτωση, μπορεί –παρά την ύπαρξη προσβολής– να μην παρέμβει.
3. Η υπό κρίση υπόθεση εγείρει πλείονα καινοφανή νομικά ζητήματα, τα οποία απαιτούν εμπεριστατωμένη εξέταση. Το Δικαστήριο θα πρέπει, κατ’ ουσίαν, να αποφανθεί επί του ρόλου που διαδραματίζουν οι αρχές της νομιμότητας και της σκοπιμότητας στη διοικητική πρακτική των εποπτικών αρχών και, ειδικότερα, στην εκπλήρωση της αποστολής τους που συνίσταται στην παρακολούθηση και επιβολή της εφαρμογής του ΓΚΠΔ. Οι ερμηνευτικές κατευθυντήριες γραμμές που θα προκύψουν από τη νομολογία του Δικαστηρίου θα επηρεάσουν την εν λόγω διοικητική πρακτική, συμβάλλοντας κατ’ αυτόν τον τρόπο στη συνεκτική εφαρμογή του εν λόγω κανονισμού εντός της Ένωσης.
II. Το νομικό πλαίσιο
4. Οι αιτιολογικές σκέψεις 129, 141, 148 και 150 του ΓΚΠΔ έχουν ως εξής:
«(129) Για να διασφαλιστεί ομοιόμορφη παρακολούθηση και επιβολή του παρόντος κανονισμού σε ολόκληρη την Ένωση, οι εποπτικές αρχές θα πρέπει να έχουν σε κάθε κράτος μέλος τα ίδια καθήκοντα και τις ίδιες πραγματικές εξουσίες, μεταξύ των οποίων εξουσίες διερεύνησης, διορθωτικές εξουσίες και κυρώσεις, καθώς και αδειοδοτικές και συμβουλευτικές εξουσίες, ιδίως στην περίπτωση καταγγελιών εκ μέρους φυσικών προσώπων, και, με την επιφύλαξη των εξουσιών των εισαγγελικών αρχών δυνάμει του δικαίου του κράτους μέλους, την εξουσία να παραπέμπουν παραβάσεις των διατάξεων του παρόντος κανονισμού στις δικαστικές αρχές και να παίρνουν μέρος σε νομικές διαδικασίες. Οι εν λόγω εξουσίες θα πρέπει επίσης να περιλαμβάνουν την εξουσία επιβολής προσωρινού ή οριστικού περιορισμού της επεξεργασίας, συμπεριλαμβανομένης της απαγόρευσής της. Τα κράτη μέλη μπορούν να ορίσουν ειδικότερα άλλα καθήκοντα σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του παρόντος κανονισμού. Οι εξουσίες των εποπτικών αρχών θα πρέπει να ασκούνται σύμφωνα με τις κατάλληλες διαδικαστικές διασφαλίσεις που ορίζονται στο δίκαιο της Ένωσης και το δίκαιο των κρατών μελών, αμερόληπτα, δίκαια και σε εύλογο χρονικό διάστημα. Ιδίως, κάθε μέτρο θα πρέπει να είναι κατάλληλο, αναγκαίο και αναλογικό, ώστε να διασφαλίζει συμμόρφωση με τον παρόντα κανονισμό, λαμβάνοντας υπόψη τις περιστάσεις κάθε ατομικής περίπτωσης, να σέβεται το δικαίωμα ακρόασης κάθε προσώπου προτού ληφθεί μεμονωμένο μέτρο εις βάρος του και να μην προκαλεί περιττά έξοδα και υπέρμετρες επιβαρύνσεις για τα ενδιαφερόμενα πρόσωπα. […]
[…]
(141) Κάθε υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να υποβάλει καταγγελία σε μία μόνη εποπτική αρχή, ιδίως στο κράτος μέλος της συνήθους διαμονής του, και το δικαίωμα πραγματικής δικαστικής προσφυγής σύμφωνα με το άρθρο 47 του [Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, στο εξής: Χάρτης] εφόσον θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού ή όταν η εποπτική αρχή δεν δίνει συνέχεια σε μια καταγγελία, απορρίπτει εν όλω ή εν μέρει ή κρίνει απαράδεκτη μια καταγγελία ή δεν ενεργεί ενώ οφείλει να ενεργήσει για να προστατεύσει τα δικαιώματα του υποκειμένου των δεδομένων. Η διερεύνηση κατόπιν καταγγελίας θα πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στον βαθμό που ενδείκνυται για τη συγκεκριμένη περίπτωση. Η εποπτική αρχή οφείλει να ενημερώνει το υποκείμενο των δεδομένων για την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. […]
[…]
(148) Προκειμένου να ενισχυθεί η επιβολή των κανόνων του παρόντος κανονισμού, κυρώσεις, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να επιβάλλονται για κάθε παράβαση του παρόντος κανονισμού, επιπρόσθετα ή αντί των κατάλληλων μέτρων που επιβάλλονται από την εποπτική αρχή σύμφωνα με τον παρόντα κανονισμό. Σε περίπτωση παράβασης ελάσσονος σημασίας ή αν το πρόστιμο που ενδέχεται να επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση σε φυσικό πρόσωπο, θα μπορούσε να επιβληθεί επίπληξη αντί προστίμου. Θα πρέπει ωστόσο να λαμβάνονται δεόντως υπόψη η φύση, η σοβαρότητα και η διάρκεια της παράβασης, ο εσκεμμένος χαρακτήρας της παράβασης, οι δράσεις που αναλήφθηκαν για τον μετριασμό της ζημίας, ο βαθμός της ευθύνης ή τυχόν άλλες σχετικές προηγούμενες παραβάσεις, ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, η συμμόρφωση με τα μέτρα κατά του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, η τήρηση κώδικα δεοντολογίας και κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο. […]
[…]
(150) Για την ενίσχυση και την εναρμόνιση των διοικητικών ποινών κατά παραβάσεων του παρόντος κανονισμού, κάθε εποπτική αρχή θα πρέπει να έχει την εξουσία να επιβάλλει διοικητικά πρόστιμα. Ο παρών κανονισμός θα πρέπει να υποδεικνύει τις παραβιάσεις, και το ανώτατο όριο και τα κριτήρια για τον καθορισμό των σχετικών διοικητικών προστίμων, τα οποία θα πρέπει να καθορίζονται από την αρμόδια εποπτική αρχή σε κάθε μεμονωμένη περίπτωση, αφού ληφθούν υπόψη όλες οι συναφείς περιστάσεις της συγκεκριμένης κατάστασης, με τη δέουσα προσοχή ειδικότερα στη φύση, τη βαρύτητα και τη διάρκεια της παράβασης και στις συνέπειές της και τα μέτρα που λαμβάνονται για τη διασφάλιση της συμμόρφωσης με τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό και για την πρόληψη ή τον μετριασμό των συνεπειών της παράβασης. […]»
5. Το άρθρο 33, παράγραφος 1, του κανονισμού αυτού ορίζει τα εξής:
«Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. […]»
6. Το άρθρο 34, παράγραφος 1, του εν λόγω κανονισμού προβλέπει τα εξής:
«Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.»
7. Το άρθρο 57, παράγραφος 1, του ίδιου κανονισμού ορίζει τα εξής:
«Με την επιφύλαξη των άλλων καθηκόντων που ορίζονται στον παρόντα κανονισμό, κάθε εποπτική αρχή στο έδαφός της:
α) παρακολουθεί και επιβάλλει την εφαρμογή του παρόντος κανονισμού,
[…]
στ) χειρίζεται τις καταγγελίες που υποβάλλονται από το υποκείμενο των δεδομένων ή από φορέα ή οργάνωση ή ένωση σύμφωνα με το άρθρο 80 και ερευνά, στο μέτρο που ενδείκνυται, το αντικείμενο της καταγγελίας και ενημερώνει τον καταγγέλοντα για την πρόοδο και για την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος, ιδίως εάν απαιτείται περαιτέρω έρευνα ή συντονισμός με άλλη εποπτική αρχή,
[…]».
8. Κατά το άρθρο 58 του ΓΚΠΔ:
«(1) Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες εξουσίες έρευνας:
α) να δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία και, όπου συντρέχει περίπτωση, στον εκπρόσωπο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να παράσχουν κάθε πληροφορία την οποία απαιτεί για την εκτέλεση των καθηκόντων της,
[…]
(2) Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες:
α) να απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν διατάξεις του παρόντος κανονισμού,
β) να απευθύνει επιπλήξεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του παρόντος κανονισμού,
γ) να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφώνεται προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον παρόντα κανονισμό,
δ) να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καθιστούν τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του παρόντος κανονισμού, εάν χρειάζεται, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας,
ε) να δίνει εντολή στον υπεύθυνο επεξεργασίας να ανακοινώνει την παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων,
στ) να επιβάλλει προσωρινό ή οριστικό περιορισμό, περιλαμβανομένης της απαγόρευσης της επεξεργασίας,
[…]
θ) να επιβάλλει διοικητικό πρόστιμο δυνάμει του άρθρου 83, επιπλέον ή αντί των μέτρων που αναφέρονται στην παρούσα παράγραφο, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης,
[…]».
9. Το άρθρο 77 του κανονισμού αυτού ορίζει τα εξής:
«1. Με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά παραβαίνει τον παρόντα κανονισμό.
2. Η εποπτική αρχή στην οποία έχει υποβληθεί καταγγελία ενημερώνει τον καταγγέλλοντα για την πρόοδο και για την έκβαση της καταγγελίας, καθώς και για τη δυνατότητα άσκησης δικαστικής προσφυγής σύμφωνα με το άρθρο 78.»
10. Το άρθρο 78 του εν λόγω κανονισμού προβλέπει στις παραγράφους 1 και 2 τα εξής:
«1. Με την επιφύλαξη κάθε άλλης διοικητικής ή μη δικαστικής προσφυγής, κάθε φυσικό ή νομικό πρόσωπο έχει το δικαίωμα πραγματικής δικαστικής προσφυγής κατά νομικά δεσμευτικής απόφασης εποπτικής αρχής που το αφορά.
2. Με την επιφύλαξη κάθε άλλης διοικητικής ή μη δικαστικής προσφυγής, κάθε υποκείμενο των δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής, εφόσον η εποπτική αρχή που είναι αρμόδια δυνάμει των άρθρων 55 και 56 δεν εξετάσει την καταγγελία ή δεν ενημερώσει το υποκείμενο των δεδομένων εντός τριών μηνών για την πρόοδο ή την έκβαση της καταγγελίας που υποβλήθηκε δυνάμει του άρθρου 77.»
11. Το άρθρο 83 του ΓΚΠΔ ορίζει στις παραγράφους 1 και 2 τα εξής:
«1. Κάθε εποπτική αρχή μεριμνά ώστε η επιβολή διοικητικών προστίμων σύμφωνα με το παρόν άρθρο έναντι παραβάσεων του παρόντος κανονισμού που αναφέρονται στις παραγράφους 4, 5 και 6 να είναι για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική.
2. Τα διοικητικά πρόστιμα, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης, επιβάλλονται επιπρόσθετα ή αντί των μέτρων που αναφέρονται στο άρθρο 58 παράγραφος 2 στοιχεία α) έως η) και στο άρθρο 58 παράγραφος 2 στοιχείο ι). Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα:
α) η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων των δεδομένων που έθιξε η παράβαση και το βαθμό ζημίας που υπέστησαν,
β) ο δόλος ή η αμέλεια που προκάλεσε την παράβαση,
γ) οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων,
δ) ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν δυνάμει των άρθρων 25 και 32,
ε) τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία,
στ) ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της,
ζ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση,
η) ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση,
θ) σε περίπτωση που διατάχθηκε προηγουμένως η λήψη των μέτρων που αναφέρονται στο άρθρο 58 παράγραφος 2 κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα,
ι) η τήρηση εγκεκριμένων κωδίκων δεοντολογίας σύμφωνα με το άρθρο 40 ή εγκεκριμένων μηχανισμών πιστοποίησης σύμφωνα με το άρθρο 42 και
ια) κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημ[ίες] που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.»
III. Τα πραγματικά περιστατικά της διαφοράς, η διαδικασία της κύριας δίκης και το προδικαστικό ερώτημα
12. Το Ταμιευτήριο είναι τοπικό ίδρυμα δημοσίου δικαίου το οποίο διενεργεί, μεταξύ άλλων, τραπεζικές και πιστωτικές εργασίες. Στις 15 Νοεμβρίου 2019 γνωστοποίησε στον HBDI παραβίαση δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το άρθρο 33 του ΓΚΠΔ, καθόσον υπάλληλος του Ταμιευτηρίου είχε επανειλημμένως πρόσβαση, χωρίς να έχει εξουσιοδοτηθεί προς τούτο, σε δεδομένα προσωπικού χαρακτήρα του TR, ενός εκ των πελατών του. Ωστόσο, εκτιμώντας ότι δεν επρόκειτο για παραβίαση δεδομένων προσωπικού χαρακτήρα δυνάμενη να προκαλέσει υψηλό κίνδυνο για τον TR, το Ταμιευτήριο παρέλειψε να ενημερώσει και τον TR, βάσει του άρθρου 34 του εν λόγω κανονισμού.
13. Ο TR, αφού έλαβε γνώση του περιστατικού αυτού, απευθύνθηκε στον HBDI, με έγγραφο της 27ης Ιουλίου 2020, καταγγέλλοντας παράβαση του άρθρου 34 του ΓΚΠΔ και επικρίνοντας τη σύντομη περίοδο διατήρησης του μητρώου πρόσβασης του Ταμιευτηρίου, διάρκειας τριών μηνών, καθώς και τα ευρείας έκτασης δικαιώματα πρόσβασης των οποίων απολαύει κάθε μέλος του προσωπικού του τελευταίου.
14. Στο πλαίσιο της διαδικασίας ενώπιον του HBDI, το Ταμιευτήριο επισήμανε ότι ο υπεύθυνος προστασίας δεδομένων του εκτίμησε ότι δεν υφίστατο κίνδυνος για τον TR, δεδομένου ότι είχαν ληφθεί πειθαρχικά μέτρα κατά της συγκεκριμένης υπαλλήλου και ότι η εν λόγω υπάλληλος είχε επιβεβαιώσει εγγράφως ότι δεν είχε αντιγράψει ούτε είχε αποθηκεύσει τα δεδομένα των οποίων είχε λάβει γνώση, ότι δεν τα είχε διαβιβάσει σε τρίτους ούτε και θα το έπραττε στο μέλλον. Επιπλέον, έπρεπε να εξεταστεί το χρονικό διάστημα για το οποίο αποθηκεύονται τα δεδομένα πρόσβασης.
15. Με απόφαση της 3ης Σεπτεμβρίου 2020, ο HBDI ενημέρωσε τον TR ότι, στην προκειμένη περίπτωση, το Ταμιευτήριο δεν είχε παραβεί το άρθρο 34 του ΓΚΠΔ. Σύμφωνα με την εν λόγω αρχή, η απόφαση που έπρεπε να ληφθεί βάσει της διάταξης αυτής είναι απόφαση βάσει πρόβλεψης. Υπό το πρίσμα του καθεστώτος ελέγχου της προστασίας των δεδομένων, έπρεπε να εξεταστεί αν η απόφαση αυτή ήταν προδήλως εσφαλμένη. Το Ταμιευτήριο είχε επισημάνει ότι, μολονότι πραγματοποιήθηκε πρόσβαση, εντούτοις δεν υπήρχε καμία ένδειξη ότι η υπάλληλος που είχε αποκτήσει πρόσβαση διαβίβασε τα δεδομένα σε τρίτους ή ότι τα χρησιμοποίησε σε βάρος του TR. Κατά συνέπεια, πιθανώς δεν συνέτρεχε υψηλός κίνδυνος. Επιπλέον, το Ταμιευτήριο κλήθηκε να διατηρεί στο εξής το μητρώο πρόσβασης για μεγαλύτερο χρονικό διάστημα. Σύμφωνα με τον HBDI, ο επί της αρχής έλεγχος κάθε πρόσβασης δεν ήταν αναγκαίος, δεδομένου ότι μπορούσαν κατ’ αρχήν να χορηγηθούν ευρείας έκτασης δικαιώματα πρόσβασης εάν ήταν βέβαιο ότι κάθε χρήστης ήταν ενήμερος για τους όρους υπό τους οποίους μπορούσε να έχει πρόσβαση στα συγκεκριμένα δεδομένα.
16. Ο TR άσκησε προσφυγή κατά της απόφασης της 3ης Σεπτεμβρίου 2020 ενώπιον του Verwaltungsgericht Wiesbaden (διοικητικού πρωτοδικείου Wiesbaden), ήτοι του αιτούντος δικαστηρίου, ζητώντας να υποχρεωθεί ο HBDI να παρέμβει κατά του Ταμιευτηρίου.
17. Προς στήριξη της προσφυγής του, ο TR υποστηρίζει ότι ο HBDI δεν εξέτασε την καταγγελία του όπως απαιτεί ο ΓΚΠΔ. Ισχυρίζεται ότι δικαιούται να ζητήσει την εξέταση της καταγγελίας αυτής και να ενημερωθεί για τη συνέχεια που δόθηκε. Ο HBDI όφειλε να ερευνήσει τα πραγματικά περιστατικά στα οποία στηρίζεται η εκτίμηση του κινδύνου εκ μέρους του Ταμιευτηρίου χωρίς να περιοριστεί στα μέτρα που ζητήθηκαν ρητώς και όφειλε να επιβάλει πρόστιμα στο Ταμιευτήριο. Κατά τον TR, σε περίπτωση διαπίστωσης παράβασης, δεν έχει εφαρμογή η αρχή της σκοπιμότητας, οπότε ο HBDI δεν είχε τη δυνατότητα να αποφασίσει αν θα ενεργήσει ή όχι, αλλά, μόνον, να επιλέξει τα μέτρα που επρόκειτο να λάβει.
18. Το αιτούν δικαστήριο διευκρινίζει ότι, εν προκειμένω, ο HBDI, ως εποπτική αρχή, κατέληξε στο συμπέρασμα ότι, μολονότι υπήρξε παράβαση των διατάξεων περί προστασίας των δεδομένων, δεν συνέτρεχε λόγος παρέμβασης βάσει του άρθρου 58, παράγραφος 2, του ΓΚΠΔ. Ωστόσο, η προσέγγιση αυτή είναι συνεπής μόνον εάν η εποπτική αρχή δεν οφείλει να παρεμβαίνει ακόμη και όταν διαπιστώνεται παράβαση των κανόνων προστασίας των δεδομένων. Εάν γίνει δεκτή η άποψη του TR ότι η εποπτική αρχή δεν έχει καμία εξουσία εκτίμησης, τούτο θα έχει ως συνέπεια την ύπαρξη αξίωσης παρέμβασης και λήψης διορθωτικών μέτρων σε περίπτωση διαπιστωθείσας παράβασης καθώς και υποχρέωσης της εποπτικής αρχής να λαμβάνει μέτρα σε κάθε περίπτωση. Επομένως, σε περίπτωση αρνήσεως, το δικαστήριο θα πρέπει να υποχρεώσει την εποπτική αρχή να λάβει συγκεκριμένο μέτρο ή μια σειρά μέτρων.
19. Το αιτούν δικαστήριο εκθέτει ότι η επιχειρηματολογία αυτή, την οποία υποστηρίζει επίσης μέρος της θεωρίας, βασίζεται στο γεγονός ότι οι εξουσίες λήψης διορθωτικών μέτρων δυνάμει του άρθρου 58, παράγραφος 2, του ΓΚΠΔ σκοπούν στην αποκατάσταση της νομιμότητας όταν η επεξεργασία δεδομένων προσβάλλει τα δικαιώματα πολιτών. Επομένως, η διάταξη αυτή πρέπει να νοηθεί ως πηγή υποχρέωσης η οποία θεμελιώνει δικαίωμα του πολίτη να αξιώσει τη λήψη μέτρων εκ μέρους των αρχών όταν μια επιχείρηση ή μια αρχή έχει επεξεργαστεί παρανόμως δεδομένα προσωπικού χαρακτήρα του πολίτη ή έχει προσβάλει κατ’ άλλον τρόπο δικαιώματα. Σε περίπτωση διαπίστωσης παράβασης των κανόνων προστασίας των δεδομένων, η εποπτική αρχή υποχρεούται να λάβει διορθωτικά μέτρα, η μόνη δε διακριτική ευχέρεια που διαθέτει είναι να επιλέξει ποια από τα προβλεπόμενα μέτρα θα λάβει.
20. Ωστόσο, το αιτούν δικαστήριο διατηρεί αμφιβολίες ως προς την ερμηνεία αυτή και τη θεωρεί υπερβολικά ευρεία. Αντιθέτως, τείνει να αναγνωρίσει στην εποπτική αρχή ένα περιθώριο χειρισμών το οποίο της παρέχει επίσης τη δυνατότητα να απέχει από την επιβολή κυρώσεων σε περίπτωση διαπιστωμένων παραβάσεων. Συγκεκριμένα, το άρθρο 57, παράγραφος 1, στοιχείο στʹ, του ΓΚΠΔ ορίζει απλώς ότι η εποπτική αρχή που επιλαμβάνεται καταγγελιών ερευνά, στο μέτρο που ενδείκνυται, το αντικείμενο της καταγγελίας και ενημερώνει σχετικά τον καταγγέλλοντα για την πρόοδο και την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος. Επομένως, η εποπτική αρχή έχει, στο πλαίσιο αυτό, την υποχρέωση να προβαίνει σε προσεκτική επί της ουσίας εξέταση και να ερευνά την εκάστοτε συγκεκριμένη περίπτωση, δίχως να συνάγεται εξ αυτού ότι οφείλει πάντοτε και απολύτως να παρεμβαίνει σε περίπτωση διαπίστωσης παράβασης.
21. Υπό τις συνθήκες αυτές, το Verwaltungsgericht Wiesbaden (διοικητικό πρωτοδικείο Wiesbaden) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο το ακόλουθο προδικαστικό ερώτημα:
«Έχουν το άρθρο 57, παράγραφος 1, στοιχεία αʹ και στʹ, και το άρθρο 58, παράγραφος 2, στοιχεία αʹ έως ιʹ, σε συνδυασμό με το άρθρο 77, παράγραφος 1, του [ΓΚΠΔ], την έννοια ότι η εποπτική αρχή οφείλει να παρεμβαίνει πάντοτε, δυνάμει του άρθρου 58, παράγραφος 2, του [κανονισμού αυτού], όταν διαπιστώνει επεξεργασία δεδομένων που προσβάλλει τα δικαιώματα του υποκειμένου των δεδομένων;»
IV. Η διαδικασία ενώπιον του Δικαστηρίου
22. Η από 10 Δεκεμβρίου 2021 απόφαση περί παραπομπής περιήλθε στη Γραμματεία του Δικαστηρίου στις 14 Δεκεμβρίου 2021.
23. Οι διάδικοι της κύριας δίκης, η Αυστριακή, η Πορτογαλική, η Ρουμανική και η Νορβηγική Κυβέρνηση, καθώς και η Ευρωπαϊκή Επιτροπή, κατέθεσαν γραπτές παρατηρήσεις εντός της προθεσμίας που τάσσει το άρθρο 23 του Οργανισμού του Δικαστηρίου της Ευρωπαϊκής Ένωσης.
24. Κατά τη γενική συνέλευση της 16ης Ιανουαρίου 2024, το Δικαστήριο αποφάσισε να μη διεξαχθεί επ’ ακροατηρίου συζήτηση.
V. Νομική ανάλυση
Α. Προκαταρκτικές παρατηρήσεις
25. Από την έναρξη ισχύος του ΓΚΠΔ, πολλοί φορείς χρειάστηκε να θεσπίσουν σειρά μέτρων προκειμένου να συμμορφωθούν με τους νέους κανόνες για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Όταν οι φορείς δεν συμμορφώνονται με τα μέτρα αυτά, υπόκεινται σε κυρώσεις περισσότερο ή λιγότερο επαχθείς ανάλογα με τη σοβαρότητα της παράβασης. Τα διοικητικά πρόστιμα βρίσκονται στο επίκεντρο του συστήματος επιβολής που εισήγαγε ο ΓΚΠΔ. Συνιστούν αποτελεσματικό στοιχείο της εργαλειοθήκης που διαθέτουν οι εποπτικές αρχές για την τήρηση της νομοθεσίας, παράλληλα με τα λοιπά διορθωτικά μέτρα που προβλέπονται στο άρθρο 58, παράγραφος 2, του ΓΚΠΔ. Δεδομένου ότι ο εν λόγω κανονισμός παρέχει στις εποπτικές αρχές τη δυνατότητα να επιβάλλουν πρόστιμα ενίοτε πολύ υψηλά, κρίνεται σκόπιμο να διευκρινιστεί, για λόγους ασφάλειας δικαίου, ποιες περιστάσεις δικαιολογούν τη χρήση του συγκεκριμένου διορθωτικού μέτρου. Επομένως, οι παρούσες προτάσεις πρέπει να εκληφθούν ως συμβολή στην επίτευξη του σκοπού αυτού.
26. Οι προτάσεις στην υπό κρίση υπόθεση συνεχίζουν, τρόπον τινά, από το σημείο που σταμάτησαν οι προτάσεις μου στις συνεκδικασθείσες υποθέσεις C‑26/22 και C‑64/22 (SCHUFA Holding) (στο εξής: υποθέσεις SCHUFA) (3). Ενώ, στις τελευταίες αυτές υποθέσεις, εξήγησα ποιες είναι οι υποχρεώσεις τις οποίες υπέχει η εποπτική αρχή στο πλαίσιο της εξέτασης καταγγελίας υποβληθείσας δυνάμει του άρθρου 77 του ΓΚΠΔ, στην υπό κρίση υπόθεση θα εξετάσω τις υποχρεώσεις της εποπτικής αρχής στην περίπτωση διαπίστωσης παραβίασης δεδομένων προσωπικού χαρακτήρα, καθώς και την εξουσία της να λαμβάνει διορθωτικά μέτρα, ιδίως να επιβάλλει διοικητικά πρόστιμα. Εν συνεχεία, θα εξετάσω το ζήτημα αν ο ΓΚΠΔ προβλέπει υποχρέωση της εποπτικής αρχής να επιβάλλει διοικητικό πρόστιμο σε κάθε περίπτωση ή τουλάχιστον όταν το απαιτεί ρητώς ο καταγγέλλων. Με βάση τη σύνθεση της ανάλυσής μου, θα απαντήσω στο ερώτημα που υπέβαλε το αιτούν δικαστήριο σχετικά με τη δυνατότητα της εποπτικής αρχής να μην προβαίνει στη λήψη διορθωτικών μέτρων.
Β. Επί του παραδεκτού της αιτήσεως προδικαστικής αποφάσεως
27. Προτού εξεταστούν όλες αυτές οι πτυχές, πρέπει να εξεταστεί το επιχείρημα του TR περί απαραδέκτου της αιτήσεως προδικαστικής αποφάσεως. Ειδικότερα, ο TR υποστηρίζει ότι η απάντηση στο υποβληθέν ερώτημα δεν είναι αναγκαία για την επίλυση της διαφοράς της κύριας δίκης. Με την προσφυγή του ζητεί από το αιτούν δικαστήριο μόνο να υποχρεώσει τον HBDI να αποφανθεί επί των αιτιάσεων που προβάλλονται με την καταγγελία της οποίας έχει επιληφθεί και όχι να υποχρεώσει τον HBDI να κάνει χρήση των εξουσιών που του παρέχει το άρθρο 58, παράγραφος 2, του ΓΚΠΔ.
28. Συναφώς, υπενθυμίζεται ότι, στο πλαίσιο της συνεργασίας μεταξύ του Δικαστηρίου και των εθνικών δικαστηρίων την οποία καθιερώνει το άρθρο 267 ΣΛΕΕ, εναπόκειται αποκλειστικώς στο εθνικό δικαστήριο, το οποίο έχει επιληφθεί της διαφοράς και φέρει την ευθύνη της μέλλουσας να εκδοθεί δικαστικής απόφασης, να εκτιμήσει, λαμβάνοντας υπόψη τις ιδιαιτερότητες της υπόθεσης, τόσο την αναγκαιότητα της προδικαστικής αποφάσεως για την έκδοση της δικής του απόφασης όσο και το λυσιτελές των ερωτημάτων που υποβάλλει στο Δικαστήριο. Συνεπώς, εφόσον τα υποβληθέντα ερωτήματα αφορούν την ερμηνεία του δικαίου της Ένωσης, το Δικαστήριο υποχρεούται κατ’ αρχήν να απαντήσει (4).
29. Από τα ανωτέρω έπεται ότι τα σχετικά με την ερμηνεία του δικαίου της Ένωσης ερωτήματα που υπέβαλε το εθνικό δικαστήριο, εντός του πραγματικού και κανονιστικού πλαισίου το οποίο αυτό προσδιορίζει με δική του ευθύνη και την ακρίβεια του οποίου δεν οφείλει να ελέγξει το Δικαστήριο, θεωρούνται κατά τεκμήριο λυσιτελή. Το Δικαστήριο δύναται να αρνηθεί να αποφανθεί επί αιτήσεως εθνικού δικαστηρίου για την έκδοση προδικαστικής αποφάσεως μόνον όταν είναι πρόδηλο ότι η ζητούμενη ερμηνεία του δικαίου της Ένωσης ουδεμία σχέση έχει με το υποστατό ή το αντικείμενο της διαφοράς της κύριας δίκης, όταν το πρόβλημα είναι υποθετικής φύσεως ή ακόμη όταν το Δικαστήριο δεν έχει στη διάθεσή του τα πραγματικά και νομικά στοιχεία που του είναι αναγκαία για να δώσει χρήσιμη απάντηση στα υποβληθέντα ερωτήματα (5).
30. Εν προκειμένω, το αιτούν δικαστήριο, εκθέτοντας με σαφήνεια τους λόγους για τους οποίους διερωτάται ως προς την ερμηνεία των διατάξεων του δικαίου της Ένωσης τις οποίες μνημονεύει στο προδικαστικό ερώτημά του, διευκρίνισε ότι η απάντηση στο ερώτημα αυτό είναι καθοριστική για την επίλυση της διαφοράς της κύριας δίκης, στο μέτρο που ο TR είχε ζητήσει από τον HBDI να παρέμβει κατά του Ταμιευτηρίου. Όπως προκύπτει από το σκεπτικό της αιτήσεως προδικαστικής αποφάσεως, ο TR είχε προβάλει «δικαίωμα» να απαιτήσει την παρέμβαση αυτή. Ειδικότερα, κατά την άποψη του TR, «ο HBDI όφειλε να επιβάλει διοικητικά πρόστιμα στο Ταμιευτήριο». Στο πλαίσιο αυτό, το αιτούν δικαστήριο παραπέμπει στους υπολογισμούς του TR για τον καθορισμό του ύψους των προς επιβολή προστίμων.
31. Οι ως άνω πληροφορίες, τις οποίες παρέσχε το ίδιο το αιτούν δικαστήριο, αντικρούουν σαφώς τους ισχυρισμούς του TR περί απαραδέκτου της αιτήσεως προδικαστικής αποφάσεως. Λαμβανομένων υπόψη των περιστάσεων αυτών, δεν υπάρχει, κατά τη γνώμη μου, καμία αμφιβολία ότι η απάντηση στο ερώτημα που υπέβαλε το αιτούν δικαστήριο είναι αναγκαία για την επίλυση της διαφοράς. Πράγματι, είναι ουσιώδες να καθοριστεί το περιεχόμενο των εξουσιών της εποπτικής αρχής καθώς και των υποχρεώσεών της έναντι του καταγγέλλοντος. Κατά συνέπεια, η αίτηση προδικαστικής αποφάσεως πρέπει να κριθεί παραδεκτή.
Γ. Εξέταση του προδικαστικού ερωτήματος
32. Όσον αφορά την ουσία, με το προδικαστικό ερώτημα ζητείται, κατ’ ουσίαν, να διευκρινιστεί ποιες είναι οι υποχρεώσεις της εποπτικής αρχής όταν έχει διαπιστωθεί παραβίαση δεδομένων προσωπικού χαρακτήρα. Μια τέτοια περίπτωση προϋποθέτει γενικώς ότι η επίμαχη παραβίαση διαπιστώθηκε στο πλαίσιο έρευνας κινηθείσας κατόπιν καταγγελίας.
33. Από τα στοιχεία που εξέθεσε το αιτούν δικαστήριο προκύπτουν ορισμένες ασάφειες όσον αφορά τις υποχρεώσεις που επιβάλλει ο ΓΚΠΔ στην εποπτική αρχή κατά την εξέταση καταγγελίας, πράγμα που εξηγείται, κατά τη γνώμη μου, από το γεγονός ότι η αίτηση προδικαστικής αποφάσεως υποβλήθηκε πριν από την έκδοση της αποφάσεως στις υποθέσεις SCHUFA (6), με την οποία το Δικαστήριο καθιέρωσε μια σειρά σημαντικών αρχών που διέπουν τη διαδικασία καταγγελίας. Επομένως, μπορεί ευλόγως να υποτεθεί ότι το αιτούν δικαστήριο δεν είχε τη δυνατότητα να λάβει γνώση της εν λόγω νομολογίας.
34. Προκειμένου να παρουσιαστεί κατά τον πληρέστερο δυνατό τρόπο το νομικό πλαίσιο σχετικά με το καθεστώς εποπτείας που θεσπίζεται με τον ΓΚΠΔ και να δοθεί χρήσιμη απάντηση στο αιτούν δικαστήριο, φρονώ ότι είναι απαραίτητο υπομνησθούν, κατ’ αρχάς, οι αρχές που έχουν εφαρμογή στη διαδικασία καταγγελίας (7) και, εν συνεχεία, να εξηγήσω τον τρόπο με τον οποίο πρέπει να ενεργεί μια εποπτική αρχή όταν διαπιστώνει παραβίαση δεδομένων προσωπικού χαρακτήρα (8).
1. Επί των υποχρεώσεων της εποπτικής αρχής κατά την εξέταση καταγγελίας
35. Όπως επισήμανε το Δικαστήριο στην απόφαση SCHUFA, σύμφωνα με το άρθρο 8, παράγραφος 3, του Χάρτη, καθώς και με το άρθρο 51, παράγραφος 1, και το άρθρο 57, παράγραφος 1, στοιχείο αʹ, του ΓΚΠΔ, οι εθνικές εποπτικές αρχές έχουν επιφορτισθεί με τον έλεγχο της τήρησης των κανόνων της Ένωσης σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα (9).
36. Ειδικότερα, βάσει του άρθρου 57, παράγραφος 1, στοιχείο στʹ, του ΓΚΠΔ, κάθε εποπτική αρχή υποχρεούται, στην εδαφική περιοχή για την οποία είναι αρμόδια, αφενός, να εξετάζει τις καταγγελίες τις οποίες κάθε υποκείμενο δεδομένων δικαιούται, σύμφωνα με το άρθρο 77, παράγραφος 1, του ίδιου κανονισμού, να υποβάλλει όταν θεωρεί ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν συνιστά παράβαση του κανονισμού αυτού και, αφετέρου, να ερευνά το αντικείμενό τους στο μέτρο του αναγκαίου (10).
37. Η εποπτική αρχή οφείλει να εξετάζει μια τέτοια καταγγελία με τη δέουσα επιμέλεια. Το Δικαστήριο επισήμανε επίσης ότι, για την εξέταση των υποβαλλόμενων καταγγελιών, το άρθρο 58, παράγραφος 1, του ΓΚΠΔ απονέμει σε κάθε εποπτική αρχή σημαντικές εξουσίες έρευνας (11).
38. Στο πλαίσιο αυτό, επισημαίνεται ότι το Δικαστήριο συντάχθηκε με την ερμηνεία που υποστήριξα στις προτάσεις μου στις υποθέσεις SCHUFA, κατά την οποία η διαδικασία υποβολής καταγγελίας, η οποία διαφέρει από εκείνη της υποβολής αναφοράς, δημιουργήθηκε ως μηχανισμός ικανός να προστατεύει με αποτελεσματικό τρόπο τα δικαιώματα και τα συμφέροντα των υποκειμένων των δεδομένων (12).
39. Επιπλέον, επισημαίνεται ότι το Δικαστήριο έχει επίσης ακολουθήσει την ερμηνεία που προτείνω για το άρθρο 78, παράγραφος 1, του ΓΚΠΔ, καθόσον αποφάνθηκε ότι οι αποφάσεις επί καταγγελίας της οποίες εκδίδει εποπτική αρχή υπόκεινται σε πλήρη δικαστικό έλεγχο (13).
2. Επί των υποχρεώσεων της εποπτικής αρχής κατά τη διαπίστωση παραβίασης δεδομένων προσωπικού χαρακτήρα
40. Όταν η εποπτική αρχή διαπιστώνει παραβίαση δεδομένων προσωπικού χαρακτήρα κατά την εξέταση καταγγελίας, τίθεται το ζήτημα του τρόπου με τον οποίο πρέπει να ενεργήσει. Όπως θα εξηγήσω στη συνέχεια, η διαπίστωση αυτή θεμελιώνει, κατ’ αρχάς, υποχρέωση της εποπτικής αρχής να παρέμβει προς το συμφέρον της αρχής της νομιμότητας. Γενικά, πρόκειται για τον προσδιορισμό του πλέον κατάλληλου ή των πλέων κατάλληλων διορθωτικών μέτρων για την αντιμετώπιση της παράβασης (14). Φρονώ ότι η ερμηνεία αυτή είναι εύλογη, λαμβανομένου υπόψη του γεγονότος ότι το άρθρο 57, παράγραφος 1, στοιχείο αʹ, του ΓΚΠΔ αναθέτει στην εποπτική αρχή να «παρακολουθεί» και να «επιβάλλει την εφαρμογή του [κανονισμού αυτού]». Δεν θα ήταν συμβατό με την ως άνω εντολή να έχει η εποπτική αρχή τη δυνατότητα να αγνοήσει απλώς τη διαπιστωθείσα παράβαση (15).
41. Επιπλέον, οι εξουσίες έρευνας που διαθέτει η εποπτική αρχή δυνάμει του άρθρου 58, παράγραφος 1, του ΓΚΠΔ δεν θα ήταν σημαντικές αν η εποπτική αρχή ήταν υποχρεωμένη να περιοριστεί στη διεξαγωγή έρευνας παρά τη διαπίστωση προσβολής των σχετικών με τα δεδομένα προσωπικού χαρακτήρα δικαιωμάτων. Πράγματι, η εφαρμογή του δικαίου της Ένωσης στον τομέα της προστασίας δεδομένων προσωπικού χαρακτήρα αποτελεί ουσιώδες στοιχείο του «ελέγχου» που προβλέπεται στο άρθρο 16, παράγραφος 2, ΣΛΕΕ και στο άρθρο 8, παράγραφος 3, του Χάρτη (16). Στο πλαίσιο αυτό, δεν πρέπει να λησμονείται ότι η εποπτική αρχή ενεργεί επίσης προς το συμφέρον του προσώπου ή της οντότητας των οποίων τα δικαιώματα παραβιάστηκαν. Συναφώς, επισημαίνεται ότι το άρθρο 57, παράγραφος 1, στοιχείο στʹ, και το άρθρο 77, παράγραφος 2, του ΓΚΠΔ επιβάλλουν ορισμένες υποχρεώσεις έναντι του καταγγέλλοντος, ήτοι «να τον ενημερώνει για την πρόοδο και για την έκβαση της έρευνας».
42. Η ως άνω τελευταία περίοδος υποδηλώνει ότι η εποπτική αρχή πρέπει επίσης να ενημερώνει για τα μέτρα που ελήφθησαν σε σχέση με την παραβίαση δεδομένων προσωπικού χαρακτήρα που διαπίστωσε. Είναι προφανές ότι η διαδικασία υποβολής καταγγελίας δεν θα είχε καμία χρησιμότητα αν η εποπτική αρχή μπορούσε να παραμείνει αδρανής έναντι μιας νομικής κατάστασης αντίθετης προς το δίκαιο της Ένωσης. Για τον λόγο αυτόν, προκειμένου να παρασχεθεί στην εποπτική αρχή ένα αποτελεσματικό μέσο για την αντιμετώπιση τέτοιων παραβάσεων, το άρθρο 58, παράγραφος 2, του ΓΚΠΔ προβλέπει κατάλογο διορθωτικών μέτρων, τα οποία κλιμακώνονται ανάλογα με την ένταση της παρέμβασης. Η υποχρέωση παρέμβασης σε κάθε περίπτωση, ανεξαρτήτως της σοβαρότητας της παράβασης, σημαίνει ότι η εποπτική αρχή πρέπει να κάνει χρήση του εν λόγω καταλόγου διορθωτικών μέτρων προκειμένου να επαναφέρει μια σύμφωνη προς το δίκαιο της Ένωσης κατάσταση (17).
3. Επί της εξουσίας της εποπτικής αρχής να λαμβάνει διορθωτικά μέτρα
43. Τούτου λεχθέντος, πρέπει να διευκρινιστεί ότι το ζήτημα αν η εποπτική αρχή πρέπει να παρεμβαίνει σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα πρέπει να διακρίνεται σαφώς από το ζήτημα του πώς πρέπει να ενεργεί συγκεκριμένα. Όσον αφορά το τελευταίο αυτό ζήτημα, υπάρχουν πλείονες ενδείξεις από τις οποίες μπορεί να συναχθεί ότι η εποπτική αρχή διαθέτει περιθώριο χειρισμών, το οποίο πρέπει πάντως να ασκείται σύμφωνα με τους σκοπούς του ΓΚΠΔ και εντός των ορίων που αυτός θέτει. Μολονότι έχω ήδη παραθέσει ορισμένα επιχειρήματα προς στήριξη της ερμηνείας αυτής στις υποθέσεις SCHUFA (18), εντούτοις, είναι αναγκαίο να εξεταστεί διεξοδικά το συγκεκριμένο ζήτημα στις παρούσες προτάσεις.
44. Κατ’ αρχάς, επισημαίνεται ότι, σύμφωνα με το άρθρο 58, παράγραφος 2, του ΓΚΠΔ, η εποπτική αρχή «διαθέτει [την εξουσία]» να λαμβάνει όλα τα διορθωτικά μέτρα που απαριθμούνται στη διάταξη αυτή, πράγμα που υποδηλώνει την ύπαρξη δυνατότητας, όπως ορθώς επισημαίνει το αιτούν δικαστήριο. Εξάλλου, το σημασιολογικό αυτό περιεχόμενο απαντά σε όλες τις γλωσσικές αποδόσεις που εξέτασα στο πλαίσιο της ανάλυσής μου (19).
45. Το άρθρο 58, παράγραφος 2, του ΓΚΠΔ πρέπει να ερμηνευθεί υπό το πρίσμα της αιτιολογικής σκέψης 129 του εν λόγω κανονισμού, από την οποία προκύπτει ότι «κάθε μέτρο […] πρέπει να είναι κατάλληλο, αναγκαίο και αναλογικό, ώστε να διασφαλίζει συμμόρφωση με τον παρόντα κανονισμό, λαμβάνοντας υπόψη τις περιστάσεις κάθε ατομικής περίπτωσης» (η υπογράμμιση δική μου). Με άλλα λόγια, η «εξουσία» που παρέχεται στην εποπτική αρχή να κάνει χρήση του καταλόγου διορθωτικών μέτρων της ως άνω διάταξης εξαρτάται από μια σειρά προϋποθέσεων, μεταξύ των οποίων η προϋπόθεση ότι το μέτρο που λαμβάνει η εν λόγω αρχή είναι «κατάλληλο». Ερμηνεύω την αόριστη αυτή νομική έννοια, η οποία παρέχει στην εποπτική αρχή περιθώριο χειρισμών, υπό την έννοια ότι το επιλεγόμενο μέτρο πρέπει να μπορεί, λόγω των ιδιοτήτων του και του τρόπου δράσης του, να επαναφέρει μια κατάσταση σύμφωνη με το δίκαιο της Ένωσης (20).
46. Η ερμηνεία αυτή ευθυγραμμίζεται με τη νομολογία του Δικαστηρίου κατά την οποία, όταν μια εποπτική αρχή διαπιστώνει ότι μια επεξεργασία δεδομένων προσωπικού χαρακτήρα συνιστά παράβαση των διατάξεων του ΓΚΠΔ, «οφείλει να αντιδράσει προσηκόντως προκειμένου να θεραπεύσει τη διαπιστωθείσα ανεπάρκεια» (21). Επομένως, όπως παρατηρεί η Επιτροπή, η υποχρέωση που δεσμεύει την εποπτική αρχή σχετίζεται πρωτίστως με το αποτέλεσμα που πρέπει να επιτευχθεί, ήτοι την αποκατάσταση της διαπιστωθείσας παράβασης, με τη λήψη του «κατάλληλου» για τον σκοπό αυτό μέτρου. Επιπλέον, επισημαίνεται ότι η απόφαση σχετικά με την επιλογή μέτρου εξαρτάται από τις συγκεκριμένες περιστάσεις κάθε μεμονωμένης περίπτωσης, όπως προκύπτει σαφώς από την προμνημονευθείσα αιτιολογική σκέψη 129 του ΓΚΠΔ. Κατά συνέπεια, οι αποφάσεις που λαμβάνει η εποπτική αρχή στο πλαίσιο της διοικητικής πρακτικής της ενδέχεται να διαφέρουν σημαντικά κατά περίπτωση, ανάλογα με την κατάσταση.
47. Στο μέτρο που το άρθρο 58, παράγραφος 2, του ΓΚΠΔ ορίζει απλώς ότι κάθε εποπτική αρχή «διαθέτει [την εξουσία]» να λαμβάνει όλα τα διορθωτικά μέτρα που απαριθμούνται στη διάταξη αυτήν, η εποπτική αρχή διαθέτει περιθώριο χειρισμών, καθόσον είναι, κατ’ αρχήν, ελεύθερη να επιλέξει μεταξύ των διορθωτικών αυτών μέτρων για την αποκατάσταση της διαπιστωθείσας παράβασης. Όπως υπογράμμισε το Δικαστήριο στην απόφαση στην υπόθεση C‑311/18 (Facebook Ireland και Schrems), «η επιλογή του κατάλληλου και αναγκαίου μέσου εμπίπτει στην αρμοδιότητα της αρχής ελέγχου», η οποία οφείλει να προβαίνει στην επιλογή αυτή λαμβάνοντας υπόψη όλες τις περιστάσεις της συγκεκριμένης περίπτωσης (22).
48. Η αναγνώριση διακριτικής ευχέρειας συνεπάγεται επίσης, κατά τη γνώμη μου, την ύπαρξη εξουσίας να μη λαμβάνεται κανένα από τα διορθωτικά μέτρα του άρθρου 58, παράγραφος 2, του ΓΚΠΔ, όταν η προσέγγιση αυτή δικαιολογείται από τις ειδικές περιστάσεις της συγκεκριμένης περίπτωσης. Πράγματι, δεδομένου ότι η χρήση του καταλόγου διορθωτικών μέτρων εξαρτάται επίσης από την προϋπόθεση ότι το επίμαχο μέτρο είναι «αναγκαίο» για τη διασφάλιση της συμμόρφωσης με τον εν λόγω κανονισμό, δεν μπορεί να αποκλειστεί το ενδεχόμενο να μην πληροί την εν λόγω προϋπόθεση μια συγκεκριμένη παρέμβαση εκ μέρους της εποπτικής αρχής, παραδείγματος χάριν εάν το πρόβλημα έχει εν τω μεταξύ επιλυθεί ή εκλείψει και η παράβαση έχει παύσει να υφίσταται. Είναι προφανές ότι, υπό τις περιστάσεις αυτές, η παρέμβαση της εποπτικής αρχής θα στερούνταν νοήματος.
49. Ομοίως, όπως ορθώς επισημαίνει η Πορτογαλική Κυβέρνηση, η χρήση διορθωτικών μέτρων μπορεί να μη δικαιολογείται πλέον αν το επίπεδο του επιλήψιμου χαρακτήρα της συμπεριφοράς του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι προδήλως χαμηλό ή αν οι περιστάσεις της υπόθεσης είναι αφ’ εαυτών ελαφρυντικές, ιδίως επειδή υπάρχει κάποιος επιμερισμός της ευθύνης με τον καταγγέλλοντα. Ωστόσο, τούτο προϋποθέτει ότι η εποπτική αρχή έχει τη δυνατότητα καθορισμού ενός ορίου κάτω από το οποίο η παρέμβαση δεν θεωρείται «αναγκαία» κατά την έννοια του ΓΚΠΔ.
50. Στο πλαίσιο αυτό, θα ήθελα να επιστήσω την προσοχή στην αιτιολογική σκέψη 141 του ΓΚΠΔ, στην οποία γίνεται ρητή αναφορά στο ενδεχόμενο η εποπτική αρχή να αποφασίσει να μην ενεργήσει, σε περιπτώσεις στις οποίες θεωρεί ότι η ανάληψη δράσης δεν είναι «αναγκαία» για τη διασφάλιση της προστασίας των δικαιωμάτων του υποκειμένου των δεδομένων («δεν ενεργεί ενώ οφείλει να ενεργήσει») (η υπογράμμιση δική μου). Η αιτιολογική αυτή σκέψη διευκρινίζει ότι η απόφαση της εποπτικής αρχής υπόκειται σε δικαστικό έλεγχο και στην περίπτωση που ο καταγγέλλων δεν συμφωνεί με την εκτίμηση της εποπτικής αρχής όσον αφορά την «ανάγκη» ανάληψης δράσης, πέραν των λοιπών περιπτώσεων που απαριθμούνται στην εν λόγω αιτιολογική σκέψη, ήτοι όταν παραβιάζονται τα δικαιώματά του βάσει του κανονισμού αυτού ή όταν η εποπτική αρχή δεν δίνει συνέχεια στην καταγγελία του, την απορρίπτει εν όλω ή εν μέρει ή την κρίνει απαράδεκτη.
51. Η διακριτική ευχέρεια που αναγνωρίζεται στην εποπτική αρχή δυνάμει του άρθρου 58, παράγραφος 2, του ΓΚΠΔ συνεπάγεται ότι είναι επίσης δυνατή η αντιμετώπιση παραβάσεων ελάσσονος σημασίας με άλλα μέτρα που λαμβάνει ο ίδιος ο υπεύθυνος επεξεργασίας. Όπως προκύπτει από τις περιστάσεις της υπό κρίση υπόθεσης, τα διορθωτικά μέτρα που πρέπει να λάβουν οι «αυτοτελώς» υπεύθυνες επιχειρήσεις μπορεί να συνίστανται στη λήψη πειθαρχικών μέτρων εις βάρος των υπαλλήλων που διέπραξαν παραβάσεις. Σε περιπτώσεις στις οποίες έχει αναγνωριστεί η ευθύνη για την παράβαση και έχει διασφαλιστεί ότι δεν θα υπάρξει περαιτέρω παραβίαση δεδομένων, η επιβολή πρόσθετων διορθωτικών μέτρων από την εποπτική αρχή μπορεί να θεωρηθεί περιττή.
52. Σε ορισμένες περιπτώσεις, μπορεί ακόμη και να αποδειχθεί αντιπαραγωγική η χρήση της εξουσίας λήψης διορθωτικών μέτρων κατά υπευθύνου επεξεργασίας, όταν αυτό δεν είναι ούτε σκόπιμο ούτε αναγκαίο. Εάν η εποπτική αρχή ήταν υποχρεωμένη να κάνει χρήση των εξουσιών λήψης διορθωτικών μέτρων που προβλέπονται στο άρθρο 58, παράγραφος 2, του ΓΚΠΔ σε κάθε περίπτωση παράβασης, θα μειώνονταν οι διαθέσιμοι πόροι για την παρακολούθηση άλλων υποθέσεων και καθηκόντων που χρήζουν μεγαλύτερης προσοχής από την άποψη της προστασίας των δεδομένων. Ως εκ τούτου, φρονώ ότι η χρήση «αυτοτελών» μέτρων που λαμβάνονται από τον ίδιο τον υπεύθυνο επεξεργασίας παρέχει στην εποπτική αρχή τη δυνατότητα να επικεντρωθεί σε σοβαρές περιπτώσεις που χρήζουν προτεραιότητας, διασφαλίζοντας παράλληλα τη συνεχή, αλλά με αποκεντρωμένο τρόπο, καταπολέμηση των παραβιάσεων δεδομένων προσωπικού χαρακτήρα, ήτοι μέσω μερικής ανάθεσης των καθηκόντων της.
53. Ακόμη και αν η εποπτική αρχή επιλέξει να μην εφαρμόσει τα διορθωτικά μέτρα του άρθρου 58, παράγραφος 2, του ΓΚΠΔ, προκρίνοντας συγχρόνως τη χρήση «αυτοτελών» μέτρων που λαμβάνονται από τον υπεύθυνο επεξεργασίας, φρονώ ότι είναι απαραίτητο να τηρηθούν ορισμένες νομικές απαιτήσεις. Πρώτον, η εποπτική αρχή θα πρέπει να παράσχει τη ρητή συγκατάθεσή της σε ένα τέτοιο μέτρο προκειμένου να αποφευχθεί τυχόν καταστρατήγηση του καθεστώτος εποπτείας που θεσπίζεται με τον ΓΚΠΔ. Δεύτερον, πριν από την εν λόγω συγκατάθεση, θα πρέπει να προηγηθεί ενδελεχής εξέταση της κατάστασης υπό το πρίσμα των προϋποθέσεων που αναφέρονται στην αιτιολογική σκέψη 129 του ΓΚΠΔ, προκειμένου να μην απαλλάσσεται η εποπτική αρχή από την ευθύνη της να μεριμνά για τη συμμόρφωση με τον εν λόγω κανονισμό. Τρίτον, η συμφωνία με την οντότητα που πρέπει να εκτελέσει το «αυτοτελές» μέτρο θα πρέπει να προβλέπει το δικαίωμα παρέμβασης της εποπτικής αρχής σε περίπτωση μη τήρησης των οδηγιών της. Σε περίπτωση που το Δικαστήριο ακολουθήσει την ερμηνεία αυτή και αποφανθεί ότι τα εν λόγω «αυτοτελή» μέτρα είναι, κατ’ αρχήν, σύμφωνα με τον ΓΚΠΔ, φρονώ ότι το Δικαστήριο θα πρέπει επίσης να εμμείνει στην ανάγκη τήρησης των προμνημονευθεισών απαιτήσεων για λόγους συνοχής του συστήματος εποπτείας.
54. Δεδομένου ότι το άρθρο 58, παράγραφος 2, του ΓΚΠΔ αναγνωρίζει διακριτική ευχέρεια στην εποπτική αρχή όσον αφορά την επιλογή του «κατάλληλου» διορθωτικού μέτρου σε κάθε συγκεκριμένη περίπτωση, είναι λογικό να αποκλείεται κάθε δικαίωμα του καταγγέλλοντος να απαιτήσει τη λήψη συγκεκριμένου μέτρου. Πράγματι, μολονότι ο καταγγέλλων έχει ορισμένα δικαιώματα έναντι της εποπτικής αρχής στο πλαίσιο της διαδικασίας αυτής, ιδίως το δικαίωμα να ενημερώνεται για την πρόοδο και την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος, γεγονός παραμένει ότι στα δικαιώματα αυτά δεν περιλαμβάνεται το δικαίωμα να απαιτήσει τη λήψη συγκεκριμένου μέτρου.
55. Το δικαίωμα αυτό δεν μπορεί να συναχθεί ούτε από το γεγονός ότι ο καταγγέλλων έχει δικαίωμα πραγματικής δικαστικής προσφυγής κατά εποπτικής αρχής, δυνάμει του άρθρου 78 του ΓΚΠΔ, διότι η κύρια υποχρέωση της εν λόγω αρχής έναντι του καταγγέλλοντος στο πλαίσιο της διαδικασίας καταγγελίας είναι να αιτιολογήσει κατά τρόπο αρκούντως ακριβή και λεπτομερή την απόφασή της να παρέμβει ή όχι σε συγκεκριμένη περίπτωση, λαμβανομένων υπόψη των διαπιστώσεων που προέκυψαν στο πλαίσιο της έρευνας της εποπτικής αρχής.
56. Επιπλέον, επισημαίνεται ότι, σύμφωνα με το άρθρο 78, παράγραφος 2, του ΓΚΠΔ, η δικαστική προσφυγή μπορεί να ασκηθεί για τον λόγο ότι η αρμόδια εποπτική αρχή δεν εξετάζει την καταγγελία ή δεν ενημερώνει το υποκείμενο των δεδομένων εντός τριών μηνών για την πρόοδο ή την έκβαση της καταγγελίας που υποβλήθηκε δυνάμει του άρθρου 77 του εν λόγω κανονισμού. Ωστόσο, επιβάλλεται η διαπίστωση ότι κανένας από τους μνημονευθέντες λόγους δεν υποδηλώνει ότι το υποκείμενο των δεδομένων έχει οιοδήποτε δικαίωμα να ζητήσει τη λήψη συγκεκριμένου μέτρου στο πλαίσιο δικαστικής προσφυγής.
57. Το ίδιο ισχύει και για τη διαλαμβανόμενη στην αιτιολογική σκέψη 141 του ΓΚΠΔ δυνατότητα αμφισβήτησης, μέσω δικαστικής προσφυγής, της εκτίμησης της εποπτικής αρχής όσον αφορά την «ανάγκη» ανάληψης δράσης για την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων. Ακόμη και αν η «ανάγκη» ανάληψης δράσης σε μια συγκεκριμένη περίπτωση διαπιστωθεί τελικώς από το αρμόδιο δικαστήριο, τούτο δεν σημαίνει κατ’ ανάγκην ότι η εποπτική αρχή πρέπει να λάβει συγκεκριμένο μέτρο. Αντιθέτως, η εποπτική αρχή θα είναι υποχρεωμένη να ασκήσει τη διακριτική της ευχέρεια, κατά περίπτωση, λαμβάνοντας υπόψη την κρίση του εν λόγω δικαστηρίου.
58. Τούτου λεχθέντος, διευκρινίζεται ότι είναι επίσης πιθανό η εποπτική αρχή, ως διοικητικό όργανο, να υποχρεωθεί να λάβει συγκεκριμένο μέτρο λόγω των ιδιαίτερων περιστάσεων της υπόθεσης, ιδίως όταν υφίσταται σοβαρός κίνδυνος προσβολής των θεμελιωδών δικαιωμάτων του υποκειμένου των δεδομένων. Ακριβώς αυτό το σενάριο επισήμανα στις προτάσεις μου στις υποθέσεις SCHUFA (23). Επομένως, η υπό κρίση αίτηση προδικαστικής αποφάσεως παρέχει την ευκαιρία να εξεταστεί το συγκεκριμένο ζήτημα.
59. Συναφώς, υπενθυμίζεται, κατ’ αρχάς, η απόφαση που εκδόθηκε στην υπόθεση C‑311/18 (Facebook Ireland και Schrems), στην οποία το Δικαστήριο άφησε να εννοηθεί ότι μια τέτοια περίπτωση μπορεί πράγματι να υφίσταται. Ειδικότερα, το Δικαστήριο έκρινε ότι η εποπτική αρχή υποχρεούται, κατά περίπτωση, να λάβει ορισμένα από τα μέτρα που απαριθμούνται στο άρθρο 58, παράγραφος 2, του ΓΚΠΔ, ιδίως όταν εκτιμά ότι η απαιτούμενη από το δίκαιο της Ένωσης προστασία δεν μπορεί να διασφαλιστεί με άλλα μέσα. Κατά συνέπεια, στο μέτρο αυτό, η διακριτική ευχέρεια της εποπτικής αρχής περιορίζεται σε ορισμένα ή ακόμη, κατά περίπτωση, σε ένα από τα μέτρα που διαλαμβάνονται στην εν λόγω διάταξη (24).
60. Όπως ορθώς επισημαίνει η Αυστριακή Κυβέρνηση, μπορεί να υπάρξει πληθώρα παρόμοιων περιπτώσεων που απαιτούν τη λήψη συγκεκριμένου διορθωτικού μέτρου, όπως παραδείγματος χάριν η περίπτωση κατά την οποία η εποπτική αρχή διαπιστώνει, στο πλαίσιο διαδικασίας καταγγελίας, ότι υφίσταται υποχρέωση διαγραφής και ότι ο υπεύθυνος επεξεργασίας δεν έχει ακόμη διαγράψει τα δεδομένα. Σε μια τέτοια περίπτωση, η εποπτική αρχή θα υποχρεούται, εν πάση περιπτώσει, σύμφωνα με το άρθρο 58, παράγραφος 2, στοιχείο ζʹ, του ΓΚΠΔ, να διατάξει τη διαγραφή.
61. Από τα παραδείγματα που μνημονεύθηκαν στα προηγούμενα σημεία προκύπτει ότι δεν μπορεί να αποκλειστεί ότι, ανάλογα με τις ειδικές περιστάσεις συγκεκριμένης περίπτωσης, η επαναφορά μιας κατάστασης σύμφωνης προς το δίκαιο της Ένωσης μπορεί να επιτευχθεί μόνο με τη λήψη συγκεκριμένου διορθωτικού μέτρου. Ειδικότερα, φρονώ ότι, σε περιπτώσεις στις οποίες διαφορετικά θα υπήρχε κίνδυνος σοβαρής προσβολής των δικαιωμάτων του υποκειμένου των δεδομένων, η διακριτική ευχέρεια της εποπτικής αρχής θα μπορούσε να περιοριστεί στη λήψη του μόνου κατάλληλου μέτρου για την προστασία των δικαιωμάτων του εν λόγω προσώπου.
62. Οιαδήποτε άλλη ερμηνεία δεν θα ήταν, κατά τη γνώμη μου, συμβατή με την υποχρέωση διασφάλισης του σεβασμού των θεμελιωδών δικαιωμάτων του Χάρτη, τα οποία δεσμεύουν τις αρχές των κρατών μελών όταν εφαρμόζουν το δίκαιο της Ένωσης, σύμφωνα με το άρθρο 51, παράγραφος 1, του Χάρτη. Η υποχρέωση αυτή βαρύνει επίσης τις εποπτικές αρχές, όπως προκύπτει από το άρθρο 58, παράγραφος 4, του ΓΚΠΔ (25). Υπό το πρίσμα αυτό, είναι εύλογο να υποστηριχθεί η άποψη ότι το δίκαιο της Ένωσης παρέχει στο υποκείμενο των δεδομένων δικαίωμα να απαιτήσει από την εποπτική αρχή να λάβει το επίμαχο μέτρο. Εντούτοις, θα ήθελα να υπογραμμίσω ότι, στην υπό κρίση υπόθεση, δεν διακρίνω καμία ένδειξη ότι πληρούνται οι προϋποθέσεις για έναν τέτοιο περιορισμό της διακριτικής ευχέρειας της εποπτικής αρχής.
63. Εν ολίγοις, πρέπει να γίνει δεκτό ότι εποπτική αρχή στην οποία υποβάλλεται καταγγελία δυνάμει του άρθρου 77 του ΓΚΠΔ υποχρεούται, όταν διαπιστώνει προσβολή των δικαιωμάτων του υποκειμένου των δεδομένων, να ενεργεί προσηκόντως προκειμένου να αντιμετωπίσει τις διαπιστωθείσες και συνεχιζόμενες ατέλειες και να διασφαλίσει την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων. Όταν παρεμβαίνει συναφώς, η εποπτική αρχή οφείλει να επιλέξει, μεταξύ των εξουσιών που αναφέρονται στο άρθρο 58, παράγραφος 2, του εν λόγω κανονισμού, το κατάλληλο, αναγκαίο και αναλογικό μέτρο. Η διακριτική αυτή ευχέρεια κατά την επιλογή των μέσων περιορίζεται αναλόγως όταν η απαιτούμενη προστασία μπορεί να διασφαλιστεί μόνο με τη λήψη συγκεκριμένων μέτρων.
4. Επί της απουσίας υποχρέωσης της εποπτικής αρχής να επιβάλλει διοικητικά πρόστιμα σε κάθε περίπτωση
64. Κατόπιν της ως άνω γενικής παρουσίασης σχετικά με την εξουσία της εποπτικής αρχής να λαμβάνει διορθωτικά μέτρα, πρέπει να εξεταστεί αν η εποπτική αρχή υποχρεούται να επιβάλλει διοικητικά πρόστιμα σε κάθε περίπτωση. Μολονότι κάποιες πτυχές του ερωτήματος αυτού μπορούν να διευκρινιστούν βάσει των ανωτέρω παρατηρήσεων, φρονώ ότι είναι αναγκαίες ορισμένες συμπληρωματικές διευκρινίσεις. Συγκεκριμένα, μολονότι ο νομοθέτης της Ένωσης συμπεριέλαβε τα διοικητικά πρόστιμα στα «διορθωτικά μέτρα» του άρθρου 58, παράγραφος 2, του ΓΚΠΔ, γεγονός παραμένει ότι τα εν λόγω πρόστιμα παρουσιάζουν ορισμένα ιδιαίτερα χαρακτηριστικά σε σχέση με τα λοιπά μέτρα. Για τον λόγο αυτόν, το παρόν τμήμα της ανάλυσης θα επικεντρωθεί στις ειδικές ρυθμίσεις του άρθρου 58, παράγραφος 2, στοιχείο θʹ, και του άρθρου 83 του εν λόγω κανονισμού.
65. Όπως υπενθύμισε προσφάτως το Δικαστήριο, το διοικητικό πρόστιμο εντάσσεται στο σύστημα κυρώσεων που θεσπίζεται με τον ΓΚΠΔ, το οποίο δημιουργεί κίνητρο ώστε οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία να συμμορφώνονται με τον κανονισμό. Με το αποτρεπτικό τους αποτέλεσμα, τα διοικητικά πρόστιμα συμβάλλουν στην ενίσχυση της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και συνιστούν, ως εκ τούτου, βασικό στοιχείο για τη διασφάλιση του σεβασμού των δικαιωμάτων τους σύμφωνα με τον σκοπό του εν λόγω κανονισμού, ο οποίος συνίσταται στη διασφάλιση υψηλού επιπέδου προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (26).
66. Το άρθρο 83 του ΓΚΠΔ προβλέπει ένα σύστημα δύο επιπέδων, στο οποίο αναφέρεται ρητώς ότι ορισμένες παραβάσεις είναι σοβαρότερες από άλλες. Το πρώτο επίπεδο περιλαμβάνει την παράβαση των άρθρων που διέπουν την ευθύνη των διαφόρων φορέων (υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία, φορέων πιστοποίησης κ.λπ.). Το δεύτερο επίπεδο περιλαμβάνει την προσβολή των ατομικών δικαιωμάτων που προστατεύονται από τον εν λόγω κανονισμό, όπως τα θεμελιώδη δικαιώματα, οι βασικές αρχές για την επεξεργασία, τα δικαιώματα ενημέρωσης των υποκειμένων των δεδομένων, οι κανόνες διαβίβασης κ.λπ. Και στα δύο επίπεδα πρέπει να πραγματοποιηθούν δύο αξιολογήσεις: πρώτον, προκειμένου να αποφασιστεί αν πρέπει να επιβληθεί πρόστιμο και, δεύτερον, προκειμένου να αποφασιστεί το ύψος του διοικητικού προστίμου. Και στις δύο αξιολογήσεις, οι εποπτικές αρχές πρέπει να εξετάζουν όλους τους επιμέρους παράγοντες που απαριθμούνται στο άρθρο 83, παράγραφος 2, του εν λόγω κανονισμού. Ωστόσο, τα συμπεράσματα του πρώτου σταδίου της αξιολόγησης μπορούν να χρησιμοποιηθούν στο δεύτερο στάδιο που αφορά το ποσό του προστίμου, ώστε να αποφευχθεί η ανάγκη αξιολόγησης βάσει των ίδιων κριτηρίων δύο φορές (27).
67. Μετά τις ως άνω προκαταρκτικές διευκρινίσεις, θα εξετάσω κατωτέρω το ζήτημα σχετικά με την ενδεχόμενη υποχρέωση επιβολής διοικητικών προστίμων σε κάθε περίπτωση. Συναφώς, σημειώνεται εκ προοιμίου ότι το άρθρο 58, παράγραφος 2, στοιχείο θʹ, του ΓΚΠΔ ορίζει ότι η εποπτική αρχή μπορεί να επιβάλλει διοικητικό πρόστιμο «ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης». Η ως άνω διάταξη πρέπει να ερμηνευθεί σε συνδυασμό με το άρθρο 83, παράγραφος 2, του εν λόγω κανονισμού, το οποίο όχι μόνον προβλέπει τον ίδιο περιορισμό όσον αφορά την εφαρμογή του συγκεκριμένου διορθωτικού μέτρου, αλλά υποδηλώνει ότι η εποπτική αρχή μπορεί ακόμη και να μην προβεί στην εφαρμογή του («κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου») (η υπογράμμιση δική μου) αν οι περιστάσεις δικαιολογούν μια τέτοια προσέγγιση. Η διατύπωση αυτή απαντά –με κατά το μάλλον ή ήττον παρόμοιους όρους– και σε άλλες γλωσσικές αποδόσεις (28). Εν ολίγοις, από το ίδιο το γράμμα του άρθρου 83, παράγραφος 2, του ΓΚΠΔ προκύπτει ότι η επιβολή διοικητικού προστίμου δεν είναι υποχρεωτική σε κάθε περίπτωση.
68. Επιπλέον, παρατηρείται ότι η εν λόγω διάταξη επιβάλλει στην εποπτική αρχή να λαμβάνει υπόψη, σε κάθε συγκεκριμένη περίπτωση, μια σειρά στοιχείων, προκειμένου να αποφασίσει αν πρέπει να επιβάλει διοικητικό πρόστιμο. Πρόκειται, κατ’ ουσίαν, για περιστάσεις –επιβαρυντικές και ελαφρυντικές– που επηρεάζουν την απόφαση της εποπτικής αρχής, όπως η φύση, η βαρύτητα και η διάρκεια της παράβασης, αλλά και περιστάσεις που συνδέονται με τη συμπεριφορά του υπευθύνου επεξεργασίας, όπως το γεγονός ότι η παράβαση διαπράχθηκε εκ προθέσεως ή εξ αμελείας (29).
69. Στο πλαίσιο αυτό, φρονώ ότι η δεύτερη και η τρίτη περίοδος της αιτιολογικής σκέψης 148 του ΓΚΠΔ είναι κρίσιμες για την ερμηνεία του άρθρου 83, παράγραφος 2, του εν λόγω κανονισμού, στο μέτρο που παρέχουν ενδείξεις σχετικά με τα χαρακτηριστικά που πρέπει να συνεκτιμώνται κατά τη λήψη της απόφασης. Η αιτιολογική αυτή σκέψη εισάγει την έννοια της «παράβασης ελάσσονος σημασίας», με σημαντικές συνέπειες για τη διοικητική πρακτική της εποπτικής αρχής (30). Αναφέρεται, μεταξύ άλλων, ότι, «[σ]ε περίπτωση παράβασης ελάσσονος σημασίας ή αν το πρόστιμο που ενδέχεται να επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση σε φυσικό πρόσωπο, θα μπορούσε να επιβληθεί επίπληξη αντί προστίμου» (η υπογράμμιση δική μου).
70. Κατά τη γνώμη μου, από το στοιχείο αυτό μπορεί να συναχθεί ότι ο νομοθέτης της Ένωσης είχε επίγνωση του γεγονότος ότι ένα διοικητικό πρόστιμο συνιστά ιδιαίτερα αυστηρό διορθωτικό μέτρο το οποίο δεν πρέπει να χρησιμοποιείται σε κάθε περίπτωση, διότι άλλως θα μειωνόταν η αποτελεσματικότητά του, αλλά μόνον όταν το απαιτούν οι περιστάσεις μιας συγκεκριμένης περίπτωσης. Πράγματι, η αιτιολογική σκέψη 148 του ΓΚΠΔ αναφέρεται στην αρχή της αναλογικότητας την οποία οφείλουν να τηρούν οι εποπτικές αρχές κατά την εφαρμογή του κανονισμού αυτού στο ειδικό πλαίσιο των κυρώσεων, συμπεριλαμβανομένων των διοικητικών προστίμων. Όπως επισήμανα ήδη στην ανάλυσή μου, η αρχή αυτή αποτυπώνεται στην αιτιολογική σκέψη 129 του εν λόγω κανονισμού, η οποία αφορά τη λήψη διορθωτικών μέτρων εν γένει (31). Επομένως, το σύστημα κυρώσεων που θέλησε να προβλέψει ο νομοθέτης είναι ευέλικτο και προσαρμοσμένο σε εκάστη περίπτωση (32).
71. Από την ερμηνεία του εν λόγω άρθρου 83, παράγραφος 2, σε συνδυασμό με την αιτιολογική σκέψη 148 του ΓΚΠΔ, προκύπτει ότι, ακόμη και ενόψει της διαπίστωσης παράβασης, η αξιολόγηση των κριτηρίων που θέτει η διάταξη αυτή μπορεί να οδηγήσει την εποπτική αρχή στο συμπέρασμα ότι, παραδείγματος χάριν, υπό τις συγκεκριμένες περιστάσεις μιας υπόθεσης, η παράβαση δεν συνεπάγεται σημαντικό κίνδυνο για τα δικαιώματα των υποκειμένων των δεδομένων και δεν επηρεάζει την ουσία της επίμαχης υποχρέωσης. Στις περιπτώσεις αυτές, το πρόστιμο αντικαθίσταται ενίοτε –αλλά όχι πάντοτε– με επίπληξη (33).
72. Ωστόσο, είναι σημαντικό να διευκρινιστεί ότι η ως άνω αιτιολογική σκέψη 148 δεν υποχρεώνει την εποπτική αρχή να αντικαταστήσει αυτεπαγγέλτως το πρόστιμο με επίπληξη σε περίπτωση παράβασης ελάσσονος σημασίας, αλλά της παρέχει τη δυνατότητα να το πράξει μετά από συγκεκριμένη αξιολόγηση όλων των περιστάσεων της υπόθεσης. Τέλος, από την εν λόγω αιτιολογική σκέψη 148 προκύπτει ότι η εποπτική αρχή μπορεί να μην επιβάλει πρόστιμο, ακόμη και αν η χρήση του συγκεκριμένου διορθωτικού μέτρου είναι εκ πρώτης όψεως αναγκαία βάσει της αξιολόγησης στην οποία προέβη, εάν το πρόστιμο αυτό συνιστά δυσανάλογη επιβάρυνση για ένα φυσικό πρόσωπο (34).
73. Επομένως, τα ιδιαίτερα χαρακτηριστικά κάθε περίπτωσης, τα οποία διαλαμβάνονται στο άρθρο 83, παράγραφος 2, του ΓΚΠΔ, καθορίζουν εν τέλει αν πρέπει να επιβληθεί πρόστιμο και, σε περίπτωση καταφατικής απάντησης, το ύψος του προστίμου αυτού. Οι ως άνω ενδείξεις ενισχύουν τη γνώμη μου ότι η εν λόγω απόφαση συνιστά, σε τελική ανάλυση, απόφαση που λαμβάνεται κατά διακριτική ευχέρεια της εποπτικής αρχής (35). Η τελευταία είναι υπεύθυνη να ασκεί, ευσυνείδητα και σύμφωνα με τις απαιτήσεις του ΓΚΠΔ, τη διακριτική ευχέρεια που της έχει παρασχεθεί. Τα όρια της εν λόγω διακριτικής ευχέρειας απορρέουν από τις γενικές αρχές του δικαίου της Ένωσης και του δικαίου των κρατών μελών, ιδίως από την αρχή της ίσης μεταχείρισης. Επομένως, είναι αναγκαίο να αναπτυχθεί μια διοικητική πρακτική επιβολής προστίμων η οποία να αντιμετωπίζει παρόμοιες περιπτώσεις κατά τρόπο συγκρίσιμο.
74. Θα ήθελα επίσης να επισημάνω ότι, στην περίπτωση της σωρευτικής επιβολής χρηματικών κυρώσεων ποινικού χαρακτήρα, υφίσταται ακόμη και κίνδυνος παραβίασης της αρχής ne bis in idem, όπως την ερμηνεύει το Δικαστήριο, καθώς προκύπτει από την αιτιολογική σκέψη 149 του ΓΚΠΔ. Ωστόσο, η αρχή αυτή συνιστά θεμελιώδες δικαίωμα, το οποίο προστατεύεται από το άρθρο 50 του Χάρτη, και μπορεί να περιοριστεί μόνον υπό αυστηρές προϋποθέσεις, οι οποίες προβλέπονται στο άρθρο 52 του Χάρτη. Με άλλα λόγια, μπορεί επίσης να υπάρχουν εμπόδια νομικής φύσεως για την επιβολή διοικητικών προστίμων.
5. Επί της απουσίας υποχρέωσης της εποπτικής αρχής να επιβάλλει διοικητικά πρόστιμα όταν ο καταγγέλλων το απαιτεί ρητώς
75. Η τελευταία πτυχή που πρέπει να εξεταστεί αφορά το ζήτημα αν η εποπτική αρχή υποχρεούται να επιβάλλει διοικητικά πρόστιμα όταν το απαιτεί ρητώς ο καταγγέλλων. Όπως επισήμανα κατά την εξέταση του παραδεκτού της αιτήσεως προδικαστικής αποφάσεως, από τη δικογραφία προκύπτει ότι ο TR είχε ζητήσει από τον HBDI να λάβει μέτρα κατά του Ταμιευτηρίου και να επιβάλει στο τελευταίο διοικητικά πρόστιμα. Προς στήριξη του αιτήματός του, ο TR είχε προβεί σε υπολογισμούς για τον προσδιορισμό του ύψους των προς επιβολή προστίμων (36). Το αίτημα αυτό στηρίζεται, προφανώς, στην άποψη ότι ο καταγγέλλων έχει δικαίωμα έναντι της εποπτικής αρχής να ζητήσει τη λήψη συγκεκριμένου μέτρου. Εντούτοις, όπως θα εξηγήσω στη συνέχεια, φρονώ ότι η άποψη αυτή στερείται νομικού ερείσματος.
76. Πρώτον, η ανάλυσή μου κατέδειξε ότι η εποπτική αρχή διαθέτει διακριτική ευχέρεια να επιλέγει το κατάλληλο μέτρο σε κάθε μεμονωμένη περίπτωση. Πλην ειδικών περιστάσεων δυνάμενων να οδηγήσουν σε περιορισμό της εν λόγω διακριτικής ευχέρειας, όπως η βαρύτητα ή ο διαρκής αντίκτυπος της παραβίασης των δεδομένων προσωπικού χαρακτήρα –που φρονώ ότι δεν συντρέχουν εν προκειμένω–, η εποπτική αρχή διατηρεί τη διακριτική αυτή ευχέρεια. Λαμβανομένου υπόψη του γεγονότος ότι τα διοικητικά πρόστιμα συγκαταλέγονται στα διορθωτικά μέτρα που μπορεί να λάβει η εποπτική αρχή δυνάμει του άρθρου 58, παράγραφος 2, του ΓΚΠΔ, είναι λογικό να συναχθεί ότι η εν λόγω διακριτική ευχέρεια εκτείνεται και στα μέτρα αυτά. Επομένως, δεν υφίσταται καμία υποχρέωση της εποπτική αρχής να ενεργεί προς το συμφέρον του καταγγέλλοντος με τη λήψη συγκεκριμένου διορθωτικού μέτρου.
77. Δεύτερον, ακόμη και στην περίπτωση που οι περιστάσεις της υπό κρίση υπόθεσης είναι τόσο διαφορετικές ώστε να δικαιολογείται η λήψη συγκεκριμένου διορθωτικού μέτρου, φρονώ ότι δεν μπορεί να υποστηριχθεί βασίμως ότι η επιβολή διοικητικού προστίμου είναι αναγκαία. Όπως και η Αυστριακή Κυβέρνηση, είμαι της γνώμης ότι πρέπει να ληφθούν υπόψη οι σκοποί που επιδιώκονται με τα διάφορα διορθωτικά μέτρα που απαριθμούνται στο άρθρο 58, παράγραφος 2, του ΓΚΠΔ και, ειδικότερα, με το διοικητικό πρόστιμο. Πιο συγκεκριμένα, φρονώ ότι η νομική φύση του αποκλείει την αναγνώριση δικαιώματος του υποκειμένου των δεδομένων υπό την προμνημονευθείσα έννοια, διότι ένας από τους σκοπούς του μέτρου αυτού είναι η επιβολή κυρώσεων για συμπεριφορά που θεωρείται αντίθετη προς το δίκαιο της Ένωσης. Εκτιμώ ότι, λόγω της τιμωρητικής λειτουργίας του, τουλάχιστον σε ορισμένες περιπτώσεις (37), και λαμβανομένου υπόψη του υψηλού βαθμού αυστηρότητας που μπορεί να έχει, το διοικητικό πρόστιμο ενδέχεται να έχει ποινικό χαρακτήρα (38). Πρέπει δε να υπομνησθεί ότι η εξουσία επιβολής κυρώσεων («ius puniendi») ανήκει αποκλειστικά στο κράτος και στα όργανά του.
78. Στο πλαίσιο αυτό, επισημαίνεται ότι το άρθρο 83, παράγραφος 1, του ΓΚΠΔ επιτάσσει, μεταξύ άλλων, τα πρόστιμα να είναι για κάθε μεμονωμένη περίπτωση «αποτελεσματικ[ά], αναλογικ[ά] και αποτρεπτικ[ά]». Η εκτίμηση του ζητήματος αν το πρόστιμο που πρόκειται να επιβληθεί πληροί τις ως άνω προϋποθέσεις σε μια συγκεκριμένη περίπτωση απόκειται στην εποπτική αρχή, η οποία ενεργεί με δική της ευθύνη. Η εν λόγω αρχή οφείλει να αποφασίσει αν η χρήση του διοικητικού προστίμου είναι επιβεβλημένη σε μια συγκεκριμένη περίπτωση. Προς τούτο, ο νομοθέτης της Ένωσης τής παρέχει ένα λεπτομερές νομικό πλαίσιο. Συγκεκριμένα, το άρθρο 83 του ΓΚΠΔ καθορίζει τις γενικές προϋποθέσεις για την επιβολή τέτοιων προστίμων, οι οποίες συμπληρώνονται από τις κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του ΓΚΠΔ, τις οποίες εκπονεί το ΕΣΠΔ, σύμφωνα με το άρθρο 70, παράγραφος 1, στοιχείο ιβʹ, του εν λόγω κανονισμού. Συναφώς, σημειώνεται ότι από κανέναν από τους ως άνω κανόνες και κατευθυντήριες γραμμές δεν μπορεί να συναχθεί ότι ο καταγγέλλων του οποίου τα δικαιώματα προσβλήθηκαν απολαύει ειδικού νομικού καθεστώτος που του παρέχει τη δυνατότητα να ζητήσει από την εποπτική αρχή να επιβάλει διοικητικό πρόστιμο στον παραβάτη.
79. Βεβαίως, ορισμένα κριτήρια που προβλέπονται στο άρθρο 83, παράγραφος 2, του ΓΚΠΔ –όπως ο βαθμός της προκληθείσας ζημίας– υποδηλώνουν ότι η εποπτική αρχή, κατά τη λήψη απόφασης, πρέπει επίσης να συνεκτιμά την κατάσταση του υποκειμένου των δεδομένων. Ωστόσο, τα κριτήρια αυτά δεν αποτελούν, από μόνα τους, επαρκή ένδειξη για την ύπαρξη δικαιώματος να ζητείται επιβολή προστίμου. Όπως προκύπτει από την ερμηνεία της ως άνω διάταξης, υπό το πρίσμα της αιτιολογικής σκέψης 75 του κανονισμού αυτού, σκοπός των εν λόγω κριτηρίων είναι να παράσχουν στην εποπτική αρχή χρήσιμα στοιχεία, τα οποία θα της δώσουν τη δυνατότητα να αξιολογήσει τη φύση, τη βαρύτητα και τη διάρκεια της παράβασης και να επιλέξει το κατάλληλο διορθωτικό μέτρο (39). Κατά συνέπεια, η εποπτική αρχή μπορεί, με βάση κάθε συγκεκριμένη περίπτωση, να λαμβάνει διάφορα διορθωτικά μέτρα –και όχι μόνο διοικητικό πρόστιμο–, χωρίς ωστόσο το υποκείμενο των δεδομένων να μπορεί να απαιτήσει τη λήψη συγκεκριμένου μέτρου. Απόκειται αποκλειστικώς στην εποπτική αρχή να αποφασίσει αν πρέπει να λάβει ένα μέτρο με σκοπό την αποκατάσταση της συμμόρφωσης με τον κανόνα ή την επιβολή κυρώσεων για παράνομη συμπεριφορά.
80. Τρίτον, δεν είναι εφικτή η εξαγωγή αντίθετου συμπεράσματος από το γεγονός ότι ο νομοθέτης της Ένωσης έχει ορίσει τον ρόλο της εποπτικής αρχής στο σύστημα προστίμων που δημιουργήθηκε με τον ΓΚΠΔ αντλώντας έμπνευση από τις εξουσίες που διαθέτει η Επιτροπή σε θέματα δικαίου του ανταγωνισμού (40). Συναφώς, υπενθυμίζεται ότι η εξουσία του ως άνω θεσμικού οργάνου να επιβάλλει πρόστιμα στις επιχειρήσεις που παραβαίνουν τις διατάξεις των άρθρων 101 και 102 ΣΛΕΕ συνιστά ένα από τα μέσα που παρέχονται στην Επιτροπή για να μπορεί να εκπληρώσει το καθήκον επιτήρησης που της αναθέτει το δίκαιο της Ένωσης (41). Ωστόσο, επισημαίνεται ότι η Επιτροπή διαθέτει διακριτική ευχέρεια η άσκηση της οποίας περιορίζεται μόνον από την τήρηση των γενικών αρχών του δικαίου της Ένωσης, συμπεριλαμβανομένων των αρχών της αναλογικότητας και της ίσης μεταχείρισης (42). Επιπλέον, παρατηρείται ότι ο κανονισμός (ΕΚ) 1/2003, για την εφαρμογή των κανόνων ανταγωνισμού (43), δεν προβλέπει κανένα δικαίωμα να ζητείται επιβολή προστίμων δυνάμει του άρθρου 23 αυτού για τους καταγγέλλοντες ή τρίτους των οποίων τα συμφέροντα ενδέχεται να θιγούν από απόφαση στο πλαίσιο διοικητικής διαδικασίας που έχει κινήσει η Επιτροπή (44), η οποία, σύμφωνα με το άρθρο 27 του εν λόγω κανονισμού, απλώς απαιτείται να δέχεται πιθανά αιτήματα για ακρόαση που υποβάλλονται από τα ως άνω πρόσωπα πριν από την επιβολή κύρωσης.
81. Βάσει των προεκτεθέντων στοιχείων, φρονώ ότι, στο παρόν στάδιο εξέλιξης του δικαίου της Ένωσης, δεν είναι δυνατόν να συναχθεί το συμπέρασμα ότι ο καταγγέλλων του οποίου προσβλήθηκαν τα δικαιώματα έχει δικαίωμα να ζητήσει την επιβολή διοικητικού προστίμου. Τούτο ισχύει με την επιφύλαξη της δυνατότητας να προταθεί η χρήση ενός τέτοιου διορθωτικού μέτρου, με την παροχή επιχειρημάτων και αποδεικτικών στοιχείων για την τεκμηρίωση της άποψής του. Ωστόσο, η τελική απόφαση εμπίπτει στη διακριτική ευχέρεια της εποπτικής αρχής.
Δ. Σύνθεση της εξέτασης του προδικαστικού ερωτήματος
82. Από την ανωτέρω ανάλυση προκύπτει ότι η εποπτική αρχή υποχρεούται να παρεμβαίνει όταν διαπιστώνει παραβίαση δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της εξέτασης καταγγελίας. Ειδικότερα, η ως άνω αρχή οφείλει να προσδιορίζει το πλέον κατάλληλο ή τα πλέον κατάλληλα διορθωτικά μέτρα για την αντιμετώπιση της παραβίασης και τη διασφάλιση του σεβασμού των δικαιωμάτων του υποκειμένου των δεδομένων. Συναφώς, ο ΓΚΠΔ απαιτεί, καταλείποντας συγχρόνως ορισμένη διακριτική ευχέρεια στην εποπτική αρχή, τα μέτρα αυτά να είναι κατάλληλα, αναγκαία και αναλογικά. Υπό ορισμένες προϋποθέσεις, η εποπτική αρχή μπορεί να παραιτηθεί από τα μέτρα που προβλέπονται στο άρθρο 58, παράγραφος 2, του εν λόγω κανονισμού υπέρ «αυτοτελών» μέτρων που λαμβάνονται από τον ίδιο τον υπεύθυνο επεξεργασίας. Σε κάθε περίπτωση, το υποκείμενο των δεδομένων δεν έχει το δικαίωμα να απαιτήσει τη λήψη συγκεκριμένου μέτρου. Οι αρχές αυτές εφαρμόζονται επίσης στο σύστημα των διοικητικών προστίμων.
VI. Πρόταση
83. Λαμβανομένων υπόψη των προεκτεθέντων, προτείνω στο Δικαστήριο να απαντήσει στο προδικαστικό ερώτημα που υπέβαλε το Verwaltungsgericht Wiesbaden (διοικητικό πρωτοδικείο Wiesbaden, Γερμανία) ως εξής:
Το άρθρο 57, παράγραφος 1, στοιχεία αʹ και στʹ, και το άρθρο 58, παράγραφος 2, στοιχεία αʹ έως ιʹ, σε συνδυασμό με το άρθρο 77, παράγραφος 1, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων),
έχουν την έννοια ότι:
όταν η εποπτική αρχή διαπιστώνει επεξεργασία δεδομένων που προσβάλλει τα δικαιώματα του υποκειμένου των δεδομένων, οφείλει να παρεμβαίνει δυνάμει του άρθρου 58, παράγραφος 2, του κανονισμού 2016/679 στον βαθμό που αυτό είναι αναγκαίο για τη διασφάλιση της πλήρους συμμόρφωσης με τον κανονισμό αυτόν. Συναφώς, η εποπτική αρχή οφείλει να επιλέγει, λαμβάνοντας υπόψη τις συγκεκριμένες περιστάσεις κάθε περίπτωσης, το κατάλληλο, αναγκαίο και αναλογικό μέσο, ιδίως για την αντιμετώπιση της παραβίασης και τη διασφάλιση του σεβασμού των δικαιωμάτων του υποκειμένου των δεδομένων.
1 Γλώσσα του πρωτοτύπου: η γαλλική.
2 ΕΕ 2016, L 119, σ. 1.
3 Προτάσεις στις συνεκδικασθείσες υποθέσεις SCHUFA Holding (Πτωχευτική απαλλαγή) (C‑26/22 και C‑64/22, EU:C:2023:222).
4 Βλ. απόφαση της 10ης Δεκεμβρίου 2020, J & S Service (C‑620/19, EU:C:2020:1011, σκέψη 31 και εκεί μνημονευόμενη νομολογία).
5 Βλ. απόφαση της 14ης Ιουλίου 2022, Sense Visuele Communicatie en Handel vof (C‑36/21, EU:C:2022:556, σκέψη 22 και εκεί μνημονευόμενη νομολογία).
6 Απόφαση της 7ης Δεκεμβρίου 2023, SCHUFA Holding (Πτωχευτική απαλλαγή) (C‑26/22 και C‑64/22, στο εξής: απόφαση SCHUFA, EU:C:2023:958).
7 Βλ. σημεία 35 έως 39 των παρουσών προτάσεων.
8 Βλ. σημεία 40 επ. των παρουσών προτάσεων.
9 Απόφαση SCHUFA (σκέψη 55).
10 Απόφαση SCHUFA (σκέψη 56).
11 Απόφαση SCHUFA (σκέψεις 56 και 57).
12 Απόφαση SCHUFA (σκέψη 58).
13 Απόφαση SCHUFA (σκέψη 70).
14 Βλ. «Κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του [ΓΚΠΔ]» της ομάδας εργασίας του άρθρου 29 για την προστασία των δεδομένων, που εκδόθηκαν στις 3 Οκτωβρίου 2017, σ. 5 (στο εξής: κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του ΓΚΠΔ). Στη συνέχεια, η εν λόγω ομάδα εργασίας αντικαταστάθηκε από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ). Ωστόσο, οι κατευθυντήριες γραμμές της εξακολουθούν να ισχύουν.
15 Πρβλ. Chamberlain, J., Reichel, J., «The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation», Mississippi Law Journal, 2020, τόμος 89(4), σ. 686, οι οποίοι στηρίζονται στις προμνημονευθείσες κατευθυντήριες γραμμές.
16 Hijmans, H., «Article 57. Tasks»,Kuner, C., Bygrave, L. A. Docksey, C. (επιμ.), The EU General Data Protection Regulation (GDPR), Οξφόρδη, 2020, σ. 934.
17 Πρβλ. Härting, N., Flisek, C., Thiess, L., «DSGVO: Der Verwaltungsakt wird zum Normalfall – Das neue Beschwerderecht des Bürgers», Computer und Recht, 5/2018, σ. 299.
18 Βλ. προτάσεις μου στις υποθέσεις SCHUFA (σημεία 41 επ.).
19 Βλ. αποδόσεις στην ισπανική («dispondrá de […] los […] poderes correctivos»), δανική («har […] korrigerende beføjelser»), γερμανική («verfügt über […] Abhilfebefugnisse, die es ihr gestatten»), εσθονική («on […] parandusvolitused»), αγγλική («shall have […] corrective powers»), ιταλική («ha [….] i poteri correttivi»), ολλανδική («heeft […] bevoegdheden tot het nemen van corrigerende maatregelen»), πολωνική («przysługują […] uprawnienia naprawcze»), πορτογαλική («dispõe dos […] poderes de correção») και σουηδική γλώσσα («ska ha […] korrigerande befogenheter»).
20 Πρβλ. Härting, N., Flisek, C., Thiess, L., «DSGVO: Der Verwaltungsakt wird zum Normalfall – Das neue Beschwerderecht des Bürgers», Computer und Recht, 5/2018, σ. 299.
21 Βλ. απόφαση SCHUFA (σκέψη 57) και απόφαση της 16ης Ιουλίου 2020, Facebook Ireland και Schrems (C‑311/18, EU:C:2020:559, σκέψη 111). Η υπογράμμιση δική μου.
22 Απόφαση της 16ης Ιουλίου 2020, Facebook Ireland και Schrems (C‑311/18, EU:C:2020:559, σκέψη 112). Η υπογράμμιση δική μου.
23 Βλ. σημείο 42 των εν λόγω προτάσεων.
24 Απόφαση της 16ης Ιουλίου 2020, Facebook Ireland και Schrems (C‑311/18, EU:C:2020:559, σκέψη 113). Το Δικαστήριο έκρινε ότι η εποπτική αρχή υποχρεούται, δυνάμει του άρθρου 58, παράγραφος 2, στοιχεία στʹ και ιʹ, του ΓΚΠΔ, να αναστείλει ή να απαγορεύσει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα, σε περίπτωση που εκτιμά, υπό το πρίσμα του συνόλου των περιστάσεων της διαβίβασης αυτής, ότι οι τυποποιημένες ρήτρες προστασίας δεδομένων δεν τηρούνται ή δεν μπορούν να τηρηθούν στην αντίστοιχη τρίτη χώρα και ότι η απαιτούμενη από το δίκαιο της Ένωσης προστασία των διαβιβαζόμενων δεδομένων δεν είναι δυνατόν να διασφαλιστεί με άλλα μέσα, εφόσον η διαβίβαση δεν έχει ήδη ανασταλεί ή τερματιστεί είτε από τον υπεύθυνο της επεξεργασίας είτε από τον εκτελούντα την επεξεργασία, οι οποίοι είναι αμφότεροι εγκατεστημένοι εντός της Ένωσης.
25 Πρβλ. Georgieva, L., Schmidl, M., «Article 58. Powers», Kuner, C., Bygrave, L. A., Docksey, C. (επιμ.), The EU General Data Protection Regulation (GDPR), Οξφόρδη, 2020, σ. 945.
26 Βλ. απόφαση της 5ης Δεκεμβρίου 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, σκέψη 78).
27 Βλ. κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του ΓΚΠΔ (σ. 9).
28 Βλ. τις αποδόσεις στην ισπανική («Al decidir la imposición»), δανική («Når der træffes afgørelse om, hvorvidt der skal pålægges»), γερμανική («Bei der Entscheidung über die Verhängung»), εσθονική («Otsustades igal konkreetsel juhul»), αγγλική («When deciding whether to impose»), ιταλική («Al momento di decidere se infliggere»), ολλανδική («Bij het besluit over de vraag of […] wordt opgelegd»), πολωνική («Decydując, czy nałożyć»), πορτογαλική («Ao decidir sobre a aplicação») και σουηδική γλώσσα («Vid beslut om huruvida […] ska påföras»).
29 Πρβλ. απόφαση της 5ης Δεκεμβρίου 2023, Deutsche Wohnen (C‑807/21, EU:C:2023:950, σκέψεις 61 επ.).
30 Απόφαση της 5ης Δεκεμβρίου 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, σκέψη 76).
31 Βλ. σημείο 45 των παρουσών προτάσεων.
32 Βλ. προτάσεις του γενικού εισαγγελέα Ν. Αιμιλίου στην υπόθεση Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:376, σημείο 78), στις οποίες εξηγεί ότι, κατά την έκδοση του ΓΚΠΔ, ο νομοθέτης της Ένωσης δεν είχε την πρόθεση να επιβάλλεται διοικητικό πρόστιμο σε κάθε παράβαση των κανόνων περί προστασίας των δεδομένων.
33 Βλ. κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του ΓΚΠΔ (σ. 9).
34 Βλ. κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του ΓΚΠΔ (σ. 9).
35 Holländer, C., Beck’scher Online-Kommentar Datenschutzrecht (Wolff/Brink/Ungern-Sternberg), 46η έκδ., Μόναχο, 2017, άρθρο 83 ΓΚΠΔ, σημείο 22· Frenzel, E. Datenschutz-Grundverordnung Kommentar (Paal/Pauly/Frenzel), 3η έκδ., Μόναχο, 2021, άρθρο 83 ΓΚΠΔ, σημεία 8 έως 12, όπου εξηγείται ότι η εποπτική αρχή διαθέτει διακριτική ευχέρεια και, κατά συνέπεια, δεν είναι υποχρεωμένη να επιβάλλει διοικητικό πρόστιμο σε κάθε περίπτωση.
36 Βλ. σημείο 30 των παρουσών προτάσεων.
37 Οι κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του ΓΚΠΔ (σ. 6) αναφέρουν ότι τα διοικητικά πρόστιμα είναι «διορθωτικά μέτρα» σκοπός των οποίων μπορεί να είναι «είτε [η] αποκατάσταση της συμμόρφωσης με τους κανόνες είτε [η] τιμωρία παράνομης συμπεριφοράς (ή αμφότερα)». Η υπογράμμιση δική μου.
38 Υπενθυμίζω ότι τρία κριτήρια είναι κρίσιμα για την εκτίμηση του ποινικού χαρακτήρα των κυρώσεων: το πρώτο κριτήριο είναι ο νομικός χαρακτηρισμός της παράβασης κατά το εθνικό δίκαιο, το δεύτερο αφορά την ίδια τη φύση της παράβασης και το τρίτο σχετίζεται με τον βαθμό αυστηρότητας της κύρωσης η οποία ενδέχεται να επιβληθεί στο συγκεκριμένο πρόσωπο [βλ. αποφάσεις της 5ης Ιουνίου 2012, Bonda (C‑489/10, EU:C:2012:319, σκέψη 37), και της 2ας Φεβρουαρίου 2021, Consob (C‑481/19, EU:C:2021:84, σκέψη 42)· βλ., επίσης, απόφαση του ΕΔΔΑ της 8ης Ιουνίου 1976, Engel κ.λπ. κατά Κάτω Χωρών (CE:ECHR:1976:0608JUD000510071, § 82)]. Δεν απαιτείται να πληρούνται όλα τα κριτήρια προκειμένου ένα πρόστιμο να μπορεί να θεωρηθεί ποινικού χαρακτήρα [πρβλ. προτάσεις του γενικού εισαγγελέα Y. Bot στην υπόθεση ThyssenKrupp Nirosta κατά Επιτροπής (C‑352/09 P, EU:C:2010:635, σημείο 50 και εκεί μνημονευόμενη νομολογία)].
39 Βλ. κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του ΓΚΠΔ (σ. 12), από τις οποίες προκύπτει, αφενός, ότι ο βαθμός της ζημίας πρέπει να λαμβάνεται υπόψη «κατά την επιλογή διορθωτικού μέτρου», πράγμα που δεν αποκλείει τη λήψη διορθωτικών μέτρων πέραν του διοικητικού προστίμου. Αφετέρου, εκεί αναφέρεται ότι «η επιβολή προστίμου δεν εξαρτάται από την ικανότητα της εποπτικής αρχής να διαπιστώνει την ύπαρξη αιτιώδους συνάφειας μεταξύ της παράβασης και της υλικής ζημίας». Επομένως, η απόφαση περί επιβολής διοικητικού προστίμου εξαρτάται από κάθε μεμονωμένη περίπτωση και όχι μόνον από την ύπαρξη ζημίας.
40 Πρβλ. προτάσεις του γενικού εισαγγελέα Ν. Αιμιλίου στην υπόθεση Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:376, σημείο 84), ο οποίος εφιστά την προσοχή στις ομοιότητες μεταξύ των δύο συστημάτων. Βλ., επίσης, απόφαση της 5ης Δεκεμβρίου 2023, Deutsche Wohnen (C‑807/21, EU:C:2023:950, σκέψεις 55 επ.).
41 Πρβλ. απόφαση της 11ης Ιουνίου 2009, X (C‑429/07, EU:C:2009:359, σκέψη 35 και εκεί μνημονευόμενη νομολογία).
42 Προτάσεις της γενικής εισαγγελέα J. Kokott στις συνεκδικασθείσες υποθέσεις Alliance One International και Standard Commercial Tobacco κατά Επιτροπής και Επιτροπή κατά Alliance One International κ.λπ. (C‑628/10 P και C‑14/11 P, EU:C:2012:11, σημείο 48 και εκεί μνημονευόμενη νομολογία).
43 Κανονισμός του Συμβουλίου, της 16ης Δεκεμβρίου 2002, για την εφαρμογή των κανόνων ανταγωνισμού που προβλέπονται στα άρθρα 81 και 82 της Συνθήκης (ΕΕ 2003, L 1, σ. 1).
44 Πρβλ. Wils, W., «Procedural rights and obligations of third parties in antitrust investigation and proceedings by the European Commission», Concurrence, αριθ. 2-2022, σ. 50.