ROZSUDEK SOUDNÍHO DVORA (pátého senátu)
4. května 2023 ( *1 )
„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 5 – Zásady zpracování – Odpovědnost za zpracování – Článek 6 – Zákonnost zpracování – Elektronický spis týkající se žádosti o azyl vyhotovený správním orgánem – Předání příslušnému vnitrostátnímu soudu prostřednictvím elektronické poštovní schránky – Porušení článků 26 a 30 – Neexistence ujednání o vymezení společné odpovědnosti za zpracování a záznamů o činnostech zpracování – Důsledky – Článek 17 odst. 1 – Právo na výmaz (‚právo být zapomenut‘) – Článek 18 odst. 1 – Právo na omezení zpracování – Pojem ‚protiprávní zpracování‘ – Zohlednění elektronického spisu vnitrostátním soudem – Neexistence souhlasu subjektu údajů“
Ve věci C‑60/22,
jejímž předmětem je žádost o rozhodnutí o předběžné otázce na základě článku 267 SFEU podaná rozhodnutím Verwaltungsgericht Wiesbaden (správní soud ve Wiesbadenu, Německo) ze dne 27. ledna 2022, došlým Soudnímu dvoru dne 1. února 2022, v řízení
UZ
proti
Bundesrepublik Deutschland,
SOUDNÍ DVŮR (pátý senát),
ve složení: E. Regan (zpravodaj), předseda senátu, D. Gratsias, M. Ilešič, I. Jarukaitis a Z. Csehi, soudci,
generální advokátka: T. Ćapeta,
za soudní kancelář: A. Calot Escobar, vedoucí
s přihlédnutím k písemné části řízení,
s ohledem na vyjádření, která předložili:
– |
za UZ: J. Leuschner, Rechtsanwalt, |
– |
za německou vládu: J. Möller a P.-L. Krüger, jako zmocněnci, |
– |
za českou vládu: O. Serdula, M. Smolek a J. Vláčil, jako zmocněnci, |
– |
za francouzskou vládu: A.-L. Desjonquères a J. Illouz, jako zmocněnci, |
– |
za rakouskou vládu: A. Posch, M.-T. Rappersberger a J. Schmoll, jako zmocněnci, |
– |
za polskou vládu: B. Majczyna, jako zmocněnec, |
– |
za Evropskou komisi: A. Bouchagiar, F. Erlbacher a H. Kranenborg, jako zmocněnci, |
s přihlédnutím k rozhodnutí, přijatému po vyslechnutí generální advokátky, rozhodnout věc bez stanoviska,
vydává tento
Rozsudek
1 |
Žádost o rozhodnutí o předběžné otázce se týká výkladu článku 5, čl. 17 odst. 1 písm. d), čl. 18 odst. 1 písm. b) a článků 26 a 30 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně údajů) (Úř. věst. 2016, L 119, s. 1, a opravy v Úř. věst. 2018, L 127, s. 2, a v Úř. věst. 2021, L 74, s. 35, dále jen „GDPR“). |
2 |
Tato žádost byla předložena v rámci sporu mezi UZ, státním příslušníkem třetí země, a Bundesrepublik Deutschland (Spolková republika Německo), zastoupenou Bundesamt für Migration und Flüchtlinge (Spolkový úřad pro migraci a uprchlíky, Německo) (dále jen „Spolkový úřad“), ve věci vyřízení žádosti o mezinárodní ochranu podané tímto státním příslušníkem. |
Právní rámec
Unijní právo
Směrnice 2013/32/EU
3 |
Bod 52 odůvodnění směrnice Evropského parlamentu a Rady 2013/32/EU ze dne 26. června 2013 o společných řízeních pro přiznávání a odnímání statusu mezinárodní ochrany (přepracované znění) (Úř. věst. 2013, L 180, s. 60) zní takto: „Zpracovávání osobních údajů prováděné členskými státy podle této směrnice se řídí směrnicí Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů [(Úř. věst. 1995, L 281, s. 31)].“ |
GDPR
4 |
Body 1, 10, 40, 74, 79 a 82 odůvodnění GDPR znějí takto:
[…]
[…]
[…]
[…]
[…]
|
5 |
Kapitola I GDPR, nadepsaná „Obecná ustanovení“, obsahuje články 1 až 4. |
6 |
Článek 1 tohoto nařízení, nadepsaný „Předmět a cíle“, stanoví: „1. Toto nařízení stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu osobních údajů. 2. Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů. […]“ |
7 |
Článek 4 uvedeného nařízení, nadepsaný „Definice“, v bodech 2, 7 a 21 stanoví:
[…]
[…]
[…]“ |
8 |
Kapitola II GDPR, nadepsaná „Zásady“, obsahuje články 5 až 11. |
9 |
Článek 5 GDPR, nadepsaný „Zásady zpracování osobních údajů“, stanoví: „1. Osobní údaje musí být:
2. Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“ |
10 |
Článek 6 tohoto nařízení, nadepsaný „Zákonnost zpracování“, v odstavci 1 stanoví: „Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.“ |
11 |
Článek 7 GDPR upravuje podmínky vyjádření souhlasu a článek 8 tohoto nařízení stanoví podmínky použitelné na souhlas dítěte v souvislosti se službami informační společnosti. |
12 |
Článek 9 tohoto nařízení, nadepsaný „Zpracování zvláštních kategorií osobních údajů“, zakazuje zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. |
13 |
Článek 10 uvedeného nařízení, nadepsaný „Zpracování osobních údajů týkajících se odsouzení v trestních věcech a trestných činů“, upravuje zpracování osobních údajů týkajících se odsouzení v trestních věcech a trestných činů či souvisejících bezpečnostních opatření na základě čl. 6 odst. 1 téhož nařízení. |
14 |
Kapitola III GDPR, nadepsaná „Práva subjektu údajů“, obsahuje články 12 až 23. |
15 |
Článek 17 tohoto nařízení, nadepsaný „Právo na výmaz (‚právo být zapomenut‘)“, zní takto: „1. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:
[…]
[…] 3. Odstavce 1 a 2 se neuplatní, pokud je zpracování nezbytné: […]
[…]
|
16 |
Článek 18 uvedeného nařízení, nadepsaný „Právo na omezení zpracování“, stanoví: „1. Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů: […]
[…] 2. Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu. […]“ |
17 |
Kapitola IV GDPR, nadepsaná „Správce a zpracovatel“, obsahuje články 24 až 43. |
18 |
Článek 26 tohoto nařízení, nadepsaný „Společní správci“, obsažený v oddíle 1 této kapitoly, nadepsaném „Obecné povinnosti“, zní takto: „1. Pokud účely a prostředky zpracování stanoví společně dva nebo více správců, jsou společnými správci. Společní správci mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za plnění povinností podle tohoto nařízení, zejména pokud jde o výkon práv subjektu údajů, a své povinnosti poskytovat informace uvedené v článcích 13 a 14, pokud tuto odpovědnost správců nestanoví právo Unie nebo členského státu, které se na správce vztahuje. V ujednání může být určeno kontaktní místo pro subjekty údajů. 2. Ujednání uvedené v odstavci 1 náležitě zohlední úlohy společných správců a jejich vztahy vůči subjektům údajů. Subjekt údajů musí být o podstatných prvcích ujednání informován. 3. Bez ohledu na podmínky ujednání uvedeného v odstavci 1 může subjekt údajů vykonávat svá práva podle tohoto nařízení u každého ze správců i vůči každému z nich.“ |
19 |
Článek 30 uvedeného nařízení, nadepsaný „Záznamy o činnostech zpracování“, stanoví: „1. Každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá. Tyto záznamy obsahují všechny tyto informace:
[…] 4. Správce, zpracovatel nebo případný zástupce správce nebo zpracovatele poskytne záznamy na požádání dozorového úřadu. […]“ |
20 |
Článek 58, nadepsaný „Pravomoci“, obsažený v kapitole VI GDPR, nadepsané „Nezávislé dozorové úřady“, v odstavci 2 stanoví: „Každý dozorový úřad má všechny tyto nápravné pravomoci:
|
21 |
Kapitola VIII tohoto nařízení, nadepsaná „Právní ochrana, odpovědnost a sankce“, obsahuje články 77 až 84. |
22 |
Článek 77 uvedeného nařízení, nadepsaný „Právo podat stížnost u dozorového úřadu“, v odstavci 1 stanoví: „Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.“ |
23 |
Článek 82 GDPR, nadepsaný „Právo na náhradu újmy a odpovědnost“, v odstavcích 1 a 2 stanoví: „1. Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy. 2. Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. Zpracovatel je za újmu způsobenou zpracováním odpovědný pouze v případě, že nesplnil povinnosti stanovené tímto nařízením konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi.“ |
24 |
Článek 83 tohoto nařízení, nadepsaný „Obecné podmínky pro ukládání správních pokut“, v odstavcích 4, 5 a 7 stanoví: „4. Za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 10000000 [eur], nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší:
[…] 5. Za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 20000000 [eur], nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší:
[…] 7. Aniž jsou dotčeny nápravné pravomoci dozorových úřadů podle čl. 58 odst. 2, může každý členský stát stanovit pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě.“ |
25 |
Článek 94, nadepsaný „Zrušení směrnice 95/46/ES“, obsažený v kapitole XI uvedeného nařízení, nadepsané „Závěrečná ustanovení“, stanoví: „1. Směrnice 95/46/ES se zrušuje s účinkem ode dne 25. května 2018. 2. Odkazy na zrušenou směrnici se považují za odkazy na toto nařízení. Odkazy na pracovní skupinu pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízenou článkem 29 směrnice 95/46/ES se považují za odkazy na Evropský sbor pro ochranu osobních údajů zřízený tímto nařízením.“ |
Německé právo
26 |
Ustanovení § 43 Bundesdatenschutzgesetz (spolkový zákon o ochraně údajů) ze dne 20. prosince 1990 (BGBl. 1990 I, s. 2954), ve znění použitelném na spor v původním řízení (dále jen „BDSG“), nadepsaný „Ustanovení o správních pokutách“, v odstavci 3 stanoví: „Orgánům veřejné moci a jiným veřejným subjektům ve smyslu § 2 odst. 1 [BDSG] nelze uložit správní pokutu.“ |
Spor v původním řízení a předběžné otázky
27 |
Dne 7. května 2019 podal žalobce v původním řízení u Spolkového úřadu žádost o mezinárodní ochranu, která byla zamítnuta. |
28 |
Spolkový úřad při přijetí zamítavého rozhodnutí (dále jen „sporné rozhodnutí“) vycházel z jím vytvořeného elektronického spisu „MARIS“, který obsahuje osobní údaje týkající se žalobce v původním řízení. |
29 |
Posledně uvedený podal proti spornému rozhodnutí žalobu k Verwaltungsgericht Wiesbaden (správní soud ve Wiesbadenu, Německo), který je předkládajícím soudem v projednávané věci. Elektronický spis „MARIS“ byl tedy zaslán uvedenému soudu, v rámci společného postupu podle článku 26 GDPR, prostřednictvím elektronické soudní a správní poštovní schránky (Elektronische Gerichts-und Verwaltungspostfach), kterou spravuje veřejný subjekt, jenž je součástí moci výkonné. |
30 |
Předkládající soud uvádí, že z bodu 52 odůvodnění směrnice 2013/32 vyplývá, že zpracování osobních údajů prováděné členskými státy v rámci řízení o přiznání mezinárodní ochrany se řídí GDPR. |
31 |
Uvedený soud má však pochybnosti o tom, zda je vedení elektronického spisu vyhotoveného Spolkovým úřadem a zaslání tohoto spisu danému soudu prostřednictvím elektronické soudní a správní poštovní schránky v souladu s tímto nařízením. |
32 |
Pokud jde o vedení elektronického spisu, nebylo prokázáno, že Spolkový úřad splňuje ustanovení čl. 5 odst. 1 GDPR ve spojení s jeho článkem 30. Navzdory žádosti, kterou za tímto účelem zaslal předkládající soud, totiž Spolkový úřad nepředložil úplné záznamy o činnostech zpracování týkající se tohoto spisu. Takové záznamy přitom měly být vyhotoveny v době zpracování osobních údajů týkajících se žalobce v původním řízení, tedy ke dni podání jeho žádosti o mezinárodní ochranu. Spolkový úřad by měl být vyslechnut k otázce své odpovědnosti podle čl. 5 odst. 2 GDPR poté, co Soudní dvůr rozhodne o této žádosti o rozhodnutí o předběžné otázce. |
33 |
Pokud jde dále o zaslání elektronického spisu prostřednictvím elektronické soudní a správní poštovní schránky, takový přenos představuje „zpracování“ údajů ve smyslu čl. 4 bodu 2 GDPR, které musí být v souladu se zásadami stanovenými v článku 5 tohoto nařízení. V rozporu s článkem 26 uvedeného nařízení přitom tento postup přenosu mezi správními orgány a soudy neupravuje žádný vnitrostátní právní předpis, který by definoval odpovědnost společných správců, a Spolkový úřad nepředložil žádné ujednání v tomto smyslu, a to navzdory žádosti zaslané za tímto účelem předkládajícím soudem. Předkládající soud si tak klade otázku zákonnosti tohoto přenosu údajů prostřednictvím elektronické soudní a správní poštovní schránky. |
34 |
Podle předkládajícího soudu je zejména třeba určit, zda porušení povinností stanovených v článcích 5, 26 a 30 GDPR, z něhož vyplývá protiprávnost zpracování osobních údajů, musí být sankcionováno výmazem těchto údajů v souladu s čl. 17 odst. 1 písm. d) tohoto nařízení, nebo omezením zpracování v souladu s čl. 18 odst. 1 písm. b) uvedeného nařízení. Tyto sankce by měly být zváženy přinejmenším v případě žádosti dotčené osoby. V opačném případě by byl tento soud nucen účastnit se protiprávního zpracování uvedených údajů v rámci soudního řízení. V takovém případě by mohl podle článku 58 GDPR zasáhnout pouze dozorový úřad tím, že uloží dotčeným orgánům veřejné moci správní pokutu podle čl. 83 odst. 5 písm. a) tohoto nařízení. Nicméně podle § 43 odst. 3 BDSG, který provádí § 83 odst. 7 uvedeného nařízení, nemůže být orgánům veřejné moci a jiným veřejným subjektům uložena na vnitrostátní úrovni žádná správní pokuta. Z toho by vyplývalo, že směrnice 2013/32 ani GDPR by nebyly dodrženy. |
35 |
Kromě toho má předkládající soud za to, že na zpracování dotčené v původním řízení se nevztahuje čl. 17 odst. 3 písm. e) GDPR, který umožňuje použití osobních údajů pro určení, výkon nebo obhajobu právních nároků ze strany žalovaného. Je pravda, že v projednávaném případě využívá Spolkový úřad údaje v souladu s čl. 17 odst. 3 písm. b) tohoto nařízení pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen. Pokud by se však toto ustanovení použilo, znamenalo by to trvalou legalizaci praxe, která je v rozporu s právními předpisy týkajícími se ochrany údajů. |
36 |
Předkládající soud si tedy klade otázku, do jaké míry může v rámci své soudní činnosti zohlednit osobní údaje poskytnuté v rámci takového řízení spadajícího do výkonné moci. Pokud by totiž vedení elektronického spisu nebo jeho přenos prostřednictvím elektronické soudní a správní poštovní schránky mělo být kvalifikováno z hlediska GDPR jako protiprávní zpracování, uvedený soud by se takovým zohledněním podílel na dotčeném protiprávním zpracování, což by bylo v rozporu s cílem sledovaným tímto nařízením, který spočívá v ochraně základních práv a svobod fyzických osob, a zejména jejich práva na ochranu osobních údajů. |
37 |
V tomto ohledu si předkládající soud dále klade otázku, zda okolnost, že subjekt údajů udělil výslovný souhlas nebo nesouhlasí s použitím svých osobních údajů v rámci soudního řízení, může mít vliv na možnost zohlednění těchto údajů. V případě, že by předkládající soud nemohl zohlednit údaje obsažené v elektronickém spise „MARIS“ z důvodu protiprávnosti, kterou je stiženo vedení a zaslání tohoto spisu, neexistoval by až do případné nápravy této protiprávnosti žádný právní základ pro přijetí rozhodnutí o žádosti žalobce v původním řízení o přiznání postavení uprchlíka. Uvedený soud by tedy měl sporné rozhodnutí zrušit. |
38 |
Za těchto podmínek se Verwaltungsgericht Wiesbaden (správní soud ve Wiesbadenu) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:
|
K předběžným otázkám
K přípustnosti
39 |
Německá vláda, aniž formálně vznesla námitku nepřípustnosti, vyjadřuje pochybnosti o relevanci předběžných otázek pro výsledek sporu v původním řízení. Z předkládacího rozhodnutí podle ní především vyplývá, že porušení čl. 5 odst. 2 GDPR ze strany Spolkového úřadu není s konečnou platností prokázáno, neboť předkládající soud jej pouze předpokládá. Dále tento soud neuvedl, že spisy Spolkového úřadu – za předpokladu, že by mu nebylo dovoleno je použít – jsou jediné rozhodující pro řešení tohoto sporu. Má totiž k dispozici i jiné zdroje informací, které musí být na základě zásady šetření z moci úřední plně využity, pokud daný orgán nepředloží spisy nebo jsou tyto spisy neúplné. Konečně třetí otázka je zjevně hypotetická, neboť z předkládacího rozhodnutí nevyplývá, že by žalobce v původním řízení souhlasil nebo že souhlasí se zpracováním svých osobních údajů předkládajícím soudem. |
40 |
Je třeba připomenout, že podle ustálené judikatury Soudního dvora se na otázky týkající se unijního práva vztahuje domněnka relevance. Odmítnutí rozhodnout o předběžné otázce položené vnitrostátním soudem ze strany Soudního dvora je možné pouze tehdy, je-li zjevné, že žádaný výklad unijního práva nemá žádný vztah k realitě nebo předmětu sporu v původním řízení, jestliže Soudní dvůr nedisponuje skutkovými nebo právními poznatky nezbytnými pro užitečnou odpověď na otázky, které jsou mu položeny, nebo jestliže se jedná o hypotetický problém. Navíc v rámci řízení upraveného v článku 267 SFEU, které je založeno na jasném rozdělení funkcí mezi vnitrostátními soudy a Soudním dvorem, je pouze vnitrostátní soud příslušný ke zjištění a posouzení skutkových okolností sporu v původním řízení (viz zejména rozsudek ze dne 24. března 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, body 20 a 21, jakož i citovaná judikatura). |
41 |
Jak jasně vyplývá z druhého pododstavce článku 267 SFEU, v rámci úzké spolupráce mezi vnitrostátními soudy a Soudním dvorem založené na rozdělení úloh mezi nimi přísluší vnitrostátnímu soudu, aby rozhodl, v jakém stadiu řízení má Soudnímu dvoru předložit předběžnou otázku (rozsudek ze dne 17. července 2008, Coleman, C‑303/06, EU:C:2008:415, bod 29 a citovaná judikatura). |
42 |
Soudní dvůr v tomto ohledu již zejména rozhodl, že okolnost, že skutkové otázky dosud nebyly předmětem kontradiktorního důkazního řízení, nemůže sama o sobě způsobit nepřípustnost předběžné otázky (v tomto smyslu viz rozsudek ze dne 11. září 2014, Österreichischer Gewerkschaftsbund, C‑328/13, EU:C:2014:2197, bod 19 a citovaná judikatura). |
43 |
I když v projednávané věci ze žádosti o rozhodnutí o předběžné otázce vyplývá, že předkládající soud nerozhodl s konečnou platností o tom, že Spolkový úřad porušil povinnosti, které pro něj vyplývají z čl. 5 odst. 2 GDPR ve spojení s články 26 a 30 tohoto nařízení, a tento aspekt sporu v původním řízení má být podle informací poskytnutých v této žádosti ještě předmětem kontradiktorní diskuze, nic to nemění na tom, že uvedený soud konstatoval, že Spolkový úřad jakožto správce nepředložil ani ujednání o společném zpracování údajů, ani záznamy o činnostech zpracování, kterých se týkají dvě posledně uvedená ustanovení, a to ani na žádost, kterou mu předkládající soud za tímto účelem zaslal. |
44 |
Kromě toho z předkládacího rozhodnutí vyplývá, že podle názoru uvedeného soudu, jemuž jako jedinému přísluší zjistit a posoudit skutkový stav, bylo sporné rozhodnutí přijato pouze na základě elektronického spisu vypracovaného Spolkovým úřadem, jehož vedení a přenos by mohly být v rozporu s pravidly stanovenými uvedeným nařízením, takže by toto rozhodnutí mohlo být nutné z tohoto důvodu zrušit. |
45 |
Konečně, pokud jde o souhlas žalobce v původním řízení s použitím jeho osobních údajů v rámci soudního řízení, stačí uvést, že cílem třetí předběžné otázky je právě určit, zda v projednávaném případě je k tomu, aby byl předkládající soud oprávněn tyto údaje zohlednit, nezbytné, aby byl takový souhlas vyjádřen. |
46 |
Za těchto podmínek, pokud byla Soudnímu dvoru předložena žádost týkající se výkladu unijního práva, u níž není zjevné, že by postrádala vztah k realitě nebo předmětu sporu v původním řízení, a pokud Soudní dvůr disponuje poznatky nezbytnými pro užitečnou odpověď na otázky, které jsou mu položeny, týkající se dopadu GDPR na spor v původním řízení, musí na ně odpovědět, aniž by se sám musel zabývat domněnkou ohledně skutkových okolností, z níž vychází předkládající soud, jejíž ověření následně bude příslušet tomuto soudu, ukáže-li se to jako nezbytné (obdobně viz rozsudek ze dne 17. července 2008, Coleman, C‑303/06, EU:C:2008:415, bod 31 a citovaná judikatura). |
47 |
Je tedy třeba mít za to, že projednávaná žádost o rozhodnutí o předběžné otázce je přípustná, a odpovědět na otázky položené předkládajícím soudem, který ovšem musí ověřit, zda Spolkový úřad porušil povinnosti stanovené v článcích 26 a 30 GDPR. |
K věci samé
K první otázce
48 |
Podstatou první otázky předkládajícího soudu je, zda čl. 17 odst. 1 písm. d) a čl. 18 odst. 1 písm. b) GDPR musí být vykládány v tom smyslu, že nesplnění povinností stanovených v článcích 26 a 30 tohoto nařízení, které se týkají uzavření ujednání o vymezení společné odpovědnosti za zpracování a vedení záznamů o činnostech zpracování, ze strany správce představuje protiprávní zpracování, které přiznává subjektu údajů právo na výmaz nebo omezení zpracování, jelikož takové porušení znamená, že správce porušil zásadu „odpovědnosti“, která je uvedena v čl. 5 odst. 2 uvedeného nařízení. |
49 |
Podle ustálené judikatury Soudního dvora je třeba při výkladu ustanovení unijního práva vzít v úvahu nejen jeho znění, ale i jeho kontext a cíle sledované právní úpravou, jejíž je součástí (v tomto smyslu viz rozsudek ze dne 12. ledna 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, bod 32 a citovaná judikatura). |
50 |
Pokud jde na prvním místě o znění relevantních ustanovení unijního práva, je třeba připomenout, že podle čl. 17 odst. 1 písm. d) GDPR má subjekt údajů právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se ho týkají, a správce má povinnost tyto údaje bez zbytečného odkladu vymazat, pokud byly „zpracovány protiprávně“. |
51 |
Stejně tak podle čl. 18 odst. 1 písm. b) GDPR má subjekt údajů, pokud odmítá výmaz takových údajů a žádá místo toho o omezení jejich použití, právo na to, aby správce omezil zpracování, jestliže „zpracování je protiprávní“. |
52 |
Ustanovení zmíněná v předchozích dvou bodech musí být vykládána ve spojení s čl. 5 odst. 1 tohoto nařízení, podle kterého zpracování osobních údajů musí být v souladu s určitými zásadami, které jsou uvedeny v tomto ustanovení, mezi něž patří zásada uvedená v čl. 5 odst. 1 písm. a) uvedeného nařízení, který stanoví, že osobní údaje musí být „ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem“. |
53 |
Podle odstavce 2 článku 5 GDPR odpovídá správce v souladu se zásadou „odpovědnosti“ uvedenou v tomto ustanovení za dodržení odstavce 1 a musí být schopen doložit, že dodržuje každou ze zásad uvedených v tomto odstavci 1, přičemž nese v tomto ohledu důkazní břemeno [v tomto smyslu viz rozsudek ze dne 24. února 2022, Valsts ieņēmumu dienests (Zpracování osobních údajů pro daňové účely), C‑175/20, EU:C:2022:124, body 77, 78 a 81]. |
54 |
Z toho vyplývá, že podle čl. 5 odst. 2 uvedeného nařízení ve spojení s odst. 1 písm. a) tohoto článku se správce musí ujistit o „zákonné“ povaze zpracování údajů, které provádí. |
55 |
Je přitom třeba konstatovat, že právě zákonnost zpracování je, jak vyplývá ze samotného názvu tohoto článku, předmětem článku 6 GDPR, který stanoví, že zpracování je zákonné, pouze pokud je splněna nejméně jedna z podmínek stanovených v odst. 1 prvním pododstavci písm. a) až f) tohoto článku, a sice, jak vyplývá rovněž z bodu 40 odůvodnění tohoto nařízení, buď subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů, nebo je zpracování nezbytné pro některý ze stanovených účelů, které se mohou týkat splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo přijetí opatření na žádost subjektu údajů před uzavřením smlouvy, splnění právní povinnosti, která se na správce vztahuje, ochrany životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, jakož i oprávněných zájmů správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů. |
56 |
Tento výčet případů, v nichž lze zpracování osobních údajů považovat za zákonné, je taxativní a omezující, takže aby mohlo být zpracování považováno za oprávněné, musí spadat pod jeden z případů stanovených v čl. 6 odst. 1 prvním pododstavci GDPR [v tomto smyslu viz rozsudky ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 99 a citovaná judikatura, jakož i ze dne 8. prosince 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Účely zpracování osobních údajů – Trestní vyšetřování), C‑180/21, EU:C:2022:967, bod 83]. |
57 |
Podle judikatury Soudního dvora každé zpracování osobních údajů musí být v souladu se zásadami zpracování údajů, které jsou uvedeny v čl. 5 odst. 1 tohoto nařízení, a musí splňovat podmínky zákonnosti zpracování, které jsou vyjmenovány v článku 6 uvedeného nařízení [viz zejména rozsudky ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 208; ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, bod 96, jakož i ze dne 20. října 2022, Digi, C‑77/21, EU:C:2022:805, body 49 a 56]. |
58 |
Navíc vzhledem k tomu, že články 7 až 11 GDPR, které jsou stejně jako články 5 a 6 uvedeného nařízení součástí jeho kapitoly II, jež se týká zásad, mají za účel upřesnit rozsah povinností vyplývajících pro správce z čl. 5 odst. 1 písm. a) a z čl. 6 odst. 1 uvedeného nařízení, musí zpracování osobních údajů, aby bylo zákonné, respektovat podle judikatury Soudního dvora i tato ostatní ustanovení uvedené kapitoly, která se týkají v podstatě vyjádření souhlasu, zpracování zvláštních kategorií citlivých osobních údajů a zpracování osobních údajů týkajících se odsouzení v trestních věcech a trestných činů [v tomto smyslu viz rozsudky ze dne 24. září 2019, GC a další (Odstranění odkazu na citlivé údaje), C‑136/17, EU:C:2019:773, body 72 až 75, jakož i ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body), C‑439/19, EU:C:2021:504, body 100, 102 a 106]. |
59 |
Je ovšem třeba konstatovat, shodně se všemi vládami, které předložily písemná vyjádření, i Evropskou komisí, že dodržení povinnosti správce uzavřít ujednání vymezující společnou odpovědnost za zpracování, stanovené v článku 26 GDPR, a povinnosti vést záznamy o činnostech zpracování, stanovené v článku 30 tohoto nařízení, nepatří mezi důvody zákonnosti zpracování uvedené v čl. 6 odst. 1 prvním pododstavci uvedeného nařízení. |
60 |
Kromě toho na rozdíl od článků 7 až 11 GDPR není účelem článků 26 a 30 tohoto nařízení upřesnit rozsah požadavků stanovených v čl. 5 odst. 1 písm. a) a čl. 6 odst. 1 uvedeného nařízení. |
61 |
Ze samotného znění čl. 5 odst. 1 písm. a) a čl. 6 odst. 1 prvního pododstavce GDPR tedy vyplývá, že porušení povinností stanovených v článcích 26 a 30 tohoto nařízení správcem nepředstavuje „protiprávní zpracování“ ve smyslu čl. 17 odst. 1 písm. d) a čl. 18 odst. 1 písm. b) uvedeného nařízení, které by vyplývalo z porušení zásady „odpovědnosti“, jak je uvedena v čl. 5 odst. 2 téhož nařízení, tímto správcem. |
62 |
Tento výklad je na druhém místě podpořen kontextem těchto jednotlivých ustanovení. Ze samotné struktury GDPR, a tudíž z jeho systematiky, totiž jasně vyplývá, že toto nařízení rozlišuje mezi „zásadami“, které jsou předmětem jeho kapitoly II, jež obsahuje mimo jiné články 5 a 6 tohoto nařízení, a „obecnými povinnostmi“, které jsou součástí oddílu 1 kapitoly IV uvedeného nařízení týkající se správců, mezi něž patří povinnosti stanovené v článcích 26 a 30 téhož nařízení. |
63 |
Toto rozlišení se nadto odráží v kapitole VIII GDPR týkající se sankcí, jelikož porušení článků 26 a 30 tohoto nařízení na jedné straně a porušení článků 5 a 6 tohoto nařízení na straně druhé jsou podle odstavců 4 a 5 článku 83 uvedeného nařízení předmětem správních pokut, které mohou dosahovat určité výše, jež je podle dotčeného odstavce odlišná z důvodu míry závažnosti těchto příslušných porušení, kterou unijní normotvůrce uznává. |
64 |
Na třetím a posledním místě, doslovný výklad GDPR uvedený v bodě 61 tohoto rozsudku je podpořen cílem sledovaným tímto nařízením, který vyplývá z jeho článku 1, jakož i z bodů 1 a 10 jeho odůvodnění a spočívá zejména v zajištění vysoké úrovně ochrany základních práv a svobod fyzických osob, především jejich práva na soukromí v souvislosti se zpracováním osobních údajů, zakotveného v čl. 8 odst. 1 Listiny základních práv Evropské unie a v čl. 16 odst. 1 SFEU (v tomto smyslu viz rozsudek ze dne 1. srpna 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, bod 125 a citovaná judikatura). |
65 |
Neexistence ujednání o vymezení společné odpovědnosti podle článku 26 GDPR nebo záznamů o činnostech zpracování ve smyslu článku 30 tohoto nařízení totiž sama o sobě nestačí k prokázání porušení základního práva na ochranu osobních údajů. I když je pravda, jak vyplývá z bodů 79 a 82 odůvodnění tohoto nařízení, že jasné určení odpovědnosti společných správců a záznamy o činnostech zpracování představují prostředky, jak zajistit, aby tito správci dodržovali záruky ochrany práv a svobod subjektů údajů stanovené uvedeným nařízením, nic to nemění na tom, že neexistence takových záznamů nebo takového ujednání sama o sobě neprokazuje, že tato práva a tyto svobody byly porušeny. |
66 |
Z toho vyplývá, že porušení článků 26 a 30 GDPR správcem nepředstavuje „protiprávní zpracování“ ve smyslu čl. 17 odst. 1 písm. d) nebo čl. 18 odst. 1 písm. b) tohoto nařízení ve spojení s jeho čl. 5 odst. 1 písm. a) a čl. 6 odst. 1 prvním pododstavcem, které subjektu údajů přiznává právo na výmaz nebo na omezení zpracování. |
67 |
Jak uvedly všechny vlády, které předložily písemná vyjádření, i Komise, takové porušení tedy musí být napraveno použitím jiných opatření stanovených GDPR, jako je přijetí „nápravných [opatření]“ dozorovým úřadem ve smyslu čl. 58 odst. 2 tohoto nařízení, zejména – podle písmene d) tohoto ustanovení – uvedení operací zpracování do souladu s nařízením, podání stížnosti u dozorového úřadu v souladu s čl. 77 odst. 1 tohoto nařízení nebo náhrada újmy případně způsobené správcem podle článku 82 tohoto nařízení. |
68 |
Konečně s ohledem na obavy vyjádřené předkládajícím soudem je třeba ještě upřesnit, že okolnost, že v projednávaném případě je uložení správní pokuty podle čl. 58 odst. 2 písm. i) a článku 83 GDPR vyloučeno, jelikož vnitrostátní právo takovou sankci vůči Spolkovému úřadu zakazuje, nemůže zabránit účinnému uplatňování tohoto nařízení. V tomto ohledu totiž stačí uvést, že čl. 83 odst. 7 uvedeného nařízení výslovně přiznává členským státům možnost stanovit, zda a do jaké míry je možno ukládat takové pokuty orgánům veřejné moci a veřejným subjektům. Různá alternativní opatření stanovená v GDPR a připomenutá v předchozím bodě, ostatně umožňují takové účinné uplatňování zajistit. |
69 |
Na první otázku je tedy třeba odpovědět, že čl. 17 odst. 1 písm. d) a čl. 18 odst. 1 písm. b) GDPR musí být vykládány v tom smyslu, že nesplnění povinností stanovených v článcích 26 a 30 tohoto nařízení, které se týkají uzavření ujednání o vymezení společné odpovědnosti za zpracování a vedení záznamů o činnostech zpracování, ze strany správce nepředstavuje protiprávní zpracování, které přiznává subjektu údajů právo na výmaz nebo omezení zpracování, jelikož takové porušení samo o sobě neznamená, že správce porušil zásadu „odpovědnosti“, jak je uvedena v čl. 5 odst. 2 uvedeného nařízení, ve spojení s jeho čl. 5 odst. 1 písm. a) a čl. 6 odst. 1 prvním pododstavcem. |
K druhé otázce
70 |
Vzhledem k odpovědi na první otázku není na druhou otázku třeba odpovídat. |
K třetí otázce
71 |
Podstatou třetí otázky předkládajícího soudu je, zda musí být unijní právo vykládáno v tom smyslu, že pokud správce osobních údajů nesplnil povinnosti, které pro něj vyplývají z článků 26 nebo 30 GDPR, je zákonnost zohlednění takových údajů vnitrostátním soudem podmíněna souhlasem subjektu údajů. |
72 |
V tomto ohledu je třeba konstatovat, že ze samotného znění čl. 6 odst. 1 prvního pododstavce tohoto nařízení jasně vyplývá, že souhlas subjektu údajů uvedený v písm. a) tohoto pododstavce je pouze jedním z důvodů zákonnosti zpracování, přičemž takový souhlas naopak nevyžadují jiné důvody zákonnosti zpracování uvedené v písmenech b) až f) zmíněného pododstavce, vycházející v podstatě z nezbytnosti zpracování pro určité účely (obdobně viz rozsudek ze dne 11. prosince 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, bod 41). |
73 |
Přitom pokud soud vykonává soudní pravomoci, které mu byly svěřeny vnitrostátním právem, musí být zpracování osobních údajů, které má tento soud provádět, považováno za nezbytné pro účel uvedený v čl. 6 odst. 1 prvním pododstavci písm. e) zmíněného nařízení, který se týká plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. |
74 |
Vzhledem k tomu, že stačí, aby byla splněna jedna z podmínek stanovených v čl. 6 odst. 1 GDPR, aby zpracování osobních údajů mohlo být považováno za zákonné, a že – jak bylo konstatováno v bodě 61 tohoto rozsudku – porušení článků 26 a 30 tohoto nařízení nepředstavuje protiprávní zpracování, není zohlednění osobních údajů, které Spolkový úřad zpracovával v rozporu s povinnostmi stanovenými v posledně uvedených článcích, předkládajícím soudem podmíněno souhlasem subjektu údajů. |
75 |
Na třetí otázku je tedy třeba odpovědět tak, že unijní právo musí být vykládáno v tom smyslu, že pokud správce osobních údajů nesplnil povinnosti, které pro něj vyplývají z článků 26 nebo 30 GDPR, není zákonnost zohlednění takových údajů vnitrostátním soudem podmíněna souhlasem subjektu údajů. |
K nákladům řízení
76 |
Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují. |
Z těchto důvodů Soudní dvůr (pátý senát) rozhodl takto: |
|
|
Podpisy |
( *1 ) – Jednací jazyk: němčina.