–

ο UZ, εκπροσωπούμενος από τον J. Leuschner, Rechtsanwalt,

–

η Γερμανική Κυβέρνηση, εκπροσωπούμενη από τους J. Möller και P.‑L. Krüger,

–

η Τσεχική Κυβέρνηση, εκπροσωπούμενη από τους O. Serdula, M. Smolek και J. Vláčil,

–

η Γαλλική Κυβέρνηση, εκπροσωπούμενη από την A.‑L. Desjonquères και τον J. Illouz,

–

η Αυστριακή Κυβέρνηση, εκπροσωπούμενη από τον A. Posch, καθώς και από τις M.‑T. Rappersberger και J. Schmoll,

–

η Πολωνική Κυβέρνηση, εκπροσωπούμενη από τον B. Majczyna,

–

η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τους A. Μπουχάγιαρ, F. Erlbacher και H. Kranenborg,

1

Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 5, του άρθρου 17, παράγραφος 1, στοιχείο δʹ, του άρθρου 18, παράγραφος 1, στοιχείο βʹ, καθώς και των άρθρων 26 και 30 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, και διορθωτικό ΕΕ 2021, L 74, σ. 35, στο εξής: ΓΚΠΔ).

2

Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ του UZ, ο οποίος είναι πολίτης τρίτης χώρας, και της Bundesrepublik Deutschland (Ομοσπονδιακής Δημοκρατίας της Γερμανίας), εκπροσωπούμενης από την Bundesamt für Migration und Flüchtlinge (Ομοσπονδιακή Υπηρεσία Μεταναστεύσεως και Προσφύγων, Γερμανία) (στο εξής: ομοσπονδιακή υπηρεσία), σχετικά με την επεξεργασία της αιτήσεως διεθνούς προστασίας που υπέβαλε ο εν λόγω πολίτης.

3

Η αιτιολογική σκέψη 52 της οδηγίας 2013/32/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 26ης Ιουνίου 2013, σχετικά με κοινές διαδικασίες για τη χορήγηση και ανάκληση του καθεστώτος διεθνούς προστασίας (αναδιατύπωση) (ΕΕ 2013, L 180, σ. 60), έχει ως εξής:

«Η οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών [(ΕΕ 1995, L 281, σ. 31)] διέπει την επεξεργασία των προσωπικών δεδομένων από τα κράτη μέλη δυνάμει της παρούσας οδηγίας.»

4

Οι αιτιολογικές σκέψεις 1, 10, 40, 74, 79 και 82 του ΓΚΠΔ έχουν ως εξής:

[…]

[…]

[…]

[…]

[…]

5

Το κεφάλαιο I του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Γενικές διατάξεις», περιλαμβάνει τα άρθρα 1 έως 4.

6

Κατά το άρθρο 1 του εν λόγω κανονισμού, το οποίο επιγράφεται «Αντικείμενο και στόχοι»:

«1.   Ο παρών κανονισμός θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και κανόνες που αφορούν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα.

2.   Ο παρών κανονισμός προστατεύει θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα.

[…]»

7

Το άρθρο 4 του κανονισμού, το οποίο φέρει τον τίτλο «Ορισμοί», προβλέπει στα σημεία 2, 7 και 21 τα εξής:

[…]

[…]

[…]».

8

Το κεφάλαιο II του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Αρχές», περιλαμβάνει τα άρθρα 5 έως 11.

9

Το άρθρο 5 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα», προβλέπει τα εξής:

«1.   Τα δεδομένα προσωπικού χαρακτήρα:

2.   Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 (“λογοδοσία”).»

10

Το άρθρο 6 του ως άνω κανονισμού, το οποίο φέρει τον τίτλο «Νομιμότητα της επεξεργασίας», προβλέπει στην παράγραφο 1 τα εξής:

«Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.»

11

Το άρθρο 7 του ΓΚΠΔ αφορά τις προϋποθέσεις για τη συγκατάθεση, ενώ το άρθρο 8 του κανονισμού καθορίζει τις προϋποθέσεις για τη συγκατάθεση παιδιού σε σχέση με τις υπηρεσίες της κοινωνίας της πληροφορίας.

12

Το άρθρο 9 του εν λόγω κανονισμού, το οποίο φέρει τον τίτλο «Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα», απαγορεύει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αποκλειστική ταυτοποίηση ενός φυσικού προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου.

13

Το άρθρο 10 του κανονισμού, το οποίο φέρει τον τίτλο «Επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα», ρυθμίζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας βάσει του άρθρου 6, παράγραφος 1, του ίδιου κανονισμού.

14

Το κεφάλαιο III του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Δικαιώματα του υποκειμένου των δεδομένων», περιλαμβάνει τα άρθρα 12 έως 23.

15

Το άρθρο 17 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Δικαίωμα διαγραφής (“δικαίωμα στη λήθη”)», προβλέπει τα εξής:

«1.   Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:

[…]

[…]

3.   Οι παράγραφοι 1 και 2 δεν εφαρμόζονται στον βαθμό που η επεξεργασία είναι απαραίτητη:

[…]

[…]

16

Κατά το άρθρο 18 του ως άνω κανονισμού, το οποίο φέρει τον τίτλο «Δικαίωμα περιορισμού της επεξεργασίας»:

«1.   Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας, όταν ισχύει ένα από τα ακόλουθα:

[…]

[…]

2.   Όταν η επεξεργασία έχει περιοριστεί σύμφωνα με την παράγραφο 1, τα εν λόγω δεδομένα προσωπικού χαρακτήρα, εκτός της αποθήκευσης, υφίστανται επεξεργασία μόνο με τη συγκατάθεση του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου ή για λόγους σημαντικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους.

[…]»

17

Το κεφάλαιο IV του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία», περιλαμβάνει τα άρθρα 24 έως 43.

18

Στο τμήμα 1 του κεφαλαίου IV, το οποίο φέρει τον τίτλο «Γενικές υποχρεώσεις», περιλαμβάνεται το άρθρο 26 του κανονισμού, το οποίο φέρει τον τίτλο «Από κοινού υπεύθυνοι επεξεργασίας» και προβλέπει τα εξής:

«1.   Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, αποτελούν από κοινού υπευθύνους επεξεργασίας. Αυτοί καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και τα αντίστοιχα καθήκοντά τους για να παρέχουν τις πληροφορίες που αναφέρονται στα άρθρα 13 και 14, μέσω συμφωνίας μεταξύ τους, εκτός εάν και στον βαθμό που οι αντίστοιχες αρμοδιότητες των υπευθύνων επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι υπεύθυνοι επεξεργασίας. Στη συμφωνία μπορεί να αναφέρεται ένα σημείο επικοινωνίας για τα υποκείμενα των δεδομένων.

2.   Η συμφωνία που αναφέρεται στην παράγραφο 1 αντανακλά δεόντως τους αντίστοιχους ρόλους και σχέσεις των από κοινού υπευθύνων επεξεργασίας έναντι των υποκειμένων των δεδομένων. Το περιεχόμενο της συμφωνίας τίθεται στη διάθεση του υποκειμένου των δεδομένων.

3.   Ανεξάρτητα από τους όρους της συμφωνίας που αναφέρεται στην παράγραφο 1, το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του δυνάμει του παρόντος κανονισμού έναντι και κατά καθενός από τους υπευθύνους επεξεργασίας.»

19

Το άρθρο 30 του εν λόγω κανονισμού, το οποίο φέρει τον τίτλο «Αρχεία των δραστηριοτήτων επεξεργασίας», προβλέπει τα εξής:

«1.   Κάθε υπεύθυνος επεξεργασίας και, κατά περίπτωση, ο εκπρόσωπός του, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες:

[…]

4.   Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία και, κατά περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία θέτουν το αρχείο στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος.

[…]»

20

Το άρθρο 58 του ΓΚΠΔ, το οποίο επιγράφεται «Εξουσίες» και περιλαμβάνεται στο κεφάλαιο VI του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Ανεξάρτητες εποπτικές αρχές», προβλέπει στην παράγραφο 2 τα εξής:

«Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες:

21

Το κεφάλαιο VIII του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Προσφυγές, ευθύνη και κυρώσεις», περιλαμβάνει τα άρθρα 77 έως 84.

22

Το άρθρο 77 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή», προβλέπει στην παράγραφο 1 τα εξής:

«Με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά παραβαίνει τον παρόντα κανονισμό.»

23

Το άρθρο 82 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Δικαίωμα αποζημίωσης και ευθύνη», προβλέπει στις παραγράφους 1 και 2 τα εξής:

«1.   Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβιάσεως του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.

2.   Κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον παρόντα κανονισμό. Ο εκτελών την επεξεργασία ευθύνεται για τη ζημία που προκάλεσε η επεξεργασία μόνο εφόσον δεν ανταποκρίθηκε στις υποχρεώσεις του παρόντος κανονισμού που αφορούν ειδικότερα τους εκτελούντες την επεξεργασία ή υπερέβη ή ενήργησε αντίθετα προς τις νόμιμες εντολές του υπευθύνου επεξεργασίας.»

24

Το άρθρο 83 του ανωτέρω κανονισμού, το οποίο φέρει τον τίτλο «Γενικοί όροι επιβολής διοικητικών προστίμων», προβλέπει στις παραγράφους 4, 5 και 7 τα εξής:

«4.   Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 20000000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:

[…]

5.   Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 20000000 [ευρώ] ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:

[…]

7.   Με την επιφύλαξη των διορθωτικών εξουσιών των εποπτικών αρχών σύμφωνα με το άρθρο 58 παράγραφος 2, κάθε κράτος μέλος δύναται να καθορίζει τους κανόνες για το εάν και σε ποιο βαθμό διοικητικά πρόστιμα μπορεί να επιβάλλονται σε δημόσιες αρχές και φορείς που έχουν συσταθεί στο εν λόγω κράτος μέλος.»

25

Στο κεφάλαιο XI του εν λόγω κανονισμού, το οποίο φέρει τον τίτλο «Τελικές διατάξεις», περιλαμβάνεται το άρθρο 94, το οποίο επιγράφεται «Κατάργηση της οδηγίας 95/46/ΕΚ» και το οποίο προβλέπει τα εξής:

«1.   Η οδηγία [95/46] καταργείται από τις 25 Μαΐου 2018.

2.   Οι παραπομπές στην καταργούμενη οδηγία θεωρούνται παραπομπές στον παρόντα κανονισμό. Οι παραπομπές στην ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε με το άρθρο 29 της οδηγίας [95/46], θεωρούνται παραπομπές στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων που συστήνεται με τον παρόντα κανονισμό.»

26

Το άρθρο 43 του Bundesdatenschutzgesetz (ομοσπονδιακού νόμου για την προστασία των δεδομένων), της 20ής Δεκεμβρίου 1990 (BGBl. 1990 I, σ. 2954), ως είχε κατά τον χρόνο των πραγματικών περιστατικών της υποθέσεως της κύριας δίκης (στο εξής: BDSG), το οποίο φέρει τον τίτλο «Διατάξεις σχετικές με την επιβολή διοικητικών προστίμων», προβλέπει στην παράγραφο 3 τα εξής:

«Δεν μπορεί να επιβληθεί διοικητικό πρόστιμο στις δημόσιες αρχές και σε άλλους δημόσιους οργανισμούς κατά την έννοια του άρθρου 2, παράγραφος 1[, του BDSG].»

27

Στις 7 Μαΐου 2019 ο προσφεύγων της κύριας δίκης υπέβαλε αίτηση διεθνούς προστασίας στην ομοσπονδιακή υπηρεσία, η οποία απορρίφθηκε.

28

Για την έκδοση της απορριπτικής αποφάσεως (στο εξής: επίδικη απόφαση), η ομοσπονδιακή υπηρεσία βασίστηκε στον ηλεκτρονικό φάκελο «MARIS» που κατάρτισε, ο οποίος περιέχει τα δεδομένα προσωπικού χαρακτήρα του προσφεύγοντος της κύριας δίκης.

29

Ο τελευταίος άσκησε προσφυγή κατά της επίδικης αποφάσεως ενώπιον του Verwaltungsgericht Wiesbaden (διοικητικού πρωτοδικείου Wiesbaden, Γερμανία), το οποίο είναι το αιτούν δικαστήριο στην υπό κρίση υπόθεση. Κατόπιν τούτου, ο ηλεκτρονικός φάκελος «MARIS» διαβιβάστηκε στο εν λόγω δικαστήριο, στο πλαίσιο από κοινού διαδικασίας δυνάμει του άρθρου 26 του ΓΚΠΔ, μέσω της δικαστικής και διοικητικής ταχυδρομικής θυρίδας (Elektronisches Gerichts-und Verwaltungspostfach), την οποία διαχειρίζεται δημόσιος οργανισμός που υπάγεται στην εκτελεστική εξουσία.

30

Το αιτούν δικαστήριο επισημαίνει ότι από την αιτιολογική σκέψη 52 της οδηγίας 2013/32 προκύπτει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη στο πλαίσιο των διαδικασιών χορηγήσεως διεθνούς προστασίας διέπεται από τον ΓΚΠΔ.

31

Ωστόσο, το αιτούν δικαστήριο διατηρεί αμφιβολίες ως προς το αν η τήρηση του ηλεκτρονικού φακέλου που κατάρτισε η ομοσπονδιακή υπηρεσία και η διαβίβαση του εν λόγω φακέλου στο δικαστήριο μέσω της δικαστικής και διοικητικής ταχυδρομικής θυρίδας συνάδουν με τον προαναφερθέντα κανονισμό.

32

Αφενός, όσον αφορά την τήρηση του ηλεκτρονικού φακέλου, δεν αποδείχθηκε, κατά το αιτούν δικαστήριο, ότι η ομοσπονδιακή υπηρεσία συμμορφώνεται προς το άρθρο 5, παράγραφος 1, σε συνδυασμό με το άρθρο 30 του ΓΚΠΔ. Συγκεκριμένα, παρά την υποβολή σχετικού αιτήματος από το αιτούν δικαστήριο, η ομοσπονδιακή υπηρεσία δεν προσκόμισε πλήρες αρχείο των δραστηριοτήτων επεξεργασίας σχετικά με τον επίμαχο φάκελο. Πλην όμως, τέτοιο αρχείο έπρεπε να έχει καταρτιστεί κατά τον χρόνο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα του προσφεύγοντος της κύριας δίκης, ήτοι κατά την ημερομηνία υποβολής της αιτήσεώς του διεθνούς προστασίας. Η ομοσπονδιακή υπηρεσία θα πρέπει να ακουστεί επί του ζητήματος της ευθύνης της, βάσει του άρθρου 5, παράγραφος 2, του ΓΚΠΔ, αφού το Δικαστήριο εκδώσει την απόφασή του επί της υπό κρίση αιτήσεως προδικαστικής αποφάσεως.

33

Αφετέρου, όσον αφορά τη διαβίβαση του ηλεκτρονικού φακέλου μέσω της δικαστικής και διοικητικής ταχυδρομικής θυρίδας, η διαβίβαση αυτή συνιστά κατά το αιτούν δικαστήριο «επεξεργασία» των δεδομένων, κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ, η οποία πρέπει να συνάδει με τις αρχές του άρθρου 5 του εν λόγω κανονισμού. Ωστόσο, κατά παράβαση του άρθρου 26 του κανονισμού, δεν υφίσταται εθνική ρύθμιση η οποία να διέπει αυτήν τη διαδικασία διαβιβάσεως μεταξύ των διοικητικών αρχών και των δικαστηρίων και η οποία να καθορίζει τις αντίστοιχες ευθύνες των από κοινού υπευθύνων επεξεργασίας, η δε ομοσπονδιακή υπηρεσία δεν προσκόμισε καμία σχετική συμφωνία, και τούτο παρά την υποβολή σχετικού αιτήματος από το αιτούν δικαστήριο. Επομένως, το εν λόγω δικαστήριο θέτει το ζήτημα της νομιμότητας της επίμαχης διαβιβάσεως των δεδομένων μέσω της δικαστικής και διοικητικής ηλεκτρονικής ταχυδρομικής θυρίδας.

34

Ειδικότερα, κατά το αιτούν δικαστήριο, πρέπει να κριθεί αν η παράβαση των υποχρεώσεων που προβλέπονται στα άρθρα 5, 26 και 30 του ΓΚΠΔ, από την οποία απορρέει ο παράνομος χαρακτήρας της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, πρέπει να επισύρει ως κύρωση τη διαγραφή των επίμαχων δεδομένων, σύμφωνα με το άρθρο 17, παράγραφος 1, στοιχείο δʹ, του κανονισμού αυτού, ή τον περιορισμό της επεξεργασίας, σύμφωνα με το άρθρο 18, παράγραφος 1, στοιχείο βʹ, του ίδιου κανονισμού. Τέτοιες κυρώσεις θα πρέπει, τουλάχιστον, να εξετάζονται σε περίπτωση αιτήματος του υποκειμένου των δεδομένων. Σε αντίθετη περίπτωση, το δικαστήριο θα αναγκαζόταν να μετάσχει σε παράνομη επεξεργασία των επίμαχων δεδομένων στο πλαίσιο της ένδικης διαδικασίας. Σε μια τέτοια περίπτωση, μόνον η εποπτική αρχή θα μπορούσε να επέμβει, κατ’ εφαρμογήν του άρθρου 58 του ΓΚΠΔ, επιβάλλοντας στις εμπλεκόμενες δημόσιες αρχές διοικητικό πρόστιμο, δυνάμει του άρθρου 83, παράγραφος 5, στοιχείο αʹ, του κανονισμού. Εντούτοις, σύμφωνα με το άρθρο 43, παράγραφος 3, του BDSG, το οποίο μεταφέρει στο εσωτερικό δίκαιο το άρθρο 83, παράγραφος 7, του εν λόγω κανονισμού, κανένα διοικητικό πρόστιμο δεν μπορεί να επιβληθεί, σε εθνικό επίπεδο, στις δημόσιες αρχές και στους άλλους δημόσιους οργανισμούς. Επομένως, κατά το αιτούν δικαστήριο, δεν τηρούνται ούτε η οδηγία 2013/32 ούτε ο ΓΚΠΔ.

35

Εξάλλου, το αιτούν δικαστήριο εκτιμά ότι η επίμαχη στην κύρια δίκη επεξεργασία δεν εμπίπτει στο άρθρο 17, παράγραφος 3, στοιχείο εʹ, του ΓΚΠΔ, το οποίο επιτρέπει τη χρήση δεδομένων προσωπικού χαρακτήρα για τη θεμελίωση, την άσκηση ή την προάσπιση δικαιωμάτων ενώπιον δικαστηρίου από τον καθού. Βεβαίως, εν προκειμένω, τα δεδομένα χρησιμοποιούνται από την ομοσπονδιακή αρχή για την τήρηση, σύμφωνα με το άρθρο 17, παράγραφος 3, στοιχείο βʹ, του ανωτέρω κανονισμού, νομικής υποχρέωσης η οποία επιβάλλει την επεξεργασία, προβλεπόμενης από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας, ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Ωστόσο, εάν εφαρμοζόταν η συγκεκριμένη διάταξη, τούτο θα ισοδυναμούσε με νομιμοποίηση εις το διηνεκές πρακτικής αντίθετης προς τη νομοθεσία περί προστασίας των δεδομένων.

36

Ως εκ τούτου, το αιτούν δικαστήριο διερωτάται σε ποιο βαθμό δύναται, στο πλαίσιο της δικαιοδοτικής δραστηριότητάς του, να λάβει υπόψη τα δεδομένα προσωπικού χαρακτήρα που παρέχονται στο πλαίσιο τέτοιας διαδικασίας η οποία εναπόκειται στην εκτελεστική εξουσία. Ειδικότερα, αν η τήρηση του ηλεκτρονικού φακέλου ή η διαβίβασή του μέσω της δικαστικής και διοικητικής ταχυδρομικής θυρίδας ήθελε χαρακτηριστεί ως επεξεργασία παράνομη υπό το πρίσμα του ΓΚΠΔ, το αιτούν δικαστήριο θα συμμετείχε, λαμβάνοντας υπόψη τα εν λόγω δεδομένα, στην επίμαχη παράνομη επεξεργασία, όπερ θα αντέβαινε στον σκοπό που επιδιώκει ο κανονισμός αυτός, ο οποίος συνίσταται στην προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, και ειδικότερα του δικαιώματός τους στην προστασία των δεδομένων προσωπικού χαρακτήρα.

37

Συναφώς, το αιτούν δικαστήριο διερωτάται επίσης αν το γεγονός ότι το υποκείμενο των δεδομένων έχει δώσει τη ρητή συγκατάθεσή του ή ότι αντιτάσσεται στη χρήση των προσωπικών του δεδομένων στο πλαίσιο ένδικης διαδικασίας είναι ικανό να επηρεάσει τη δυνατότητα συνεκτιμήσεως των επίμαχων δεδομένων. Σε περίπτωση που το δικαστήριο δεν μπορεί να λάβει υπόψη τα δεδομένα που περιέχονται στον ηλεκτρονικό φάκελο «MARIS» λόγω των παρατυπιών που βαρύνουν την τήρηση και τη διαβίβαση του φακέλου αυτού, δεν υφίσταται καμία νομική βάση, εν αναμονή ενδεχόμενης θεραπείας των εν λόγω παρατυπιών, για να εκδοθεί απόφαση επί της αιτήσεως του προσφεύγοντος της κύριας δίκης περί χορηγήσεως του καθεστώτος του πρόσφυγα. Κατά συνέπεια, το αιτούν δικαστήριο θα πρέπει να ακυρώσει την επίδικη απόφαση.

38

Υπό τις συνθήκες αυτές, το Verwaltungsgericht Wiesbaden (διοικητικό πρωτοδικείο Wiesbaden) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

39

Χωρίς να προβάλει ρητώς ένσταση απαραδέκτου, η Γερμανική Κυβέρνηση εκφράζει αμφιβολίες ως προς τη λυσιτέλεια των προδικαστικών ερωτημάτων για την έκβαση της διαφοράς της κύριας δίκης. Καταρχάς, από την απόφαση περί παραπομπής προκύπτει ότι η εκ μέρους της ομοσπονδιακής υπηρεσίας παράβαση του άρθρου 5, παράγραφος 2, του ΓΚΠΔ δεν έχει διαπιστωθεί οριστικώς, δεδομένου ότι το αιτούν δικαστήριο απλώς και μόνο εικάζει την παράβαση αυτή. Στη συνέχεια, η Γερμανική Κυβέρνηση προβάλλει ότι το αιτούν δικαστήριο δεν εξέθεσε ότι οι φάκελοι της ομοσπονδιακής υπηρεσίας, ακόμη και αν υποτεθεί ότι δεν του επιτρέπεται να τους χρησιμοποιήσει, αποτελούν τα μόνα κρίσιμης σημασίας στοιχεία για την επίλυση της υπό κρίση διαφοράς. Συγκεκριμένα, το αιτούν δικαστήριο διαθέτει και άλλες πηγές πληροφοριών, οι οποίες, δυνάμει της αρχής της αυτεπάγγελτης έρευνας, πρέπει να αξιοποιούνται πλήρως όταν μια αρχή δεν υποβάλλει φακέλους ή όταν οι φάκελοι αυτοί είναι ελλιπείς. Τέλος, το τρίτο προδικαστικό ερώτημα είναι κατά τη Γερμανική Κυβέρνηση προδήλως υποθετικό, δεδομένου ότι από την απόφαση περί παραπομπής δεν προκύπτει ότι ο προσφεύγων της κύριας δίκης συγκατατέθηκε ή θα συγκατετίθετο στην επεξεργασία των προσωπικών του δεδομένων από το αιτούν δικαστήριο.

40

Συναφώς, υπενθυμίζεται ότι, κατά πάγια νομολογία, για τα ερωτήματα που αφορούν το δίκαιο της Ένωσης ισχύει τεκμήριο λυσιτέλειας. Το Δικαστήριο δύναται να αρνηθεί να αποφανθεί επί προδικαστικού ερωτήματος που έχει υποβάλει εθνικό δικαστήριο μόνον όταν είναι πρόδηλο ότι η ζητούμενη ερμηνεία του δικαίου της Ένωσης ουδεμία σχέση έχει με το υποστατό ή με το αντικείμενο της διαφοράς της κύριας δίκης, όταν το Δικαστήριο δεν διαθέτει τα πραγματικά και νομικά στοιχεία που είναι αναγκαία προκειμένου να δώσει χρήσιμη απάντηση στα ερωτήματα που του έχουν υποβληθεί ή όταν το πρόβλημα είναι υποθετικής φύσεως. Επιπλέον, στο πλαίσιο της διαδικασίας του άρθρου 267 ΣΛΕΕ, η οποία στηρίζεται σε σαφή διάκριση των λειτουργιών μεταξύ των εθνικών δικαστηρίων και του Δικαστηρίου, ο εθνικός δικαστής είναι ο μόνος αρμόδιος να διαπιστώσει και να εκτιμήσει τα πραγματικά περιστατικά της κύριας δίκης (βλ., μεταξύ άλλων, απόφαση της 24ης Μαρτίου 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, σκέψεις 20 και 21 και εκεί μνημονευόμενη νομολογία).

41

Όπως προκύπτει σαφώς από το δεύτερο εδάφιο του άρθρου 267 ΣΛΕΕ, στο πλαίσιο της στενής συνεργασίας μεταξύ των εθνικών δικαστηρίων και του Δικαστηρίου, η οποία στηρίζεται σε κατανομή αρμοδιοτήτων μεταξύ τους, εναπόκειται στο αιτούν δικαστήριο να αποφασίσει σε ποιο στάδιο της διαδικασίας πρέπει να υποβάλει προδικαστικό ερώτημα στο Δικαστήριο (απόφαση της 17ης Ιουλίου 2008, Coleman, C‑303/06, EU:C:2008:415, σκέψη 29 και εκεί μνημονευόμενη νομολογία).

42

Ειδικότερα, το Δικαστήριο έχει κρίνει συναφώς ότι το γεγονός ότι τα πραγματικά ζητήματα δεν έχουν ακόμη αποτελέσει αντικείμενο κατ’ αντιμωλίαν διεξαγωγής αποδείξεων δεν είναι αυτό καθεαυτό ικανό να καταστήσει απαράδεκτο το υποβαλλόμενο προδικαστικό ερώτημα (πρβλ. απόφαση της 11ης Σεπτεμβρίου 2014, Österreichischer Gewerkschaftsbund, C‑328/13, EU:C:2014:2197, σκέψη 19 και εκεί μνημονευόμενη νομολογία).

43

Εν προκειμένω δε, μολονότι από την αίτηση προδικαστικής αποφάσεως προκύπτει ότι το αιτούν δικαστήριο δεν έχει αποφανθεί οριστικώς επί της υπάρξεως παραβάσεως, εκ μέρους της ομοσπονδιακής αρχής, των υποχρεώσεων που η τελευταία υπέχει από το άρθρο 5, παράγραφος 2, του ΓΚΠΔ, σε συνδυασμό με τα άρθρα 26 και 30 του κανονισμού, δεδομένου ότι η συγκεκριμένη πτυχή της διαφοράς της κύριας δίκης πρέπει ακόμη, σύμφωνα με τα στοιχεία που παρέχονται με την αίτηση προδικαστικής αποφάσεως, να αποτελέσει αντικείμενο κατ’ αντιμωλίαν συζητήσεως, γεγονός παραμένει ότι το αιτούν δικαστήριο διαπίστωσε ότι ούτε η συμφωνία περί από κοινού επεξεργασίας δεδομένων ούτε το αρχείο των δραστηριοτήτων επεξεργασίας, στοιχεία τα οποία μνημονεύουν οι δύο αυτές διατάξεις, δεν προσκομίστηκαν από την ομοσπονδιακή υπηρεσία ως υπεύθυνη της επεξεργασίας, τούτο δε παρά το σχετικό αίτημα που της απευθύνθηκε.

44

Εξάλλου, από την απόφαση περί παραπομπής προκύπτει ότι, κατά το αιτούν δικαστήριο, το οποίο είναι το μόνο αρμόδιο να διαπιστώνει και να εκτιμά τα πραγματικά περιστατικά, η επίδικη απόφαση εκδόθηκε αποκλειστικώς και μόνο βάσει του ηλεκτρονικού φακέλου που είχε καταρτίσει η ομοσπονδιακή υπηρεσία, του οποίου η τήρηση και η διαβίβαση θα μπορούσαν να συνιστούν παράβαση του προαναφερθέντος κανονισμού, με αποτέλεσμα η απόφαση να πρέπει, ενδεχομένως, να ακυρωθεί εξ αυτού του λόγου.

45

Τέλος, όσον αφορά τη συγκατάθεση του προσφεύγοντος της κύριας δίκης για τη χρήση των δεδομένων του προσωπικού χαρακτήρα στο πλαίσιο της ένδικης διαδικασίας, αρκεί η επισήμανση ότι με το τρίτο προδικαστικό ερώτημα ζητείται ακριβώς να κριθεί αν είναι αναγκαίο, εν προκειμένω, να δοθεί η συγκατάθεση αυτή προκειμένου το αιτούν δικαστήριο να έχει τη δυνατότητα να λάβει υπόψη τα επίμαχα δεδομένα.

46

Υπό τις συνθήκες αυτές, καθόσον το Δικαστήριο έχει επιληφθεί αιτήματος ερμηνείας του δικαίου της Ένωσης το οποίο δεν είναι προδήλως άσχετο προς το υποστατό ή το αντικείμενο της διαφοράς της κύριας δίκης, και εφόσον διαθέτει τα αναγκαία στοιχεία για να απαντήσει λυσιτελώς στα υποβληθέντα ερωτήματα σχετικά με τις συνέπειες της εφαρμογής του ΓΚΠΔ στη διαφορά της κύριας δίκης, οφείλει να αποφανθεί επί του αιτήματος αυτού χωρίς να διερωτηθεί ως προς τα εικαζόμενα πραγματικά περιστατικά επί των οποίων στηρίχθηκε το αιτούν δικαστήριο, τα οποία εναπόκειται σε εκείνο να επαληθεύσει εν συνεχεία, αν τούτο παρίσταται αναγκαίο (βλ., κατ’ αναλογίαν, απόφαση της 17ης Ιουλίου 2008, Coleman, C‑303/06, EU:C:2008:415, σκέψη 31 και εκεί μνημονευόμενη νομολογία).

47

Κατά συνέπεια, πρέπει να γίνει δεκτό ότι η υπό κρίση αίτηση προδικαστικής αποφάσεως είναι παραδεκτή και να δοθεί απάντηση στα ερωτήματα που υπέβαλε το αιτούν δικαστήριο, εξυπακουομένου, ωστόσο, ότι σε αυτό εναπόκειται να εξακριβώσει αν η ομοσπονδιακή αρχή παρέβη τις υποχρεώσεις που προβλέπονται στα άρθρα 26 και 30 του ΓΚΠΔ.

48

Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 17, παράγραφος 1, στοιχείο δʹ, και το άρθρο 18, παράγραφος 1, στοιχείο βʹ, του ΓΚΠΔ έχουν την έννοια ότι η εκ μέρους του υπευθύνου επεξεργασίας παράβαση των υποχρεώσεων που προβλέπονται στα άρθρα 26 και 30 του κανονισμού, σχετικά, αντιστοίχως, με τη σύναψη συμφωνίας καθορίζουσας την από κοινού ευθύνη για την επεξεργασία και με την τήρηση αρχείου των δραστηριοτήτων επεξεργασίας, συνιστά παράνομη επεξεργασία που παρέχει στο υποκείμενο των δεδομένων δικαίωμα διαγραφής ή περιορισμού της επεξεργασίας, δεδομένου ότι η εν λόγω παράβαση συνεπάγεται παραβίαση, από τον υπεύθυνο επεξεργασίας, της αρχής της «λογοδοσίας» όπως αυτή διατυπώνεται στο άρθρο 5, παράγραφος 2, του ως άνω κανονισμού.

49

Κατά πάγια νομολογία του Δικαστηρίου, προκειμένου να ερμηνευθεί διάταξη του δικαίου της Ένωσης πρέπει να λαμβάνεται υπόψη όχι μόνον το γράμμα της, αλλά και το πλαίσιο στο οποίο εντάσσεται και οι σκοποί που επιδιώκονται με τη ρύθμιση της οποίας αποτελεί μέρος (πρβλ., ιδίως, απόφαση της 12ης Ιανουαρίου 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, σκέψη 32 και εκεί μνημονευόμενη νομολογία).

50

Όσον αφορά, πρώτον, το γράμμα των σχετικών διατάξεων του δικαίου της Ένωσης, υπενθυμίζεται ότι, σύμφωνα με το άρθρο 17, παράγραφος 1, στοιχείο δʹ, του ΓΚΠΔ, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να διαγράψει τα δεδομένα αυτά χωρίς αδικαιολόγητη καθυστέρηση όταν έχουν υποβληθεί σε «παράνομη επεξεργασία».

51

Ομοίως, δυνάμει του άρθρου 18, παράγραφος 1, στοιχείο βʹ, του ΓΚΠΔ, το υποκείμενο των δεδομένων, εάν αντιτίθεται στη διαγραφή τέτοιων δεδομένων και απαιτεί αντ’ αυτού τον περιορισμό της χρήσης τους, έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας όταν τα δεδομένα έχουν υποβληθεί σε «επεξεργασία παράνομα».

52

Οι διατάξεις που μνημονεύονται στις δύο προηγούμενες σκέψεις πρέπει να ερμηνευθούν σε συνδυασμό με το άρθρο 5, παράγραφος 1, του κανονισμού, το οποίο προβλέπει ότι κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα πρέπει να τηρούνται ορισμένες αρχές που διατυπώνονται στη διάταξη αυτή, μεταξύ των οποίων και η αρχή του άρθρου 5, παράγραφος 1, στοιχείο αʹ, του κανονισμού, το οποίο προβλέπει ειδικότερα ότι τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε «σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων».

53

Κατά την παράγραφο 2 του άρθρου 5 του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας, σύμφωνα με την αρχή της «λογοδοσίας» η οποία διατυπώνεται στην εν λόγω διάταξη, φέρει την ευθύνη για την τήρηση της παραγράφου 1 του εν λόγω άρθρου και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση προς καθεμία από τις αρχές που διατυπώνονται στην παράγραφο 1, όπερ συνεπάγεται ότι φέρει εκείνος το βάρος αποδείξεως [πρβλ. απόφαση της 24ης Φεβρουαρίου 2022, Valsts ieņēmumu dienests (Επεξεργασία προσωπικών δεδομένων για φορολογικούς σκοπούς), C‑175/20, EU:C:2022:124, σκέψεις 77, 78 και 81].

54

Επομένως, κατ’ εφαρμογήν της παραγράφου 2 του άρθρου 5 του ως άνω κανονισμού, σε συνδυασμό με την παράγραφο 1, στοιχείο αʹ, του ίδιου άρθρου, ο υπεύθυνος της επεξεργασίας πρέπει να βεβαιώνεται για τον «σύννομο» χαρακτήρα της επεξεργασίας των δεδομένων την οποία πραγματοποιεί.

55

Πλην όμως, διαπιστώνεται ότι, όπως προκύπτει από τον τίτλο καθεαυτόν του άρθρου 6 του ΓΚΠΔ, η νομιμότητα της επεξεργασίας αποτελεί ακριβώς αντικείμενο του άρθρου αυτού, το οποίο προβλέπει ότι η επεξεργασία είναι σύννομη μόνον εφόσον πληρούται τουλάχιστον μία από τις προϋποθέσεις της παραγράφου 1, πρώτο εδάφιο, στοιχεία αʹ έως στʹ, του άρθρου αυτού, ήτοι, όπως προκύπτει επίσης από την αιτιολογική σκέψη 40 του κανονισμού, ότι είτε το υποκείμενο των δεδομένων έχει παράσχει συγκατάθεση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για έναν ή περισσότερους συγκεκριμένους σκοπούς, είτε ότι η επεξεργασία είναι απαραίτητη για έναν από τους επιδιωκόμενους σκοπούς, οι οποίοι αφορούν, αντιστοίχως, την εκτέλεση συμβάσεως της οποίας συμβαλλόμενο μέρος είναι το υποκείμενο των δεδομένων ή τη λήψη μέτρων κατόπιν αιτήματος του υποκειμένου των δεδομένων πριν από τη σύναψη συμβάσεως, τη συμμόρφωση με έννομη υποχρέωση που υπέχει ο υπεύθυνος επεξεργασίας, την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, καθώς και τα έννομα συμφέροντα που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν υπερισχύουν τα συμφέροντα ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων.

56

Αυτός ο κατάλογος των περιπτώσεων στις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα δύναται να θεωρηθεί ως νόμιμη είναι εξαντλητικός και περιοριστικός, με αποτέλεσμα να πρέπει, για να μπορεί να θεωρηθεί η επεξεργασία νόμιμη, να εμπίπτει σε μία από τις περιπτώσεις που προβλέπονται στο άρθρο 6, παράγραφος 1, πρώτο εδάφιο, του ΓΚΠΔ [πρβλ. αποφάσεις της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 99 και εκεί μνημονευόμενη νομολογία, και της 8ης Δεκεμβρίου 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Σκοποί της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Ποινική έρευνα), C‑180/21, EU:C:2022:967, σκέψη 83].

57

Κατά τη νομολογία του Δικαστηρίου, κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει επομένως να συνάδει με τις αρχές σχετικά με την επεξεργασία των δεδομένων που προβλέπονται στο άρθρο 5, παράγραφος 1, του κανονισμού και να πληροί τις προϋποθέσεις νομιμότητας της επεξεργασίας που απαριθμούνται στο άρθρο 6 του κανονισμού [βλ., μεταξύ άλλων, αποφάσεις της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C‑511/18, C‑512/18 και C‑520/18, EU:C:2020:791, σκέψη 208, της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 96, καθώς και της 20ής Οκτωβρίου 2022, Digi, C‑77/21, EU:C:2022:805, σκέψεις 49 και 56].

58

Εξάλλου, καθόσον τα άρθρα 7 έως 11 του ΓΚΠΔ, τα οποία περιλαμβάνονται, όπως και τα άρθρα 5 και 6, στο κεφάλαιο II του κανονισμού το οποίο αφορά τις αρχές, έχουν ως σκοπό να διασαφηνίσουν το περιεχόμενο των υποχρεώσεων που υπέχει ο υπεύθυνος επεξεργασίας δυνάμει του άρθρου 5, παράγραφος 1, στοιχείο αʹ, και του άρθρου 6, παράγραφος 1, του κανονισμού, για να είναι σύννομη η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει επίσης να είναι σύμφωνη, όπως προκύπτει από τη νομολογία του Δικαστηρίου, με τις λοιπές αυτές διατάξεις του προαναφερθέντος κεφαλαίου οι οποίες αφορούν, κατ’ ουσίαν, τη συγκατάθεση, την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και την επεξεργασία δεδομένων προσωπικού χαρακτήρα σχετικών με ποινικές καταδίκες και αδικήματα [πρβλ. αποφάσεις της 24ης Σεπτεμβρίου 2019, GC κ.λπ. (Διαγραφή συνδέσμων προς ευαίσθητα δεδομένα), C‑136/17, EU:C:2019:773, σκέψεις 72 έως 75, και της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψεις 100, 102 και 106].

59

Πλην όμως, διαπιστώνεται ότι, όπως υποστηρίζουν όλες οι κυβερνήσεις που κατέθεσαν γραπτές παρατηρήσεις, καθώς και η Ευρωπαϊκή Επιτροπή, η τήρηση από τον υπεύθυνο επεξεργασίας της υποχρέωσης συνάψεως συμφωνίας καθορίζουσας την από κοινού ευθύνη επεξεργασίας, η οποία προβλέπεται στο άρθρο 26 του ΓΚΠΔ, και της υποχρεώσεως τηρήσεως αρχείου των δραστηριοτήτων επεξεργασίας, την οποία προβλέπει το άρθρο 30 του κανονισμού, δεν περιλαμβάνονται στους λόγους νομιμότητας της επεξεργασίας που προβλέπονται στο άρθρο 6, παράγραφος 1, πρώτο εδάφιο, του εν λόγω κανονισμού.

60

Επιπλέον, εν αντιθέσει με τα άρθρα 7 έως 11 του ΓΚΠΔ, τα άρθρα 26 και 30 του κανονισμού δεν έχουν ως σκοπό να διασαφηνίσουν το περιεχόμενο των απαιτήσεων του άρθρου 5, παράγραφος 1, στοιχείο αʹ, και του άρθρου 6, παράγραφος 1, του εν λόγω κανονισμού.

61

Επομένως, από αυτό καθεαυτό το γράμμα του άρθρου 5, παράγραφος 1, στοιχείο αʹ, και του άρθρου 6, παράγραφος 1, πρώτο εδάφιο, του ΓΚΠΔ συνάγεται ότι η εκ μέρους του υπευθύνου επεξεργασίας παράβαση των υποχρεώσεων που προβλέπονται στα άρθρα 26 και 30 του κανονισμού δεν συνιστά «παράνομη επεξεργασία», κατά την έννοια του άρθρου 17, παράγραφος 1, στοιχείο δʹ, και του άρθρου 18, παράγραφος 1, στοιχείο βʹ, του εν λόγω κανονισμού, απορρέουσα από την εκ μέρους του παραβίαση της αρχής της «λογοδοσίας», όπως αυτή διατυπώνεται στο άρθρο 5, παράγραφος 2, του ίδιου κανονισμού.

62

Η ερμηνεία αυτή επιρρωννύεται, δεύτερον, από το πλαίσιο στο οποίο εντάσσονται οι διάφορες ως άνω διατάξεις. Πράγματι, από την ίδια τη δομή του ΓΚΠΔ και, ως εκ τούτου, από την οικονομία του προκύπτει σαφώς ότι αυτός διακρίνει μεταξύ, αφενός, των «αρχών» που αποτελούν το αντικείμενο του κεφαλαίου II, το οποίο περιλαμβάνει, μεταξύ άλλων, τα άρθρα 5 και 6 του κανονισμού, και, αφετέρου, των «γενικών υποχρεώσεων», οι οποίες περιλαμβάνονται στο τμήμα 1 του κεφαλαίου IV του εν λόγω κανονισμού, το οποίο αφορά τους υπευθύνους επεξεργασίας, και μεταξύ των οποίων καταλέγονται οι υποχρεώσεις που προβλέπονται στα άρθρα 26 και 30 του ίδιου κανονισμού.

63

Εξάλλου, η διάκριση αυτή αντικατοπτρίζεται στο κεφάλαιο VIII του ΓΚΠΔ σχετικά με τις κυρώσεις, δεδομένου ότι οι παραβάσεις των άρθρων 26 και 30 του κανονισμού αυτού, αφενός, και οι παραβάσεις των άρθρων 5 και 6, αφετέρου, υπόκεινται, αντιστοίχως, βάσει των παραγράφων 4 και 5 του άρθρου 83 του εν λόγω κανονισμού, σε διοικητικά πρόστιμα που μπορούν να ανέρχονται σε ορισμένο ποσό κατ’ ανώτατο όριο, το οποίο διαφέρει ανάλογα με την οικεία παράγραφο λόγω του επιπέδου σοβαρότητας των αντίστοιχων παραβάσεων που αναγνωρίζει ο νομοθέτης της Ένωσης.

64

Τέλος, τρίτον, η γραμματική ερμηνεία του ΓΚΠΔ που εκτέθηκε στη σκέψη 61 της παρούσας αποφάσεως επιρρωννύεται από τον σκοπό που επιδιώκει ο εν λόγω κανονισμός, ο οποίος απορρέει από το άρθρο 1, καθώς και από τις αιτιολογικές σκέψεις 1 και 10, και ο οποίος συνίσταται, μεταξύ άλλων, στη διασφάλιση υψηλού επιπέδου προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, και, ειδικότερα, του δικαιώματός τους στην ιδιωτική ζωή έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, το οποίο δικαίωμα κατοχυρώνεται στο άρθρο 8, παράγραφος 1, του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και στο άρθρο 16, παράγραφος 1, ΣΛΕΕ (πρβλ. απόφαση της 1ης Αυγούστου 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, σκέψη 125 και εκεί μνημονευόμενη νομολογία).

65

Πράγματι, η έλλειψη συμφωνίας καθορίζουσας την από κοινού ευθύνη, κατ’ εφαρμογήν του άρθρου 26 του ΓΚΠΔ, ή αρχείου δραστηριοτήτων επεξεργασίας, κατά την έννοια του άρθρου 30 του κανονισμού, δεν αρκεί αφ’ εαυτής για να αποδειχθεί η ύπαρξη προσβολής του θεμελιώδους δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα. Ειδικότερα, καίτοι είναι αληθές ότι, όπως προκύπτει από τις αιτιολογικές σκέψεις 79 και 82 του κανονισμού αυτού, η σαφής κατανομή των ευθυνών μεταξύ των από κοινού υπευθύνων επεξεργασίας και το αρχείο δραστηριοτήτων επεξεργασίας αποτελούν μέσα για τη διασφάλιση της τηρήσεως, εκ μέρους των εν λόγω υπευθύνων, των εγγυήσεων που προβλέπει ο εν λόγω κανονισμός για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων, γεγονός παραμένει ότι η έλλειψη τέτοιου αρχείου ή τέτοιας συμφωνίας δεν αποδεικνύει, αφ’ εαυτής, ότι παραβιάστηκαν τα εν λόγω δικαιώματα και ελευθερίες.

66

Επομένως, παράβαση των άρθρων 26 και 30 του ΓΚΠΔ από τον υπεύθυνο επεξεργασίας δεν συνιστά «παράνομη επεξεργασία», κατά την έννοια του άρθρου 17, παράγραφος 1, στοιχείο δʹ, ή του άρθρου 18, παράγραφος 1, στοιχείο βʹ, του κανονισμού, σε συνδυασμό με το άρθρο 5, παράγραφος 1, στοιχείο αʹ, και το άρθρο 6, παράγραφος 1, πρώτο εδάφιο, του κανονισμού, το οποίο παρέχει στο υποκείμενο των δεδομένων δικαίωμα διαγραφής ή περιορισμού της επεξεργασίας.

67

Επομένως, όπως προέβαλαν όλες οι κυβερνήσεις που κατέθεσαν γραπτές παρατηρήσεις, καθώς και η Επιτροπή, η συγκεκριμένη παράβαση πρέπει να θεραπευτεί με τη χρήση άλλων μέτρων προβλεπόμενων από τον ΓΚΠΔ, όπως είναι η λήψη, από την εποπτική αρχή, «διορθωτικών μέτρων», κατά την έννοια του άρθρου 58, παράγραφος 2, του κανονισμού, και ιδίως, σύμφωνα με το στοιχείο δʹ της διατάξεως αυτής, μέσω της εντολής να καταστούν οι πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του κανονισμού, μέσω της υποβολής καταγγελίας στην εποπτική αρχή, σύμφωνα με το άρθρο 77, παράγραφος 1, του κανονισμού, ή μέσω της αποκαταστάσεως της ζημίας που ενδεχομένως προκλήθηκε από τον υπεύθυνο επεξεργασίας, δυνάμει του άρθρου 82 του ίδιου κανονισμού.

68

Τέλος, λαμβανομένων υπόψη των ανησυχιών που εξέφρασε το αιτούν δικαστήριο, πρέπει επίσης να διευκρινιστεί ότι το γεγονός ότι, εν προκειμένω, αποκλείεται η επιβολή διοικητικού προστίμου κατά το άρθρο 58, παράγραφος 2, στοιχείο θʹ, και το άρθρο 83 του ΓΚΠΔ, δεδομένου ότι το εθνικό δίκαιο απαγορεύει την επιβολή τέτοιας κυρώσεως στην ομοσπονδιακή υπηρεσία, δεν είναι ικανό να εμποδίσει την αποτελεσματική εφαρμογή του κανονισμού. Πράγματι, αρκεί, συναφώς, να επισημανθεί ότι το άρθρο 83, παράγραφος 7, του εν λόγω κανονισμού παρέχει ρητώς στα κράτη μέλη την ευχέρεια να προβλέπουν αν και σε ποιο βαθμό μπορούν να επιβληθούν τέτοια πρόστιμα σε δημόσιες αρχές ή σε δημόσιους οργανισμούς. Κατά τα λοιπά, τα διάφορα εναλλακτικά μέτρα που προβλέπει ο ΓΚΠΔ, τα οποία υπομνήσθηκαν στην προηγούμενη σκέψη, καθιστούν δυνατή τη διασφάλιση μιας τέτοιας αποτελεσματικής εφαρμογής.

69

Κατά συνέπεια, στο πρώτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 17, παράγραφος 1, στοιχείο δʹ, και το άρθρο 18, παράγραφος 1, στοιχείο βʹ, του ΓΚΠΔ έχουν την έννοια ότι η εκ μέρους του υπευθύνου επεξεργασίας παράβαση των υποχρεώσεων που προβλέπονται στα άρθρα 26 και 30 του κανονισμού, σχετικά, αντιστοίχως, με τη σύναψη συμφωνίας καθορίζουσας την από κοινού ευθύνη για την επεξεργασία και με την τήρηση αρχείου των δραστηριοτήτων επεξεργασίας, δεν συνιστά παράνομη επεξεργασία που παρέχει στο υποκείμενο των δεδομένων δικαίωμα διαγραφής ή περιορισμού της επεξεργασίας, δεδομένου ότι μια τέτοια παράβαση δεν συνεπάγεται, αυτή καθεαυτήν, παραβίαση, από τον υπεύθυνο επεξεργασίας, της αρχής της «λογοδοσίας» όπως αυτή διατυπώνεται στο άρθρο 5, παράγραφος 2, του εν λόγω κανονισμού, σε συνδυασμό με το άρθρο 5, παράγραφος 1, στοιχείο αʹ, και το άρθρο 6, παράγραφος 1, πρώτο εδάφιο, του κανονισμού αυτού.

70

Κατόπιν της απαντήσεως που δόθηκε στο πρώτο προδικαστικό ερώτημα, παρέλκει η απάντηση στο δεύτερο προδικαστικό ερώτημα.

71

Με το τρίτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το δίκαιο της Ένωσης έχει την έννοια ότι, όταν ο υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα έχει παραβεί τις υποχρεώσεις που υπέχει από τα άρθρα 26 ή 30 του ΓΚΠΔ, η νομιμότητα της συνεκτιμήσεως τέτοιων δεδομένων από το εθνικό δικαστήριο εξαρτάται από τη συγκατάθεση του υποκειμένου των δεδομένων.

72

Συναφώς, διαπιστώνεται ότι από αυτό καθεαυτό το γράμμα του πρώτου εδαφίου της παραγράφου 1 του άρθρου 6 του κανονισμού προκύπτει σαφώς ότι η συγκατάθεση του υποκειμένου των δεδομένων, η οποία προβλέπεται στο στοιχείο αʹ του ως άνω εδαφίου, αποτελεί απλώς και μόνον έναν από τους λόγους νομιμότητας της επεξεργασίας, ενώ αντιθέτως η συγκατάθεση αυτή δεν απαιτείται για τους άλλους λόγους νομιμότητας που προβλέπονται στα στοιχεία βʹ έως στʹ του εν λόγω εδαφίου και οι οποίοι αντλούνται, κατ’ ουσίαν, από την αναγκαιότητα της επεξεργασίας για την επίτευξη συγκεκριμένων σκοπών (βλ., κατ’ αναλογίαν, απόφαση της 11ης Δεκεμβρίου 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, σκέψη 41).

73

Όταν όμως το δικαστήριο ασκεί τις δικαιοδοτικές αρμοδιότητες που του έχουν απονεμηθεί από το εθνικό δίκαιο, η επεξεργασία δεδομένων προσωπικού χαρακτήρα στην οποία καλείται να προβεί το δικαστήριο αυτό πρέπει να θεωρηθεί απαραίτητη για την επίτευξη του σκοπού του άρθρου 6, παράγραφος 1, πρώτο εδάφιο, στοιχείο εʹ, του εν λόγω κανονισμού, ο οποίος αφορά την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας.

74

Δεδομένου, αφενός, ότι αρκεί να πληρούται μία από τις προϋποθέσεις του άρθρου 6, παράγραφος 1, του ΓΚΠΔ για να μπορεί να θεωρηθεί σύννομη η επεξεργασία δεδομένων προσωπικού χαρακτήρα και, αφετέρου, ότι, όπως διαπιστώθηκε στη σκέψη 61 της παρούσας αποφάσεως, η παράβαση των άρθρων 26 και 30 του κανονισμού δεν συνιστά παράνομη επεξεργασία, η συνεκτίμηση, από το αιτούν δικαστήριο, δεδομένων προσωπικού χαρακτήρα τα οποία υποβλήθηκαν σε επεξεργασία από την ομοσπονδιακή υπηρεσία κατά παράβαση των υποχρεώσεων που προβλέπονται στα τελευταία αυτά άρθρα δεν εξαρτάται από τη συγκατάθεση του υποκειμένου των δεδομένων.

75

Κατά συνέπεια, στο τρίτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το δίκαιο της Ένωσης έχει την έννοια ότι, όταν ο υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα έχει παραβεί τις υποχρεώσεις που υπέχει από τα άρθρα 26 ή 30 του ΓΚΠΔ, η νομιμότητα της συνεκτιμήσεως τέτοιων δεδομένων από το εθνικό δικαστήριο δεν εξαρτάται από τη συγκατάθεση του υποκειμένου των δεδομένων.

76

Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω μερών, δεν αποδίδονται.

Για τους λόγους αυτούς, το Δικαστήριο (πέμπτο τμήμα) αποφαίνεται: