62022CJ0060

TEISINGUMO TEISMO (penktoji kolegija) SPRENDIMAS

2023 m. gegužės 4 d. ( *1 )

„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 5 straipsnis – Duomenų tvarkymo principai – Atsakomybė už duomenų tvarkymą – 6 straipsnis – Duomenų tvarkymo teisėtumas – Administracinės įstaigos užvesta elektroninė byla dėl prieglobsčio prašymo – Perdavimas kompetentingam nacionaliniam teismui per elektroninio pašto dėžutę – 26 ir 30 straipsnių pažeidimas – Susitarimo dėl bendros atsakomybės už duomenų tvarkymą ir tokios veiklos įrašų tvarkymą nebuvimas – Pasekmės – 17 straipsnio 1 dalis – Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“) – 18 straipsnio 1 dalis – Teisė apriboti duomenų tvarkymą – „Neteisėto duomenų tvarkymo“ sąvoka – Atsižvelgimas į elektroninę bylą nacionaliniame teisme – Duomenų subjekto sutikimo nebuvimas“

Byloje C‑60/22

dėl Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas, Vokietija) 2022 m. sausio 27 d. nutartimi, kurią Teisingumo Teismas gavo 2022 m. vasario 1 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje

prieš

Bundesrepublik Deutschland

TEISINGUMO TEISMAS (penktoji kolegija),

kurį sudaro kolegijos pirmininkas E. Regan (pranešėjas), teisėjai D. Gratsias, M. Ilešič, I. Jarukaitis ir Z. Csehi,

generalinė advokatė T. Ćapeta,

kancleris A. Calot Escobar,

atsižvelgęs į rašytinę proceso dalį,

išnagrinėjęs pastabas, pateiktas:

–	UZ, atstovaujamo Rechtsanwalt J. Leuschner,

–	Vokietijos vyriausybės, atstovaujamos J. Möller ir P.-L. Krüger,

–	Čekijos vyriausybės, atstovaujamos O. Serdula, M. Smolek ir J. Vláčil,

–	Prancūzijos vyriausybės, atstovaujamos A.-L. Desjonquères ir J. Illouz,

–	Austrijos vyriausybės, atstovaujamos A. Posch, M.-T. Rappersberger ir J. Schmoll,

–	Lenkijos vyriausybės, atstovaujamos B. Majczyna,

–	Europos Komisijos, atstovaujamos A. Bouchagiar, F. Erlbacher ir H. Kranenborg,

atsižvelgęs į sprendimą, priimtą susipažinus su generalinės advokatės nuomone, nagrinėti bylą be išvados,

priima šį

Sprendimą

Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1; klaidų ištaisymas OL L 127, 2018, p. 2, toliau – BDAR) 5 straipsnio, 17 straipsnio 1 dalies d punkto, 18 straipsnio 1 dalies b punkto, 26 ir 30 straipsnių išaiškinimo.

Šis prašymas pateiktas nagrinėjant trečiosios šalies piliečio UZ ir Bundesrepublik Deutschland (Vokietijos Federacinė Respublika), kuriai atstovauja Bundesamt für Migration und Flüchtlinge (Federalinė migracijos ir pabėgėlių reikalų tarnyba, Vokietija) (toliau – Federalinė tarnyba), ginčą dėl šio piliečio pateikto tarptautinės apsaugos prašymo tvarkymo.

Teisinis pagrindas

Sąjungos teisė

Direktyva 2013/32/ES

2013 m. birželio 26 d. Europos Parlamento ir Tarybos direktyvos 2013/32/ES dėl tarptautinės apsaugos suteikimo ir panaikinimo bendros tvarkos (nauja redakcija) (OL L 180, 2013, p. 60) 52 konstatuojamoji dalis suformuluota taip:

„[A]smens duomenų tvarkymas pagal šią direktyvą valstybėse narėse vykdomas laikantis 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo [(OL L 281, 1995, p. 31)].“

BDAR

BDAR 1, 10, 40, 74, 79 ir 82 konstatuojamosios dalys suformuluotos taip:

„(1)	fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė. Europos Sąjungos pagrindinių teisių chartijos <…> 8 straipsnio 1 dalyje ir [SESV] 16 straipsnio 1 dalyje numatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą;

<…>

(10)

siekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo [Europos] Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis. Visoje Sąjungoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymas. <…>

<…>

(40)

kad duomenų tvarkymas būtų teisėtas, asmens duomenys turėtų būti tvarkomi gavus atitinkamo duomenų subjekto sutikimą arba remiantis kitu teisėtu teisiniu pagrindu, nustatytu šiame reglamente arba – kai šiame reglamente nurodoma – kitame Sąjungos teisės akte ar valstybės narės teisėje, įskaitant būtinybę, kad duomenų valdytojas vykdytų jam tenkančią teisinę prievolę, arba būtinybę vykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis priemonių duomenų subjekto prašymu prieš sudarant sutartį;

<…>

(74)

turėtų būti nustatyta duomenų valdytojo atsakomybė už bet kokį duomenų valdytojo arba jo vardu vykdomą asmens duomenų tvarkymą. Duomenų valdytojas visų pirma turėtų būti įpareigotas įgyvendinti tinkamas ir veiksmingas priemones ir galėti įrodyti, kad duomenų tvarkymo veikla atitinka šį reglamentą, įskaitant priemonių veiksmingumą. Tomis priemonėmis turėtų būti atsižvelgta į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į pavojų fizinių asmenų teisėms ir laisvėms.

<…>

(79)

atsižvelgiant į duomenų subjektų teisių bei laisvių apsaugą ir duomenų valdytojų bei duomenų tvarkytojų atsakomybę, taip pat priežiūros institucijų vykdomos stebėsenos ir taikomų priemonių atžvilgiu, reikia aiškiai paskirstyti atsakomybę pagal šį reglamentą, be kita ko, tais atvejais, kai duomenų valdytojas kartu su kitais duomenų valdytojais nustato duomenų tvarkymo tikslus ir priemones arba kai duomenų tvarkymo operacija atliekama duomenų valdytojo vardu;

<…>

(82)

kad įrodytų, jog laikosi šio reglamento, duomenų valdytojas arba duomenų tvarkytojas turėtų tvarkyti tvarkymo veiklos, už kurią yra atsakingas, įrašus. Kiekvienas duomenų valdytojas ir duomenų tvarkytojas turėtų būti įpareigotas bendradarbiauti su priežiūros institucija ir jos prašymu pateikti tuos įrašus, kad pagal juos būtų galima stebėti tas duomenų tvarkymo operacijas.“

5	BDAR I skyriuje „Bendrosios nuostatos“ yra 1–4 straipsniai.

Šio reglamento 1 straipsnyje „Dalykas ir tikslai“ nurodyta:

„1. Šiuo reglamentu nustatomos taisyklės, susijusios su fizinių asmenų apsauga tvarkant jų asmens duomenis, ir taisyklės, susijusios su laisvu asmens duomenų judėjimu.

2. Šiuo reglamentu saugomos fizinių asmenų pagrindinės teisės ir laisvės, visų pirma jų teisė į asmens duomenų apsaugą.

<…>“

Minėto reglamento 4 straipsnio „Apibrėžtys“ 2, 7 ir 21 punktuose nurodyta:

„2)

duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

<…>

duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Europos Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Europos Sąjungos arba valstybės narės teise;

<…>

21)	priežiūros institucija – valstybės narės pagal 51 straipsnį įsteigta nepriklausoma valdžios institucija;

<…>“

8	BDAR II skyriuje „Principai“ yra 5–11 straipsniai.

Šio reglamento 5 straipsnyje „Su asmens duomenų tvarkymu susiję principai“ numatyta:

„1. Asmens duomenys turi būti:

a)	duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 89 straipsnio 1 dalį nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);

c)	adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

d)	tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 89 straipsnio 1 dalį, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama šiuo reglamentu siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);

tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

2. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“

Minėto reglamento 6 straipsnio „Tvarkymo teisėtumas“ 1 dalyje nustatyta:

„Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

a)	duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

b)	tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;

c)	tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;

d)	tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;

e)	tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

f)	tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.

Šios pastraipos f punktas netaikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis.“

11	BDAR 7 straipsnis reglamentuoja sutikimo sąlygas, o jo 8 straipsnyje nustatytos sąlygos, taikomos vaiko, kuriam siūlomos informacinės visuomenės paslaugos, sutikimui.

Pagal šio reglamento 9 straipsnį „Specialių kategorijų asmens duomenų tvarkymas“ draudžiama tvarkyti asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją.

13	Minėto reglamento 10 straipsnis „Asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas“ skirtas asmens duomenims apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas arba susijusias saugumo priemones tvarkyti remiantis šio reglamento 6 straipsnio 1 dalimi.

14	BDAR III skyriuje „Duomenų subjekto teisės“ yra 12–23 straipsniai.

Šio reglamento 17 straipsnis „Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“)“ suformuluotas taip:

„1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:

a)	asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;

<…>

d)	asmens duomenys buvo tvarkomi neteisėtai;

<…>

3. 1 ir 2 dalys netaikomos, jeigu duomenų tvarkymas yra būtinas:

<…>

b)	siekiant laikytis Sąjungos ar valstybės narės teise, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

<…>

e)	siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.“

Minėto reglamento 18 straipsnyje „Teisė apriboti duomenų tvarkymą“ nurodyta:

„1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas apribotų duomenų tvarkymą, kai taikomas vienas iš šių atvejų:

<…>

b)	asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad [asmens] duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;

<…>

2. Kai duomenų tvarkymas yra apribotas pagal 1 dalį, tokius asmens duomenis galima tvarkyti, išskyrus saugojimą, tik gavus duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus Sąjungos arba valstybės narės viešojo intereso priežasčių.

<…>“

17	BDAR IV skyriuje „Duomenų valdytojas ir duomenų tvarkytojas“ yra 24–43 straipsniai.

Šio skyriaus 1 skirsnyje „Bendrosios prievolės“ esantis 26 straipsnis „Bendri duomenų valdytojai“ suformuluotas taip:

„1. Kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai. Jie tarpusavio susitarimu skaidriu būdu nustato savo atitinkamą atsakomybę už pagal šį reglamentą nustatytų prievolių, visų pirma susijusių su duomenų subjekto naudojimusi savo teisėmis ir jų atitinkamomis pareigomis pateikti 13 ir 14 straipsniuose nurodytą informaciją, vykdymą, išskyrus atvejus, kai atitinkama duomenų valdytojų atsakomybė yra nustatyta Sąjungos arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojams, ir tokiu mastu, kokiu ji yra nustatyta. Susitarimu gali būti paskirtas duomenų subjektų informavimo punktas.

2. 1 dalyje numatytame susitarime tinkamai apibrėžiamos atitinkamos faktinės bendrų duomenų valdytojų funkcijos bei santykiai duomenų subjektų atžvilgiu. Duomenų subjektui sudaroma galimybė susipažinti su esminėmis šio susitarimo nuostatomis.

3. Nepaisant 1 dalyje nurodyto susitarimo sąlygų, duomenų subjektas gali naudotis savo teisėmis pagal šį reglamentą kiekvieno iš duomenų valdytojų atžvilgiu.“

Minėto reglamento 30 straipsnyje „Duomenų tvarkymo veiklos įrašai“ numatyta:

„1. Kiekvienas duomenų valdytojas ir, kai taikoma, duomenų valdytojo atstovas tvarko duomenų tvarkymo veiklos, už kurią jis atsako, įrašus. Tame įraše pateikiama visa toliau nurodyta informacija:

a)	duomenų valdytojo ir, jei taikoma, bendro duomenų valdytojo, duomenų valdytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b)	duomenų tvarkymo tikslai;

c)	duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;

d)	duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas, kategorijos;

<…>

4. Duomenų valdytojas ar duomenų tvarkytojas ir, jei taikoma, duomenų valdytojo arba duomenų tvarkytojo atstovas pateikia įrašą priežiūros institucijai, gavę prašymą.

<…>“

BDAR VI skyriuje „Nepriklausomos priežiūros institucijos“ esančio 58 straipsnio „Įgaliojimai“ 2 dalyje nustatyta:

„Kiekviena priežiūros institucija turi visus šiuos įgaliojimus imtis taisomųjų veiksmų:

a)	įspėti duomenų valdytoją arba duomenų tvarkytoją, kad numatomomis duomenų tvarkymo operacijomis gali būti pažeistos šio reglamento nuostatos;

b)	pareikšti papeikimus duomenų valdytojui arba duomenų tvarkytojui, kai duomenų tvarkymo operacijomis buvo pažeistos šio reglamento nuostatos;

c)	nurodyti duomenų valdytojui arba duomenų tvarkytojui patenkinti duomenų subjekto prašymus pasinaudoti savo teisėmis pagal šį reglamentą;

d)	nurodyti duomenų valdytojui arba duomenų tvarkytojui suderinti duomenų tvarkymo operacijas su šio reglamento nuostatomis, tam tikrais atvejais – nustatytu būdu ir per nustatytą laikotarpį;

e)	nurodyti duomenų valdytojui pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą;

f)	nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant tvarkymo draudimą;

g)	nurodyti ištaisyti arba ištrinti asmens duomenis arba apriboti jų tvarkymą pagal 16, 17 ir 18 straipsnius ir pranešti apie tokius veiksmus duomenų gavėjams, kuriems asmens duomenys buvo atskleisti, pagal 17 straipsnio 2 dalį ir 19 straipsnį;

h)	atšaukti sertifikatą arba nurodyti sertifikavimo įstaigai atšaukti pagal 42 ir 43 straipsnius išduotą sertifikatą, arba nurodyti sertifikavimo įstaigai neišduoti sertifikato, jei nevykdomi arba nebevykdomi sertifikavimo reikalavimai;

i)	skirti administracinę baudą pagal 83 straipsnį, kartu taikydama šioje dalyje nurodytas priemones arba vietoj jų, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes;

j)	nurodyti sustabdyti duomenų srautus duomenų gavėjui trečiojoje valstybėje arba tarptautinei organizacijai.“

21	Šio reglamento VIII skyriuje „Teisių gynimo priemonės, atsakomybė ir sankcijos“ yra 77–84 straipsniai.

Jo 77 straipsnio „Teisė pateikti skundą priežiūros institucijai“ 1 dalyje nustatyta:

„Neapribojant galimybių imtis kitų administracinių arba teisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai, visų pirma valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, darbo vieta arba vieta, kurioje padarytas įtariamas pažeidimas, jeigu tas duomenų subjektas mano, kad su juo susijęs asmens duomenų tvarkymas atliekamas pažeidžiant šį reglamentą.“

BDAR 82 straipsnio „Teisė į kompensaciją ir atsakomybė“ 1 ir 2 dalyse nurodyta:

„1. Bet kuris asmuo, patyręs materialinę ar nematerialinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.

2. Tvarkant duomenis dalyvaujantis duomenų valdytojas atsako už žalą, padarytą dėl vykdyto duomenų tvarkymo pažeidžiant šį reglamentą. Duomenų tvarkytojas už dėl duomenų tvarkymo sukeltą žalą atsako tik tuo atveju, jei jis nesilaikė šiame reglamente konkrečiai duomenų tvarkytojams nustatytų prievolių arba jei jis veikė nepaisydamas teisėtų duomenų valdytojo nurodymų arba juos pažeisdamas.“

Šio reglamento 83 straipsnio „Bendrosios administracinių baudų skyrimo sąlygos“ 4, 5 ir 7 dalyse numatyta:

„4. Pažeidus toliau išvardytas nuostatas, pagal 2 dalį skiriamos administracinės baudos iki 10000000 [eurų] arba, įmonės atveju – iki 2 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė:

a)	duomenų valdytojo ir duomenų tvarkytojo prievoles [pagal] 8, 11, 25–39 ir 42 bei 43 straipsnius;

<…>

5. Pažeidus toliau išvardytas nuostatas, pagal 2 dalį skiriamos administracinės baudos iki 20000000 [eurų] arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė:

a)	pagrindinius duomenų tvarkymo principus, įskaitant sutikimo sąlygas, pagal 5, 6, 7 ir 9 straipsnius;

<…>

7. Nedarant poveikio priežiūros institucijų įgaliojimams imtis taisomųjų veiksmų pagal 58 straipsnio 2 dalį, kiekviena valstybė narė gali nustatyti taisykles, reglamentuojančias tai, ar ir kokiu mastu administracinės baudos gali būti skiriamos valdžios institucijomis ir įstaigoms, įsisteigusioms toje valstybėje narėje.“

Minėto reglamento XI skyriuje „Baigiamosios nuostatos“ esančiame 94 straipsnyje „Direktyvos 95/46/EB panaikinimas“ nustatyta:

„1. Direktyva 95/46/EB panaikinama nuo 2018 m. gegužės 25 d.

2. Nuorodos į panaikintą direktyvą laikomos nuorodomis į šį reglamentą. Nuorodos į Direktyvos 95/46/EB 29 straipsniu įsteigtą Darbo grupę asmenų apsaugai tvarkant asmens duomenis laikomos nuorodomis į šiuo reglamentu įsteigtą Europos duomenų apsaugos valdybą.“

Vokietijos teisė

Pagrindinės bylos aplinkybėms taikytinos redakcijos 1990 m. gruodžio 20 d.Bundesdatenschutzgesetz (Federalinis duomenų apsaugos įstatymas) (BGBl. 1990 I, p. 2954, toliau – BDSG) 43 straipsnio „Nuostatos dėl administracinių baudų“ 3 dalyje nurodyta:

„Administracinės baudos neskiriamos valdžios institucijoms ir kitoms viešosioms įstaigoms, kaip tai suprantama pagal [BDSG] 2 straipsnio 1 dalį.“

Pagrindinė byla ir prejudiciniai klausimai

27	2019 m. gegužės 7 d. pareiškėjas pagrindinėje byloje pateikė Federalinei tarnybai tarptautinės apsaugos prašymą, o ši jį atmetė.

28	Priimdama neigiamą sprendimą (toliau – ginčijamas sprendimas) Federalinė tarnyba rėmėsi savo užvesta elektronine byla „Maris“, kurioje yra pareiškėjo pagrindinėje byloje asmens duomenų.

Ginčijamą sprendimą pareiškėjas apskundė Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas, Vokietija) – prašymą priimti prejudicinį sprendimą šioje byloje pateikusiam teismui. Vykdant bendrą procedūrą pagal BDAR 26 straipsnį, elektroninė byla „Maris“ šiam teismui buvo perduota per teismo ir administracijos elektroninio pašto dėžutę (Elektronisches Gerichts- und Verwaltungspostfach), kurią administruoja vykdomajai valdžiai priklausanti viešoji įstaiga.

30	Prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo, kad iš Direktyvos 2013/32 52 konstatuojamosios dalies matyti, jog per tarptautinės apsaugos suteikimo procedūrą valstybių narių atliekamą asmens duomenų tvarkymą reglamentuoja BDAR.

31	Vis dėlto šis teismas abejoja, kad Federalinės tarnybos užvestos bylos tvarkymas ir perdavimas jam per teismo ir administracijos elektrinio pašto dėžutę yra suderinamas su šiuo reglamentu.

Pirma, kiek tai susiję su elektroninės bylos tvarkymu, nebuvo įrodyta, kad Federalinė tarnyba laikėsi BDAR 5 straipsnio 1 dalies ir 30 straipsnio nuostatų. Nepaisant atitinkamo nacionalinio teismo prašymo, ji nepateikė išsamių su šia byla susijusių duomenų tvarkymo veiklos įrašų. Vis dėlto tokie įrašai turėjo būti padaryti tvarkant su pareiškėju pagrindinėje byloje susijusius asmens duomenis, t. y. jo tarptautinės apsaugos prašymo pateikimo momentu. Atsižvelgiant į Teisingumo Teismo sprendimą dėl šio prašymo priimti prejudicinį sprendimą, pagal BDAR 5 straipsnio 2 dalį turėtų būti išklausyta Federalinės tarnybos nuomonė dėl jos atsakomybės.

Antra, dėl elektroninės bylos perdavimo per teismo ir administracijos elektroninio pašto dėžutę pažymėtina, kad toks perdavimas laikytinas duomenų „tvarkymu“, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą, kuris turi atitikti šio reglamento 5 straipsnyje nurodytus principus. Pažeidžiant minėto reglamento 26 straipsnį, jokie nacionalinės teisės aktai nereglamentuoja šios perdavimo tarp administracinių institucijų ir teismų procedūros, apibrėždami atitinkamą bendrų duomenų valdytojų atsakomybę, o Federalinė tarnyba, nepaisant atitinkamo nacionalinio teismo prašymo, nepateikė jokio susitarimo šiuo klausimu. Todėl šiam teismui taip pat neaišku, ar toks duomenų perdavimas per teismo ir administracijos elektroninio pašto dėžutę yra teisėtas.

Anot prašymą priimti prejudicinį sprendimą pateikusio teismo, visų pirma reikia nustatyti, ar už BDAR 5, 26 ir 30 straipsniuose numatytų pareigų nesilaikymą, dėl kurio asmens duomenų tvarkymas tampa neteisėtas, turi būti taikoma sankcija – duomenų ištrynimas pagal šio reglamento 17 straipsnio 1 dalies d punktą arba tvarkymo apribojimas pagal jo 18 straipsnio 1 dalies b punktą. Tokios sankcijos turėtų būti svarstytinos bent tuo atveju, kai suinteresuotasis asmuo pateikia prašymą. Kitu atveju šis teismas būtų priverstas per teismo procesą dalyvauti neteisėto minėtų duomenų tvarkymo operacijoje. Tuomet tik priežiūros institucija galėtų imtis veiksmų pagal BDAR 58 straipsnį ir pagal jo 83 straipsnio 5 dalies a punktą skirti atitinkamoms valdžios institucijoms administracinę baudą. Tačiau pagal BDSG 43 straipsnio 3 dalį, kuria perkelta minėto reglamento 83 straipsnio 7 dalis, valdžios institucijoms ir kitoms viešosioms įstaigoms nacionaliniu lygmeniu negali būti skiriama jokios administracinės baudos. Tai reikštų, kad nebūtų laikomasi nei Direktyvos 2013/32, nei BDAR.

Be to, prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad pagrindinėje byloje nagrinėjama duomenų tvarkymo operacija nepatenka į BDAR 17 straipsnio 3 dalies e punkto taikymo sritį, pagal kurį leidžiama asmens duomenis naudoti atsakovui siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus. Nagrinėjamu atveju Federalinė tarnyba duomenis naudoja siekdama pagal šio reglamento 17 straipsnio 3 dalies b punktą laikytis Sąjungos teisėje arba valstybės narės teisėje, kuri taikoma duomenų valdytojui, numatytos teisinės prievolės, pagal kurią reikalaujama tvarkyti duomenis, arba stengdamasi atlikti viešojo intereso užduotį ar duomenų valdytojui pavestas viešosios valdžios funkcijas. Vis dėlto, jei ši nuostata būtų taikoma, ilgainiui būtų įteisinta praktika, prieštaraujanti duomenų apsaugą reglamentuojantiems teisės aktams.

Taigi nacionaliniam teismui kyla klausimas, kiek vykdydamas teisminę veiklą jis gali atsižvelgti į asmens duomenis, pateiktus per tokią vykdomajai valdžiai priskiriamą procedūrą. Jeigu elektroninės bylos tvarkymas arba perdavimas per teismo ar administracijos elektroninio pašto dėžutę BDAR požiūriu turėtų būti laikomas neteisėtu duomenų tvarkymu, minėtas teismas, atsižvelgdamas į tokius duomenis, dalyvautų neteisėto tvarkymo operacijoje, o tai prieštarautų šiuo reglamentu siekiamam tikslui apsaugoti fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą.

Atsižvelgiant į tai, prašymą priimti prejudicinį sprendimą pateikusiam teismui taip pat kyla klausimas, ar tai, kad duomenų subjektas davė aiškų sutikimą arba nesutiko, kad jo asmens duomenys būtų naudojami teismo procese, gali turėti įtakos galimybei atsižvelgti į šiuos duomenis. Tuo atveju, jei teismas negalėtų atsižvelgti į elektroninėje byloje „Maris“ esančius duomenis dėl to, kad byla tvarkyta ir perduota neteisėtai, nebūtų jokio teisinio pagrindo priimti sprendimą dėl pareiškėjo pagrindinėje byloje prašymo suteikti jam pabėgėlio statusą, kol galimai nebus pašalinti trūkumai. Todėl šis teismas turėtų panaikinti ginčijamą sprendimą.

Šiomis aplinkybėmis Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

„1.

Ar tai, kad duomenų valdytojas neįvykdė atskaitomybės pareigos pagal [BDAR] 5 straipsnį arba ją nevisiškai įvykdė, pavyzdžiui, dėl to, kad nėra BDAR 30 straipsnyje numatytų duomenų tvarkymo veiklos įrašų ar jie neišsamūs arba nėra susitarimo dėl bendros procedūros pagal BDAR 26 straipsnį, reiškia, kad duomenys tvarkomi neteisėtai, kaip tai suprantama pagal BDAR 17 straipsnio 1 dalies d punktą ir 18 straipsnio 1 dalies b punktą, todėl duomenų subjektas turi teisę reikalauti ištrinti duomenis arba apriboti jų tvarkymą?

Jeigu į pirmąjį klausimą būtų atsakyta teigiamai: ar turima teisė reikalauti ištrinti duomenis arba apriboti jų tvarkymą reiškia, kad teismo procese į tvarkomus duomenis negalima atsižvelgti? Ar į juos bet kuriuo atveju negalima atsižvelgti tuomet, kai duomenų subjektas prieštarauja jų naudojimui teismo procese?

Jeigu į pirmąjį klausimą būtų atsakyta neigiamai: ar duomenų valdytojo padarytas BDAR 5, 30 arba 26 straipsnio pažeidimas lemia tai, kad nacionalinis teismas, spręsdamas tvarkomų duomenų panaudojimo teismo procese klausimą, turi teisę atsižvelgti į duomenis tik tuo atveju, kai duomenų subjektas aiškiai sutinka su jų panaudojimu?“

Dėl prejudicinių klausimų

Dėl priimtinumo

Vokietijos vyriausybė, nors oficialiai nepateikė nepriimtinumu grindžiamo prieštaravimo, abejoja dėl prejudicinių klausimų svarbos pagrindinės bylos baigčiai. Visų pirma iš prašymo priimti prejudicinį sprendimą matyti, kad nacionalinis teismas tik preziumuoja, bet nėra galutinai nustatyta, jog Federalinė tarnyba nesilaikė BDAR 5 straipsnio 2 dalies. Nacionalinis teismas taip pat neįrodė, kad vien Federalinės tarnybos byla (suponuojant, kad teismas negali ja naudotis) turi lemiamos reikšmės nagrinėjamam ginčui išspręsti. Iš tiesų jis turi ir kitų informacijos šaltinių, kuriais, remiantis tyrimo savo iniciatyva principu, turėtų būti visapusiškai pasinaudota tuomet, kai institucija nepateikia bylos arba ji yra neišsami. Galiausiai trečiasis klausimas yra akivaizdžiai hipotetinis, nes iš nutarties dėl prašymo priimti prejudicinį sprendimą nematyti, kad pareiškėjas pagrindinėje byloje sutiko arba sutiktų, kad prašymą priimti prejudicinį sprendimą pateikęs teismas naudotų jo asmens duomenis.

Šiuo klausimu primintina, kad pagal Teisingumo Teismo suformuotą jurisprudenciją klausimams dėl Sąjungos teisės taikoma svarbos prezumpcija. Teisingumo Teismas gali atsisakyti priimti sprendimą dėl nacionalinio teismo pateikto prejudicinio klausimo tik jeigu akivaizdu, kad prašomas Sąjungos teisės išaiškinimas visiškai nesusijęs su pagrindinėje byloje nagrinėjamo ginčo aplinkybėmis ar dalyku, Teisingumo Teismas neturi informacijos apie faktines ir teisines aplinkybes, būtinas tam, kad naudingai atsakytų į jam pateiktus klausimus, arba problema hipotetinė. Be to, vykstant SESV 267 straipsnyje numatytam procesui, pagrįstam aiškiu nacionalinių teismų ir Teisingumo Teismo funkcijų atskyrimu, tik nacionalinis teismas yra kompetentingas nustatyti ir vertinti pagrindinės bylos faktines aplinkybes (žr., be kita ko, 2022 m. kovo 24 d. Sprendimo Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, 20 ir 21 punktus ir juose nurodytą jurisprudenciją).

Kaip aiškiai matyti iš SESV 267 straipsnio antros pastraipos, vykstant glaudžiam nacionalinių teismų ir Teisingumo Teismo bendradarbiavimui, pagrįstam jų funkcijų atskyrimu, būtent nacionalinis teismas sprendžia, kokioje bylos stadijoje tinkamiausia pateikti Teisingumo Teismui prejudicinį klausimą (2008 m. liepos 17 d. Sprendimo Coleman, C‑303/06, EU:C:2008:415, 29 punktas ir jame nurodyta jurisprudencija).

Teisingumo Teismas šiuo klausimu jau yra nusprendęs, kad prejudicinis klausimas savaime netampa nepriimtinas dėl to, kad fakto klausimai dar nebuvo nagrinėti per rungimosi principu grindžiamą įrodinėjimo procesą (šiuo klausimu žr. 2014 m. rugsėjo 11 d. Sprendimo Österreichischer Gewerkschaftsbund, C‑328/13, EU:C:2014:2197, 19 punktą ir jame nurodytą jurisprudenciją).

Nagrinėjamu atveju, nors iš prašymo priimti prejudicinį sprendimą matyti, kad nacionalinis teismas nėra priėmęs galutinio sprendimo dėl to, ar Federalinė tarnyba pažeidė jai pagal BDAR 5 straipsnio 2 dalį, siejamą su jo 26 ir 30 straipsniais, tenkančias pareigas, ir šis pagrindinės bylos aspektas, remiantis tame prašyme pateikta informacija, dar turi būti aptartas vadovaujantis rungimosi principu, vis dėlto šis teismas konstatavo, kad Federalinė tarnyba, kaip duomenų valdytoja, nepateikė nei susitarimo dėl bendro duomenų tvarkymo, nei duomenų tvarkymo veiklos įrašų, numatytų pastarosiose dviejose nuostatose, nepaisant to, kad jai buvo pateiktas atitinkamas prašymas.

Be to, iš nutarties dėl prašymo priimti prejudicinį sprendimą matyti, kad, minėto teismo, kuris vienintelis turi nustatyti ir įvertinti faktines aplinkybes, nuomone, ginčijamas sprendimas buvo priimtas remiantis vien Federalinės tarnybos užvesta elektronine byla, kurios tvarkymas ir perdavimas galimai pažeidžia minėtame reglamente nustatytas taisykles, todėl dėl šios priežasties šis sprendimas galėtų būti panaikintas.

Galiausiai dėl pareiškėjo pagrindinėje byloje sutikimo su jo asmens duomenų naudojimu teismo procese pakanka pažymėti, kad trečiuoju prejudiciniu klausimu konkrečiai siekiama nustatyti, ar šiuo atveju toks sutikimas turi būti išreikštas, kad prašymą priimti prejudicinį sprendimą pateikęs teismas į šiuos duomenis galėtų atsižvelgti.

Šiomis aplinkybėmis, jeigu Teisingumo Teismas gauna prašymą išaiškinti Sąjungos teisę, kuri nėra akivaizdžiai nesusijusi su pagrindinės bylos aplinkybėmis ar dalyku, ir turi pakankamai informacijos naudingai atsakyti į pateiktus klausimus dėl BDAR poveikio pagrindinei bylai, jis privalo į juos atsakyti, netikrindamas prielaidos dėl faktinių aplinkybių, kuria rėmėsi prašymą priimti prejudicinį sprendimą pateikęs teismas; šią prielaidą turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas, jei tai bus reikalinga (pagal analogiją žr. 2008 m. liepos 17 d. Sprendimo Coleman, C‑303/06, EU:C:2008:415, 31 punktą ir jame nurodytą jurisprudenciją).

47	Taigi laikytina, kad šis prašymas priimti prejudicinį sprendimą priimtinas ir reikia atsakyti į prašymą priimti prejudicinį sprendimą pateikusio teismo klausimus, turint omenyje tai, kad jis vis dėlto turi patikrinti, ar Federalinė tarnyba nepaisė BDAR 26 ir 30 straipsniuose numatytų pareigų.

Dėl esmės

Dėl pirmojo klausimo

Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 17 straipsnio 1 dalies d punktas ir 18 straipsnio 1 dalies b punktas turi būti aiškinami taip, kad šio reglamento 26 ir 30 straipsniuose numatytų duomenų valdytojo pareigų sudaryti susitarimą, nustatantį bendrą atsakomybę už duomenų tvarkymą, ir tvarkyti duomenų tvarkymo veiklos įrašus nepaisymas lemia neteisėtą duomenų tvarkymą, suteikiantį duomenų subjektui teisę reikalauti ištrinti duomenis arba apriboti jų tvarkymą, nes toks nepaisymas reiškia, kad duomenų valdytojas pažeidė minėto reglamento 5 straipsnio 2 dalyje nurodytą „atskaitomybės“ principą.

Pagal Teisingumo Teismo suformuotą jurisprudenciją aiškinant Sąjungos teisės nuostatą reikia atsižvelgti ne tik į jos tekstą, bet ir į kontekstą ir teisės akto, kuriame ji įtvirtinta, tikslus (šiuo klausimu, be kita ko, žr. 2023 m. sausio 12 d. Sprendimo Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, 32 punktą ir jame nurodytą jurisprudenciją).

Pirmiausia dėl reikšmingų Sąjungos teisės nuostatų formuluotės primintina, kad pagal BDAR 17 straipsnio 1 dalies d punktą duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti šiuos duomenis, jeigu jie buvo „tvarkomi neteisėtai“.

51	Be to, remiantis BDAR 18 straipsnio 1 dalies b punktu, duomenų subjektas, nesutinkantis, kad duomenys būtų ištrinti, ir vietoj to prašantis apriboti jų naudojimą, turi teisę reikalauti, kad duomenų valdytojas apribotų duomenų tvarkymą, kai „duomenų tvarkymas yra neteisėtas“.

Pirmesniuose dviejuose punktuose nurodytos nuostatos turi būti siejamos su šio reglamento 5 straipsnio 1 dalimi, pagal kurią asmens duomenų tvarkymas turi atitikti tam tikrus šioje nuostatoje išvardytus principus, įskaitant nurodytą šio reglamento 5 straipsnio 1 dalies a punkte, kuriame nustatyta, kad asmens duomenys turi būti tvarkomi „subjekto atžvilgiu <…> teisėtu, sąžiningu ir skaidriu būdu“.

Pagal BDAR 5 straipsnio 2 dalį, vadovaujantis šioje nuostatoje nurodytu atskaitomybės principu, duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi šio straipsnio 1 dalies, ir turi gebėti įrodyti, kad laikosi visų toje 1 dalyje nurodytų principų, turint omenyje tai, kad įrodinėjimo našta šiuo klausimu tenka jam (šiuo klausimu žr. 2022 m. vasario 24 d. Sprendimo Valsts ieņēmumu dienests(Asmens duomenų tvarkymas mokesčių tikslais), C‑175/20, EU:C:2022:124, 77, 78 ir 81 punktus).

54	Tai reiškia, kad pagal minėto reglamento 5 straipsnio 2 dalį, siejamą su šio straipsnio 1 dalies a punktu, duomenų valdytojas turi užtikrinti atliekamo duomenų tvarkymo „teisėtumą“.

Konstatuotina, kad duomenų tvarkymo teisėtumas, kaip matyti iš paties BDAR 6 straipsnio pavadinimo, reglamentuojamas būtent tame straipsnyje; jame numatyta, kad duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šio straipsnio 1 dalies pirmos pastraipos a–f punktuose nurodytų sąlygų, t. y. kaip išplaukia iš šio reglamento 40 konstatuojamosios dalies, kai duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais, kai tvarkyti duomenis būtina siekiant vieno iš numatytų tikslų, konkrečiai – įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis ikisutartinių priemonių duomenų subjekto prašymu, kai būtina įvykdyti duomenų valdytojui taikomą teisinę prievolę, kai būtina apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus, kai būtina atlikti viešojo intereso užduotį arba duomenų valdytojui pavestas viešosios valdžios funkcijas arba kai būtina siekti teisėtų duomenų valdytojo arba trečiojo asmens interesų, nebent už juos viršesni duomenų subjekto interesai arba pagrindinės teisės ir laisvės.

Šis atvejų, kai asmens duomenų tvarkymas gali būti laikomas teisėtu, sąrašas yra išsamus ir baigtinis, taigi tam, kad tvarkymas galėtų būti laikomas teisėtu, jis turi būti priskiriamas prie kurio nors iš BDAR 6 straipsnio 1 dalies pirmoje pastraipoje numatytų atvejų (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima(Baudos taškai), C‑439/19, EU:C:2021:504, 99 punktą ir jame nurodytą jurisprudenciją ir 2022 m. gruodžio 8 d. Sprendimo Inspektor v Inspektorata kam Visshia sadeben savet(Asmens duomenų tvarkymo tikslai – Ikiteisminis tyrimas), C‑180/21, EU:C:2022:967, 83 punktą).

Remiantis Teisingumo Teismo jurisprudencija, bet koks asmens duomenų tvarkymas turi atitikti šio reglamento 5 straipsnio 1 dalyje nurodytus principus ir tenkinti jo 6 straipsnyje išvardytas teisėtumo sąlygas (žr., be kita ko, 2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 208 punktą; 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 96 punktą ir 2022 m. spalio 20 d. Sprendimo Digi, C‑77/21, EU:C:2022:805, 49 ir 56 punktus).

Kadangi BDAR 7–11 straipsniais, kurie, kaip ir jo 5 ir 6 straipsniai, įtvirtinti šio reglamento II skyriuje, skirtame principams, siekiama patikslinti duomenų valdytojui pagal minėto reglamento 5 straipsnio 1 dalies a punktą ir 6 straipsnio 1 dalį tenkančių pareigų apimtį, asmens duomenų tvarkymas taip pat yra teisėtas tik tuomet, kaip matyti iš Teisingumo Teismo jurisprudencijos, kai paisoma ir šių kitų minėto skyriaus nuostatų, kurios iš esmės susijusios su sutikimu, specialių kategorijų jautrių asmens duomenų tvarkymu ir asmens duomenų, susijusių su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis, tvarkymu (šiuo klausimu žr. 2019 m. rugsėjo 24 d. Sprendimo GC ir kt. (Nuorodų į jautrius duomenis pašalinimas), C‑136/17, EU:C:2019:773, 72–75 punktus ir 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 100, 102 ir 106 punktus).

Vis dėlto pritariant visoms rašytines pastabas pateikusioms vyriausybėms ir Europos Komisijai, reikia konstatuoti, kad duomenų valdytojui BDAR 26 straipsnyje nustatytos pareigos sudaryti susitarimą dėl bendros atsakomybės už duomenų tvarkymą ir šio reglamento 30 straipsnyje įtvirtintos pareigos tvarkyti duomenų tvarkymo veiklos įrašus paisymas nenurodytas tarp tvarkymo teisėtumo pagrindų, išvardytų minėto reglamento 6 straipsnio 1 dalies pirmoje pastraipoje.

60	Be to, BDAR 26 ir 30 straipsniais, skirtingai nei jo 7–11 straipsniais, nesiekiama patikslinti minėto reglamento 5 straipsnio 1 dalies a punkte ir 6 straipsnio 1 dalyje nustatytų reikalavimų apimties.

Taigi remiantis pačia BDAR 5 straipsnio 1 dalies a punkto ir 6 straipsnio 1 dalies pirmos pastraipos formuluote galima daryti išvadą, kad duomenų valdytojo padarytas šio reglamento 26 ir 30 straipsniuose numatytų pareigų pažeidimas nereiškia „neteisėto tvarkymo“, kaip tai suprantama pagal minėto reglamento 17 straipsnio 1 dalies d punktą ir 18 straipsnio 1 dalies b punktą, kurį lemtų jo padarytas „atskaitomybės“ principo, įtvirtinto to paties reglamento 5 straipsnio 2 dalyje, pažeidimas.

Antra, tokį aiškinimą patvirtina šių skirtingų nuostatų kontekstas. Iš pačios BDAR struktūros, taigi, ir iš jo sistemos, aiškiai matyti, kad reglamente skiriami, viena vertus, „principai“, reglamentuojami jo II skyriuje, kuriame, be kita ko, įtvirtinti jo 5 ir 6 straipsniai, ir, kita vertus, „bendrosios prievolės“, numatytos šio reglamento IV skyriaus 1 skirsnyje, skirtame duomenų valdytojams, prie kurių priskiriamos to paties reglamento 26 ir 30 straipsniuose numatytos pareigos.

Be to, šis skirstymas matyti ir BDAR VIII skyriuje, skirtame sankcijoms, nes administracinės baudos už šio reglamento 26 ir 30 straipsnių ir jo 5 ir 6 straipsnių pažeidimus, atitinkamai numatytos šio reglamento 83 straipsnio 4 ir 5 dalyse, gali siekti iki tam tikros sumos, kuri, priklausomai nuo to, kuri straipsnio dalis taikoma, skiriasi atsižvelgiant į Sąjungos teisės aktų leidėjo pripažintą šių atitinkamų pažeidimų sunkumo lygį.

Galiausiai, trečia, šio sprendimo 61 punkte išdėstytą lingvistinį BDAR aiškinimą patvirtina šiuo reglamentu siekiamas tikslas, išplaukiantis iš jo 1 straipsnio ir 1 bei 10 konstatuojamųjų dalių, be kita ko, užtikrinti aukštą fizinių asmenų pagrindinių laisvių ir teisių, visų pirma jų teisės į privatų gyvenimą tvarkant asmens duomenis, apsaugos lygį, įtvirtintą Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio 1 dalyje ir SESV 16 straipsnio 1 dalyje (šiuo klausimu žr. 2022 m. rugpjūčio 1 d. Sprendimo Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, 125 punktą ir jame nurodytą jurisprudenciją).

Vien to, kad nėra susitarimo, kuriuo būtų nustatyta bendra atsakomybė pagal BDAR 26 straipsnį, arba duomenų tvarkymo veiklos įrašų, kaip tai suprantama pagal šio reglamento 30 straipsnį, iš tiesų nepakanka, kad būtų galima konstatuoti, jog buvo padarytas pagrindinės teisės į asmens duomenų apsaugą pažeidimas. Nors teisinga tai, kad, kaip nurodyta reglamento 79 ir 82 konstatuojamosiose dalyse, aiškus atsakomybės paskirstymas bendriems duomenų valdytojams ir duomenų tvarkymo veiklos įrašai yra priemonės, kuriomis užtikrinama, kad duomenų valdytojai laikytųsi reglamente numatytų duomenų subjektų teisių ir laisvių apsaugos garantijų, vis dėlto tokių įrašų ar susitarimo nebuvimas savaime neįrodo, kad šios teisės ir laisvės buvo pažeistos.

Remiantis tuo darytina išvada, kad duomenų valdytojo padarytas BDAR 26 ir 30 straipsnių pažeidimas nelemia „neteisėto duomenų tvarkymo“, kaip tai suprantama pagal šio reglamento 17 straipsnio 1 dalies d punktą arba 18 straipsnio 1 dalies b punktą, siejamus su jo 5 straipsnio 1 dalies a punktu ir 6 straipsnio 1 dalies pirma pastraipa, suteikiančio duomenų subjektui teisę reikalauti ištrinti duomenis arba apriboti jų tvarkymą.

Taigi, kaip teigė visos rašytines pastabas pateikusios vyriausybės ir Komisija, toks pažeidimas turi būti ištaisytas taikant kitas BDAR numatytas priemones, kaip antai priežiūros institucijos įgyvendinamus „taisomuosius veiksmus“, kaip tai suprantama pagal šio reglamento 58 straipsnio 2 dalį, visų pirma nurodymą suderinti duomenų tvarkymo operacijas su šiuo reglamentu pagal šios nuostatos d punktą, skundo pateikimą priežiūros institucijai pagal šio reglamento 77 straipsnio 1 dalį arba duomenų valdytojo galimai padarytos žalos atlyginimą pagal šio reglamento 82 straipsnį.

Galiausiai, atsižvelgiant į prašymą priimti prejudicinį sprendimą pateikusio teismo išreikštą susirūpinimą, dar reikia pažymėti, kad aplinkybė, jog nagrinėjamu atveju negalima skirti administracinės baudos pagal BDAR 58 straipsnio 2 dalies i punktą ir 83 straipsnį, nes pagal nacionalinę teisę draudžiama tokią sankciją skirti Federalinei tarnybai, neužkerta kelio veiksmingai taikyti šio reglamento. Šiuo klausimu pakanka pažymėti, kad minėto reglamento 83 straipsnio 7 dalis aiškiai suteikia valstybėms narėms galimybę numatyti, ar ir kokiu mastu tokios baudos gali būti skiriamos viešosios valdžios institucijoms arba viešosioms įstaigoms. Beje, įvairios BDAR numatytos alternatyvios priemonės, primintos šio sprendimo pirmesniame punkte, leidžia užtikrinti tokį veiksmingą taikymą.

Taigi į pirmąjį klausimą atsakytina, kad BDAR 17 straipsnio 1 dalies d punktas ir 18 straipsnio 1 dalies b punktas turi būti aiškinami taip, kad šio reglamento 26 ir 30 straipsniuose numatytų duomenų valdytojo pareigų sudaryti susitarimą, nustatantį bendrą atsakomybę už duomenų tvarkymą, ir tvarkyti duomenų tvarkymo veiklos įrašus nepaisymas nelemia neteisėto duomenų tvarkymo, suteikiančio duomenų subjektui teisę reikalauti ištrinti duomenis arba apriboti jų tvarkymą, nes toks nepaisymas savaime nereiškia, kad duomenų valdytojas pažeidė „atskaitomybės“ principą, nurodytą minėto reglamento 5 straipsnio 2 dalyje, siejamoje su jo 5 straipsnio 1 dalies a punktu ir 6 straipsnio 1 dalies pirma pastraipa.

Dėl antrojo klausimo

70	Atsižvelgiant į atsakymą į pirmąjį klausimą, nereikia atsakyti į antrąjį klausimą.

Dėl trečiojo klausimo

Trečiuoju klausimu prašymą priimti prejudicinį pateikęs teismas iš esmės siekia išsiaiškinti, ar Sąjungos teisė turi būti aiškinama taip, kad tuomet, kai asmens duomenų valdytojas nepaiso jam pagal BDAR 26 ar 30 straipsnius tenkančių pareigų, tai, ar nacionalinis teismas į tokius duomenis atsižvelgė teisėtai, priklauso nuo to, ar duomenų subjektas davė sutikimą.

Šiuo klausimu konstatuotina, kad iš pačios šio reglamento 6 straipsnio 1 dalies pirmos pastraipos formuluotės aiškiai matyti, jog šios pastraipos a punkte nurodytas duomenų subjekto sutikimas yra tik vienas iš duomenų tvarkymo teisėtumo pagrindų, tačiau tokio sutikimo nereikalaujama pagal kitus minėtos pastraipos b–f punktuose nurodytus teisėtumo pagrindus, iš esmės grindžiamus būtinybe tvarkyti duomenis siekiant nustatytų tikslų (pagal analogiją žr. 2019 m. gruodžio 11 d. Sprendimo Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, 41 punktą).

Kai teismas vykdo jam pagal nacionalinę teisę suteiktus teisminius įgaliojimus, asmens duomenų tvarkymas, kurį jis turi atlikti, turi būti laikomas būtinu siekiant minėto reglamento 6 straipsnio 1 dalies pirmos pastraipos e punkte nurodyto tikslo – vykdyti viešojo intereso užduotį arba duomenų valdytojui pavestas viešosios valdžios funkcijas.

Kadangi, pirma, pakanka įvykdyti vieną iš BDAR 6 straipsnio 1 dalyje nustatytų sąlygų, kad asmens duomenų tvarkymas galėtų būti laikomas teisėtu, ir, antra, kaip konstatuota šio sprendimo 61 punkte, šio reglamento 26 ir 30 straipsnių nepaisymas nelemia neteisėto duomenų tvarkymo, prašymo priimti prejudicinį sprendimą pateikusio teismo galimybė atsižvelgti į asmens duomenis, kuriuos Federalinė tarnyba tvarkė pažeisdama tuose straipsniuose numatytas pareigas, nepriklauso nuo duomenų subjekto sutikimo.

75	Taigi į trečiąjį klausimą atsakytina: Sąjungos teisė turi būti aiškinama taip, kad tuomet, kai asmens duomenų valdytojas nepaiso jam pagal BDAR 26 ar 30 straipsnius tenkančių pareigų, tai, ar nacionalinis teismas į tokius duomenis atsižvelgė teisėtai, nepriklauso nuo duomenų subjekto sutikimo.

Dėl bylinėjimosi išlaidų

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (penktoji kolegija) nusprendžia:

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 17 straipsnio 1 dalies d punktas ir 18 straipsnio 1 dalies b punktas

turi būti aiškinami taip, kad:

šio reglamento 26 ir 30 straipsniuose numatytų duomenų valdytojo pareigų sudaryti susitarimą, nustatantį bendrą atsakomybę už duomenų tvarkymą, ir tvarkyti duomenų tvarkymo veiklos įrašus nepaisymas nelemia neteisėto duomenų tvarkymo, suteikiančio duomenų subjektui teisę reikalauti ištrinti duomenis arba apriboti jų tvarkymą, nes toks nepaisymas savaime nereiškia, kad duomenų valdytojas pažeidė „atskaitomybės“ principą, nurodytą minėto reglamento 5 straipsnio 2 dalyje, siejamoje su jo 5 straipsnio 1 dalies a punktu ir 6 straipsnio 1 dalies pirma pastraipa.

2.	Sąjungos teisė turi būti aiškinama taip, kad tuomet, kai asmens duomenų valdytojas nepaiso jam pagal Reglamento 2016/679 26 ar 30 straipsnius tenkančių pareigų, tai, ar nacionalinis teismas į tokius duomenis atsižvelgė teisėtai, nepriklauso nuo duomenų subjekto sutikimo.

Parašai.

( *1 ) Proceso kalba: vokiečių.