–

w imieniu UZ – J. Leuschner, Rechtsanwalt,

–

w imieniu rządu niemieckiego – J. Möller i P.-L. Krüger, w charakterze pełnomocników,

–

w imieniu rządu czeskiego – O. Serdula, M. Smolek i J. Vláčil, w charakterze pełnomocników,

–

w imieniu rządu francuskiego – A.-L. Desjonquères i J. Illouz, w charakterze pełnomocników,

–

w imieniu rządu austriackiego – A. Posch, M.-T. Rappersberger i J. Schmoll, w charakterze pełnomocników,

–

w imieniu rządu polskiego – B. Majczyna, w charakterze pełnomocnika,

–

w imieniu Komisji Europejskiej – A. Bouchagiar, F. Erlbacher i H. Kranenborg, w charakterze pełnomocników,

1

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 5, art. 17 ust. 1 lit. d) i art. 18 ust. 1 lit. b), a także art. 26 i 30 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2018, L 127, s. 2, zwanego dalej „RODO”).

2

Wniosek ten został złożony w ramach sporu między UZ, obywatelem państwa trzeciego, a Bundesrepublik Deutschland (Republiką Federalną Niemiec), reprezentowaną przez Bundesamt für Migration und Flüchtlinge (urząd federalny ds. migracji i uchodźców, Niemcy) (zwany dalej „urzędem federalnym”), w przedmiocie przetwarzania wniosku o przyznanie ochrony międzynarodowej złożonego przez tego obywatela.

3

Motyw 52 dyrektywy Parlamentu Europejskiego i Rady 2013/32/UE z dnia 26 czerwca 2013 r. w sprawie wspólnych procedur udzielania i cofania ochrony międzynarodowej (przekształcenie) (Dz.U. 2013, L 180, s. 60) ma następujące brzmienie:

„Przetwarzanie danych osobowych w państwach członkowskich na mocy niniejszej dyrektywy jest regulowane przepisami dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych [(Dz.U. 1995, L 281, s. 31)]”.

4

Motywy 1, 10, 40, 74, 79 i 82 RODO mają następujące brzmienie:

[…]

[…]

[…]

[…]

[…]

5

Rozdział I RODO, zatytułowany „Przepisy ogólne”, zawiera art. 1–4.

6

Zgodnie z art. 1 tego rozporządzenia, zatytułowanym „Przedmiot i cele”:

„1.   W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

2.   Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.

[…]”.

7

Artykuł 4 wspomnianego rozporządzenia, zatytułowany „Definicje”, przewiduje w pkt 2, 7 i 21:

[…]

[…]

[…]”.

8

Rozdział II RODO, zatytułowany „Zasady”, zawiera art. 5–11.

9

Artykuł 5 tego rozporządzenia, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, stanowi:

„1.   Dane osobowe muszą być:

2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.

10

Artykuł 6 tego rozporządzenia, zatytułowany „Zgodność przetwarzania z prawem”, stanowi w ust. 1:

„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań”.

11

Artykuł 7 RODO dotyczy warunków mających zastosowanie do wyrażania zgody, natomiast art. 8 tego rozporządzenia określa warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego.

12

Artykuł 9 tego rozporządzenia, zatytułowany „Przetwarzanie szczególnych kategorii danych osobowych”, zakazuje przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

13

Artykuł 10 wspomnianego rozporządzenia, zatytułowany „Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa”, dotyczy przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 tego samego rozporządzenia.

14

Rozdział III RODO, zatytułowany „Prawa osoby, której dane dotyczą”, zawiera art. 12–23.

15

Artykuł 17 tego rozporządzenia, zatytułowany „Prawo do usunięcia danych (»prawo do bycia zapomnianym«)”, ma następujące brzmienie:

„1.   Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

[…]

[…]

3.   Ust[ępy] 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:

[…]

[…]

16

Zgodnie z art. 18 wspomnianego rozporządzenia, zatytułowanym „Prawo do ograniczenia przetwarzania”:

„1.   Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:

[…]

[…]

2.   Jeżeli na mocy ust. 1 przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

[…]”.

17

Rozdział IV RODO, zatytułowany „Administrator i podmiot przetwarzający”, zawiera art. 24–43.

18

Artykuł 26 tego rozporządzenia, zatytułowany „Współadministratorzy”, zawarty w sekcji 1 tego rozdziału, noszącej tytuł „Obowiązki ogólne”, ma następujące brzmienie:

„1.   Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą.

2.   Uzgodnienia, o których mowa w ust. 1, należycie odzwierciedlają odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą.

3.   Niezależnie od uzgodnień, o których mowa w ust. 1, osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z niniejszego rozporządzenia wobec każdego z administratorów”.

19

Artykuł 30 rzeczonego rozporządzenia, zatytułowany „Rejestrowanie czynności przetwarzania”, stanowi:

„1.   Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:

[…]

4.   Administrator lub podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel administratora lub podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego.

[…]”.

20

Artykuł 58 RODO, zatytułowany „Uprawnienia”, zawarty w rozdziale VI RODO, noszącym tytuł „Niezależne organy nadzorcze”, stanowi w ust. 2:

„Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:

21

Rozdział VIII tego rozporządzenia, zatytułowany „Środki ochrony prawnej, odpowiedzialność i sankcje”, zawiera art. 77–84.

22

Artykuł 77 owego rozporządzenia, zatytułowany „Prawo do wniesienia skargi do organu nadzorczego”, stanowi w ust. 1:

„Bez uszczerbku dla innych [środków] administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie”.

23

Artykuł 82 RODO, zatytułowany „Prawo do odszkodowania i odpowiedzialność”, stanowi w ust. 1 i 2:

„1.   Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

2.   Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom”.

24

Artykuł 83 tego rozporządzenia, zatytułowany „Ogólne warunki nakładania administracyjnych kar pieniężnych”, przewiduje w ust. 4, 5 i 7:

„4.   Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10000000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:

[…]

5.   Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20000000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:

[…]

7.   Bez uszczerbku dla uprawnień naprawczych organu nadzorczego, o których mowa w ust. 58 ust. 2, każde państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim”.

25

Artykuł 94 RODO, zatytułowany „Uchylenie dyrektywy 95/46/WE”, zawarty w rozdziale XI tego rozporządzenia, noszącym tytuł „Przepisy końcowe”, stanowi:

„1.   Dyrektywa 95/46/WE zostaje uchylona ze skutkiem od dnia 25 maja 2018 r.

2.   Odesłania do uchylonej dyrektywy należy traktować jako odesłania do niniejszego rozporządzenia. Odesłania do Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, ustanowionej w art. 29 dyrektywy 95/46/WE, należy traktować jako odesłania do Europejskiej Rady Ochrony Danych, ustanowionej niniejszym rozporządzeniem”.

26

Paragraf 43 Bundesdatenschutzgesetz (federalnej ustawy o ochronie danych osobowych) z dnia 20 grudnia 1990 r. (BGBl. 1990 I, s. 2954), w brzmieniu mającym zastosowanie do okoliczności leżących u podstaw sporu w postępowaniu głównym (zwanej dalej „BDSG”), zatytułowany „Przepisy dotyczące administracyjnych kar pieniężnych”, stanowi w ust. 3:

„Administracyjnych kar pieniężnych nie nakłada się na organy publiczne ani inne podmioty publiczne w rozumieniu § 2 ust. 1 [BDSG]”.

27

W dniu 7 maja 2019 r. skarżący w postępowaniu głównym złożył w urzędzie federalnym wniosek o przyznanie ochrony międzynarodowej, który został odrzucony przez ten urząd.

28

Przy wydawaniu decyzji odrzucającej wniosek o przyznanie ochrony międzynarodowej (zwanej dalej „sporną decyzją”) urząd federalny oparł się na sporządzonych przez siebie aktach elektronicznych „MARIS”, zawierających dane osobowe skarżącego w postępowaniu głównym.

29

Skarżący w postępowaniu głównym zaskarżył sporną decyzję do Verwaltungsgericht Wiesbaden (sądu administracyjnego w Wiesbaden, Niemcy), będącego sądem odsyłającym w niniejszej sprawie. Akta elektroniczne „MARIS” zostały w związku z tym przekazane temu sądowi, w ramach wspólnej procedury w trybie art. 26 RODO, za pośrednictwem skrzynki doręczeń elektronicznych w sprawach sądowych i administracyjnych (Elektronisches Gerichts- und Verwaltungspostfach), zarządzanej przez podmiot publiczny należący do władzy wykonawczej.

30

Sąd odsyłający wskazuje, że z motywu 52 dyrektywy 2013/32 wynika, iż przetwarzanie danych osobowych w państwach członkowskich w ramach procedur udzielania ochrony międzynarodowej jest regulowane przez RODO.

31

Sąd ten powziął jednak wątpliwości co do tego, czy prowadzenie akt elektronicznych sporządzonych przez urząd federalny i przekazanie mu tych akt za pośrednictwem skrzynki doręczeń elektronicznych w sprawach sądowych i administracyjnych jest zgodne z tym rozporządzeniem.

32

Po pierwsze, co się tyczy prowadzenia akt elektronicznych, zdaniem sadu odsyłającego nie zostało wykazane, że urząd federalny działał zgodnie z przepisami art. 5 ust. 1 RODO w związku z jego art. 30. Pomimo wezwania wystosowanego w tym względzie przez sąd odsyłający urząd federalny nie przedstawił bowiem kompletnego rejestru czynności przetwarzania odnoszącego się do tych akt. Tymczasem rejestr taki powinien był w przekonaniu sądu odsyłającego zostać sporządzony w momencie przetwarzania danych osobowych dotyczących skarżącego w postępowaniu głównym, to jest w dniu złożenia przez niego wniosku o przyznanie mu ochrony międzynarodowej. W opinii tego sądu, po wydaniu przez Trybunał rozstrzygnięcia w przedmiocie wniosku o wydania orzeczenia w trybie prejudycjalnym w niniejszej sprawie, urząd federalny powinien zostać przesłuchany na okoliczność przestrzegania spoczywającego na nim obowiązku rozliczalności w trybie art. 5 ust. 2 RODO.

33

Po drugie, co się tyczy przekazania akt elektronicznych za pośrednictwem skrzynki doręczeń elektronicznych w sprawach sądowych i administracyjnych, takie przekazanie stanowi w przekonaniu sądu odsyłającego „przetwarzanie” danych w rozumieniu art. 4 pkt 2 RODO, które musi być zgodne z zasadami wyrażonymi w art. 5 tego rozporządzenia. Tymczasem żadne uregulowanie krajowe nie reguluje tej procedury przekazania między organami administracji publicznej a sądami poprzez określenie zakresu odpowiedzialności odpowiednio każdego z współadministratorów i żadne uzgodnienie w tym względzie nie zostało przedstawione przez urząd federalny, pomimo wezwania wystosowanego w tej kwestii przez sąd odsyłający, co w przekonaniu tego sądu stanowi naruszenie art. 26 wspomnianego rozporządzenia. Sąd odsyłający zastanawia się zatem nad zgodnością z prawem takiego przekazania danych za pośrednictwem skrzynki doręczeń elektronicznych w sprawach sądowych i administracyjnych.

34

W szczególności zdaniem sądu odsyłającego należałoby ustalić, czy konsekwencją naruszenia obowiązków przewidzianych w art. 5, 26 i 30 RODO, skutkującego niezgodnością przetwarzania danych osobowych z prawem, powinno być usunięcie tych danych zgodnie z art. 17 ust. 1 lit. d) tego rozporządzenia, czy też ograniczenie przetwarzania zgodnie z art. 18 ust. 1 lit. b) owego rozporządzenia. Takie konsekwencje powinny zostać rozważone przynajmniej w przypadku złożenia wniosku przez zainteresowaną osobę. Sąd ten wskazuje, że w braku wspomnianych konsekwencji będzie zmuszony do uczestniczenia – w ramach postępowania sądowego – w niezgodnym z prawem przetwarzaniu wspomnianych danych. W takim przypadku interweniować mógłby, na mocy art. 58 RODO, jedynie organ nadzorczy, nakładając na zainteresowane organy administracji administracyjną karę pieniężną zgodnie z art. 83 ust. 5 lit. a) tego rozporządzenia. Niemniej, zgodnie z § 43 ust. 3 BDSG, który dokonuje transpozycji art. 83 ust. 7 wspomnianego rozporządzenia do niemieckiego porządku prawnego, na poziomie krajowym nie nakłada się administracyjnych kar pieniężnych na organy publiczne ani inne podmioty publiczne. Wynikałoby z tego, że naruszone zostały przepisy zarówno dyrektywy 2013/32, jak i RODO.

35

Ponadto sąd odsyłający uważa, że sporne w postępowaniu głównym przetwarzanie nie jest objęte zakresem stosowania art. 17 ust. 3 lit. e) RODO, który zezwala na wykorzystanie danych osobowych do celów sądowego ustalenia, dochodzenia lub obrony roszczeń przez stronę pozwaną. Prawdą jest, że w okolicznościach postępowania głównego dane zostały wykorzystane przez urząd federalny celem wywiązania się, zgodnie z art. 17 ust. 3 lit. b) tego rozporządzenia, z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Niemniej w opinii sądu odsyłającego zastosowanie tego przepisu oznaczyłoby trwałą legalizację praktyki sprzecznej z ustawodawstwem dotyczącym ochrony danych.

36

Sąd odsyłający zastanawia się zatem, w jakim stopniu może, w ramach swojej działalności sądowniczej, uwzględnić dane osobowe dostarczone w ramach takiej praktyki organu władzy wykonawczej. Jeżeli bowiem prowadzenie akt elektronicznych lub ich przekazanie za pośrednictwem skrzynki doręczeń elektronicznych w sprawach sądowych i administracyjnych należałoby uznać za przetwarzanie niezgodne z prawem w świetle RODO, to sąd ten – jak sam wskazuje – uczestniczyłby, przez fakt tego uwzględnienia, w owym niezgodnym z prawem przetwarzaniu, co stałoby w sprzeczności z celem realizowanym przez to rozporządzenie, jakim jest ochrona swobód i praw podstawowych osób fizycznych, a w szczególności ich prawa do ochrony danych osobowych.

37

W tym względzie sąd odsyłający zastanawia się również, czy okoliczność, że zainteresowana osoba wyraziła w sposób wyraźny zgodę lub sprzeciwiła się wykorzystaniu jej danych osobowych w ramach postępowania sądowego, może mieć znaczenie dla możliwości uwzględnienia tych danych. Sąd ten zwraca uwagę, że w razie gdyby nie mógł uwzględnić on danych zawartych w aktach elektronicznych „MARIS” ze względu na niezgodność z prawem prowadzenia i przekazywania tych akt, do czasu ewentualnego usunięcia tej niezgodności nie istniałaby żadna podstawa prawna dla wydania decyzji w przedmiocie wniosku skarżącego w postępowaniu głównym o przyznanie mu statusu uchodźcy. Co za tym idzie, ów sąd byłby zmuszony stwierdzić nieważność spornej decyzji.

38

W tych okolicznościach Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

39

Rząd niemiecki wyraził wątpliwości co do znaczenia pytań prejudycjalnych dla rozstrzygnięcia sporu w postępowaniu głównym, nie podnosząc jednak formalnie zarzutu niedopuszczalności. Zauważył on najpierw, że z postanowienia odsyłającego wynika, iż naruszenie przez urząd federalny art. 5 ust. 2 RODO nie zostało ostatecznie wykazane, a sąd odsyłający ograniczył się do założenia istnienia takiego naruszenia. Następnie zdaniem tego rządu ów sąd nie wskazał, że akta urzędu federalnego, przy założeniu, że nie jest on uprawniony do ich wykorzystania, są jedynymi o decydującym znaczeniu dla rozstrzygnięcia tego sporu. Wspomniany sąd ma bowiem w przekonaniu rządu niemieckiego dostęp również do innych źródeł informacji, które zgodnie z zasadą badania z urzędu powinny zostać w pełni wykorzystane w sytuacji, gdy dany organ nie przedstawia akt lub gdy akta są niekompletne. Wreszcie, w opinii tego rządu pytanie trzecie ma charakter czysto hipotetyczny, jako że z postanowienia odsyłającego nie wynika, by skarżący w postępowaniu głównym wyraził lub wyraziłby zgodę ma wykorzystanie przetwarzania dotyczących go danych osobowych przez sąd odsyłający.

40

Należy przypomnieć, że zgodnie z utrwalonym orzecznictwem Trybunału pytania dotyczące prawa Unii korzystają z domniemania posiadania znaczenia dla sprawy. Odmowa wydania przez Trybunał orzeczenia w przedmiocie przedstawionego przez sąd krajowy pytania prejudycjalnego jest możliwa tylko wtedy, gdy jest oczywiste, że wykładnia prawa Unii, o którą wniesiono, nie ma żadnego związku ze stanem faktycznym lub z przedmiotem postępowania głównego, gdy Trybunał nie dysponuje informacjami w zakresie stanu faktycznego lub prawnego niezbędnymi do udzielenia użytecznej odpowiedzi na postawione mu pytania bądź gdy problem jest natury hipotetycznej. Ponadto w ramach postępowania, o którym mowa w art. 267 TFUE, opartego na wyraźnym rozdziale zadań sądów krajowych i Trybunału, ocena stanu faktycznego sprawy oraz wykładnia i zastosowanie prawa krajowego należą wyłącznie do sądu krajowego (zob. w szczególności wyrok z dnia 24 marca 2022 r., Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, pkt 20, 21 i przytoczone tam orzecznictwo).

41

Jak wynika jasno z art. 267 akapit drugi TFUE, w ramach ścisłej współpracy między sądami krajowymi a Trybunałem, opartej na podziale zadań między nimi, do sądu krajowego należy podjęcie decyzji, w którym stadium postępowania sąd ten powinien przedłożyć Trybunałowi pytanie prejudycjalne (wyrok z dnia 17 lipca 2008 r., Coleman, C‑303/06, EU:C:2008:415, pkt 29 i przytoczone tam orzecznictwo).

42

W szczególności Trybunał orzekł już w tym względzie, że okoliczność, iż pewne kwestie faktyczne nie były do tej pory przedmiotem kontradyktoryjnego postępowania dowodowego, nie prowadzi do niedopuszczalności pytania prejudycjalnego (zob. podobnie wyrok z dnia 11 września 2014 r., Österreichischer Gewerkschaftsbund, C‑328/13, EU:C:2014:2197, pkt 19 i przytoczone tam orzecznictwo).

43

Tymczasem w niniejszej sprawie, choć z wniosku o wydanie orzeczenia w trybie prejudycjalnym wynika, że sąd odsyłający nie rozstrzygnął ostatecznie co do istnienia naruszenia przez urząd federalny obowiązków na nim spoczywających na mocy art. 5 ust. 2 RODO w związku z art. 26 i 30 tego rozporządzenia, jako że ten aspekt sporu wymaga jeszcze, zgodnie z wyjaśnieniami zawartymi w owym wniosku, wymiany stanowisk w oparciu o zasadę kontradyktoryjności, to jednak sąd ten stwierdził, że urząd federalny nie przedstawił mu, pomimo wystosowania do niego wezwania w tym zakresie, uzgodnienia dotyczącego wspólnego przetwarzania danych ani rejestru czynności przetwarzania, o których mowa w tych dwóch ostatnich artykułach.

44

Ponadto z postanowienia odsyłającego wynika, że w przekonaniu wspomnianego sądu, który jako jedyny jest właściwy w zakresie ustalenia i oceny okoliczności faktycznych, sporna decyzja została wydana wyłącznie na podstawie sporządzonych przez urząd federalny akt elektronicznych, których prowadzenie i przekazywanie mogłoby naruszać przepisy owego rozporządzenia, co z kolei mogłoby skutkować koniecznością stwierdzenia nieważności tej decyzji z przytoczonego względu.

45

Wreszcie, co się tyczy zgody skarżącego w postępowaniu głównym na wykorzystanie jego danych osobowych w ramach postępowania sądowego, wystarczy zauważyć, że trzecie pytanie prejudycjalne dotyczy właśnie ustalenia, czy w niniejszej sprawie wyrażenie takiej zgody jest konieczne, by sąd odsyłający był uprawniony do uwzględnienia tych danych.

46

W związku z powyższym, skoro do Trybunału zwrócono się z wnioskiem o wykładnię prawa Unii, który to wniosek nie jest oczywiście bez związku z rzeczywistym charakterem lub z przedmiotem sporu w postępowaniu głównym, i skoro Trybunał posiada niezbędne informacje, aby odpowiedzieć w sposób użyteczny na postawione mu pytania dotyczące znaczenia RODO dla tego sporu, powinien on na nie odpowiedzieć, nie stawiając sobie pytań odnośnie do domniemań w zakresie stanu faktycznego, na których opiera się sąd odsyłający i których sprawdzenie należy w następnej kolejności do tego sądu, o ile okaże się to konieczne (zob. analogicznie wyrok z dnia 17 lipca 2008 r., Coleman, C‑303/06, EU:C:2008:415, pkt 31 i przytoczone tam orzecznictwo).

47

W konsekwencji wniosek o wydanie orzeczenia w trybie prejudycjalnym w niniejszej sprawie należy uznać za dopuszczalny i odpowiedzieć na pytania zadane przez sąd odsyłający, z zastrzeżeniem, że to jednak do niego należy sprawdzenie, czy urząd federalny naruszył obowiązki wynikające z art. 26 i 30 RODO.

48

Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy art. 17 ust. 1 lit. d) i art. 18 ust. 1 lit. b) RODO należy interpretować w ten sposób, że naruszenie przez administratora danych obowiązków przewidzianych w art. 26 i 30 tego rozporządzenia, dotyczących, odpowiednio, przyjęcia uzgodnień dotyczących określenia współodpowiedzialności za przetwarzanie i prowadzenia rejestru czynności przetwarzania, stanowi niezgodne z prawem przetwarzanie uprawniające osobę, której dane dotyczą, do żądania usunięcia danych lub ograniczenia przetwarzania w zakresie, w jakim takie naruszenie wiąże się z uchybieniem przez administratora danych zasadzie rozliczalności wyrażonej w art. 5 ust. 2 wspomnianego rozporządzenia.

49

Zgodnie z utrwalonym orzecznictwem Trybunału przy dokonywaniu wykładni przepisu prawa Unii należy uwzględnić nie tylko jego brzmienie, ale także jego kontekst i cel aktu prawnego, którego jest on częścią (zob. w szczególności wyrok z dnia 12 stycznia 2023 r., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, pkt 32 i przytoczone tam orzecznictwo).

50

Co się tyczy w pierwszej kolejności brzmienia przepisów prawa Unii mających zastosowanie w sprawie, należy przypomnieć, że zgodnie z art. 17 ust. 1 lit. d) RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli dane osobowe były „przetwarzane niezgodnie z prawem”.

51

Podobnie, na podstawie art. 18 ust. 1 lit. b) RODO, osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w sytuacji, gdy „przetwarzanie jest niezgodne z prawem”, a osoba ta sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania.

52

Przepisy przytoczone w dwóch poprzednich punktach należy interpretować w związku z art. 5 ust. 1 tego rozporządzenia, zgodnie z którym przetwarzanie danych osobowych musi zachowywać zgodność z szeregiem zasad określonych w tym przepisie, w tym z zasadą wyrażoną w art. 5 ust. 1 lit. a) wspomnianego rozporządzenia, stanowiącym, że dane osobowe muszą być przetwarzane „zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą”.

53

Zgodnie z art. 5 ust. 2 RODO administrator danych jest odpowiedzialny, zgodnie z zasadą rozliczalności wyrażoną w tym przepisie, za przestrzeganie przepisów ust. 1 tego artykułu i musi być w stanie wykazać przestrzeganie każdej z zasad ustanowionych w owym ust. 1, przy czym ciężar dowodu takiego przestrzegania spoczywa na nim [zob. podobnie wyrok z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests (Przetwarzanie danych osobowych do celów podatkowych), C‑175/20, EU:C:2022:124, pkt 77, 78, 81].

54

Wynika z tego, że na podstawie art. 5 ust. 2 tego rozporządzenia w związku z jego art. 5 ust. 1 lit. a) administrator danych ma obowiązek zapewnienia, by przetwarzanie przez niego danych było „zgodne z prawem”.

55

Tymczasem należy stwierdzić, że zgodność przetwarzania danych z prawem stanowi właśnie przedmiot, jak wskazuje na to sam tytuł tego przepisu, art. 6 RODO, który przewiduje, że przetwarzanie jest zgodne z prawem wyłącznie w razie spełnienia co najmniej jednej z przesłanek określonych w ust. 1 akapit pierwszy lit. a)–f) tego artykułu, a mianowicie – jak wynika również z motywu 40 tego rozporządzenia – gdy osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym z lub w większej liczbie określonych celów; gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi lub gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.

56

Ten wykaz przypadków, w których przetwarzanie danych osobowych może zostać uznane za zgodne z prawem, jest wyczerpujący i zamknięty, co oznacza, że aby można było je uznać za zgodne z prawem, przetwarzanie powinno być objęte jednym z przypadków przewidzianych w art. 6 ust. 1 akapit pierwszy RODO [zob. podobnie wyroki: z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 99 i przytoczone tam orzecznictwo; z dnia 8 grudnia 2022 r., Inspektor v Inspektorata kam Visshia sadeben savet (Cele przetwarzania danych osobowych – Postępowanie karne), C‑180/21, EU:C:2022:967, pkt 83].

57

Co za tym idzie, zgodnie z orzecznictwem Trybunału każde przetwarzanie danych osobowych powinno być zgodne z zasadami określonymi w art. 5 ust. 1 tego rozporządzenia i powinno spełniać przesłanki zgodności z prawem wymienione w art. 6 wspomnianego rozporządzenia [zob. w szczególności wyroki: z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 208; z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 96; a także z dnia 20 października 2022 r., Digi, C‑77/21, EU:C:2022:805, pkt 49, 56].

58

Ponadto, w zakresie, w jakim art. 7–11 RODO, zawarte, podobnie jak art. 5 i 6 tego rozporządzenia, w jego rozdziale II, odnoszącym się do zasad przetwarzania, określają zakres obowiązków spoczywających na administratorze danych na mocy art. 5 ust. 1 lit. a) i art. 6 ust. 1 wspomnianego rozporządzenia, przetwarzanie danych osobowych, aby mogło zostać uznane za zgodne z prawem, powinno również przestrzegać, jak wynika z orzecznictwa Trybunału, tych pozostałych przepisów wspomnianego rozdziału, które dotyczą co do istoty wyrażania zgody, przetwarzania szczególnych kategorii danych osobowych szczególnie chronionych i przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa [zob. podobnie wyroki: z dnia 24 września 2019 r., GC i in. (Usunięcie linków do danych wrażliwych), C‑136/17, EU:C:2019:773, pkt 72–75; z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 100, 102, 106].

59

Tymczasem należy stwierdzić, zgodnie ze stanowiskiem wszystkich rządów, które przedstawiły w sprawie uwagi na piśmie, oraz Komisji Europejskiej, że poszanowanie przez administratora danych obowiązku przyjęcia uzgodnień określających współodpowiedzialność za przetwarzanie, przewidzianą w art. 26 RODO, i współodpowiedzialność za prowadzenie rejestru czynności przetwarzania, przewidzianą w art. 30 tego rozporządzenia, nie figuruje wśród przesłanek zgodności przetwarzania z prawem wymienionych w art. 6 ust. 1 akapit pierwszy owego rozporządzenia.

60

Ponadto, w odróżnieniu od art. 7–11 RODO, art. 26 i 30 tego rozporządzenia nie uściślają zakresu wymogów określonych w art. 5 ust. 1 lit. a) i w art. 6 ust. 1 wspomnianego rozporządzenia.

61

Z samego brzmienia art. 5 ust. 1 lit. a) i art. 6 ust. 1 akapit pierwszy RODO można zatem wyprowadzić wniosek, że naruszenie przez administratora danych obowiązków przewidzianych w art. 26 i 30 tego rozporządzenia nie stanowi „niezgodnego z prawem przetwarzania” w rozumieniu art. 17 ust. 1 lit. d) i art. 18 ust. 1 lit. b) wspomnianego rozporządzenia, które to przetwarzanie byłoby wynikiem naruszenia przez tego administratora zasady rozliczalności wyrażonej w art. 5 ust. 2 tego samego rozporządzenia.

62

Za wykładnią tą przemawia w drugiej kolejności kontekst, w który wpisują się te poszczególne przepisy. Z samej struktury RODO, a co za tym idzie, z jego systematyki, wynika bowiem jasno, że akt ten wprowadza rozróżnienie między z jednej strony „zasadami”, stanowiącymi przedmiot jego rozdziału II, zawierającego między innymi art. 5 i 6 tego rozporządzenia, a z drugiej strony „obowiązkami ogólnymi”, wchodzącymi w skład sekcji 1 rozdziału IV wspomnianego rozporządzenia, odnoszącej się do administratorów danych, wśród których znajdują się obowiązki, o których mowa w art. 26 i 30 tego samego rozporządzenia.

63

To rozróżnienie zostało ponadto odzwierciedlone w rozdziale VIII RODO, dotyczącym sankcji, przy czym naruszenia art. 26 i 30 tego rozporządzenia z jednej strony i jego art. 5 i 6 z drugiej strony są przedmiotem, odpowiednio, ust. 4 i 5 art. 83 owego rozporządzenia, a administracyjne kary pieniężne mogą osiągnąć określoną wysokość, różną w zależności od mającego zastosowanie ustępu, stosownie do uznanej przez prawodawcę Unii powagi tych odpowiednich naruszeń.

64

W trzeciej i ostatniej kolejności za wykładnią literalną RODO przedstawioną w pkt 61 niniejszego wyroku przemawia cel realizowany przez to rozporządzenie, sformułowany w jego art. 1 oraz w motywach 1 i 10, polegający w szczególności na zagwarantowaniu wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a zwłaszcza ich prawa do życia prywatnego, w zakresie przetwarzania danych osobowych, które ich dotyczą, ustanowionego w art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej i w art. 16 ust. 1 TFUE (zob. podobnie wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, pkt 125 i przytoczone tam orzecznictwo).

65

Brak uzgodnienia określającego współodpowiedzialność przyjętego na mocy art. 26 RODO lub rejestru czynności przetwarzania w rozumieniu art. 30 tego rozporządzenia nie wystarcza bowiem sam w sobie do wykazania istnienia naruszenia prawa podstawowego do ochrony danych osobowych. W szczególności, choć prawdą jest, że – jak wynika z motywów 79 i 82 wspomnianego rozporządzenia – jasny podział obowiązków między współadministratorami danych i rejestr czynności przetwarzania stanowią środki pozwalające zapewnić poszanowanie przez tych współadministratorów przewidzianych przez owo rozporządzenie gwarancji ochrony praw i wolności osób, których dane dotyczą, to jednak brak takiego rejestru lub uzgodnienia sam w sobie nie dowodzi naruszenia tych praw i wolności.

66

Wynika z tego, że naruszenie art. 26 i 30 RODO przez administratora danych nie stanowi „niezgodnego z prawem przetwarzania” w rozumieniu art. 17 ust. 1 lit. d) lub art. 18 ust. 1 lit. b) tego rozporządzenia w związku z jego art. 5 ust. 1 lit. a) i art. 6 ust. 1 akapit pierwszy, uprawniającego osobę, której dane dotyczą, do żądania usunięcia jej danych lub ograniczenia przetwarzania.

67

Jak podniosły wszystkie rządy, które przedstawiły w sprawie uwagi na piśmie, oraz Komisja, takiemu naruszeniu należy więc zadośćuczynić poprzez zastosowanie innych środków przewidzianych przez RODO, takich jak wykonanie przez organ nadzorczy „uprawnień naprawczych” w rozumieniu art. 58 ust. 2 tego rozporządzenia, w szczególności, zgodnie z lit. d) tego przepisu, nakazanie dostosowania operacji przetwarzania do przepisów owego rozporządzenia, wniesienie skargi do organu nadzorczego zgodnie z art. 77 ust. 1 owego rozporządzenia lub naprawienie szkody ewentualnie wyrządzonej przez administratora danych zgodnie z art. 82 tego samego rozporządzenia.

68

Wreszcie, zważywszy na zastrzeżenia wyrażone przez sąd odsyłający, należy jeszcze uściślić, że okoliczność, iż w niniejszej sprawie nałożenie administracyjnej kary pieniężnej na mocy art. 58 ust. 2 lit. i) i art. 83 RODO jest wykluczone przez prawo krajowe zakazujące zastosowania tego typu sankcji do urzędu federalnego, nie podważa możliwości skutecznego zastosowania tego rozporządzenia. Wystarczy bowiem wskazać w tym względzie, że art. 83 ust. 7 wspomnianego rozporządzenia przyznaje państwom członkowskim wyraźnie uprawnienie do określenia, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim. Ponadto różne alternatywne środki przewidziane przez RODO, wymienione w poprzednim punkcie, pozwalają zapewnić takie skuteczne stosowanie.

69

W konsekwencji na pytanie pierwsze należy odpowiedzieć, że art. 17 ust. 1 lit. d) i art. 18 ust. 1 lit. b) RODO należy interpretować w ten sposób, że naruszenie przez administratora danych obowiązków przewidzianych w art. 26 i 30 tego rozporządzenia, dotyczących, odpowiednio, przyjęcia uzgodnień dotyczących określenia współodpowiedzialności za przetwarzanie i prowadzenia rejestru czynności przetwarzania, nie stanowi niezgodnego z prawem przetwarzania uprawniającego osobę, której dane dotyczą, do żądania usunięcia danych lub ograniczenia przetwarzania w zakresie, w jakim takie naruszenie nie wiąże się jako takie z uchybieniem przez administratora danych zasadzie rozliczalności wyrażonej w art. 5 ust. 2 wspomnianego rozporządzenia w związku z jego art. 5 ust. 1 lit. a) i art. 6 ust. 1 akapit pierwszy.

70

Mając na uwadze odpowiedź udzieloną na pytanie pierwsze, nie ma potrzeby odpowiadania na pytanie drugie.

71

Poprzez pytanie trzecie sąd odsyłający dąży w istocie do ustalenia, czy prawo Unii należy interpretować w ten sposób, że w sytuacji, gdy administrator danych osobowych naruszył spoczywające na nim na mocy art. 26 i 30 RODO obowiązki, zgodność z prawem uwzględnienia przez sąd krajowy takich danych jest uzależniona od zgody osoby, której dane dotyczą.

72

W tym względzie należy stwierdzić, że z samego brzmienia art. 6 ust. 1 akapit pierwszy tego rozporządzenia jasno wynika, że zgoda osoby, której dane dotyczą, wymieniona w lit. a) tego akapitu, stanowi tylko jedną z przesłanek zgodności przetwarzania z prawem, zgoda taka nie jest natomiast wymagana w ramach pozostałych przesłanek zgodności przetwarzania z prawem, wymienionych w lit. b)–f) tego akapitu, opartych co do istoty na konieczności przetwarzania dla realizacji określonych celów (zob. analogicznie wyrok z dnia 11 grudnia 2019 r., Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, pkt 41).

73

Tymczasem w sytuacji, w której sąd wykonuje swoje uprawnienia sądownicze powierzone mu przez prawo krajowe, przetwarzanie danych osobowych przez ten sąd musi zostać uznane za konieczne dla realizacji celu określonego w art. 6 ust. 1 akapit pierwszy lit. e) wspomnianego rozporządzenia, dotyczącego wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

74

Jako że, po pierwsze, wystarczy, by jedna z przesłanek określonych w art. 6 ust. 1 RODO została spełniona, aby można było uznać przetwarzanie za zgodne z prawem, a po drugie, jak zostało stwierdzone w pkt 61 niniejszego wyroku, uchybienie art. 26 i 30 tego rozporządzenia nie stanowi niezgodnego z prawem przetwarzania, uwzględnienie przez sąd odsyłający danych osobowych, które urząd federalny miał przetwarzać z naruszeniem obowiązków przewidzianych w tych ostatnich artykułach, nie podlega konieczności uzyskania zgody osoby, której dane dotyczą.

75

W konsekwencji na pytanie trzecie należy odpowiedzieć, że prawo Unii należy interpretować w ten sposób, że w sytuacji, gdy administrator danych osobowych naruszył spoczywające na nim na mocy art. 26 i 30 RODO obowiązki, zgodność z prawem uwzględnienia przez sąd krajowy takich danych nie jest uzależniona od zgody osoby, której dane dotyczą.

76

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (piąta izba) orzeka, co następuje: