–

pentru UZ, de J. Leuschner, Rechtsanwalt;

–

pentru guvernul german, de J. Möller și P.‑L. Krüger, în calitate de agenți;

–

pentru guvernul ceh, de O. Serdula, M. Smolek și J. Vláčil, în calitate de agenți;

–

pentru guvernul francez, de A.‑L. Desjonquères și J. Illouz, în calitate de agenți;

–

pentru guvernul austriac, de A. Posch, M.‑T. Rappersberger și J. Schmoll, în calitate de agenți;

–

pentru guvernul polonez, de B. Majczyna, în calitate de agent;

–

pentru Comisia Europeană, de A. Bouchagiar, F. Erlbacher și H. Kranenborg, în calitate de agenți,

1

Cererea de decizie preliminară privește interpretarea articolului 5, a articolului 17 alineatul (1) litera (d), a articolului 18 alineatul (1) litera (b), a articolului 26 și a articolului 30 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, rectificare în JO 2018, L 127, p. 2, denumit în continuare „RGPD”).

2

Această cerere a fost formulată în cadrul unui litigiu între UZ, un resortisant al unei țări terțe, pe de o parte, și Bundesrepublik Deutschland (Republica Federală Germania), reprezentată de Bundesamt für Migration und Flüchtlinge (Oficiul Federal pentru Migrație și Refugiați, Germania) (denumit în continuare „Oficiul Federal”), pe de altă parte, în legătură cu examinarea cererii de protecție internațională formulate de acest resortisant.

3

Considerentul (52) al Directivei 2013/32/UE a Parlamentului European și a Consiliului din 26 iunie 2013 privind procedurile comune de acordare și retragere a protecției internaționale (reformare) (JO 2013, L 180, p. 60) are următorul cuprins:

„Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date [(JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10)] reglementează prelucrarea datelor cu caracter personal efectuată în statele membre în temeiul prezentei directive.”

4

Considerentele (1), (10), (40), (74), (79) și (82) ale RGPD sunt redactate după cum urmează:

[…]

[…]

[…]

[…]

[…]

5

Capitolul I din RGPD, intitulat „Dispoziții generale”, cuprinde articolele 1-4.

6

Potrivit articolului 1 din acest regulament, intitulat „Obiect și obiective”:

„(1)   Prezentul regulament stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu caracter personal.

(2)   Prezentul regulament asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și în special a dreptului acestora la protecția datelor cu caracter personal.

[…]”

7

Articolul 4 din regulamentul menționat, intitulat „Definiții”, prevede la punctele 2, 7 și 21:

[…]

[…]

[…]”

8

Capitolul II din RGPD, intitulat „Principii”, cuprinde articolele 5-11.

9

Articolul 5 din acest regulament, intitulat „Principii legate de prelucrarea datelor cu caracter personal”, prevede:

„(1)   Datele cu caracter personal sunt:

(2)   Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”

10

Articolul 6 din regulamentul menționat, intitulat „Legalitatea prelucrării”, prevede la alineatul (1):

„Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor.”

11

Articolul 7 din RGPD se referă la condițiile privind consimțământul, în timp ce articolul 8 din acest regulament stabilește condițiile aplicabile în ceea ce privește consimțământul copiilor în legătură cu serviciile societății informaționale.

12

Articolul 9 din respectivul regulament, intitulat „Prelucrarea de categorii speciale de date cu caracter personal”, interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

13

Articolul 10 din regulamentul menționat, intitulat „Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni”, privește prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe în temeiul articolului 6 alineatul (1) din același regulament.

14

Capitolul III din RGPD, intitulat „Drepturile persoanei vizate”, cuprinde articolele 12-23.

15

Articolul 17 din acest regulament, intitulat „Dreptul la ștergerea datelor («dreptul de a fi uitat»)”, are următorul cuprins:

„(1)   Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:

[…]

[…]

(3)   Alineatele (1) și (2) nu se aplică în măsura în care prelucrarea este necesară:

[…]

[…]

16

Potrivit articolului 18 din regulamentul menționat, intitulat „Dreptul la restricționarea prelucrării”:

„(1)   Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării în cazul în care se aplică unul din următoarele cazuri:

[…]

[…]

(2)   În cazul în care prelucrarea a fost restricționată în temeiul alineatului (1), astfel de date cu caracter personal pot, cu excepția stocării, să fie prelucrate numai cu consimțământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanță sau pentru protecția drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.

[…]”

17

Capitolul IV din RGPD, intitulat „Operatorul și persoana împuternicită de operator”, cuprinde articolele 24-43.

18

Figurând în secțiunea 1 din acest capitol, intitulată „Obligații generale”, articolul 26 din acest regulament, intitulat „Operatori asociați”, are următorul cuprins:

„(1)   În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare, aceștia sunt operatori asociați. Ei stabilesc într‑un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește exercitarea drepturilor persoanelor vizate și îndatoririle fiecăruia de furnizare a informațiilor prevăzute la articolele 13 și 14, prin intermediul unui acord între ei, cu excepția cazului și în măsura în care responsabilitățile operatorilor sunt stabilite în dreptul Uniunii sau în dreptul intern care se aplică acestora. Acordul poate să desemneze un punct de contact pentru persoanele vizate.

(2)   Acordul menționat la alineatul (1) reflectă în mod adecvat rolurile și raporturile respective ale operatorilor asociați față de persoanele vizate. Esența acestui acord este făcută cunoscută persoanei vizate.

(3)   Indiferent de clauzele acordului menționat la alineatul (1), persoana vizată își poate exercita drepturile în temeiul prezentului regulament cu privire la fiecare dintre operatori și în raport cu fiecare dintre operatori.”

19

Articolul 30 din regulamentul menționat, intitulat „Evidențele activităților de prelucrare”, prevede:

„(1)   Fiecare operator și, după caz, reprezentantul acestuia păstrează o evidență a activităților de prelucrare desfășurate sub responsabilitatea lor. Respectiva evidență cuprinde toate informațiile următoare:

[…]

(4)   Operatorul sau persoana împuternicită de acesta, precum și, după caz, reprezentantul operatorului sau al persoanei împuternicite de operator pun evidențele la dispoziția autorității de supraveghere, la cererea acesteia.

[…]”

20

Figurând în capitolul VI din RGPD, intitulat „Autorități de supraveghere independente”, articolul 58 din acesta, intitulat „Competențe”, prevede la alineatul (2):

„Fiecare autoritate de supraveghere are toate următoarele competențe corective:

21

Capitolul VIII din acest regulament, intitulat „Căi de atac, răspundere și sancțiuni”, cuprinde articolele 77-84.

22

Articolul 77 din regulamentul menționat, intitulat „Dreptul de a depune o plângere la o autoritate de supraveghere”, prevede la alineatul (1):

„Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament.”

23

Articolul 82 din RGPD, intitulat „Dreptul la despăgubiri și răspunderea”, prevede la alineatele (1) și (2):

„(1)   Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.

(2)   Orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă prezentul regulament. Persoana împuternicită de operator este răspunzătoare pentru prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligațiile din prezentul regulament care revin în mod specific persoanelor împuternicite de operator sau a acționat în afara sau în contradicție cu instrucțiunile legale ale operatorului.”

24

Articolul 83 din acest regulament, intitulat „Condiții generale pentru impunerea amenzilor administrative”, prevede la alineatele (4), (5) și (7):

„(4)   Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 10000000 [de euro] sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându‑se în calcul cea mai mare valoare:

[…]

(5)   Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 20000000 [de euro] sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându‑se în calcul cea mai mare valoare:

[…]

(7)   Fără a aduce atingere competențelor corective ale autorităților de supraveghere menționate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă și în ce măsură pot fi impuse amenzi administrative autorităților publice și organismelor publice stabilite în statul membru respectiv.”

25

Figurând în capitolul XI din regulamentul menționat, intitulat „Dispoziții finale”, articolul 94 din acesta, intitulat „Abrogarea Directivei 95/46/CE”, prevede:

„(1)   [Directiva] 95/46/CE se abrogă cu efect de la 25 mai 2018.

(2)   Trimiterile la directiva abrogată se interpretează ca trimiteri la prezentul regulament. Trimiterile la Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit prin articolul 29 din Directiva 95/46/CE se interpretează ca trimiteri la Comitetul european pentru protecția datelor instituit prin prezentul regulament.”

26

Articolul 43 din Bundesdatenschutzgesetz (Legea federală privind protecția datelor) din 20 decembrie 1990 (BGBl. 1990 I, p. 2954), în versiunea aplicabilă litigiului principal (denumită în continuare „BDSG”), intitulat „Dispoziții privind amenzile administrative”, prevede la alineatul (3):

„Nu se poate aplica nicio amendă administrativă autorităților publice și altor organisme publice în sensul articolului 2 alineatul (1) [din BDSG].”

27

La 7 mai 2019, reclamantul din litigiul principal a depus o cerere de protecție internațională la Oficiul Federal, care a respins‑o.

28

Pentru a adopta decizia de respingere (denumită în continuare „decizia în litigiu”), Oficiul Federal s‑a întemeiat pe dosarul electronic „MARIS” pe care l‑a întocmit, care conține datele cu caracter personal referitoare la reclamantul din litigiul principal.

29

Acesta din urmă a formulat o acțiune împotriva deciziei în litigiu la Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden, Germania), care este instanța de trimitere în prezenta cauză. Dosarul electronic „MARIS” a fost transmis acestei instanțe, în cadrul unei proceduri comune în temeiul articolului 26 din RGPD, prin intermediul căsuței poștale electronice judiciare și administrative (Elektronisches Gerichts- und Verwaltungspostfach), care este gestionată de un organism public care face parte din puterea executivă.

30

Instanța de trimitere arată că din considerentul (52) al Directivei 2013/32 reiese că prelucrarea datelor cu caracter personal efectuată de statele membre în cadrul procedurilor de acordare a protecției internaționale este guvernată de RGPD.

31

Această instanță are însă îndoieli că ținerea dosarului electronic întocmit de Oficiul Federal și transmiterea către ea a acestui dosar prin căsuța poștală electronică judiciară și administrativă sunt conforme cu respectivul regulament.

32

Pe de o parte, în ceea ce privește ținerea dosarului electronic, nu s‑ar fi demonstrat că Oficiul Federal se conformează dispozițiilor coroborate ale articolului 5 alineatul (1) și ale articolului 30 din RGPD. Astfel, în pofida unei cereri adresate în acest scop de instanța de trimitere, Oficiul Federal nu ar fi prezentat o evidență completă a activităților de prelucrare referitoare la acest dosar. Or, o asemenea evidență ar fi trebuit să fie întocmită la momentul prelucrării datelor cu caracter personal referitoare la reclamantul din litigiul principal, și anume la data depunerii cererii sale de protecție internațională. Oficiul Federal ar trebui să fie ascultat cu privire la chestiunea responsabilității sale, în temeiul articolului 5 alineatul (2) din RGPD, după ce Curtea se va pronunța cu privire la prezenta cerere de decizie preliminară.

33

Pe de altă parte, în ceea ce privește transmiterea dosarului electronic prin intermediul căsuței poștale electronice judiciare și administrative, o atare transmitere ar constitui o „prelucrare” a datelor, în sensul articolului 4 punctul 2 din RGPD, care trebuie să fie conformă cu principiile prevăzute la articolul 5 din acest regulament. Or nicio reglementare națională nu ar guverna această procedură de transmitere între autoritățile administrative și instanțe prin definirea responsabilităților respective ale operatorilor asociați – situație care încalcă articolul 26 din regulamentul menționat – și niciun acord în acest sens nu ar fi fost prezentat de Oficiul Federal, în pofida unei cereri adresate în acest scop de instanța de trimitere. Aceasta din urmă ridică astfel problema legalității acestui transfer de date prin intermediul căsuței poștale electronice judiciare și administrative.

34

În special, potrivit instanței de trimitere, ar trebui să se stabilească dacă nerespectarea obligațiilor prevăzute la articolele 5, 26 și 30 din RGPD, din care ar decurge caracterul ilicit al prelucrării datelor cu caracter personal, trebuie sancționată prin ștergerea acestor date, în conformitate cu articolul 17 alineatul (1) litera (d) din acest regulament, sau printr‑o restricționare a prelucrării, în conformitate cu articolul 18 alineatul (1) litera (b) din regulamentul menționat. Asemenea sancțiuni ar trebui luate în considerare cel puțin atunci când există o cerere din partea persoanei vizate. În caz contrar, această instanță ar fi obligată să participe la o prelucrare ilegală a datelor menționate în cadrul procedurii jurisdicționale. Într‑o asemenea situație, numai autoritatea de supraveghere ar putea interveni, în temeiul articolului 58 din RGPD, aplicând autorităților publice în cauză o amendă administrativă, în temeiul articolului 83 alineatul (5) litera (a) din acest regulament. Cu toate acestea, în conformitate cu articolul 43 alineatul (3) din BDSG, care transpune articolul 83 alineatul (7) din regulamentul menționat, o amendă administrativă nu ar putea fi aplicată, la nivel național, autorităților publice și altor organisme publice. Ar rezulta că nici Directiva 2013/32, nici RGPD nu ar fi respectate.

35

Pe de altă parte, instanța de trimitere consideră că prelucrarea în discuție în litigiul principal nu intră sub incidența articolului 17 alineatul (3) litera (e) din RGPD, care permite utilizarea datelor cu caracter personal pentru constatarea, exercitarea sau apărarea unui drept în instanță de către pârâtă. Desigur, în speță datele ar fi utilizate de Oficiul Federal pentru a respecta, în conformitate cu articolul 17 alineatul (3) litera (b) din acest regulament, o obligație legală care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul. Totuși, dacă această dispoziție ar fi aplicată, acest lucru ar echivala cu legalizarea durabilă a unei practici contrare legislației privind protecția datelor.

36

Prin urmare, instanța respectivă se întreabă în ce măsură poate, în cadrul activității sale jurisdicționale, să ia în considerare datele cu caracter personal furnizate în cadrul unei asemenea proceduri care ține de puterea executivă. Astfel, dacă ținerea dosarului electronic sau transmiterea sa prin căsuța poștală electronică judiciară și administrativă ar trebui calificată drept prelucrare ilegală în raport cu RGPD, instanța menționată ar participa, printr‑o asemenea luare în considerare, la prelucrarea ilicită în cauză, ceea ce ar fi contrar obiectivului urmărit de acest regulament, care constă în protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și în special a dreptului lor la protecția datelor cu caracter personal.

37

În această privință, instanța de trimitere ridică și problema dacă împrejurarea că persoana vizată și‑a dat consimțământul expres sau se opune utilizării datelor sale cu caracter personal în cadrul unei proceduri jurisdicționale poate influența posibilitatea luării în considerare a acestor date. În cazul în care această instanță nu ar putea lua în considerare datele cuprinse în dosarul electronic„MARIS” din cauza nelegalităților care afectează ținerea și transmiterea acestui dosar, nu ar exista niciun temei juridic, în așteptarea unei eventuale regularizări a acestor nelegalități, pentru a lua o decizie cu privire la cererea reclamantului din litigiul principal privind acordarea statutului de refugiat. În consecință, instanța menționată ar trebui să anuleze decizia în litigiu.

38

În aceste condiții, Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

39

Fără a ridica în mod formal o excepție de inadmisibilitate, guvernul german exprimă îndoieli cu privire la pertinența întrebărilor preliminare pentru soluționarea litigiului principal. Mai întâi, din decizia de trimitere ar reieși că nerespectarea de către Oficiul Federal a articolului 5 alineatul (2) din RGPD nu este stabilită definitiv, instanța de trimitere limitându‑se să prezume această nerespectare. În continuare, această instanță nu ar fi arătat că dosarele Oficiului Federal, presupunând că nu ar fi autorizată să le utilizeze, ar fi singurele decisive pentru soluționarea acestui litigiu. Astfel, ea ar dispune și de alte surse de informații, care, în temeiul principiului oficialității instrumentării cauzei, ar trebui să fie utilizate pe deplin atunci când o autoritate nu prezintă dosare sau când acestea sunt incomplete. În sfârșit, a treia întrebare ar fi vădit ipotetică, întrucât din decizia de trimitere nu ar reieși că reclamantul din litigiul principal ar fi consimțit sau ar consimți la exploatarea prelucrării datelor sale cu caracter personal de către instanța de trimitere.

40

Trebuie amintit că, în temeiul unei jurisprudențe constante a Curții, întrebările referitoare la dreptul Uniunii beneficiază de o prezumție de pertinență. Curtea poate refuza să se pronunțe asupra unei întrebări preliminare adresate de o instanță națională numai dacă este evident că interpretarea solicitată a dreptului Uniunii nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util la întrebările care i‑au fost adresate sau atunci când problema este de natură ipotetică. În plus, în cadrul procedurii prevăzute la articolul 267 TFUE, întemeiată pe o separare clară a funcțiilor între instanțele naționale și Curte, instanța națională este singura competentă să constate și să aprecieze situația de fapt din litigiul principal (a se vedea în special Hotărârea din 24 martie 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, punctele 20 și 21, precum și jurisprudența citată).

41

Așa cum reiese cu claritate din al doilea paragraf al articolului 267 TFUE, în cadrul cooperării strânse dintre instanțele naționale și Curte, întemeiată pe repartizarea funcțiilor între acestea, revine instanței de trimitere sarcina de a decide în ce stadiu al procedurii este necesar să adreseze o întrebare preliminară Curții (Hotărârea din 17 iulie 2008, Coleman, C‑303/06, EU:C:2008:415, punctul 29 și jurisprudența citată).

42

În special, Curtea a statuat deja în această privință că împrejurarea că unele aspecte factuale nu au făcut încă obiectul unei proceduri contradictorii de administrare a probelor nu este, ca atare, de natură să determine inadmisibilitatea unei întrebări preliminare (a se vedea în acest sens Hotărârea din 11 septembrie 2014, Österreichischer Gewerkschaftsbund, C‑328/13, EU:C:2014:2197, punctul 19 și jurisprudența citată).

43

Or, în speță, chiar dacă din cererea de decizie preliminară reiese că instanța de trimitere nu s‑a pronunțat definitiv cu privire la existența unei încălcări de către Oficiul Federal a obligațiilor care îi revin în temeiul articolului 5 alineatul (2) din RGPD coroborat cu articolele 26 și 30 din respectivul regulament, acest aspect al litigiului principal trebuind să facă încă, potrivit indicațiilor furnizate în cererea menționată, obiectul unei dezbateri în contradictoriu, această instanță a constatat totuși că nici acordul referitor la prelucrarea în comun a datelor, nici evidența activităților de prelucrare, vizate de aceste ultime două dispoziții, nu au fost prezentate de Oficiul Federal în calitate de operator, în pofida cererii pe care i‑a adresat‑o în acest scop.

44

Pe de altă parte, din decizia de trimitere reiese că, în opinia instanței amintite, singura căreia îi revine sarcina de a constata și de a aprecia faptele, decizia în litigiu a fost adoptată numai pe baza dosarului electronic întocmit de Oficiul Federal, a cărui ținere și transmitere ar putea încălca normele prevăzute de regulamentul menționat, astfel încât această decizie ar putea fi anulată pentru acest motiv.

45

În sfârșit, în ceea ce privește consimțământul reclamantului din litigiul principal pentru utilizarea datelor sale cu caracter personal în cadrul procedurii jurisdicționale, este suficient să se arate că a treia întrebare preliminară urmărește tocmai să se stabilească dacă este necesar în speță ca un atare consimțământ să fie exprimat pentru ca instanța de trimitere să fie autorizată să ia în considerare datele respective.

46

În aceste condiții, din moment ce Curtea este astfel sesizată cu o cerere de interpretare a dreptului Uniunii care nu este în mod vădit fără legătură cu realitatea sau cu obiectul litigiului principal și din moment ce dispune de datele necesare pentru a răspunde în mod util la întrebările care îi sunt adresate, referitoare la incidența RGPD în litigiul principal, ea trebuie să răspundă la întrebări fără a trebui să ia în considerare ea însăși faptele așa cum au fost prezumate de instanța de trimitere, prezumție pe care aceasta din urmă va avea sarcina să o verifice ulterior, dacă se va dovedi necesar (a se vedea prin analogie Hotărârea din 17 iulie 2008, Coleman, C‑303/06, EU:C:2008:415, punctul 31 și jurisprudența citată).

47

În consecință, trebuie să se considere că prezenta cerere de decizie preliminară este admisibilă și să se răspundă la întrebările adresate de instanța de trimitere, înțelegându‑se că revine însă acesteia din urmă sarcina de a verifica dacă Oficiul Federal nu a respectat obligațiile prevăzute la articolele 26 și 30 din RGPD.

48

Prin intermediul primei întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 17 alineatul (1) litera (d) și articolul 18 alineatul (1) litera (b) din RGPD trebuie interpretate în sensul că nerespectarea de către operator a obligațiilor prevăzute la articolele 26 și 30 din acest regulament, referitoare la încheierea unui acord care stabilește responsabilitatea comună pentru prelucrare și, respectiv, la ținerea unei evidențe a activităților de prelucrare, constituie o prelucrare ilegală care conferă persoanei vizate un drept la ștergerea sau la restricționarea prelucrării, din moment ce o astfel de nerespectare implică o încălcare de către operator a principiului „responsabilității”, așa cum este enunțat la articolul 5 alineatul (2) din regulamentul menționat.

49

Potrivit jurisprudenței constante a Curții, în vederea interpretării unei dispoziții de drept al Uniunii, trebuie să se țină seama nu numai de termenii acesteia, ci și de contextul său și de obiectivele urmărite de reglementarea din care face parte această dispoziție (a se vedea în acest sens în special Hotărârea din 12 ianuarie 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punctul 32 și jurisprudența citată).

50

În ceea ce privește, în primul rând, modul de redactare a dispozițiilor relevante ale dreptului Uniunii, trebuie amintit că, în conformitate cu articolul 17 alineatul (1) litera (d) din RGPD, persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care acestea au fost „prelucrate ilegal”.

51

De asemenea, în temeiul articolului 18 alineatul (1) litera (b) din RGPD, persoana vizată, în cazul în care se opune ștergerii unor astfel de date și solicită în schimb restricționarea utilizării lor, are dreptul de a obține din partea operatorului restricționarea prelucrării în cazul în care „prelucrarea este ilegală”.

52

Dispozițiile menționate la cele două puncte anterioare trebuie coroborate cu articolul 5 alineatul (1) din acest regulament, potrivit căruia prelucrarea datelor cu caracter personal trebuie să respecte un anumit număr de principii care sunt enunțate la această dispoziție, printre care cel care figurează la articolul 5 alineatul (1) litera (a) din regulamentul menționat, care precizează că datele cu caracter personal sunt prelucrate „în mod legal, echitabil și transparent față de persoana vizată”.

53

Potrivit alineatului (2) al articolului 5 din RGPD, operatorul, în conformitate cu principiul „responsabilității” enunțat la această dispoziție, este responsabil de respectarea alineatului (1) al acestui articol și trebuie să fie în măsură să demonstreze că respectă fiecare dintre principiile enunțate la alineatul (1) respectiv, o asemenea probă fiind pusă, așadar, în sarcina sa [a se vedea în acest sens Hotărârea din 24 februarie 2022, Valsts ieņēmumu dienests (Prelucrarea datelor cu caracter personal în scopuri fiscale), C‑175/20, EU:C:2022:124, punctele 77, 78 și 81].

54

Rezultă că, în temeiul alineatului (2) al articolului 5 din regulamentul menționat coroborat cu alineatul (1) litera (a) al acestui articol, operatorul trebuie să se asigure că prelucrarea datelor pe care o efectuează este „legală”.

55

Or, este necesar să se constate că legalitatea prelucrării face exact obiectul, așa cum reiese din însuși titlul său, al articolului 6 din RGPD, care prevede că prelucrarea este legală numai dacă este îndeplinită cel puțin una dintre condițiile prevăzute la alineatul (1) primul paragraf literele (a)-(f) al acestui articol, și anume, după cum reiese și din considerentul (40) al acestui regulament, fie că persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice, fie prelucrarea este necesară pentru unul dintre scopurile vizate, care privesc executarea unui contract la care persoana vizată este parte sau, respectiv, a unor demersuri la cererea persoanei vizate înainte de încheierea unui contract, îndeplinirea unei obligații legale care îi revine operatorului, protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, precum și interesele legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate.

56

Această listă a cazurilor în care o prelucrare a datelor cu caracter personal poate fi considerată legală este exhaustivă și limitativă, astfel încât, pentru a putea fi considerată legală, o prelucrare trebuie să se încadreze în unul dintre cazurile prevăzute la articolul 6 alineatul (1) primul paragraf din RGPD [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 99 și jurisprudența citată, precum și Hotărârea din 8 decembrie 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Scopurile prelucrării datelor cu caracter personal – Anchetă penală), C‑180/21, EU:C:2022:967, punctul 83].

57

Astfel, potrivit jurisprudenței Curții, orice prelucrare de date cu caracter personal trebuie să fie conformă cu principiile referitoare la prelucrarea datelor enunțate la articolul 5 alineatul (1) din acest regulament și să îndeplinească condițiile de legalitate a prelucrării enumerate la articolul 6 din regulamentul menționat [a se vedea în special Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 208, Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 96, precum și Hotărârea din 20 octombrie 2022, Digi, C‑77/21, EU:C:2022:805, punctele 49 și 56].

58

Pe de altă parte, în măsura în care articolele 7-11 din RGPD, care figurează, asemenea articolelor 5 și 6 din acesta, în capitolul II din respectivul regulament, care se referă la principii, au ca obiect precizarea întinderii obligațiilor care revin operatorului în temeiul articolului 5 alineatul (1) litera (a) și al articolului 6 alineatul (1) din regulamentul menționat, prelucrarea datelor cu caracter personal, pentru a fi legală, trebuie de asemenea să respecte, după cum reiese din jurisprudența Curții, aceste alte dispoziții din capitolul menționat, care privesc în esență consimțământul, prelucrarea unor categorii speciale de date cu caracter sensibil și prelucrarea datelor cu caracter personal referitoare la condamnări penale și la infracțiuni [a se vedea în acest sens Hotărârea din 24 septembrie 2019, GC și alții (Dezindexarea unor date sensibile), C‑136/17, EU:C:2019:773, punctele 72-75, precum și Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctele 100, 102 și 106].

59

Or, trebuie să se constate, așa cum au procedat toate guvernele care au depus observații scrise, precum și Comisia Europeană, că respectarea de către operator a obligației de a încheia un acord care determină responsabilitatea comună privind prelucrarea, prevăzută la articolul 26 din RGPD, și a celei de a ține o evidență a activităților de prelucrare, enunțată la articolul 30 din acest regulament, nu figurează printre motivele de legalitate a prelucrării enunțate la articolul 6 alineatul (1) primul paragraf din regulamentul menționat.

60

În plus, spre deosebire de articolele 7-11 din RGPD, articolele 26 și 30 din acest regulament nu au ca obiect precizarea conținutului cerințelor prevăzute la articolul 5 alineatul (1) litera (a) și la articolul 6 alineatul (1) din regulamentul amintit.

61

Prin urmare, din însuși modul de redactare a articolului 5 alineatul (1) litera (a) și a articolului 6 alineatul (1) primul paragraf din RGPD se deduce că încălcarea de către operator a obligațiilor prevăzute la articolele 26 și 30 din acest regulament nu constituie o „prelucrare ilegală”, în sensul articolului 17 alineatul (1) litera (d) și al articolului 18 alineatul (1) litera (b) din regulamentul menționat, care ar decurge din încălcarea de către acesta a principiului „responsabilității”, așa cum este enunțat la articolul 5 alineatul (2) din același regulament.

62

Această interpretare este confirmată, în al doilea rând, de contextul în care se înscriu aceste diferite dispoziții. Astfel, reiese cu claritate din însăși structura RGPD și, prin urmare, din economia sa că el distinge între, pe de o parte, „principii”, care fac obiectul capitolului II din acesta, ce cuprinde printre altele articolele 5 și 6 din respectivul regulament, și, pe de altă parte, „obligații generale”, care fac parte din secțiunea 1 din capitolul IV din regulamentul menționat, referitor la operatori, printre care figurează obligațiile prevăzute la articolele 26 și 30 din același regulament.

63

Această distincție se reflectă de altfel în capitolul VIII din RGPD referitor la sancțiuni, încălcările articolelor 26 și 30 din regulamentul amintit, pe de o parte, și cele ale articolelor 5 și 6 din acesta, pe de altă parte, făcând obiectul, la alineatul (4) și, respectiv, la alineatul (5) ale articolului 83 din regulamentul menționat, al unor amenzi administrative care se pot ridica până la un anumit cuantum, care este diferit în funcție de alineatul în cauză ca urmare a nivelului de gravitate a acestor încălcări recunoscut de legiuitorul Uniunii.

64

În al treilea și ultimul rând, interpretarea literală a RGPD expusă la punctul 61 din prezenta hotărâre este confirmată de obiectivul urmărit de acest regulament, care reiese din articolul 1 și din considerentele (1) și (10) ale acestuia, care constă printre altele în asigurarea unui nivel ridicat de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului lor la viață privată în ceea ce privește prelucrarea datelor cu caracter personal, consacrat la articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene și la articolul 16 alineatul (1) TFUE (a se vedea în acest sens Hotărârea din 1 august 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punctul 125 și jurisprudența citată).

65

Astfel, lipsa unui acord care să determine responsabilitatea comună, în temeiul articolului 26 din RGPD, sau a unei evidențe a activităților de prelucrare, în sensul articolului 30 din acest regulament, nu este suficientă pentru a stabili, în sine, existența unei atingeri aduse dreptului fundamental la protecția datelor cu caracter personal. În special, deși este adevărat că, după cum reiese din considerentele (79) și (82) ale acestuia, repartizarea clară a responsabilităților între operatorii asociați și evidența activităților de prelucrare constituie mijloace pentru a asigura respectarea de către acești operatori a garanțiilor prevăzute de regulamentul menționat pentru protecția drepturilor și libertăților persoanelor vizate, nu este mai puțin adevărat că lipsa unei asemenea evidențe sau a unui asemenea acord nu demonstrează, în sine, că aceste drepturi și libertăți au fost încălcate.

66

Rezultă că o încălcare a articolelor 26 și 30 din RGPD de către operator nu constituie o „prelucrare ilegală”, în sensul articolului 17 alineatul (1) litera (d) sau al articolului 18 alineatul (1) litera (b) din acest regulament coroborate cu articolul 5 alineatul (1) litera (a) și cu articolul 6 alineatul (1) primul paragraf din acesta, care conferă persoanei vizate un drept la ștergerea datelor sau la restricționarea prelucrării.

67

După cum au arătat toate guvernele care au depus observații scrise și Comisia, trebuie, așadar, remediată o asemenea încălcare prin recurgerea la alte măsuri prevăzute de RGPD, precum adoptarea de către autoritatea de supraveghere a unor „măsuri corective”, în sensul articolului 58 alineatul (2) din acest regulament, în special, în conformitate cu litera (d) a acestei dispoziții, asigurarea conformității operațiunilor de prelucrare, depunerea unei plângeri la autoritatea de supraveghere, în conformitate cu articolul 77 alineatul (1) din regulamentul amintit, sau repararea eventualului prejudiciu cauzat de operator, în temeiul articolului 82 din acesta.

68

În sfârșit, ținând seama de preocupările exprimate de instanța de trimitere, trebuie să se mai precizeze că împrejurarea potrivit căreia în speță aplicarea unei amenzi administrative, în temeiul articolului 58 alineatul (2) litera (i) și al articolului 83 din RGPD, ar fi exclusă din moment ce dreptul național interzice o asemenea sancțiune în privința Oficiului Federal nu este de natură să împiedice o aplicare efectivă a respectivului regulament. Astfel, este suficient să se arate în această privință că articolul 83 alineatul (7) din regulamentul menționat conferă în mod expres statelor membre posibilitatea de a prevedea dacă și în ce măsură pot fi impuse atari amenzi unor autorități publice sau unor organisme publice. De altfel, diferitele măsuri alternative prevăzute de RGPD, amintite la punctul anterior, permit să se asigure o asemenea aplicare efectivă.

69

În consecință, trebuie să se răspundă la prima întrebare că articolul 17 alineatul (1) litera (d) și articolul 18 alineatul (1) litera (b) din RGPD trebuie interpretate în sensul că nerespectarea de către operator a obligațiilor prevăzute la articolele 26 și 30 din acest regulament, referitoare la încheierea unui acord care stabilește răspunderea comună pentru prelucrare și, respectiv, la ținerea unei evidențe a activităților de prelucrare, nu constituie o prelucrare ilegală care să confere persoanei vizate un drept la ștergerea datelor sau la restricționarea prelucrării, din moment ce o asemenea nerespectare nu implică, ca atare, o încălcare de către operator a principiului „responsabilității”, astfel cum este enunțat la articolul 5 alineatul (2) din regulamentul menționat coroborat cu articolul 5 alineatul (1) litera (a) și cu articolul 6 alineatul (1) primul paragraf din acesta din urmă.

70

Având în vedere răspunsul dat la prima întrebare, nu este necesar să se răspundă la a doua întrebare.

71

Prin intermediul celei de a treia întrebări, instanța de trimitere solicită în esență să se stabilească dacă dreptul Uniunii trebuie interpretat în sensul că, atunci când operatorul de date cu caracter personal nu a respectat obligațiile care îi revin în temeiul articolelor 26 sau 30 din RGPD, legalitatea luării în considerare a unor astfel de date de către o instanță națională este condiționată de consimțământul persoanei vizate.

72

În această privință, este necesar să se constate că reiese cu claritate din însuși modul de redactare a primului paragraf al alineatului (1) al articolului 6 din acest regulament că consimțământul persoanei vizate, menționat la litera (a) a acestui paragraf, nu constituie decât unul dintre motivele de legalitate a prelucrării, un astfel de consimțământ nefiind, în schimb, impus de celelalte motive de legalitate enunțate la literele (b)-(f) ale paragrafului menționat, întemeiate în esență pe necesitatea prelucrării pentru realizarea unor scopuri determinate (a se vedea prin analogie Hotărârea din 11 decembrie 2019, Asociația de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, punctul 41).

73

Or, atunci când o instanță exercită competențele jurisdicționale care i‑au fost conferite de dreptul național, prelucrarea datelor cu caracter personal efectuată de această instanță trebuie considerată necesară în scopul prevăzut la articolul 6 alineatul (1) primul paragraf litera (e) din regulamentul menționat, privind îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul.

74

Din moment ce, pe de o parte, este suficient ca una dintre condițiile prevăzute la articolul 6 alineatul (1) din RGPD să fie îndeplinită pentru ca o prelucrare de date cu caracter personal să poată fi considerată legală și, pe de altă parte, așa cum s‑a concluzionat la punctul 61 din prezenta hotărâre, nerespectarea articolelor 26 și 30 din acest regulament nu constituie o prelucrare ilegală, luarea în considerare de către instanța de trimitere a datelor cu caracter personal care ar fi fost prelucrate de Oficiul Federal cu nerespectarea obligațiilor prevăzute la aceste din urmă articole nu este condiționată de consimțământul persoanei vizate.

75

În consecință, trebuie să se răspundă la a treia întrebare că dreptul Uniunii trebuie interpretat în sensul că, atunci când operatorul de date cu caracter personal nu a respectat obligațiile care îi revin în temeiul articolului 26 sau 30 din RGPD, legalitatea luării în considerare a unor astfel de date de către o instanță națională nu este condiționată de consimțământul persoanei vizate.

76

Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Camera a cincea) declară: