–

UZ, v zastúpení: J. Leuschner, Rechtsanwalt,

–

nemecká vláda, v zastúpení: J. Möller a P.‑L. Krüger, splnomocnení zástupcovia,

–

česká vláda, v zastúpení: O. Serdula, M. Smolek a J. Vláčil, splnomocnení zástupcovia,

–

francúzska vláda, v zastúpení:. A.‑L. Desjonquères a J. Illouz, splnomocnení zástupcovia,

–

rakúska vláda, v zastúpení: A. Posch, M.‑T. Rappersberger a J. Schmoll, splnomocnení zástupcovia,

–

poľská vláda, v zastúpení: B. Majczyna, splnomocnený zástupca,

–

Európska komisia, v zastúpení: A. Bouchagiar, F. Erlbacher a H. Kranenborg, splnomocnení zástupcovia,

1

Návrh na začatie prejudiciálneho konania sa týka výkladu článku 5, článku 17 ods. 1 písm. d), článku 18 ods. 1 písm. b), ako aj článkov 26 a 30 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“).

2

Tento návrh bol podaný v rámci sporu medzi UZ, štátnym príslušníkom tretej krajiny, a Bundesrepublik Deutschland (Spolková republika Nemecko), zastúpenou Bundesamt für Migration und Flüchtlinge (Spolkový úrad pre migráciu a utečencov, Nemecko) (ďalej len „Spolkový úrad“) vo veci posúdenia žiadosti o medzinárodnú ochranu podanej týmto štátnym príslušníkom.

3

Odôvodnenie 52 smernice Európskeho parlamentu a Rady 2013/32/EÚ z 26. júna 2013 o spoločných konaniach o poskytovaní a odnímaní medzinárodnej ochrany (prepracované znenie) (Ú. v. EÚ L 180, 2013, s. 60) stanovuje:

„Na spracúvanie osobných údajov, ktoré uskutočňujú členské štáty podľa tejto smernice, sa vzťahuje smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov [(Ú. v. ES, L 281, 1995, s. 31; Mim. vyd. 013/015, s. 355)].“

4

Odôvodnenia 1, 10, 40, 74, 79 a 82 GDPR znejú:

…

…

…

…

…

5

V kapitole I GDPR, nazvanej „Všeobecné ustanovenia“, sa nachádzajú články 1 až 4.

6

Podľa článku 1 tohto nariadenia s názvom „Predmet úpravy a ciele“:

„1.   Týmto nariadením sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.

2.   Týmto nariadením sa chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov.

…“

7

Článok 4 uvedeného nariadenia s názvom „Vymedzenie pojmov“ v bodoch 2, 7 a 21 stanovuje:

…

…

…“

8

V kapitole II GDPR, nazvanej „Zásady“, sa nachádzajú články 5 až 11.

9

Článok 5 tohto nariadenia, nazvaný „Zásady spracúvania osobných údajov“, stanovuje:

„1.   Osobné údaje musia byť:

2.   Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“

10

Článok 6 uvedeného nariadenia, nazvaný „Zákonnosť spracúvania“, v odseku 1 stanovuje:

„Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

Písmeno f) prvého pododseku sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh.“

11

Článok 7 GDPR sa týka podmienok vyjadrenia súhlasu, zatiaľ čo článok 8 tohto nariadenia stanovuje podmienky uplatniteľné na súhlas dieťaťa v súvislosti so službami informačnej spoločnosti.

12

Článok 9 tohto nariadenia, nazvaný „Spracúvanie osobitných kategórií osobných údajov“, zakazuje spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, ako aj spracúvanie genetických údajov, biometrických údajov na účely jedinečnej identifikácie fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

13

Článok 10 uvedeného nariadenia, nazvaný „Spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky“, sa týka spracúvania osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky alebo súvisiacich bezpečnostných opatrení založených na článku 6 ods. 1 toho istého nariadenia.

14

V kapitole III GDPR, nazvanej „Práva dotknutej osoby“, sa nachádzajú články 12 až 23.

15

Článok 17 tohto nariadenia s názvom „Právo na vymazanie (právo ‚na zabudnutie‘)“ znie:

„1.   Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:

…

…

3.   Odseky 1 a 2 sa neuplatňujú, pokiaľ je spracúvanie potrebné:

…

…

16

Podľa článku 18 uvedeného nariadenia s názvom „Právo na obmedzenie spracúvania“:

„1.   Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie, pokiaľ ide o jeden z týchto prípadov:

…

…

2.   Ak sa spracúvanie obmedzilo podľa odseku 1, takéto osobné údaje sa s výnimkou uchovávania spracúvajú len so súhlasom dotknutej osoby alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej alebo právnickej osoby, alebo z dôvodov dôležitého verejného záujmu Únie alebo členského štátu.

…“

17

V kapitole IV GDPR, nazvanej „Prevádzkovateľ a sprostredkovateľ“, sa nachádzajú články 24 až 43.

18

Článok 26 tohto nariadenia, nazvaný „Spoloční prevádzkovatelia“, ktorý sa nachádza v oddiele 1 tejto kapitoly s názvom „Všeobecné povinnosti“, znie:

„1.   Ak dvaja alebo viacerí prevádzkovatelia spoločne určia účely a prostriedky spracúvania, sú spoločnými prevádzkovateľmi. Transparentne určia svoje príslušné zodpovednosti za plnenie povinností podľa tohto nariadenia, najmä pokiaľ ide o vykonávanie práv dotknutej osoby, a svoje povinnosti poskytovať informácie uvedené v článkoch 13 a 14, a to formou vzájomnej dohody, pokiaľ nie sú príslušné zodpovednosti prevádzkovateľov určené právom Únie alebo právom členskému štátu, ktorému prevádzkovatelia podliehajú. V dohode sa môže určiť kontaktné miesto pre dotknuté osoby.

2.   V dohode uvedenej v odseku 1 sa náležite zohľadnia príslušné úlohy spoločných prevádzkovateľov a ich vzťahy voči dotknutým osobám. Základné časti dohody sa poskytnú dotknutým osobám.

3.   Bez ohľadu na podmienky dohody uvedenej v odseku 1 môže dotknutá osoba uplatniť svoje práva podľa tohto nariadenia u každého prevádzkovateľa a voči každému prevádzkovateľovi.“

19

Článok 30 uvedeného nariadenia s názvom „Záznamy o spracovateľských činnostiach“ stanovuje:

„1.   Každý prevádzkovateľ a v príslušnom prípade zástupca prevádzkovateľa vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Tieto záznamy musia obsahovať všetky tieto informácie:

…

4.   Prevádzkovateľ alebo sprostredkovateľ a v príslušnom prípade zástupca prevádzkovateľa alebo sprostredkovateľa na požiadanie sprístupnia záznamy dozornému orgánu.

…“

20

Článok 58 GDPR, nazvaný „Právomoci“, ktorý sa nachádza v kapitole VI GDPR, nazvanej „Nezávislé dozorné orgány“, v odseku 2 stanovuje:

„Každý dozorný orgán má všetky tieto nápravné právomoci:

21

V kapitole VIII tohto nariadenia, nazvanej „Prostriedky nápravy, zodpovednosť a sankcie“, sa nachádzajú články 77 až 84.

22

Článok 77 uvedeného nariadenia, nazvaný „Právo podať sťažnosť dozornému orgánu“, v odseku 1 stanovuje:

„Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s týmto nariadením.“

23

Článok 82 GDPR, nazvaný „Právo na náhradu škody a zodpovednosť“, v odsekoch 1 a 2 stanovuje:

„1.   Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.

2.   Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním, len ak neboli splnené povinnosti, ktoré sa týmto nariadením ukladajú výslovne sprostredkovateľom, alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom.“

24

Článok 83 tohto nariadenia s názvom „Všeobecné podmienky ukladania správnych pokút“ v odsekoch 4, 5 a 7 stanovuje:

„4.   Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 10000000 eur, alebo v prípade podniku až do výšky 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:

…

5.   Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 20000000 eur, alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:

…

7.   Bez toho, aby boli dotknuté nápravné právomoci dozorných orgánov podľa článku 58 ods. 2, každý členský štát môže stanoviť pravidlá, či a v akom rozsahu sa môžu správne pokuty uložiť orgánom verejnej moci a verejnoprávnym subjektom zriadeným v danom členskom štáte.“

25

Článok 94 s názvom „Zrušenie smernice 95/46/ES“, ktorý sa nachádza v kapitole XI uvedeného nariadenia, nazvanej „Záverečné ustanovenia“, stanovuje:

„1.   Smernica 95/46/ES sa zrušuje s účinnosťou od 25. mája 2018.

2.   Odkazy na zrušenú smernicu sa považujú za odkazy na toto nariadenie. Odkazy na Pracovnú skupinu pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov, zriadenú článkom 29 smernice 95/46/ES, sa považujú za odkazy na Európsky výbor pre ochranu údajov zriadený týmto nariadením.“

26

Ustanovenie § 43 Bundesdatenschutzgesetz (spolkový zákon o ochrane údajov) z 20. decembra 1990 (BGBl. 1990 I, s. 2954), v znení uplatniteľnom na spor vo veci samej (ďalej len „BDSG“), nazvaného „Ustanovenia o správnych pokutách“, v odseku 3 uvádza:

„Orgánom verejnej moci a iným verejným subjektom v zmysle § 2 ods. 1 [BDSG] nemožno uložiť žiadnu správnu pokutu.“

27

Dňa 7. mája 2019 žalobca vo veci samej podal žiadosť o medzinárodnú ochranu na Spolkovom úrade, ktorý ju zamietol.

28

Spolkový úrad pri prijímaní rozhodnutia o zamietnutí žiadosti (ďalej len „sporné rozhodnutie“) vychádzal z elektronického spisu „MARIS“, ktorý vypracoval a ktorý obsahuje osobné údaje týkajúce sa žalobcu vo veci samej.

29

Žalobca podal proti spornému rozhodnutiu žalobu na Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden, Nemecko), ktorý je v prejednávanej veci vnútroštátnym súdom, ktorý podal návrh na začatie prejudiciálneho konania. Elektronický spis „MARIS“ bol teda zaslaný tomuto súdu v rámci spoločného konania podľa článku 26 GDPR prostredníctvom elektronickej súdnej a administratívnej schránky („Elektronische Gerichts‑und Verwaltungspostfach“), ktorú spravuje verejnoprávny subjekt, ktorý je súčasťou výkonnej moci.

30

Vnútroštátny súd uvádza, že z odôvodnenia 52 smernice 2013/32 vyplýva, že spracúvanie osobných údajov, ktoré uskutočňujú členské štáty v rámci konaní o poskytnutí medzinárodnej ochrany sa riadi GDPR.

31

Tento súd má však pochybnosti o tom, či vedenie elektronického spisu vypracovaného Spolkovým úradom a zaslanie tohto spisu prostredníctvom elektronickej súdnej a administratívnej schránky sú v súlade s týmto nariadením.

32

Na jednej strane, pokiaľ ide o vedenie elektronického spisu, nebolo preukázané, že Spolkový úrad dodržiava ustanovenia článku 5 ods. 1 v spojení s článkom 30 GDPR. Spolkový úrad totiž napriek žiadosti vnútroštátneho súdu nepredložil úplné záznamy o spracovateľských činnostiach týkajúcich sa tohto spisu. Takéto záznamy však mali byť vypracované v čase spracúvania osobných údajov týkajúcich sa žalobcu vo veci samej, teda v deň podania jeho žiadosti o medzinárodnú ochranu. Spolkový úrad by mal byť vypočutý v otázke jeho zodpovednosti podľa článku 5 ods. 2 GDPR po tom, čo Súdny dvor rozhodne o tomto návrhu na začatie prejudiciálneho konania.

33

Na druhej strane, pokiaľ ide o zaslanie elektronického spisu prostredníctvom elektronickej súdnej a administratívnej schránky, takéto zaslanie predstavuje „spracúvanie“ údajov v zmysle článku 4 bodu 2 GDPR, ktoré musí byť v súlade so zásadami uvedenými v článku 5 tohto nariadenia. V rozpore s článkom 26 uvedeného nariadenia však neexistuje žiadna vnútroštátna právna úprava upravujúca tento postup zaslania medzi správnymi úradmi a súdmi, ktorá by vymedzovala príslušnú zodpovednosť spoločných prevádzkovateľov a Spolkový úrad napriek žiadosti vnútroštátneho súdu v tomto zmysle nepredložil žiadnu dohodu. Tento súd si teda kladie otázku zákonnosti tohto zaslania údajov prostredníctvom elektronickej súdnej a administratívnej schránky.

34

Podľa vnútroštátneho súdu treba konkrétne určiť, či nesplnenie povinností stanovených v článkoch 5, 26 a 30 GDPR, z ktorých vyplýva nezákonnosť spracúvania osobných údajov, musí byť sankcionované vymazaním týchto údajov v súlade s článkom 17 ods. 1 písm. d) tohto nariadenia alebo obmedzením spracúvania v súlade s článkom 18 ods. 1 písm. b) uvedeného nariadenia. Nad takýmito sankciami by sa malo uvažovať prinajmenšom v prípade žiadosti dotknutej osoby. V opačnom prípade by bol tento súd nútený podieľať sa na nezákonnom spracúvaní uvedených údajov v rámci súdneho konania. V takom prípade by podľa článku 58 GDPR mohol zasiahnuť len dozorný orgán uložením správnej pokuty dotknutým verejnoprávnym subjektom podľa článku 83 ods. 5 písm. a) tohto nariadenia. V súlade s § 43 ods. 3 BDSG, ktorým sa preberá článok 83 ods. 7 uvedeného nariadenia, však orgánom verejnej moci a verejnoprávnym subjektom nie je možné na vnútroštátnej úrovni uložiť žiadnu správnu pokutu. To by znamenalo, že ani smernica 2013/32, ani GDPR neboli dodržané.

35

Okrem toho vnútroštátny súd zastáva názor, že na spracúvanie, o ktoré ide vo veci samej, sa nevzťahuje článok 17 ods. 3 písm. e) GDPR, ktorý umožňuje použitie osobných údajov na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov zo strany žalovaného. Je pravda, že v prejednávanej veci Spolkový úrad používa údaje na to, aby v súlade s článkom 17 ods. 3 písm. b) tohto nariadenia splnil zákonnú povinnosť, ktorá si vyžaduje spracúvanie podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Ak by sa však toto ustanovenie uplatnilo, znamenalo by to trvalú legalizáciu praxe, ktorá je v rozpore s právnou úpravou týkajúcou sa ochrany údajov.

36

Tento súd sa preto pýta, v akom rozsahu môže v rámci svojej súdnej činnosti zohľadniť osobné údaje poskytnuté v rámci takéhoto konania patriaceho do výkonnej moci. Ak by sa totiž vedenie elektronického spisu alebo jeho zaslanie prostredníctvom elektronickej súdnej a administratívnej schránky malo kvalifikovať ako nezákonné spracúvanie z hľadiska GDPR, uvedený súd by sa takýmto zohľadnením podieľal na predmetnom nezákonnom spracúvaní, čo by bolo v rozpore s cieľom sledovaným týmto nariadením, ktorý spočíva v ochrane základných práv a slobôd fyzických osôb, a najmä ich práva na ochranu osobných údajov.

37

V tejto súvislosti sa vnútroštátny súd ďalej pýta, či skutočnosť, že dotknutá osoba dala svoj výslovný súhlas alebo namieta použitie jej osobných údajov v súdnom konaní, môže mať vplyv na možnosť zohľadnenia týchto údajov. V prípade, že by tento súd nemohol zohľadniť údaje obsiahnuté v elektronickom spise „MARIS“ z dôvodu nezákonností týkajúcich sa vedenia a zaslania tohto spisu, neexistoval by až do prípadného odstránenia týchto nezákonností nijaký právny základ pre prijatie rozhodnutia o žiadosti žalobcu vo veci samej o priznanie postavenia utečenca. V dôsledku toho by mal uvedený súd sporné rozhodnutie zrušiť.

38

Za týchto podmienok Verwaltungsgericht Wiesbaden (Správny súd Wiesbaden) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

39

Nemecká vláda bez toho, aby formálne vzniesla námietku neprípustnosti, vyjadruje pochybnosti o relevantnosti prejudiciálnych otázok pre výsledok sporu vo veci samej. Po prvé z návrhu na začatie prejudiciálneho konania vyplýva, že nedodržanie článku 5 ods. 2 GDPR zo strany Spolkového úradu nebolo s konečnou platnosťou preukázané, keďže vnútroštátny súd sa obmedzil na domnienku, že sa tak stalo. Po druhé tento súd neuviedol, že spisy Spolkového úradu, aj keby nebol oprávnený ich použiť, by boli jediné rozhodujúce pre vyriešenie sporu. Má totiž k dispozícii aj iné zdroje informácií, ktoré by sa podľa zásady preskúmania z vlastnej iniciatívy mali v plnej miere využiť, ak orgán nepredloží spisy alebo ak sú neúplné. Napokon tretia otázka je zjavne hypotetická, lebo z návrhu na začatie prejudiciálneho konania nevyplýva, že žalobca vo veci samej súhlasil alebo chcel súhlasiť so spracúvaním jeho osobných údajov vnútroštátnym súdom.

40

Treba pripomenúť, že podľa ustálenej judikatúry Súdneho dvora sa na otázky týkajúce sa výkladu práva Únie vzťahuje prezumpcia relevantnosti. Súdny dvor môže odmietnuť rozhodnúť o prejudiciálnej otázke položenej vnútroštátnym súdom len vtedy, ak je zjavné, že požadovaný výklad práva Únie nemá nijakú súvislosť s existenciou alebo predmetom sporu vo veci samej, pokiaľ ide o hypotetický problém, alebo ak Súdny dvor nedisponuje skutkovými ani právnymi okolnosťami potrebnými na užitočnú odpoveď na otázky, ktoré mu boli položené. Navyše v rámci konania podľa článku 267 ZFEÚ, ktoré je založené na jasnom rozdelení úloh medzi vnútroštátnymi súdmi a Súdnym dvorom, má výlučne vnútroštátny súd právomoc zistiť a posúdiť skutkové okolnosti sporu vo veci samej (pozri najmä rozsudok z 24. marca 2022, Autoriteit Persoonsgegevens,C‑245/20, EU:C:2022:216, body 20 a 21, ako aj citovanú judikatúru).

41

Ako jasne vyplýva z druhého odseku článku 267 ZFEÚ, v rámci úzkej spolupráce medzi vnútroštátnymi súdmi a Súdnym dvorom založenej na rozdelení funkcií medzi nimi prináleží vnútroštátnemu súdu, aby rozhodol, v ktorom štádiu konania potrebuje položiť Súdnemu dvoru prejudiciálnu otázku (rozsudok zo 17. júla 2008, Coleman,C‑303/06, EU:C:2008:415, bod 29 a citovaná judikatúra).

42

Konkrétne Súdny dvor v tejto súvislosti už rozhodol, že okolnosť, že otázky týkajúce sa skutkového stavu ešte neboli predmetom kontradiktórneho dokazovania, nemôže sama osebe spôsobiť neprípustnosť prejudiciálnej otázky (pozri v tomto zmysle rozsudok z 11. septembra 2014, Österreichischer Gewerkschaftsbund,C‑328/13, EU:C:2014:2197, bod 19 citovanú judikatúru).

43

Hoci v prejednávanej veci z návrhu na začatie prejudiciálneho konania vyplýva, že vnútroštátny súd s konečnou platnosťou nerozhodol o existencii porušenia povinností zo strany Spolkového úradu, ktoré mu vyplývajú z článku 5 ods. 2 GDPR v spojení s článkami 26 a 30 tohto nariadenia, tento aspekt sporu vo veci samej sa podľa informácií poskytnutých v tomto návrhu ešte musí kontradiktórne prejednať, skutočnosťou zostáva, že tento súd konštatoval, že ani dohoda o spoločnom spracúvaní údajov, ani záznamy o spracovateľských činnostiach, na ktoré sa vzťahujú tieto dve posledné uvedené ustanovenia, neboli predložené Spolkovým úradom ako prevádzkovateľom, a to napriek žiadosti, ktorú mu na tento účel zaslal.

44

Okrem toho z návrhu na začatie prejudiciálneho konania vyplýva, že podľa názoru uvedeného súdu, ktorému prináleží výlučne zistiť a posúdiť skutkový stav, bolo sporné rozhodnutie prijaté len na základe elektronického spisu vypracovaného Spolkovým úradom, ktorého vedenie a zaslanie mohlo byť v rozpore s pravidlami stanovenými v uvedenom nariadení, takže toto rozhodnutie je možné z tohto dôvodu zrušiť.

45

Napokon, pokiaľ ide o súhlas žalobcu vo veci samej s použitím jeho osobných údajov v rámci súdneho konania, stačí uviesť, že cieľom tretej prejudiciálnej otázky je určiť, či je v prejednávanej veci potrebné vyjadriť takýto súhlas na to, aby bol vnútroštátny súd oprávnený zohľadniť tieto údaje.

46

Za týchto podmienok, keďže Súdnemu dvoru je takto predložená žiadosť o výklad práva Únie, ktorá nie je zjavne bez vzťahu so skutočnosťou alebo predmetom sporu vo veci samej a Súdny dvor disponuje údajmi potrebnými na zodpovedanie na otázky, ktoré sú mu položené, týkajúce sa vplyvu GDPR na spor vo veci samej, musí na ne odpovedať bez toho, aby sám skúmal predpokladaný skutkový stav, z ktorého vychádza vnútroštátny súd, ktorej overenie bude následne prislúchať tomuto súdu, ak sa to ukáže ako potrebné (pozri analogicky rozsudok zo 17. júla 2008, Coleman,C‑303/06, EU:C:2008:415, bod 31 a citovanú judikatúru).

47

V dôsledku toho treba konštatovať, že tento návrh na začatie prejudiciálneho konania je prípustný, a odpovedať na otázky položené vnútroštátnym súdom, pričom však vnútroštátnemu súdu prináleží overiť, či Spolkový úrad nesplnil povinnosti stanovené v článkoch 26 a 30 GDPR.

48

Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa článok 17 ods. 1 písm. d) a článok 18 ods. 1 písm. b) GDPR majú vykladať v tom zmysle, že nesplnenie povinností prevádzkovateľa stanovených v článkoch 26 a 30 tohto nariadenia, ktoré sa týkajú uzavretia dohody o spoločnej zodpovednosti za spracúvanie a vedenia záznamov o spracovateľských činnostiach, predstavuje nezákonné spracúvanie, na základe ktorého má dotknutá osoba právo na vymazanie alebo obmedzenie spracúvania, keďže takéto nesplnenie predstavuje porušenie zásady „zodpovednosti“ zo strany prevádzkovateľa, ako je stanovená v článku 5 ods. 2 uvedeného nariadenia.

49

V súlade s ustálenou judikatúrou Súdneho dvora je pri výklade ustanovenia práva Únie potrebné zohľadniť nielen jeho znenie, ale aj kontext, do ktorého patrí, ako aj ciele a účel, ktorý sleduje akt, ktorého je súčasťou (pozri v tomto zmysle najmä rozsudok z 12. januára 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21, EU:C:2023:2, bod 32 a citovanú judikatúru).

50

Pokiaľ ide v prvom rade o znenie relevantných ustanovení práva Únie, treba pripomenúť, že v súlade s článkom 17 ods. 1 písm. d) GDPR má dotknutá osoba právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú, a prevádzkovateľ je povinný tieto údaje bez zbytočného odkladu vymazať, ak sa „spracúvali nezákonne“.

51

Rovnako podľa článku 18 ods. 1 písm. b) GDPR, ak dotknutá osoba namieta proti vymazaniu takýchto údajov a vyžaduje namiesto toho obmedzenie ich použitia, má právo na to, aby prevádzkovateľ obmedzil spracúvania, ak je „spracúvanie [nezákonné]“.

52

Ustanovenia uvedené v dvoch predchádzajúcich bodoch treba vykladať v spojení s článkom 5 ods. 1 tohto nariadenia, podľa ktorého musí byť spracúvanie osobných údajov v súlade s viacerými zásadami uvedenými v tomto ustanovení, vrátane zásady uvedenej v článku 5 ods. 1 písm. a) uvedeného nariadenia, ktorý spresňuje, že osobné údaje musia byť spracúvané „zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe“.

53

Podľa článku 5 ods. 2 GDPR je prevádzkovateľ v súlade so zásadou „zodpovednosti“ uvedenou v tomto ustanovení zodpovedný za súlad s odsekom 1 tohto článku a musí vedieť preukázať, že dodržiava každú zo zásad uvedených v tomto odseku 1, pričom v tejto súvislosti nesie dôkazné bremeno [pozri v tomto zmysle rozsudok z 24. februára 2022, Valsts ieņēmumu dienests (Spracúvanie osobných údajov na daňové účely), C‑175/20, EU:C:2022:124, body 77, 78 a 81].

54

Z toho vyplýva, že podľa článku 5 ods. 2 uvedeného nariadenia v spojení s jeho odsekom 1 písm. a) sa prevádzkovateľ musí ubezpečiť o „zákonnosti“ spracúvania údajov, ktoré vykonáva.

55

Treba však konštatovať, že práve zákonnosť spracúvania je predmetom článku 6 GDPR, ako vyplýva z jeho názvu, ktorý stanovuje, že spracúvanie je zákonné iba vtedy, ak je splnená aspoň jedna z podmienok uvedených v odseku 1 prvom pododseku písm. a) až f) tohto článku, a to, ako vyplýva tiež z odôvodnenia 40 tohto nariadenia, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely, spracúvanie je nevyhnutné na jeden z uvedených účelov, ktoré sa týkajú plnenia zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo opatrení pred uzavretím zmluvy prijatých na základe žiadosti dotknutej osoby, plnenia zákonnej povinnosti prevádzkovateľa, ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby, plnenia úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, ako aj oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby.

56

Tento zoznam prípadov, v ktorých možno spracúvanie osobných údajov považovať za zákonné, je taxatívny a obmedzujúci, takže na to, aby sa spracúvanie mohlo považovať za zákonné, musí spadať pod jeden z prípadov stanovených v článku 6 ods. 1 prvom pododseku GDPR [pozri v tomto zmysle rozsudky z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 99 a citovanú judikatúru, ako aj z 8. decembra 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Účel spracúvania osobných údajov – Trestné vyšetrovanie), C‑180/21, EU:C:2022:967, bod 83].

57

Podľa judikatúry Súdneho dvora tak každé spracúvanie osobných údajov musí byť v súlade so zásadami týkajúcimi sa spracúvania údajov uvedenými v článku 5 ods. 1 tohto nariadenia a musí spĺňať podmienky zákonnosti spracúvania vymenované v článku 6 uvedeného nariadenia [pozri najmä rozsudky zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 208; z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 96, ako aj z 20. októbra 2022, Digi,C‑77/21, EU:C:2022:805, body 49 a 56].

58

Okrem toho vzhľadom na to, že cieľom článkov 7 až 11 GDPR, ktoré sa podobne ako jeho články 5 a 6 nachádzajú v kapitole II tohto nariadenia, ktorá sa týka zásad, je spresniť rozsah povinností, ktoré prevádzkovateľovi vyplývajú z článku 5 ods. 1 písm. a) a článku 6 ods. 1 uvedeného nariadenia, spracúvanie osobných údajov, aby bolo zákonné, musí byť, ako vyplýva z judikatúry Súdneho dvora, v súlade s ostatnými ustanoveniami uvedenej kapitoly, ktoré sa v podstate týkajú súhlasu, spracúvania osobitných kategórií citlivých osobných údajov a spracúvania osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky [pozri v tomto zmysle rozsudky z 24. septembra 2019, GC a i. (Odstránenie odkazu na citlivé údaje), C‑136/17, EU:C:2019:773, body 72 až 75, ako aj z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, body 100, 102 a 106].

59

Treba však konštatovať, podobne ako všetky vlády, ktoré predložili písomné pripomienky, ako aj Európska komisia, že splnenie povinnosti prevádzkovateľa uzavrieť dohodu o spoločnej zodpovednosti za spracúvanie, stanovenej v článku 26 GDPR, a povinnosti viesť záznamy o spracovateľských činnostiach, stanovenej v článku 30 tohto nariadenia, nepatrí medzi dôvody zákonnosti spracúvania uvedené v článku 6 ods. 1 prvom pododseku uvedeného nariadenia.

60

Okrem toho na rozdiel od článkov 7 až 11 GDPR cieľom článkov 26 a 30 tohto nariadenia nie je spresniť rozsah požiadaviek stanovených v článku 5 ods. 1 písm. a) a článku 6 ods. 1 uvedeného nariadenia.

61

Zo samotného znenia článku 5 ods. 1 písm. a) a článku 6 ods. 1 prvého pododseku GDPR teda vyplýva, že porušenie povinností stanovených v článkoch 26 a 30 tohto nariadenia zo strany prevádzkovateľa nepredstavuje „nezákonné spracúvanie“ v zmysle článku 17 ods. 1 písm. d) a článku 18 ods. 1 písm. b) uvedeného nariadenia, ktoré by vyplývalo z porušenia zásady „zodpovednosti“ prevádzkovateľa uvedenej v článku 5 ods. 2 toho istého nariadenia.

62

Takýto výklad podporuje tiež kontext, do ktorého tieto rôzne ustanovenia spadajú. Zo samotnej systematiky GDPR, a teda z jeho štruktúry, totiž jasne vyplýva, že toto nariadenie rozlišuje medzi, na jednej strane, „zásadami“, ktoré sú predmetom jeho kapitoly II, ktorá obsahuje najmä články 5 a 6 tohto nariadenia, a na druhej strane „všeobecnými povinnosťami“, ktoré sú súčasťou oddielu 1 kapitoly IV uvedeného nariadenia týkajúcej sa prevádzkovateľov, medzi ktorými sa nachádzajú povinnosti uvedené v článkoch 26 a 30 toho istého nariadenia.

63

Toto rozlišovanie sa okrem toho odráža v kapitole VIII GDPR týkajúcej sa sankcií, pričom za porušenie článkov 26 a 30 tohto nariadenia na jednej strane a porušenie jeho článkov 5 a 6 na druhej strane sa v článku 83 ods. 4 a 5 uvedeného nariadenia ukladajú správne pokuty až do určitej výšky, ktorá sa líši podľa príslušného odseku z dôvodu úrovne závažnosti týchto príslušných porušení, ktorú normotvorca Únie uznáva.

64

V treťom a poslednom rade doslovný výklad GDPR uvedený v bode 61 tohto rozsudku je podporený cieľom sledovaným týmto nariadením, ktorý vyplýva z jeho článku 1, ako aj z jeho odôvodnení 1 a 10, ktorý spočíva najmä v zabezpečení vysokej úrovne ochrany základných práv a slobôd fyzických osôb, najmä ich práva na súkromie pri spracúvaní osobných údajov, ako je zakotveného v článku 8 ods. 1 Charty základných práv Európskej únie a v článku 16 ods. 1 ZFEÚ (pozri v tomto zmysle rozsudok z 1. augusta 2022, Vyriausioji tarnybinės etikos komisija,C‑184/20, EU:C:2022:601, bod 125 a citovanú judikatúru).

65

Neexistencia dohody o spoločnej zodpovednosti podľa článku 26 GDPR alebo záznamov o spracovateľských činnostiach v zmysle článku 30 tohto nariadenia totiž sama osebe nestačí na preukázanie existencie porušenia základného práva na ochranu osobných údajov. Hoci je pravda, ako vyplýva z odôvodnení 79 a 82 tohto nariadenia, že jasné rozdelenie zodpovednosti medzi spoločnými prevádzkovateľmi a záznamy o spracovateľských činnostiach predstavujú prostriedky na zabezpečenie toho, aby títo prevádzkovatelia dodržiavali záruky stanovené uvedeným nariadením na ochranu práv a slobôd dotknutých osôb, nič to nemení na skutočnosti, že neexistencia takýchto záznamov alebo takejto dohody sama osebe nepreukazuje, že tieto práva a slobody boli porušené.

66

Z toho vyplýva, že porušenie článkov 26 a 30 GDPR zo strany prevádzkovateľa nepredstavuje „nezákonné spracúvanie“ v zmysle článku 17 ods. 1 písm. d) alebo článku 18 ods. 1 písm. b) tohto nariadenia v spojení s jeho článkom 5 ods. 1 písm. a) a článkom 6 ods. 1 prvým pododsekom, na základe ktorých má dotknutá osoba právo na vymazanie alebo obmedzenie spracúvania.

67

Ako uviedli všetky vlády, ktoré predložili písomné pripomienky, a Komisia, takéto porušenie teda treba napraviť prostredníctvom iných opatrení stanovených v GDPR, akými sú prijatie „nápravných opatrení“ dozorným orgánom v zmysle článku 58 ods. 2 tohto nariadenia, vrátane uvedenia spracovateľských operácií do súladu podľa písmenom d) tohto ustanovenia, podanie sťažnosti dozornému orgánu v súlade s článkom 77 ods. 1 tohto nariadenia alebo náhrada škody prípadne spôsobenej prevádzkovateľom podľa článku 82 tohto nariadenia.

68

Napokon vzhľadom na obavy vyjadrené vnútroštátnym súdom treba ešte spresniť, že okolnosť, že v prejednávanej veci je uloženie správnej pokuty podľa článku 58 ods. 2 písm. i) a článku 83 GDPR vylúčené, keďže vnútroštátne právo zakazuje takúto sankciu voči Spolkovému úradu, nemôže brániť účinnému uplatňovaniu tohto nariadenia. V tejto súvislosti totiž stačí uviesť, že článok 83 ods. 7 uvedeného nariadenia výslovne umožňuje členským štátom stanoviť, či a v akom rozsahu sa môžu takéto pokuty uložiť orgánom verejnej moci alebo verejnoprávnym subjektom. Navyše rôzne alternatívne opatrenia stanovené v GDPR, pripomenuté v predchádzajúcom bode tohto rozsudku, umožňujú zabezpečiť takéto účinné uplatňovanie.

69

V dôsledku toho treba na prvú otázku odpovedať tak, že článok 17 ods. 1 písm. d) a článok 18 ods. 1 písm. b) GDPR sa majú vykladať v tom zmysle, že nesplnenie povinností prevádzkovateľom stanovených v článkoch 26 a 30 tohto nariadenia, ktoré sa týkajú uzavretia dohody o spoločnej zodpovednosti za spracúvanie a vedenia záznamov o spracovateľských činnostiach, nepredstavuje nezákonné spracúvanie, na základe ktorého má dotknutá osoba právo na vymazanie alebo obmedzenie spracúvania, keďže takéto nesplnenie nepredstavuje porušenie zásady „zodpovednosti“ zo strany prevádzkovateľa, ako je stanovená v článku 5 ods. 2 uvedeného nariadenia v spojení s článkom 5 ods. 1 písm. a) a článkom 6 ods. 1 prvým pododsekom tohto nariadenia.

70

Vzhľadom na odpoveď na prvú otázku nie je potrebné odpovedať na druhej otázku.

71

Svojou treťou otázkou sa vnútroštátny súd v podstate pýta, či sa má právo Únie vykladať v tom zmysle, že ak prevádzkovateľ osobných údajov nesplnil povinnosti, ktoré mu vyplývajú z článkov 26 alebo 30 GDPR, zákonnosť zohľadnenia takýchto údajov vnútroštátnym súdom je podmienená súhlasom dotknutej osoby.

72

V tejto súvislosti treba konštatovať, že zo samotného znenia článku 6 ods. 1 prvého pododseku tohto nariadenia jasne vyplýva, že súhlas dotknutej osoby uvedený v písmene a) tohto pododseku predstavuje len jeden z dôvodov zákonnosti spracúvania, pričom takýto súhlas sa naopak nevyžaduje na základe iných dôvodov zákonnosti uvedených v písmenách b) až f) uvedeného pododseku, ktoré sú v podstate založené na nevyhnutnosti spracúvania na dosiahnutie konkrétnych účelov (pozri analogicky rozsudok z 11. decembra 2019, Asociaţia de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, bod 41).

73

Ak však súd vykonáva súdne právomoci, ktoré mu boli zverené vnútroštátnym právom, spracúvanie osobných údajov, ktoré má tento súd vykonať, sa musí považovať za nevyhnutné na účel stanovený v článku 6 ods. 1 prvom pododseku písm. e) uvedeného nariadenia, ktorý sa týka splnenia úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

74

Keďže na jednej strane stačí, aby bola splnená jedna z podmienok stanovených v článku 6 ods. 1 GDPR na to, aby sa spracúvanie osobných údajov mohlo považovať za zákonné, a na druhej strane, ako bolo konštatované v bode 61 tohto rozsudku, porušenie článkov 26 a 30 tohto nariadenia nepredstavuje nezákonné spracúvanie, zohľadnenie osobných údajov vnútroštátnym súdom, ktoré Spolkový úrad spracúval v rozpore s povinnosťami stanovenými v týchto posledných uvedených článkoch, nepodlieha súhlasu dotknutej osoby.

75

Na tretiu otázku je preto potrebné odpovedať tak, že právo Únie sa má vykladať v tom zmysle, že ak prevádzkovateľ osobných údajov nesplnil povinnosti, ktoré mu vyplývajú z článkov 26 alebo 30 GDPR, zákonnosť zohľadnenia takýchto údajov vnútroštátnym súdom nepodlieha súhlasu dotknutej osoby.

76

Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

Z týchto dôvodov Súdny dvor (piata komora) rozhodol takto: