–

za UZ J. Leuschner, Rechtsanwalt,

–

za nemško vlado J. Möller in P.‑L. Krüger, agenta,

–

za češko vlado O. Serdula, M. Smolek in J. Vláčil, agenti,

–

za francosko vlado A.‑L. Desjonquères in J. Illouz, agenta,

–

za avstrijsko vlado A. Posch, M.‑T. Rappersberger in J. Schmoll, agenti,

–

za poljsko vlado B. Majczyna, agent,

–

za Evropsko komisijo A. Bouchagiar, F. Erlbacher in H. Kranenborg, agenti,

1

Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 5, člena 17(1)(d), člena 18(1)(b), ter členov 26 in 30 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2018, L 127, str. 2; v nadaljevanju: SUVP).

2

Ta predlog je bil vložen v okviru spora med UZ, ki je državljan tretje države, in Bundesrepublik Deutschland (Zvezna republika Nemčija), ki jo zastopa Bundesamt für Migration und Flüchtlinge (zvezni urad za migracije in begunce, Nemčija) (v nadaljevanju: zvezni urad), v zvezi z obravnavo prošnje za mednarodno zaščito, ki jo je vložil ta državljan.

3

V uvodni izjavi 52 Direktive 2013/32/EU Evropskega parlamenta in Sveta z dne 26. junija 2013 o skupnih postopkih za priznanje ali odvzem mednarodne zaščite (prenovitev) (UL 2013, L 180, str. 60) je navedeno:

„Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov [(UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355)] ureja obdelavo osebnih podatkov, ki jo izvajajo države članice v skladu s to direktivo.“

4

V uvodnih izjavah 1, 10, 40, 74, 79 in 82 SUVP je navedeno:

[…]

[…]

[…]

[…]

[…]

5

Poglavje I SUVP, naslovljeno „Splošne določbe“, vsebuje člene od 1 do 4.

6

Člen 1 te uredbe, naslovljen „Predmet urejanja in cilji“, določa:

„1.   Ta uredba določa pravila o varstvu posameznikov pri obdelavi osebnih podatkov in pravila o prostem pretoku osebnih podatkov.

2.   Ta uredba varuje temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov.

[…]“

7

Člen 4 navedene uredbe, naslovljen „Opredelitev pojmov“, v odstavkih 2, 7 in 21 določa:

[…]

[…]

[…]“

8

Poglavje II SUVP, naslovljeno „Načela“, vsebuje člene od 5 do 11.

9

Člen 5 te uredbe, naslovljen „Načela v zvezi z obdelavo osebnih podatkov“, določa:

„1.   Osebni podatki so:

2.   Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati (‚odgovornost‘).“

10

Člen 6 navedene uredbe, naslovljen „Zakonitost obdelave“, v odstavku 1 določa:

„Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.“

11

Člen 7 SUVP se nanaša na pogoje za privolitev, medtem ko člen 8 te uredbe določa pogoje, ki se uporabljajo za privolitev otroka v zvezi s storitvami informacijske družbe.

12

Člen 9 te uredbe, naslovljen „Obdelava posebnih vrst osebnih podatkov“, prepoveduje obdelavo osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelavo genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

13

Člen 10 navedene uredbe, naslovljen „Obdelava osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški“ se nanaša na obdelavo osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški ali s tem povezanimi varnostnimi ukrepi na podlagi člena 6(1) iste uredbe.

14

Poglavje III SUVP, naslovljeno „Pravice posameznika, na katerega se nanašajo osebni podatki“, vsebuje člene od 12 do 23.

15

Člen 17 te uredbe, naslovljen „Pravica do izbrisa (‚pravica do pozabe‘)“, določa:

„1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

[…]

[…]

3.   Odstavka 1 in 2 se ne uporabljata, če je obdelava potrebna:

[…]

[…]

16

Člen 18 navedene uredbe, naslovljen „Pravica do omejitve obdelave“, določa:

„1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec omeji obdelavo, kadar velja en od naslednjih primerov:

[…]

[…]

2.   Kadar je bila obdelava osebnih podatkov omejena v skladu z odstavkom 1, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le s privolitvijo posameznika, na katerega se ti nanašajo, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali zaradi varstva pravic druge fizične ali pravne osebe ali zaradi pomembnega javnega interesa Unije ali države članice.

[…]“

17

Poglavje IV SUVP, naslovljeno „Upravljavec in obdelovalec“, vsebuje člene od 24 do 43.

18

V oddelku 1 tega poglavja, naslovljenem „Splošne obveznosti“, je člen 26 te uredbe, naslovljen „Skupni upravljavci“, ki določa:

„1.   Dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave, so skupni upravljavci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu s to uredbo, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz členov 13 in 14, razen če in kolikor so dolžnosti vsakega od upravljavcev določene s pravom Unije ali pravom države članice, ki velja za upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki.

2.   Dogovor iz odstavka 1 ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznikov, na katere se nanašajo osebni podatki. Bistveno vsebino dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki.

3.   Posameznik, na katerega se nanašajo osebni podatki, lahko ne glede na pogoje dogovora iz odstavka 1 uresničuje svoje pravice v skladu s to uredbo glede vsakega od upravljavcev in proti vsakemu od njih.“

19

Člen 30 navedene uredbe, naslovljen „Evidenca dejavnosti obdelave“, določa:

„1.   Vsak upravljavec in predstavnik upravljavca, kadar ta obstaja, vodi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti. Ta evidenca vsebuje vse naslednje informacije:

[…]

4.   Upravljavec, obdelovalec ali predstavnik upravljavca ali obdelovalca, kadar ta obstaja, nadzornemu organu na zahtevo omogočijo dostop do evidenc.

[…]“

20

Člen 58 SUVP, naslovljen „Pooblastila“, iz poglavja VI te uredbe, naslovljenega „Neodvisni nadzorni organi“, v odstavku 2 določa:

„Vsak nadzorni organ ima vsa naslednja popravljalna pooblastila:

21

Poglavje VIII te uredbe, naslovljeno „Pravna sredstva, odgovornost in kazni“, vsebuje člene od 77 do 84.

22

Člen 77 navedene uredbe, naslovljen „Pravica do vložitve pritožbe pri nadzornem organu“, v odstavku 1 določa:

„Brez poseganja v katero koli drugo upravno ali pravno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo pri nadzornem organu, zlasti v državi članici, v kateri ima običajno prebivališče, v kateri je njegov kraj dela ali v kateri je domnevno prišlo do kršitve, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo.“

23

Člen 82 SUVP, naslovljen „Pravica do odškodnine in odgovornost“, v odstavkih 1 in 2 določa:

„1.   Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.

2.   Vsak upravljavec, vključen v obdelavo, je odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo. Obdelovalec je odgovoren za škodo, ki jo povzroči obdelava le, kadar ne izpolnjuje obveznosti iz te uredbe, ki so posebej naslovljene na obdelovalce, ali kadar je prekoračil zakonita navodila upravljavca ali ravnal v nasprotju z njimi.“

24

Člen 83 te uredbe, naslovljen „Splošni pogoji za naložitev upravnih glob“, v odstavkih 4, 5 in 7 določa:

„4.   V skladu z odstavkom 2 se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 10.000.000 [evrov] ali v primeru družbe v znesku do 2 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:

[…]

5.   V skladu z odstavkom 2 se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 20.000.000 [evrov] ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:

[…]

7.   Brez poseganja v popravljalna pooblastila nadzornih organov na podlagi člena 58(2) lahko vsaka država članica določi pravila o tem, ali in v kolikšni meri se lahko javnim organom in telesom z ustanovitvijo v zadevni državi članici naložijo upravne globe.“

25

Člen 94 navedene uredbe, naslovljen „Razveljavitev Direktive 95/46/ES“, iz poglavja XI iste uredbe, naslovljenega „Končne določbe“, določa:

„1.   Direktiva 95/46/CE se razveljavi z učinkom od 25. maja 2018.

2.   Sklicevanja na razveljavljeno direktivo se štejejo kot sklicevanja na to uredbo. Sklicevanja na Delovno skupino za varstvo posameznikov pri obdelavi osebnih podatkov, ustanovljeno s členom 29 Direktive 95/46/ES, se štejejo kot sklicevanja na Evropski odbor za varstvo podatkov, ustanovljen s to uredbo.“

26

Člen 43 Bundesdatenschutzgesetz (zvezni zakon o varstvu podatkov) z dne 20. decembra 1990 (BGBl. 1990 I, str. 2954) v različici, ki se uporablja za spor o glavni stvari (v nadaljevanju: BDSG), naslovljen „Določbe o upravnih globah“, v odstavku 3 določa:

„Javnim organom in drugim osebam javnega prava v smislu člena 2(1) [BDSG] ni mogoče naložiti nobene upravne globe.“

27

Tožeča stranka iz postopka v glavni stvari je 7. maja 2019 pri zveznem uradu vložila prošnjo za mednarodno zaščito, ki jo je ta zavrnil.

28

Zvezni urad se je pri sprejetju zavrnilne odločbe (v nadaljevanju: sporna odločba) oprl na elektronski spis „MARIS“, ki ga je pripravil in ki vsebuje osebne podatke, ki se nanašajo na tožečo stranko iz postopka v glavni stvari.

29

Zadnjenavedena je zoper sporno odločbo vložila tožbo pri Verwaltungsgericht Wiesbaden (upravno sodišče v Wiesbadnu, Nemčija), ki je predložitveno sodišče v tej zadevi. Elektronski spis „MARIS“ je bil nato v okviru skupnega postopka na podlagi člena 26 SUVP navedenemu sodišču posredovan prek elektronskega poštnega predala za sodne in upravne zadeve (Elektronisches Gerichts‑ und Verwaltungspostfach), ki ga vzdržuje oseba javnega prava, ki je del izvršilne oblasti.

30

Predložitveno sodišče navaja, da iz uvodne izjave 52 Direktive 2013/32 izhaja, da je obdelava osebnih podatkov, ki jo države članice izvajajo v okviru postopkov priznanja mednarodne zaščite, urejena s SUVP.

31

Vendar navedeno sodišče dvomi, da sta vodenje elektronskega spisa, ki ga je pripravil zvezni urad, in sámo posredovanje tega spisa prek elektronskega poštnega predala za sodne in upravne zadeve v skladu s to uredbo.

32

Na eni strani, kar zadeva vodenje elektronskega spisa, naj ne bi bilo dokazano, da zvezni urad deluje v skladu z določbo člena 5(1) v povezavi s členom 30 SUVP. Zvezni urad naj namreč kljub zahtevi predložitvenega sodišča ne bi predložil celotne evidence dejavnosti obdelave v zvezi s tem spisom. Taka evidenca pa naj bi morala biti vzpostavljena v času obdelave osebnih podatkov, ki se nanašajo na tožečo stranko iz postopka v glavni stvari, to je na datum vložitve njene prošnje za mednarodno zaščito. Potem ko bo Sodišče odločilo o tem predlogu za sprejetje predhodne odločbe, naj bi zvezni urad moral biti zaslišan glede vprašanja njegove odgovornosti na podlagi člena 5(2) SUVP.

33

Na drugi strani, kar zadeva posredovanje elektronskega spisa prek sodnega in upravnega elektronskega poštnega predala, naj bi tako posredovanje pomenilo „obdelavo“ podatkov v smislu člena 4, točka 2, SUVP, ki mora biti v skladu z načeli iz člena 5 te uredbe. Vendar naj nobena nacionalna ureditev ne bi urejala tega postopka posredovanja med upravnimi organi in sodišči na način, da bi opredelila odgovornosti skupnih upravljavcev – s čimer je kršen člen 26 navedene uredbe – zvezni urad pa naj ne bi predložil nobenega dogovora v tem smislu, in to kljub temu, da je predložitveno sodišče to zahtevalo. Zadnjenavedenemu se tako postavlja vprašanje zakonitosti tega posredovanja podatkov prek sodnega in upravnega elektronskega poštnega predala.

34

Po mnenju predložitvenega sodišča bi bilo treba zlasti ugotoviti, ali je treba kršitev obveznosti iz členov 5, 26 in 30 SUVP, iz katerih naj bi izhajala nezakonitost obdelave osebnih podatkov, sankcionirati z izbrisom teh podatkov v skladu s členom 17(1)(d) te uredbe ali z omejitvijo obdelave v skladu s členom 18(1)(b) navedene uredbe. Take sankcije naj bi bilo treba predvideti vsaj v primeru zahteve posameznika, na katerega se nanašajo osebni podatki. V nasprotnem primeru naj bi bilo navedeno sodišče prisiljeno sodelovati pri nezakoniti obdelavi navedenih podatkov v okviru sodnega postopka. V takem primeru naj bi lahko na podlagi člena 58 SUVP samo nadzorni organ ukrepal tako, da bi zadevnim javnim organom na podlagi člena 83(5)(a) te uredbe naložil upravno globo. Vendar naj se v skladu s členom 43(3) BDSG, s katerim je prenesen člen 83(7) navedene uredbe, javnim organom in drugim javnim telesom na nacionalni ravni ne bi smela naložiti nobena upravna globa. Iz tega naj bi sledilo, da niti Direktiva 2013/32 niti SUVP nista bili spoštovani.

35

Poleg tega predložitveno sodišče meni, da obdelava iz postopka v glavni stvari ne spada na področje uporabe člena 17(3)(e) SUVP, na podlagi katerega je mogoče osebne podatke uporabljati za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov s strani tožene stranke. Res je, da naj bi v obravnavani zadevi zvezni urad podatke uporabil za izpolnjevanje – v skladu s členom 17(3)(b) te uredbe – pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu. Vendar če bi se ta določba uporabila, naj bi to privedlo do trajne legalizacije prakse, ki je v nasprotju z zakonodajo o varstvu podatkov.

36

Navedeno sodišče se zato sprašuje, v kolikšnem obsegu lahko v okviru svoje sodne dejavnosti upošteva osebne podatke, predložene v okviru takega postopka, ki je del izvršilne oblasti. Če bi bilo namreč treba vodenje elektronskega spisa ali njegovo posredovanje prek elektronskega poštnega predala za sodne in upravne zadeve opredeliti kot obdelavo, ki je glede na SUVP nezakonita, naj bi navedeno sodišče s takim upoštevanjem sodelovalo pri zadevni nezakoniti obdelavi, kar bi bilo v nasprotju s ciljem te uredbe, ki je varstvo temeljnih pravic in svoboščin fizičnih oseb ter zlasti njihove pravice do varstva osebnih podatkov.

37

V zvezi s tem se predložitveno sodišče sprašuje tudi, ali lahko okoliščina, da je posameznik, na katerega se nanašajo osebni podatki, izrecno privolil v uporabo svojih osebnih podatkov v okviru sodnega postopka, ali pa je tej uporabi nasprotoval, vpliva na možnost upoštevanja teh podatkov. Če navedeno sodišče podatkov iz elektronskega spisa „MARIS“ ne bi moglo upoštevati zaradi nezakonitosti vodenja in posredovanja tega spisa, naj do morebitne odprave teh nezakonitosti ne bi bilo nobene pravne podlage za sprejetje odločbe o prošnji tožeče stranke iz postopka v glavni stvari za priznanje statusa begunca. Zato naj bi moralo navedeno sodišče sporno odločbo razglasiti za nično.

38

V teh okoliščinah je Verwaltungsgericht Wiesbaden (upravno sodišče v Wiesbadnu) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

39

Nemška vlada je – čeprav formalno ni vložila ugovora nedopustnosti – izrazila pomisleke glede upoštevnosti vprašanj za predhodno odločanje za izid postopka v glavni stvari. Najprej, iz predložitvene odločbe naj bi izhajalo, da ni dokončno ugotovljeno, ali je zvezni urad kršil člen 5(2) SUVP, saj predložitveno sodišče to zgolj domneva. Dalje, navedeno sodišče naj ne bi navedlo, da bi bili spisi zveznega urada – ob predpostavki, da jih to ni pooblaščeno uporabiti – edini odločilni za rešitev tega spora. Na voljo naj bi namreč imelo tudi druge vire informacij, ki bi jih bilo treba na podlagi načela raziskovanja dejstev po uradni dolžnosti v celoti izkoristiti, kadar organ ne predloži spisov ali kadar so ti nepopolni. Nazadnje, tretje vprašanje naj bi bilo očitno hipotetično, saj naj iz predložitvene odločbe ne bi izhajalo, da je tožeča stranka iz postopka v glavni stvari privolila oziroma da bi privolila v to, da predložitveno sodišče obdeluje njene osebne podatke.

40

Spomniti je treba, da na podlagi ustaljene sodne prakse Sodišča za vprašanja, ki se nanašajo na pravo Unije, velja domneva upoštevnosti. Sodišče lahko odločanje o vprašanju za predhodno odločanje, ki ga postavi nacionalno sodišče, zavrne le takrat, kadar je očitno, da zahtevana razlaga prava Unije nima nikakršne zveze z dejanskim stanjem ali predmetom spora o glavni stvari, kadar Sodišče nima na voljo pravnih ali dejanskih elementov, ki so potrebni, da bi lahko na postavljena vprašanja podalo koristne odgovore, oziroma kadar gre za hipotetičen problem. Poleg tega je v okviru postopka iz člena 267 PDEU, ki temelji na jasni ločitvi nalog med nacionalnimi sodišči in Sodiščem, zgolj nacionalno sodišče pristojno za ugotavljanje in presojo dejanskega stanja spora o glavni stvari (glej zlasti sodbo z dne 24. marca 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, točki 20 in 21 ter navedena sodna praksa).

41

Kot jasno izhaja iz drugega odstavka člena 267 PDEU, mora predložitveno sodišče v okviru tesnega sodelovanja med nacionalnimi sodišči in Sodiščem, ki temelji na medsebojni razdelitvi funkcij, odločiti, v kateri fazi postopka je treba Sodišču predložiti vprašanje za predhodno odločanje (sodba z dne 17. julija 2008, Coleman, C‑303/06, EU:C:2008:415, točka 29 in navedena sodna praksa).

42

Natančneje, Sodišče je v zvezi s tem že razsodilo, da okoliščina, da dejanska vprašanja še niso bila predmet kontradiktornega postopka predložitve dokazov, sama po sebi ne more povzročiti nedopustnosti vprašanja za predhodno odločanje (glej v tem smislu sodbo z dne 11. septembra 2014, Österreichischer Gewerkschaftsbund, C‑328/13, EU:C:2014:2197, točka 19 in navedena sodna praksa).

43

V obravnavani zadevi pa, čeprav iz predloga za sprejetje predhodne odločbe izhaja, da predložitveno sodišče ni dokončno odločilo o tem, ali je zvezni urad kršil obveznosti, ki jih ima na podlagi člena 5(2) SUVP v povezavi s členoma 26 in 30 te uredbe, ker mora biti ta vidik spora o glavni stvari glede na navedbe v tem predlogu še predmet kontradiktorne razprave, ostaja dejstvo, da je navedeno sodišče ugotovilo, da zvezni urad kot upravljavec ni predložil niti dogovora o skupni obdelavi podatkov niti evidence dejavnosti obdelave, na katera se nanašata zadnjenavedeni določbi, in to kljub zahtevi, ki jo je navedeno sodišče v ta namen naslovilo nanj.

44

Poleg tega iz predložitvene odločbe izhaja, da je bila po mnenju navedenega sodišča, ki je edino pristojno za ugotavljanje in presojo dejanskega stanja, sporna odločba sprejeta zgolj na podlagi elektronskega spisa, ki ga je pripravil zvezni urad, pri vodenju in posredovanju katerega so morda bila kršena pravila iz navedene uredbe, tako da bi bilo morda treba to odločbo razglasiti za nično iz tega razloga.

45

Nazadnje, v zvezi s privolitvijo tožeče stranke iz postopka v glavni stvari v uporabo njenih osebnih podatkov v okviru sodnega postopka zadostuje navesti, da je namen tretjega vprašanja za predhodno odločanje prav ugotoviti, ali je v obravnavani zadevi potrebno izraziti tako soglasje, da bi bilo predložitveno sodišče te podatke pooblaščeno upoštevati.

46

V teh okoliščinah mora Sodišče, ko mu je tako predložen predlog za razlago prava Unije, ki ni očitno brez povezave z dejanskim stanjem ali predmetom spora o glavni stvari, in ima na voljo podatke, ki so potrebni, da bi lahko na vprašanja, ki so mu postavljena v zvezi z vplivom SUVP na spor o glavni stvari, dalo koristne odgovore, nanje odgovoriti, ne da bi se moralo spraševati o domnevi glede dejstev, na katero se je oprlo predložitveno sodišče, ki mora pozneje to domnevo preveriti, če se to izkaže za potrebno (glej po analogiji sodbo z dne 17. julija 2008, Coleman, C‑303/06, EU:C:2008:415, točka 31 in navedena sodna praksa).

47

Zato je treba ugotoviti, da je ta predlog za sprejetje predhodne odločbe dopusten, in odgovoriti na vprašanja, ki jih je postavilo predložitveno sodišče, pri čemer mora zadnjenavedeno vseeno preveriti, ali je zvezni urad kršil obveznosti iz členov 26 in 30 SUVP.

48

Predložitveno sodišče s prvim vprašanjem v bistvu sprašuje, ali je treba člen 17(1)(d) in člen 18(1)(b) SUVP razlagati tako, da to, da upravljavčeva kršitev obveznosti iz členov 26 in 30 te uredbe v zvezi s sklenitvijo dogovora o določitvi skupnega upravljanja oziroma z vodenjem evidence dejavnosti obdelave, pomeni nezakonito obdelavo, ki posamezniku, na katerega se nanašajo osebni podatki, daje pravico do izbrisa ali omejitve obdelave, glede na to, da taka kršitev pomeni, da upravljavec krši načelo „odgovornosti“, kot je določeno v členu 5(2) navedene uredbe.

49

V skladu z ustaljeno sodno prakso Sodišča je treba za razlago določbe prava Unije upoštevati ne samo njeno besedilo, ampak tudi kontekst in cilje, ki se uresničujejo z ureditvijo, katere del je (glej v tem smislu zlasti sodbo z dne 12. januarja 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, točka 32 in navedena sodna praksa).

50

Kar zadeva, na prvem mestu, upoštevne določbe prava Unije, je treba spomniti, da ima posameznik, na katerega se nanašajo osebni podatki, v skladu s členom 17(1)(d) SUVP pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost te podatke brez nepotrebnega odlašanja izbrisati, kadar so bili „obdelani nezakonito“.

51

Prav tako ima na podlagi člena 18(1)(b) SUVP posameznik, na katerega se nanašajo osebni podatki, če nasprotuje izbrisu takih podatkov ter namesto tega zahteva omejitev njihove uporabe, pravico doseči, da upravljavec omeji obdelavo, kadar je „obdelava nezakonita“.

52

Določbe, navedene v prejšnjih dveh točkah, je treba razlagati v povezavi s členom 5(1) te uredbe, v skladu s katerim morajo biti z obdelavo osebnih podatkov spoštovana določena načela iz te določbe, med katerimi je načelo iz člena 5(1)(a) navedene uredbe, ki določa, da se morajo osebni podatki obdelovati „zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki“.

53

V skladu s členom 5(2) SUVP je upravljavec v skladu z načelom „odgovornosti“, ki je določeno v tej določbi, odgovoren za skladnost z odstavkom 1 tega člena in mora biti zmožen dokazati skladnost z vsakim od načel iz tega odstavka 1, pri čemer sam nosi dokazno breme (glej v tem smislu sodbo z dne 24. februarja 2022, Valsts ieņēmumu dienests (Obdelava osebnih podatkov v davčne namene), C‑175/20, EU:C:2022:124, točke 77, 78 in 81).

54

Iz tega sledi, da mora upravljavec na podlagi odstavka 2 člena 5 navedene uredbe v povezavi z odstavkom 1(a) tega člena zagotoviti, da je obdelava podatkov, ki jo izvaja, „zakonita“.

55

Ugotoviti pa je treba, da je ravno zakonitost obdelave predmet člena 6 SUVP – kot izhaja iz samega naslova tega člena – ki določa, da je obdelava zakonita le, če je izpolnjen vsaj eden od pogojev iz odstavka 1, prvi pododstavek, točke od (a) do (f), tega člena, in sicer, kot izhaja tudi iz uvodne izjave 40 te uredbe, bodisi da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov, bodisi je obdelava potrebna za enega od navedenih namenov, ki se nanašata na izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, oziroma ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe, bodisi za izpolnitev zakonske obveznosti, ki velja za upravljavca, bodisi za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe, bodisi za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, bodisi zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki.

56

Ta seznam primerov, v katerih se obdelava osebnih podatkov lahko šteje za zakonito, je izčrpen in taksativen, tako da mora obdelava – da bi se lahko štelo, da je zakonita – spadati v enega od primerov iz člena 6(1), prvi pododstavek, SUVP (glej v tem smislu sodbi z dne 22. junija 2021, Latvijas Republikas Saeima (Kazenske točke), C‑439/19, EU:C:2021:504, točka 99 in navedena sodna praksa, in z dne 8. decembra 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Nameni obdelave osebnih podatkov – Kazenska preiskava)C‑180/21, EU:C:2022:967, točka 83).

57

Tako mora biti v skladu s sodno prakso Sodišča vsaka obdelava osebnih podatkov v skladu z načeli v zvezi z obdelavo podatkov, določenimi v členu 5(1) te uredbe, in izpolnjevati pogoje za zakonitost obdelave, ki so našteti v členu 6 navedene uredbe (glej zlasti sodbe z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18,EU:C:2020:791, točka 208; z dne 22. junija 2021, Latvijas Republikas Saeima (Kazenske točke), C‑439/19, EU:C:2021:504, točka 96, in z dne 20. oktobra 2022, Digi, C‑77/21, EU:C:2022:805, točki 49 in 56).

58

Poleg tega, ker je cilj členov od 7 do 11 SUVP, ki so – tako kot člena 5 in 6 te uredbe – v poglavju II te uredbe, ki se nanaša na načela, natančno določiti obseg obveznosti, ki jih ima upravljavec na podlagi člena 5(1)(a) in člena 6(1) navedene uredbe, morajo biti z obdelavo osebnih podatkov, da bi bila ta zakonita, prav tako spoštovane – kot izhaja iz sodne prakse Sodišča – te druge določbe navedenega poglavja, ki se v bistvu nanašajo na privolitev, obdelavo posebnih vrst občutljivih osebnih podatkov ter obdelavo osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški (glej v tem smislu sodbi z dne 24. septembra 2019, GC in drugi (Odstranitev povezav do občutljivih podatkov), C‑136/17, EU:C:2019:773, točke od 72 do 75, in z dne 22. junija 2021, Latvijas Republikas Saeima (Kazenske točke), C‑439/19, EU:C:2021:504, točke 100, 102 in 106).

59

Ugotoviti pa je treba – tako kot so to storile vse vlade, ki so predložile pisna stališča, in Evropska komisija – da tega, da upravljavec spoštuje obveznost sklenitve dogovora, s katerim se določi skupna odgovornost obdelave, ki je določena v členu 26 SUVP, in obveznost vodenja evidence dejavnosti obdelave iz člena 30 te uredbe, ni med podlagami za zakonitost obdelave, navedenimi v členu 6(1), prvi pododstavek, navedene uredbe.

60

Poleg tega, za razliko od členov od 7 do 11 SUVP, cilj členov 26 in 30 te uredbe ni natančno določiti obseg zahtev iz člena 5(1)(a) in člena 6(1) navedene uredbe.

61

Zato iz člena 5(1)(a) in člena 6(1), prvi pododstavek, SUVP izhaja, da upravljavčeva kršitev obveznosti iz členov 26 in 30 te uredbe ne pomeni, da so bili podatki „obdelani nezakonito“ v smislu člena 17(1)(d) in člena 18(1)(b) navedene uredbe, ki bi izhajala iz tega, da je kršil načelo „odgovornosti“, kot je določeno v členu 5(2) te uredbe.

62

Ta razlaga je, na drugem mestu, potrjena s kontekstom, v katerega so umeščene te različne določbe. Iz same strukture SUVP in s tem iz njene sistematike namreč jasno izhaja, da se z njo razlikuje med, na eni strani, „načeli“, ki so predmet njenega poglavja II, ki med drugim vsebuje člena 5 in 6 te uredbe, ter, na drugi strani, „splošnimi obveznostmi“ iz oddelka 1 poglavja IV navedene uredbe, ki se nanaša na upravljavce, med katerimi so obveznosti iz členov 26 in 30 te uredbe.

63

To razlikovanje se poleg tega odraža v poglavju VIII SUVP, ki se nanaša na kazni, saj so za kršitve členov 26 in 30 te uredbe na eni strani ter členov 5 in 6 te uredbe na drugi strani v členu 83(4) oziroma (5) navedene uredbe določene upravne globe do določenega zneska, ki se v skladu z zadevnim odstavkom razlikuje glede na stopnjo resnosti zadevnih kršitev, ki jo priznava zakonodajalec Unije.

64

Na tretjem in zadnjem mestu, jezikovna razlaga SUVP, navedena v točki 61 te sodbe, je podprta s ciljem te uredbe, ki izhaja iz njenega člena 1 ter iz njenih uvodnih izjav 1 in 10, ki je med drugim zagotoviti visoko raven varstva temeljnih pravic in svoboščin posameznikov, zlasti pravice do njihove zasebnosti pri obdelavi osebnih podatkov, določene v členu 8(1) Listine Evropske unije o temeljnih pravicah in členu 16(1) PDEU (glej v tem smislu sodbo z dne 1. avgusta 2022, Vyriausioji tarnybinės inikos komisija, C‑184/20, EU:C:2022:601, točka 125 in navedena sodna praksa).

65

To, da ne obstaja dogovor, ki bi določal skupno odgovornost na podlagi člena 26 SUVP, ali evidenca dejavnosti obdelave v smislu člena 30 te uredbe namreč samo po sebi ne zadostuje za dokaz obstoja kršitve temeljne pravice do varstva osebnih podatkov. Natančneje, čeprav je res – kot izhaja iz uvodnih izjav 79 in 82 te uredbe – da sta jasna razdelitev odgovornosti med skupnimi upravljavci in evidenca dejavnosti obdelave načina za zagotovitev, da ti upravljavci spoštujejo jamstva, ki so v navedeni uredbi določena za varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, pa to, da taka evidenca ali dogovor ne obstaja, samo po sebi ne dokazuje, da so bile te pravice in te svoboščine kršene.

66

Iz tega izhaja, da upravljavčeva kršitev členov 26 in 30 SUVP ne pomeni, da so bili podatki „obdelani nezakonito“ v smislu člena 17(1)(d) ali člena 18(1)(b) te uredbe v povezavi s členom 5(1)(a) in členom 6(1), prvi pododstavek, te uredbe, ki posamezniku, na katerega se nanašajo osebni podatki, dajeta pravico do izbrisa ali omejitve obdelave.

67

Kot so trdile vse vlade, ki so predložile pisna stališča, in Komisija, je treba torej tako kršitev odpraviti z uporabo drugih ukrepov, določenih v SUVP, kot so „popravljalna pooblastila“ nadzornega organa, v smislu člena 58(2) te uredbe, med drugim zagotavljanje skladnosti postopkov obdelave v skladu s točko (d) te določbe, vložitev pritožbe pri nadzornem organu v skladu s členom 77(1) te uredbe ali odškodnina za škodo, ki jo je morebiti povzročil upravljavec, na podlagi člena 82 te uredbe.

68

Nazadnje, ob upoštevanju pomislekov, ki jih je izrazilo predložitveno sodišče, je treba še pojasniti, da okoliščina, da bi bila v obravnavani zadevi naložitev upravne globe na podlagi člena 58(2)(i) in člena 83 SUVP izključena, ker nacionalno pravo zveznemu uradu prepoveduje tako sankcijo, ne more preprečiti učinkovite uporabe te uredbe. V zvezi s tem namreč zadostuje navesti, da člen 83(7) navedene uredbe državam članicam izrecno daje možnost, da določijo, ali in v kolikšni meri se lahko take globe naložijo javnim organom ali subjektom javnega prava. Poleg tega je na podlagi različnih alternativnih ukrepov, določenih s SUVP, na katere je bilo opozorjeno v prejšnji točki, mogoče zagotoviti tako učinkovito uporabo.

69

Zato je treba na prvo vprašanje odgovoriti, da je treba člen 17(1)(d) in člen 18(1)(b) SUVP razlagati tako, da to, da upravljavčeva kršitev obveznosti iz členov 26 in 30 te uredbe v zvezi s sklenitvijo dogovora o določitvi skupnega upravljanja oziroma vodenjem evidence dejavnosti obdelave ne pomeni nezakonite obdelave, ki posamezniku, na katerega se nanašajo osebni podatki, daje pravico do izbrisa ali omejitve obdelave, saj taka kršitev ne pomeni, da upravljavec krši načelo „odgovornosti“, kot je določeno v členu 5(2) navedene uredbe v povezavi s členom 5(1)(a) in členom 6(1), prvi pododstavek, zadnjenavedene uredbe.

70

Glede na odgovor na prvo vprašanje na drugo vprašanje ni treba odgovoriti.

71

Predložitveno sodišče s tretjim vprašanjem v bistvu sprašuje, ali je treba pravo Unije razlagati tako, da kadar upravljavec osebnih podatkov ni izpolnil obveznosti, ki jih ima na podlagi členov 26 ali 30 SUVP, je zakonitost upoštevanja takih podatkov s strani nacionalnega sodišča pogojena s privolitvijo posameznika, na katerega se nanašajo osebni podatki.

72

V zvezi s tem je treba ugotoviti, da iz prvega člena 6(1), prvi pododstavek, te uredbe jasno izhaja, da privolitev posameznika, na katerega se nanašajo osebni podatki, iz točke (a) tega pododstavka pomeni le eno od podlag za zakonitost obdelave, medtem ko se taka privolitev ne zahteva za druge podlage za zakonitost, navedene v točkah od (b) do (f) navedenega pododstavka, ki se v bistvu nanašajo na to, da je obdelava potrebna za dosego določenih namenov (glej po analogiji sodbo z dne 11. decembra 2019, Asociağia de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, točka 41).

73

Kadar pa sodišče izvršuje sodne pristojnosti, ki so mu bile podeljene z nacionalnim pravom, je treba šteti, da je obdelava osebnih podatkov, ki jo to sodišče mora izvesti, potrebna za dosego cilja iz člena 6(1), prvi pododstavek, točka (e), navedene uredbe, ki se nanaša na opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.

74

Ker, na eni strani, za to, da se obdelava osebnih podatkov lahko šteje za zakonito, zadostuje, da je izpolnjen eden od pogojev iz člena 6(1) SUVP, in ker, na drugi strani – kot je bilo ugotovljeno v točki 61 te sodbe – kršitev členov 26 in 30 te uredbe ne pomeni nezakonite obdelave, to, da predložitveno sodišče upošteva osebne podatke, ki naj bi jih zvezni urad obdelal v nasprotju z obveznostmi iz zadnjenavedenih členov, ni pogojeno s privolitvijo posameznika, na katerega se nanašajo osebni podatki.

75

Zato je treba na tretje vprašanje odgovoriti, da je treba pravo Unije razlagati tako, da kadar je upravljavec osebnih podatkov kršil obveznosti, ki jih ima na podlagi členov 26 ali 30 SUVP, zakonitost upoštevanja takih podatkov s strani nacionalnega sodišča ni pogojena s privolitvijo posameznika, na katerega se nanašajo osebni podatki.

76

Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (peti senat) razsodilo: