Nou Hotarare nr. C-768/21/2024 din 26-sept-2024, Curtea de Justitie a Uniunii Europene

Hotarari judecătoresti

Hotarare din 26 Septembrie 2024

TEXT SPETĂ

Ediţie provizorie

HOTĂRÂREA CURŢII (Camera întâi)

26 septembrie 2024(*)

" Trimitere preliminară – Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 57 alineatul (1) literele (a) şi (f) – Sarcinile autorităţii de supraveghere – Articolul 58 alineatul (2) – Competenţe corective – Amendă administrativă – Marja de apreciere a autorităţii de supraveghere – Limite "

În cauza C-768/21,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden, Germania), prin decizia din 10 decembrie 2021, primită de Curte la 14 decembrie 2021, în procedura

TR

împotriva

Land Hessen,

CURTEA (Camera întâi),

compusă din domnul A. Arabadjiev, preşedinte de cameră, domnii T. von Danwitz, P. G. Xuereb şi A. Kumin (raportor) şi doamna I. Ziemele, judecători,

avocat general: domnul P. Pikamäe,

grefier: domnul A. Calot Escobar,

având în vedere procedura scrisă,

luând în considerare observaţiile prezentate:

– pentru TR, de F. Wittmaack, Rechtsanwalt;

– pentru Land Hessen, de M. Kottmann şi G. Ziegenhorn, Rechtsanwälte;

– pentru guvernul austriac, de J. Schmoll şi M.-T. Rappersberger, în calitate de agenţi;

– pentru guvernul portughez, de P. Barros da Costa, J. Ramos şi C. Vieira Guerra, în calitate de agenţi;

– pentru guvernul român, de L.-E. Baţagoi şi E. Gane, în calitate de agenţi;

– pentru guvernul norvegian, de S.-E. Jahr Dahl, L.-M. Moen Jünge şi M. Munthe-Kaas, în calitate de agenţi;

– pentru Comisia Europeană, de A. Bouchagiar, M. Heller şi H. Kranenborg, în calitate de agenţi,

după ascultarea concluziilor avocatului general în şedinţa din 11 aprilie 2024,

pronunţă prezenta

Hotărâre

1 Cererea de decizie preliminară priveşte interpretarea articolului 57 alineatul (1) literele (a) şi (f), a articolului 58 alineatul (2), precum şi a articolului 77 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (JO 2016, L 119, p. 1, rectificare în JO 2018, L 127, p. 2, denumit în continuare "RGPD").

2 Această cerere a fost formulată în cadrul unui litigiu între TR, pe de o parte, şi Land Hessen (landul Hessen, Germania), pe de altă parte, în legătură cu neexercitarea de către Hessischer Beauftragte für Datenschutz und Informationsfreiheit (comisarul pentru protecţia datelor şi libertatea de informare pentru landul Hessen, Germania) (denumit în continuare "HBDI") a competenţelor corective în privinţa Sparkasse X (Casa de Economii X, denumită în continuare "Casa de Economii").

Cadrul juridic

3 Potrivit considerentelor (6), (7), (10), (129) şi (148) ale RGPD:

"(6) Evoluţiile tehnologice rapide şi globalizarea au generat noi provocări pentru protecţia datelor cu caracter personal. Amploarea colectării şi a schimbului de date cu caracter personal a crescut în mod semnificativ. […]

(7) Aceste evoluţii impun un cadru solid şi mai coerent în materie de protecţie a datelor în Uniune[a Europeană], însoţit de o aplicare riguroasă a normelor, luând în considerare importanţa creării unui climat de încredere care va permite economiei digitale să se dezvolte pe piaţa internă. […]

[…]

(10) Pentru a se asigura un nivel consecvent şi ridicat de protecţie a persoanelor fizice şi pentru a se îndepărta obstacolele din calea circulaţiei datelor cu caracter personal în cadrul Uniunii, nivelul protecţiei drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. […]

[…]

(129) […] Competenţele autorităţilor de supraveghere ar trebui exercitate în conformitate cu garanţii procedurale adecvate prevăzute în dreptul Uniunii şi în dreptul intern, în mod imparţial, echitabil şi într-un termen rezonabil. În special, fiecare măsură ar trebui să fie adecvată, necesară şi proporţională în scopul de a asigura conformitatea cu dispoziţiile prezentului regulament, luând în considerare circumstanţele fiecărui caz în parte, să respecte dreptul oricărei persoane de a fi ascultată înainte de luarea oricărei măsuri individuale care ar putea să îi aducă atingere şi să evite costurile inutile şi inconvenientele excesive pentru persoanele în cauză. […]

[…]

(148) Pentru a consolida respectarea aplicării normelor prevăzute în prezentul regulament, ar trebui impuse sancţiuni, inclusiv amenzi administrative, pentru orice încălcare a prezentului regulament, pe lângă sau în locul măsurilor adecvate impuse de autoritatea de supraveghere în temeiul prezentului regulament. În cazul unei încălcări minore sau în cazul în care amenda susceptibilă de a fi impusă ar constitui o sarcină disproporţionată pentru o persoană fizică, poate fi emis un avertisment în locul unei amenzi. Cu toate acestea, ar trebui să se ia în considerare în mod corespunzător natura, gravitatea şi durata încălcării, caracterul deliberat al încălcării, acţiunile întreprinse pentru a reduce prejudiciul cauzat, gradul de răspundere sau orice încălcări anterioare relevante, modul în care încălcarea a fost adusă la cunoştinţa autorităţii de supraveghere, conformitatea cu măsurile adoptate împotriva operatorului sau a persoanei împuternicite de operator, aderarea la un cod de conduită şi orice alt factor agravant sau atenuant. […]"

4 Articolul 5 din acest regulament are următorul cuprins:

"(1) Datele cu caracter personal sunt:

(a) prelucrate în mod legal, echitabil şi transparent faţă de persoana vizată («legalitate, echitate şi transparenţă»);

(b) colectate în scopuri determinate, explicite şi legitime şi nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri […] («limitări legate de scop»);

(c) adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate («reducerea la minimum a datelor»);

(d) exacte şi, în cazul în care este necesar, […] actualizate […] («exactitate»);

(e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele […] («limitări legate de stocare»);

(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal […] («integritate şi confidenţialitate»).

(2) Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra această respectare («responsabilitate»)."

5 Articolul 24 alineatul (1) din regulamentul menţionat prevede:

"Ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar."

6 Articolul 33 din acelaşi regulament prevede:

"(1) În cazul în care are loc o încălcare a securităţii datelor cu caracter personal, operatorul notifică acest lucru autorităţii de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate şi, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta, cu excepţia cazului în care este puţin probabil să genereze un risc pentru drepturile şi libertăţile persoanelor fizice. […]

[…]

(3) Notificarea menţionată la alineatul (1) cel puţin:

(a) descrie caracterul încălcării securităţii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi numărul aproximativ al persoanelor vizate în cauză, precum şi categoriile şi numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;

(b) comunică numele şi datele de contact ale responsabilului cu protecţia datelor sau un alt punct de contact de unde se pot obţine mai multe informaţii;

(c) descrie consecinţele probabile ale încălcării securităţii datelor cu caracter personal;

(d) descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securităţii datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

[…]"

7 Articolul 34 alineatul (1) din RGPD prevede:

"În cazul în care încălcarea securităţii datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare."

8 Capitolul VI din acest regulament, intitulat "Autorităţi de supraveghere independente", cuprinde articolele 51-59 din acesta.

9 Articolul 51 alineatul (1) din regulamentul menţionat are următorul cuprins:

"Fiecare stat membru se asigură că una sau mai multe autorităţi publice independente sunt responsabile de monitorizarea aplicării prezentului regulament, în vederea protejării drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea ce priveşte prelucrarea şi în vederea facilitării liberei circulaţii a datelor cu caracter personal în cadrul Uniunii («autoritatea de supraveghere»)."

10 Articolul 57 din RGPD, intitulat "Sarcini", prevede la alineatul (1):

"Fără a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, fiecare autoritate de supraveghere, pe teritoriul său:

(a) monitorizează şi asigură aplicarea prezentului regulament;

[…]

(f) tratează plângerile depuse de o persoană vizată, un organism, o organizaţie sau o asociaţie în conformitate cu articolul 80 şi investighează într-o măsură adecvată obiectul plângerii şi informează reclamantul cu privire la evoluţia şi rezultatul investigaţiei, într-un termen rezonabil, în special dacă este necesară efectuarea unei investigaţii mai amănunţite sau coordonarea cu o altă autoritate de supraveghere;

[…]"

11 Articolul 58 din acest regulament, intitulat "Competenţe", prevede la alineatele (1) şi (2):

"(1) Fiecare autoritate de supraveghere are toate următoarele competenţe de investigare:

(a) de a da dispoziţii operatorului şi persoanei împuternicite de operator şi, după caz, reprezentantului operatorului sau al persoanei împuternicite de operator să furnizeze orice informaţii pe care autoritatea de supraveghere le solicită în vederea îndeplinirii sarcinilor sale;

[…]

(2) Fiecare autoritate de supraveghere are toate următoarele competenţe corective:

(a) de a emite avertizări în atenţia unui operator sau a unei persoane împuternicite de operator cu privire la posibilitatea ca operaţiunile de prelucrare prevăzute să încalce dispoziţiile prezentului regulament;

(b) de a emite avertismente adresate unui operator sau unei persoane împuternicite de operator în cazul în care operaţiunile de prelucrare au încălcat dispoziţiile prezentului regulament;

(c) de a da dispoziţii operatorului sau persoanei împuternicite de operator să respecte cererile persoanei vizate de a-şi exercita drepturile în temeiul prezentului regulament;

(d) de a da dispoziţii operatorului sau persoanei împuternicite de operator să asigure conformitatea operaţiunilor de prelucrare cu dispoziţiile prezentului regulament, specificând, după caz, modalitatea şi termenul-limită pentru aceasta;

(e) de a obliga operatorul să informeze persoana vizată cu privire la o încălcare a protecţiei datelor cu caracter personal;

(f) de a impune o limitare temporară sau definitivă, inclusiv o interdicţie asupra prelucrării;

[…]

(i) de a impune amenzi administrative în conformitate cu articolul 83, în completarea sau în locul măsurilor menţionate la prezentul alineat, în funcţie de circumstanţele fiecărui caz în parte;

[…]"

12 Articolul 77 din regulamentul menţionat are următorul cuprins:

"(1) Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care îşi are reşedinţa obişnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament.

(2) Autoritatea de supraveghere la care s-a depus plângerea informează reclamantul cu privire la evoluţia şi rezultatul plângerii, inclusiv posibilitatea de a exercita o cale de atac judiciară în temeiul articolului 78."

13 Articolul 83 alineatele (1) şi (2) din acelaşi regulament prevede:

"(1) Fiecare autoritate de supraveghere asigură faptul că impunerea unor amenzi administrative în conformitate cu prezentul articol pentru încălcările prezentului regulament menţionate la alineatele (4), (5) şi (6) este, în fiecare caz, eficace, proporţională şi disuasivă.

(2) În funcţie de circumstanţele fiecărui caz în parte, amenzile administrative sunt impuse în completarea sau în locul măsurilor menţionate la articolul 58 alineatul (2) literele (a)-(h) şi (j). Atunci când se ia decizia dacă să se impună o amendă administrativă şi decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenţia cuvenită următoarelor aspecte:

(a) natura, gravitatea şi durata încălcării, ţinându-se seama de natura, domeniul de aplicare sau scopul prelucrării în cauză, precum şi de numărul persoanelor vizate afectate şi de nivelul prejudiciilor suferite de acestea;

(b) dacă încălcarea a fost comisă intenţionat sau din neglijenţă;

(c) orice acţiuni întreprinse de operator sau de persoana împuternicită de operator pentru a reduce prejudiciul suferit de persoana vizată;

(d) gradul de responsabilitate al operatorului sau al persoanei împuternicite de operator ţinându-se seama de măsurile tehnice şi organizatorice implementate de aceştia în temeiul articolelor 25 şi 32;

(e) eventualele încălcări anterioare relevante comise de operator sau de persoana împuternicită de operator;

(f) gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea şi a atenua posibilele efecte negative ale încălcării;

(g) categoriile de date cu caracter personal afectate de încălcare;

(h) modul în care încălcarea a fost adusă la cunoştinţa autorităţii de supraveghere, în special dacă şi în ce măsură operatorul sau persoana împuternicită de operator a notificat încălcarea;

(i) în cazul în care măsurile menţionate la articolul 58 alineatul (2) au fost dispuse anterior împotriva operatorului sau persoanei împuternicite de operator în cauză cu privire la acelaşi obiect, respectarea respectivelor măsuri;

(j) aderarea la coduri de conduită aprobate, în conformitate cu articolul 40, sau la mecanisme de certificare aprobate, în conformitate cu articolul 42 şi

(k) orice alt factor agravant sau atenuant aplicabil circumstanţelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma încălcării."

Litigiul principal şi întrebarea preliminară

14 Casa de Economii este un organism local de drept public care efectuează printre altele operaţiuni bancare şi de creditare. La 15 noiembrie 2019, ea a notificat HBDI, în conformitate cu articolul 33 din RGPD, o încălcare a securităţii datelor cu caracter personal, constând în faptul că una dintre angajatele sale consultase în mai multe rânduri, fără autorizaţie, date cu caracter personal ale lui TR, unul dintre clienţii săi. Casa de Economii nu l-a informat pe TR cu privire la încălcarea securităţii datelor sale cu caracter personal.

15 După ce a luat cunoştinţă în mod incident de faptul că datele sale cu caracter personal fuseseră consultate în mod nejustificat, TR a introdus, la 27 iulie 2020, o plângere la HBDI în temeiul articolului 77 din RGPD. În această plângere, el denunţa faptul că nu fusese informat cu privire la încălcarea securităţii datelor sale cu caracter personal, cu încălcarea articolului 34 din acest regulament. El critica de asemenea durata de păstrare a registrelor de acces ale Casei de Economii, stabilită la numai trei luni, precum şi faptul că membrii personalului său dispuneau de drepturi de acces extinse.

16 În urma plângerii formulate de TR, HBDI a primit de la Casa de Economii observaţii, în scris şi oral, cu privire la criticile formulate împotriva sa. În cursul şedinţei de audiere a observaţiilor sale, Casa de Economii a arătat că nu efectuase informarea prevăzută la articolul 34 din RGPD întrucât responsabilul său cu protecţia datelor considerase că nu exista un risc ridicat pentru drepturile şi libertăţile lui TR. Astfel, fuseseră luate măsuri disciplinare împotriva angajatei vizate, iar aceasta confirmase în scris că nici nu copiase, nici nu stocase datele cu caracter personal, că nu le transmisese unor terţi şi că nu le va transmite nici în viitor. Pe de altă parte, întrucât HBDI criticase durata prea scurtă de păstrare a registrelor de acces, Casa de Economii l-a informat că această problemă urma să facă obiectul unei reexaminări.

17 Printr-o decizie din 3 septembrie 2020, HBDI l-a informat pe TR că Casa de Economii nu încălcase articolul 34 din RGPD, întrucât aprecierea Casei de Economii potrivit căreia încălcarea securităţii datelor cu caracter personal săvârşită nu era susceptibilă să genereze un risc ridicat pentru drepturile şi libertăţile sale, în sensul acestui articol, nu era vădit eronată. Astfel, chiar dacă datele fuseseră consultate de angajată, nimic nu indica faptul că aceasta le transmisese unor terţi sau că le utilizase în detrimentul lui TR. În plus, HBDI a indicat că invitase Casa de Economii să îşi păstreze pe viitor registrul de acces pentru o perioadă mai lungă de trei luni. În sfârşit, în ceea ce priveşte problema accesului angajaţilor Casei de Economii la datele cu caracter personal, HBDI a respins plângerea formulată de TR, subliniind că, în principiu, pot fi acordate drepturi de acces extinse atunci când există certitudinea că fiecare utilizator este informat cu privire la condiţiile în care poate avea acces la date. Astfel, potrivit HBDI, nu ar fi necesar un control de principiu al fiecărui acces.

18 TR a introdus o acţiune împotriva acestei decizii la Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden, Germania), instanţa de trimitere, solicitându-i obligarea HBDI să ia măsuri împotriva Casei de Economii.

19 În susţinerea acţiunii formulate, TR arată că HBDI nu i-a tratat plângerea în conformitate cu cerinţele RGPD, şi anume ţinând seama de toate împrejurările de fapt, şi adaugă că HBDI ar fi trebuit să aplice o amendă Casei de Economii având în vedere diferitele încălcări săvârşite de aceasta ale dispoziţiilor regulamentului menţionat, în special ale articolului 5, ale articolului 12 alineatul (3), ale articolului 15 alineatul (1) litera (c), ale articolului 33 alineatul (1) şi ale articolului 33 alineatul (3) din acesta. În opinia TR, în cazul unei încălcări dovedite a regulamentului menţionat, precum în speţă, principiul oportunităţii nu ar fi aplicabil, motiv pentru care HBDI nu ar avea posibilitatea să decidă dacă să ia sau nu măsuri, ci cel mult să aleagă măsurile pe care trebuie să le ia.

20 În această privinţă, instanţa de trimitere ridică în esenţă problema dacă, în cazul unei încălcări dovedite a dispoziţiilor referitoare la protecţia datelor cu caracter personal, RGPD trebuie interpretat în sensul că autoritatea de supraveghere este obligată să exercite competenţe corective în temeiul articolului 58 alineatul (2) din acest regulament, aplicând, de exemplu, o amendă administrativă, sau în sensul că această autoritate dispune de o putere de apreciere care o autorizează, în funcţie de împrejurări, să se abţină de la exercitarea unor astfel de competenţe.

21 Instanţa de trimitere arată că prima interpretare, care este cea preconizată de TR, precum şi de o parte a doctrinei, se întemeiază pe faptul că puterile de care dispune o autoritate de supraveghere de a exercita competenţe corective urmăresc restabilirea unor situaţii legitime atunci când cetăţenii constată că li se aduce atingere drepturilor lor printr-o prelucrare de date. Astfel, articolul 58 alineatul (2) din RGPD ar trebui înţeles ca un izvor de obligaţii, care ar da naştere unui drept al cetăţeanului ca autorităţile să ia măsuri atunci când o întreprindere sau o autoritate a prelucrat în mod nelegal date cu caracter personal ale cetăţeanului sau a adus atingere unor drepturi în alt mod. În cazul unei încălcări dovedite a protecţiei datelor, autoritatea de supraveghere ar fi deci obligată să exercite competenţe corective, singura putere discreţionară de care ar dispune fiind numai aceea de a alege măsurile pe care să le adopte dintre cele prevăzute.

22 Instanţa de trimitere are însă îndoieli cu privire la temeinicia acestei interpretări, pe care o consideră prea extensivă, şi înclină mai degrabă să recunoască autorităţii de supraveghere o marjă de apreciere care o autorizează, în anumite cazuri, să se abţină de la exercitarea competenţelor corective, în particular prin aplicarea de sancţiuni, în cazul unei încălcări dovedite. Chiar dacă autoritatea de supraveghere ar avea, în temeiul articolului 57 alineatul (1) litera (f) din RGPD, obligaţia de a efectua o examinare atentă pe fond a plângerilor şi de a examina fiecare caz în parte, ea nu ar fi totuşi obligată să exercite o competenţă corectivă în orice situaţie. Astfel, ea nu ar fi supusă unei asemenea obligaţii atunci când în trecut au fost încălcate norme privind protecţia datelor cu caracter personal însă operatorul a luat măsuri care permit să se presupună că o încălcare a protecţiei datelor nu s-ar repeta.

23 În aceste condiţii, Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden) a hotărât să suspende judecarea cauzei şi să adreseze Curţii următoarea întrebare preliminară:

"Articolul 57 alineatul (1) literele (a) şi (f) şi articolul 58 alineatul (2) literele (a)-(j) coroborate cu articolul 77 alineatul (1) din [RGPD] trebuie interpretate în sensul că, în cazul în care autoritatea de supraveghere constată că există o prelucrare a datelor care aduce atingere drepturilor persoanei vizate, autoritatea de supraveghere este obligată întotdeauna să adopte măsuri în temeiul articolului 58 alineatul (2) [din acest regulament]?"

Cu privire la admisibilitatea cererii de decizie preliminară

24 Fără a contesta în mod expres admisibilitatea cererii de decizie preliminară, TR arată că un răspuns la întrebarea adresată nu este necesar pentru soluţionarea litigiului principal. Acţiunea sa ar urmări numai ca instanţa de trimitere să oblige HBDI să se pronunţe cu privire la motivele invocate în plângere, în conformitate cu articolul 57 alineatul (1) litera (f) din RGPD, iar nu să îl oblige să facă uz de puterile care îi sunt conferite prin articolul 58 alineatul (2) din acest regulament.

25 În această privinţă, trebuie amintit că, în cadrul cooperării dintre Curte şi instanţele naţionale instituită prin articolul 267 TFUE, numai instanţa naţională, care este sesizată cu soluţionarea litigiului şi care trebuie să îşi asume răspunderea pentru decizia ce urmează a fi pronunţată, are competenţa să aprecieze, luând în considerare particularităţile cauzei, atât necesitatea unei decizii preliminare pentru a fi în măsură să pronunţe propria hotărâre, cât şi pertinenţa întrebărilor pe care le adresează Curţii. În consecinţă, în cazul în care întrebările adresate privesc interpretarea dreptului Uniunii, Curtea este, în principiu, obligată să se pronunţe (Hotărârea din 30 noiembrie 2023, Ministero dell’Istruzione şi INPS, C-270/22, EU:C:2023:933, punctul 33, precum şi jurisprudenţa citată).

26 Prin urmare, întrebările referitoare la interpretarea dreptului Uniunii adresate de instanţa naţională în cadrul normativ şi factual pe care îl defineşte sub răspunderea sa şi a cărui exactitate Curtea nu are competenţa să o verifice beneficiază de o prezumţie de pertinenţă. Curtea poate refuza să se pronunţe asupra unei cereri formulate de o instanţă naţională numai dacă este evident că interpretarea solicitată a dreptului Uniunii nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când problema este de natură ipotetică ori atunci când Curtea nu dispune de elementele de fapt şi de drept necesare pentru a răspunde în mod util la întrebările care i-au fost adresate (Hotărârea din 30 noiembrie 2023, Ministero dell’Istruzione şi INPS, C-270/22, EU:C:2023:933, punctul 34, precum şi jurisprudenţa citată).

27 În speţă, instanţa de trimitere subliniază că TR a invocat un drept ca HBDI să adopte măsuri şi a afirmat că acesta era obligat să aplice o amendă Casei de Economii.

28 În aceste condiţii, nu rezultă în mod evident că interpretarea solicitată a dreptului Uniunii nu are nicio legătură cu realitatea sau cu obiectul litigiului principal.

29 În consecinţă, cererea de decizie preliminară este admisibilă.

Cu privire la întrebarea preliminară

30 Pentru a răspunde la întrebarea adresată, trebuie amintit, cu titlu introductiv, că interpretarea unei dispoziţii de drept al Uniunii impune să se ţină seama nu numai de termenii săi, ci şi de contextul în care se înscrie, precum şi de obiectivele şi de finalitatea urmărite de actul din care aceasta face parte [a se vedea Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie), C-26/22 şi C-64/22, EU:C:2023:958, punctul 48, precum şi jurisprudenţa citată].

31 Trebuie amintit de asemenea că, în conformitate cu articolul 8 alineatul (3) din Carta drepturilor fundamentale a Uniunii Europene, precum şi cu articolul 51 alineatul (1) şi cu articolul 57 alineatul (1) litera (a) din RGPD, autorităţile naţionale de supraveghere sunt responsabile să supravegheze respectarea normelor Uniunii referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal [a se vedea Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie), C-26/22 şi C-64/22, EU:C:2023:958, punctul 55, precum şi jurisprudenţa citată].

32 În special, în temeiul articolului 57 alineatul (1) litera (f) din RGPD, fiecare autoritate de supraveghere este obligată, pe teritoriul său, să trateze plângerile pe care orice persoană, conform articolului 77 alineatul (1) din acest regulament, are dreptul de a le depune în cazul în care consideră că o prelucrare a datelor cu caracter personal care o vizează încalcă regulamentul menţionat şi să investigheze într-o măsură adecvată obiectul plângerii şi să informeze reclamantul cu privire la evoluţia şi rezultatul investigaţiei, într-un termen rezonabil. Autoritatea de supraveghere trebuie să soluţioneze o astfel de plângere cu toată diligenţa necesară [a se vedea Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie), C-26/22 şi C-64/22, EU:C:2023:958, punctul 56, precum şi jurisprudenţa citată].

33 În vederea soluţionării plângerilor astfel depuse, articolul 58 alineatul (1) din RGPD învesteşte fiecare autoritate de supraveghere cu competenţe importante de investigare. Atunci când o asemenea autoritate constată, la finalul investigaţiei sale, o încălcare a dispoziţiilor acestui regulament, ea este obligată să reacţioneze în mod adecvat pentru a remedia deficienţa constatată, orice măsură trebuind, aşa cum se precizează în considerentul (129) al regulamentului menţionat, în special să fie adecvată, necesară şi proporţională în scopul de a asigura conformitatea cu dispoziţiile regulamentului menţionat, luând în considerare circumstanţele fiecărui caz în parte. În acest scop, articolul 58 alineatul (2) din acelaşi regulament enumeră diferitele competenţe corective pe care le poate exercita autoritatea de supraveghere [a se vedea în acest sens Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie), C-26/22 şi C-64/22, EU:C:2023:958, punctul 57, precum şi jurisprudenţa citată].

34 Astfel, în temeiul articolului 58 alineatul (2) din RGPD, autoritatea de supraveghere are competenţa, printre altele, de a emite avertismente adresate unui operator sau unei persoane împuternicite de operator în cazul în care operaţiunile de prelucrare au încălcat dispoziţiile acestui regulament [litera (b)], de a da dispoziţii operatorului sau persoanei împuternicite de operator să respecte cererile persoanei vizate de a-şi exercita drepturile în temeiul regulamentului menţionat [litera (c)], de a da dispoziţii operatorului sau persoanei împuternicite de operator să asigure conformitatea operaţiunilor de prelucrare cu dispoziţiile aceluiaşi regulament, specificând, după caz, modalitatea şi termenul-limită pentru aceasta [litera (d)] sau de a impune amenzi administrative în conformitate cu articolul 83 din RGPD, în completarea sau în locul măsurilor menţionate la acest articol 58 alineatul (2), în funcţie de circumstanţele fiecărui caz în parte [punctul (i)].

35 Prin urmare, procedura plângerii este concepută ca un mecanism apt să protejeze în mod eficient drepturile şi interesele persoanelor vizate [a se vedea Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie), C-26/22 şi C-64/22, EU:C:2023:958, punctul 58].

36 În speţă, din cererea de decizie preliminară reiese că HBDI a examinat pe fond plângerea cu care o sesizase reclamantul din litigiul principal şi l-a informat pe acesta cu privire la rezultatul investigaţiei. Mai precis, HBDI a confirmat că se produsese o încălcare a securităţii datelor cu caracter personal ale acestuia din urmă în cadrul Casei de Economii, constând în accesul neautorizat la acestea al uneia dintre angajatele sale. Cu toate acestea, în ceea ce priveşte dreptul la consultare al membrilor personalului Casei de Economii, HBDI a respins plângerea formulată de reclamantul din litigiul principal. În plus, a concluzionat că nu era necesar să ia măsuri împotriva Casei de Economii în temeiul articolului 58 alineatul (2) din RGPD.

37 În această privinţă, trebuie arătat că RGPD lasă autorităţii de supraveghere o marjă de apreciere în ceea ce priveşte modul în care trebuie să remedieze deficienţa constatată, întrucât articolul 58 alineatul (2) din acesta conferă autorităţii respective puterea de a exercita diverse competenţe corective. Astfel, Curtea a statuat deja că alegerea mijlocului adecvat şi necesar aparţine autorităţii de supraveghere, care trebuie să facă această alegere luând în considerare toate împrejurările cazului concret şi îndeplinindu-şi cu toată diligenţa necesară sarcina care constă în a asigura respectarea deplină a RGPD (a se vedea în acest sens Hotărârea din 16 iulie 2020, Facebook Ireland şi Schrems, C-311/18, EU:C:2020:559, punctul 112).

38 Această marjă de apreciere este însă limitată de necesitatea de a asigura un nivel consecvent şi ridicat de protecţie a datelor cu caracter personal printr-o aplicare riguroasă a normelor, astfel cum reiese din considerentele (7) şi (10) ale RGPD.

39 În ceea ce priveşte, mai precis, amenzile administrative prevăzute la articolul 58 alineatul (2) litera (i) din RGPD, din articolul 83 alineatul (2) din acest regulament reiese că ele sunt impuse, în funcţie de circumstanţele fiecărui caz în parte, în completarea sau în locul celorlalte măsuri menţionate la acest articol 58 alineatul (2). În plus, acest articol 83 alineatul (2) precizează că, atunci când se ia decizia dacă să se impună o amendă administrativă şi decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, autoritatea de supraveghere acordă atenţia cuvenită aspectelor prevăzute la literele (a)-(k) ale acestei dispoziţii, cum ar fi natura, gravitatea şi durata încălcării.

40 Astfel, sistemul de sancţiuni prevăzut de legiuitorul Uniunii permite autorităţilor de supraveghere să impună sancţiunile cele mai adecvate şi justificate în funcţie de circumstanţele fiecărui caz în parte (a se vedea în acest sens Hotărârea din 5 decembrie 2023, Nacionalinis visuomenes sveikatos centras, C-683/21, EU:C:2023:949, punctele 75 şi 78), luând în considerare, astfel cum s-a amintit la punctele 37 şi 38 din prezenta hotărâre, necesitatea de a asigura respectarea deplină a RGPD, precum şi de a garanta un nivel consecvent şi ridicat de protecţie a datelor cu caracter personal printr-o aplicare riguroasă a normelor.

41 În consecinţă, nu se poate deduce nici din articolul 58 alineatul (2) din RGPD, nici din articolul 83 din acesta existenţa unei obligaţii în sarcina autorităţii de supraveghere de a exercita, în toate cazurile, atunci când constată o încălcare a securităţii datelor cu caracter personal, o competenţă corectivă, mai concret, de a aplica o amendă administrativă, obligaţia sa fiind, în atare împrejurări, de a reacţiona în mod adecvat pentru a remedia deficienţa constatată. În aceste condiţii, astfel cum a arătat avocatul general la punctul 81 din concluzii, reclamantul ale cărui drepturi au fost încălcate nu dispune de un drept subiectiv ca autoritatea de supraveghere să îi impună operatorului o amendă administrativă.

42 În schimb, autoritatea de supraveghere este obligată să intervină atunci când exercitarea uneia sau a mai multe dintre competenţele corective prevăzute la articolul 58 alineatul (2) din RGPD este, ţinând seama de toate împrejurările cazului concret, adecvată, necesară şi proporţională pentru a remedia deficienţa constatată şi pentru a asigura respectarea deplină a acestui regulament.

43 În această privinţă, nu este exclus ca, cu titlu excepţional şi ţinând seama de împrejurările speciale ale cazului concret, autoritatea de supraveghere să se poată abţine de la exercitarea unei competenţe corective, deşi a fost constatată o încălcare a securităţii datelor cu caracter personal. Aceasta ar putea fi situaţia în special atunci când încălcarea constatată nu a persistat, de exemplu atunci când operatorul, care în principiu a pus în aplicare măsuri tehnice şi organizatorice adecvate în sensul articolului 24 din RGPD, a luat, de îndată ce a cunoscut această încălcare, măsurile adecvate şi necesare pentru ca încălcarea menţionată să înceteze şi să nu se reproducă, ţinând seama de obligaţiile care îi revin printre altele în temeiul articolului 5 alineatul (2) şi al articolului 24 din acest regulament.

44 Interpretarea potrivit căreia autoritatea de supraveghere, atunci când constată o încălcare a securităţii datelor cu caracter personal, nu este obligată să exercite în toate cazurile o competenţă corectivă în temeiul articolului 58 alineatul (2) din RGPD este confirmată de obiectivele urmărite de acest articol 58 alineatul (2), precum şi, respectiv, de articolul 83 din acest regulament.

45 În ceea ce priveşte obiectivul urmărit de articolul 58 alineatul (2) din RGPD, reiese din considerentul (129) al acestuia că dispoziţia menţionată urmăreşte să asigure conformitatea prelucrării datelor cu caracter personal cu acest regulament şi restabilirea situaţiilor în care acesta din urmă este încălcat pentru a le face să respecte dreptul Uniunii prin intervenţia autorităţilor de supraveghere naţionale (Hotărârea din 14 martie 2024, Újpesti Polgármesteri Hivatal, C-46/23, EU:C:2024:239, punctul 40).

46 Rezultă că exercitarea unei competenţe corective poate, cu titlu excepţional şi ţinând seama de împrejurările speciale ale cazului concret, să nu se impună, cu condiţia ca situaţia de încălcare a RGPD să fi fost deja rectificată, conformitatea prelucrării datelor cu caracter personal cu acest regulament de către operatorul lor să fie asigurată şi o astfel de abţinere a autorităţii de supraveghere să nu fie de natură să aducă atingere cerinţei unei aplicări riguroase a normelor, astfel cum a fost amintită la punctul 38 din prezenta hotărâre.

47 În ceea ce priveşte obiectivul urmărit de articolul 83 din RGPD, referitor la impunerea de amenzi administrative, acesta constă, potrivit considerentului (148) al regulamentului menţionat, în consolidarea aplicării normelor prevăzute de acesta din urmă. Totuşi, acelaşi considerent enunţă că, în cazul unei încălcări minore a regulamentului menţionat sau în cazul în care amenda administrativă susceptibilă de a fi impusă ar constitui o sarcină disproporţionată pentru o persoană fizică, autorităţile de supraveghere pot să se abţină de la aplicarea unei amenzi administrative şi, în locul acesteia, să emită un avertisment (a se vedea în acest sens Hotărârea din 5 decembrie 2023, Nacionalinis vizuomenes sveikatos centras, C-683/21, EU:C:2023:949, punctul 76).

48 În speţă, din cererea de decizie preliminară reiese că Casa de Economii a notificat HBDI, în conformitate cu articolul 33 din RGPD, încălcarea securităţii datelor cu caracter personal ale reclamantului din litigiul principal, care rezulta din accesul neautorizat la acestea al uneia dintre angajatele sale. În plus, ea a arătat că fuseseră luate măsuri disciplinare împotriva angajatei respective şi că durata de păstrare a registrului de acces urma să facă obiectul unei reexaminări. În aceste condiţii, HBDI s-a abţinut să exercite o competenţă corectivă în temeiul articolului 58 alineatul (2) din RGPD, în particular să aplice o amendă administrativă.

49 Întrucât deciziile privind o plângere adoptate de o autoritate de supraveghere sunt supuse unui control jurisdicţional complet [Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie), C-26/22 şi C-64/22, EU:C:2023:958, punctul 70], revine instanţei de trimitere sarcina de a verifica dacă HBDI a procedat la soluţionarea plângerii vizate cu toată diligenţa necesară şi dacă, prin adoptarea deciziei în discuţie în litigiul principal, HBDI a respectat limitele marjei de apreciere pe care i-o conferă articolul 58 alineatul (2) din RGPD [a se vedea prin analogie Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie), C-26/22 şi C-64/22, EU:C:2023:958, punctele 68 şi 69, precum şi jurisprudenţa citată].

50 Ţinând seama de ansamblul consideraţiilor care precedă, este necesar să se răspundă la întrebarea adresată că articolul 57 alineatul (1) literele (a) şi (f), articolul 58 alineatul (2) şi articolul 77 alineatul (1) din RGPD trebuie interpretate în sensul că, în cazul constatării unei încălcări a securităţii datelor cu caracter personal, autoritatea de supraveghere nu este obligată să exercite o competenţă corectivă, în particular să aplice o amendă administrativă, în temeiul acestui articol 58 alineatul (2), atunci când o asemenea intervenţie nu este adecvată, necesară sau proporţională pentru a remedia deficienţa constatată şi pentru a asigura respectarea deplină a acestui regulament.

Cu privire la cheltuielile de judecată

51 Întrucât, în privinţa părţilor din litigiul principal, procedura are caracterul unui incident survenit la instanţa de trimitere, este de competenţa acesteia să se pronunţe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observaţii Curţii, altele decât cele ale părţilor menţionate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Camera întâi) declară:

Articolul 57 alineatul (1) literele (a) şi (f), articolul 58 alineatul (2) şi articolul 77 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)

trebuie interpretate în sensul că,

în cazul constatării unei încălcări a securităţii datelor cu caracter personal, autoritatea de supraveghere nu este obligată să exercite o competenţă corectivă, în particular să aplice o amendă administrativă, în temeiul acestui articol 58 alineatul (2), atunci când o asemenea intervenţie nu este adecvată, necesară sau proporţională pentru a remedia deficienţa constatată şi pentru a asigura respectarea deplină a acestui regulament.

Semnături

* Limba de procedură: germana.