1.

Předmětem žádosti o rozhodnutí o předběžné otázce předložené Verwaltungsgericht Wiesbaden (Správní soud ve Wiesbadenu, Německo) na základě článku 267 SFEU je výklad ustanovení čl. 57 odst. 1 písm. a) a f), čl. 58 odst. 2, jakož i čl. 77 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) ( 2 ) (dále jen „GDPR“).

2.

Tato žádost byla předložena v rámci sporu mezi TR a Land Hessen (Spolková země Hesensko, Německo), zastoupenou Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Hesenský pověřenec pro ochranu údajů a informační svobodu, dále jen „HBDI“), ve věci odmítnutí HBDI zasáhnout proti spořitelně Sparkasse z důvodu porušení zabezpečení osobních údajů. Předkládající soud si klade otázku, zda v případě, že dozorový úřad zjistí, že došlo ke zpracování údajů, které porušuje práva subjektu údajů, je tento úřad v každém případě povinen zasáhnout v rámci pravomocí, které mu přiznává čl. 58 odst. 2 GDPR, anebo zda je v konkrétním případě oprávněn, navzdory porušení, od zásahu upustit.

3.

V projednávané věci vyvstává několik dosud neřešených otázek vyžadujících hlubší zamyšlení. Soudní dvůr se bude muset vyslovit v podstatě k tomu, jakou roli hrají zásada legality a zásada vhodnosti ve správní praxi dozorových úřadů, a to zejména při plnění jejich úkolu spočívajícího v monitorování a vymáhání uplatňování GDPR. Výkladová vodítka, která vyplynou z judikatury Soudního dvora, dopadnou na tuto správní praxi a přispějí tak k soudržnému uplatňování tohoto nařízení v rámci Unie.

4.

Body 129, 141, 148 a 150 GDPR zní takto:

[…]

[…]

[…]

5.

Článek 33 odst. 1 tohoto nařízení stanoví:

„Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu příslušnému podle článku 55, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. […]“

6.

Článek 34 odst. 1 uvedeného nařízení stanoví:

„Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.“

7.

Článek 57 odst. 1 téhož nařízení stanoví:

„Aniž jsou dotčeny další úkoly stanovené tímto nařízením, každý dozorový úřad na svém území:

[…]

[…]“

8.

Článek 58 GDPR zní takto:

„1.   Každý dozorový úřad má všechny tyto vyšetřovací pravomoci:

[…]

2.   Každý dozorový úřad má všechny tyto nápravné pravomoci:

[…]

[…]“

9.

Článek 77 tohoto nařízení stanoví:

„1.   Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.

2.   Dozorový úřad, kterému byla stížnost podána, informuje stěžovatele o pokroku v řešení stížnosti a o jeho výsledku, jakož i o možnosti soudní ochrany podle článku 78.“

10.

Článek 78 uvedeného nařízení v odstavcích 1 a 2 stanoví:

„1.   Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.

2.   Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každý subjekt údajů právo na účinnou soudní ochranu, pokud se dozorový úřad, který je příslušný podle článků 55 a 56, stížností nezabývá nebo pokud neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti podané podle článku 77 či o jeho výsledku.“

11.

Článek 83 GDPR v odstavcích 1 a 2 stanoví:

„1.   Každý dozorový úřad zajistí, aby ukládání správních pokut v souladu s tímto článkem ohledně porušení tohoto nařízení podle odstavců 4, 5 a 6 bylo v každém jednotlivém případě účinné, přiměřené a odrazující.

2.   Správní pokuty se ukládají podle okolností každého jednotlivého případu kromě či namísto opatření uvedených v čl. 58 odst. 2 písm. a) až h) a j). Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech se řádně zohlední tyto okolnosti:

12.

Sparkasse je komunální veřejnoprávní instituce, která provádí zejména bankovní a úvěrové operace. Dne 15. listopadu 2019 Sparkasse ohlásila HBDI v souladu s článkem 33 GDPR porušení zabezpečení osobních údajů s tím, že jedna z jejích zaměstnankyň opakovaně nahlížela, aniž k tomu byla oprávněna, do osobních údajů TR, jednoho z klientů. Sparkasse měla nicméně za to, že se nejedná o případ porušení zabezpečení osobních údajů, u něhož je pravděpodobné, že bude mít za následek vysoké riziko pro TR, a proto toto porušení podle článku 34 tohoto nařízení neoznámila i TR.

13.

Když se TR o tomto incidentu dozvěděl, obrátil se dopisem ze dne 27. července 2020 na HBDI, přičemž upozornil na porušení článku 34 GDPR a ohradil se proti krátké tříměsíční době uchovávání záznamů Sparkasse o přístupu, jakož i proti tomu, že všichni její zaměstnanci disponují rozsáhlými právy k nahlížení.

14.

V rámci řízení vedeného při HBDI Sparkasse uvedla, že její pověřenec pro ochranu osobních údajů měl za to, že neexistuje riziko pro TR, neboť vůči dotyčné zaměstnankyni byla přijata disciplinární opatření a tato zaměstnankyně písemně potvrdila, že si nepořídila kopie údajů, s nimiž se seznámila, neuložila je, ani je nepředala třetím osobám, a zavázala se, že tak neučiní ani v budoucnu. Kromě toho měla být doba, po kterou jsou uchovávány údaje o přístupu, předmětem přezkumu.

15.

Rozhodnutím ze dne 3. září 2020 HBDI sdělil TR, že v daném případě Sparkasse neporušila článek 34 GDPR. Podle HBDI se rozhoduje správce podle tohoto ustanovení na základě předpokladu. Z hlediska dozoru nad ochranou údajů bylo třeba posoudit, zda se rozhodl zjevně nesprávně. Sparkasse přitom doložila, že ačkoli k přístupu k údajům došlo, nic nenasvědčovalo tomu, že by zaměstnankyně, která se s nimi seznámila, tyto údaje předala třetím osobám nebo je použila na úkor TR. Vysoké riziko tedy pravděpodobně nebylo dáno. Sparkasse byla mimoto vyzvána, aby do budoucna uchovávala záznamy o přístupu po delší dobu. Kontrola každého jednotlivého přístupu nebyla dle HBDI nutná, jelikož v zásadě lze udělit rozsáhlá přístupová práva, pokud je zajištěno, že každý uživatel je seznámen s podmínkami, kterým jeho přístup k daným údajům podléhá.

16.

TR podal proti rozhodnutí ze dne 3. září 2020 žalobu k Verwaltungsgericht Wiesbaden (Správní soud ve Wiesbadenu), předkládajícímu soudu, přičemž se domáhá toho, aby HBDI byla uložena povinnost zasáhnout proti Sparkasse.

17.

Na podporu své žaloby TR uvádí, že HBDI se jeho stížností nezabýval tak, jak vyžaduje GDPR. Tvrdí, že má právo na to, aby se stížností zabýval a aby byl o výsledku informován. HBDI byl podle něj povinen zjistit skutkové okolnosti, na nichž je založeno posouzení rizika ze strany Sparkasse, neomezit se na opatření, která byla výslovně požadována, a měl uložit Sparkasse pokuty. Podle TR v případě prokázaného porušení se zásada vhodnosti neuplatní, takže HBDI se může rozhodnout nikoliv o tom, zda bude konat či nikoliv, ale nanejvýš o tom, jaká opatření zvolí.

18.

Předkládající soud upřesňuje, že v projednávané věci HBDI jako dozorový úřad dospěl k závěru, že ačkoli došlo k porušení ustanovení o ochraně údajů, zásah podle čl. 58 odst. 2 GDPR nebyl namístě. Tento přístup je nicméně podle názoru předkládajícího soudu v souladu s tímto nařízením pouze v případě, že dozorový úřad nebyl povinen zasáhnout ani v případě prokázaného porušení ochrany údajů. Pokud by měl být přijat postoj TR, podle kterého dozorový úřad nemá žádnou posuzovací pravomoc, znamenalo by to, že v případě prokázaného porušení by existovalo právo na to, aby dozorový úřad konal, a právo na nápravná opatření a že by dozorový úřad musel ve všech případech přijmout určité opatření. Pokud by odmítl, musel by tedy soud dozorovému úřadu uložit, aby přijal opatření nebo soubor opatření.

19.

Předkládající soud uvádí, že tato argumentace, kterou zastává i část právní nauky, vychází z toho, že nápravné pravomoci podle čl. 58 odst. 2 GDPR mají obnovit stav, který je v souladu s právem, jsou-li při zpracování údajů porušena práva občanů. Toto ustanovení by tedy mělo být pojímáno jako ustanovení ukládající povinnost, která zakládá právo občana na to, aby v případě, že podnik nebo úřad protiprávně zpracoval jeho osobní údaje nebo porušil jeho práva jiným způsobem, úřady konaly. Je-li prokázáno porušení ochrany údajů, dozorový úřad by byl povinen přijmout nápravná opatření a volné uvážení by měl pouze ohledně toho, které ze stanovených opatření zvolí.

20.

Předkládající soud má nicméně o takovém výkladu pochybnosti a považuje jej za příliš extenzivní. Přiklání se spíše k výkladu, podle kterého by byl dozorovému úřadu přiznán rozhodovací prostor zahrnující i možnost v případě prokázaných porušení od sankce zcela upustit. Článek 57 odst. 1 písm. f) GDPR totiž podle předkládajícího soudu stanoví pouze tolik, že dozorový úřad, k němuž byla podána stížnost, ve vhodné míře prošetřuje předmět stížnosti a v přiměřené lhůtě informuje stěžovatele o vývoji a výsledku šetření. Předkládající soud má tudíž za to, že dozorový úřad má na základě toho povinnost pečlivého věcného posouzení a povinnost posoudit každý jednotlivý případ, nevyplývá z toho však, že je vždy a bez výjimky povinen v případě prokázaného porušení zakročit.

21.

Za těchto podmínek se Verwaltungsgericht Wiesbaden (Správní soud ve Wiesbadenu) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžnou otázku:

„Musí být čl. 57 odst. 1 písm. a) a f) a čl. 58 odst. 2 písm. a) až j) ve spojení s čl. 77 odst. 1 [GDPR] vykládány v tom smyslu, že v případě, že dozorový úřad zjistí, že došlo ke zpracování údajů, které porušuje práva subjektu údajů, je povinen vždy zasáhnout podle čl. 58 odst. 2 [tohoto nařízení]?“

22.

Předkládací rozhodnutí ze dne 10. prosince 2021 došlo kanceláři Soudního dvora dne 14. prosince 2021.

23.

Účastníci původního řízení, rakouská, portugalská, rumunská a norská vláda, jakož i Evropská komise předložili písemná vyjádření ve lhůtě stanovené článkem 23 statutu Soudního dvora Evropské unie.

24.

Na všeobecné schůzi konané dne 16. ledna 2024 Soudní dvůr rozhodl, že se nebude konat jednání.

25.

Poté, co GDPR vstoupilo v platnost, muselo velké množství subjektů zavést celou řadu opatření, aby byly v souladu s novou právní úpravou týkající se zpracování osobních údajů. V případě, že dotčené subjekty tyto předpisy nedodržují, vystavují se více či méně přísným sankcím podle závažnosti porušení. Správní pokuty jsou ústředním prvkem režimu vymáhání zavedeného GDPR. Jsou účinnou součástí škály nástrojů, jimiž dozorové úřady disponují za účelem zajištění dodržování právní úpravy, a to souběžně s dalšími nápravnými opatřeními stanovenými čl. 58 odst. 2 GDPR. Vzhledem k tomu, že toto nařízení opravňuje dozorové úřady k ukládání někdy i velmi vysokých, pokut, jeví se vhodné upřesnit, v zájmu právní jistoty, okolnosti odůvodňující použití tohoto nápravného opatření. A právě k tomu má přispět toto stanovisko.

26.

Stanovisko v projednávané věci takříkajíc začíná tam, kde skončilo mé stanovisko ve spojených věcech C‑26/22 a C‑64/22 (SCHUFA Holding) (dále jen „věci SCHUFA“) ( 3 ). Zatímco v těchto věcech jsem objasnil, jaké povinnosti má dozorový úřad v rámci šetření stížnosti podle článku 77 GDPR, v projednávané věci se budu zabývat jeho povinnostmi při zjištění porušení zabezpečení osobních údajů, jakož i jeho nápravnými pravomocemi, zejména jeho pravomocí spočívající v ukládání správních pokut. Následně posoudím otázku, zda GDPR stanoví dozorovému úřadu povinnost uložit takovou pokutu ve všech případech nebo přinejmenším tehdy, když to stěžovatel výslovně požaduje. Na základě shrnutí mé analýzy odpovím na otázku předkládajícího soudu ohledně možnosti dozorového úřadu upustit od přijetí nápravných opatření.

27.

Ještě než přistoupím k analýze všech těchto aspektů, je třeba zabývat se argumentem TR, vycházejícím z nepřípustnosti žádosti o rozhodnutí o předběžné otázce. TR konkrétně tvrdí, že odpověď na položenou otázku není nezbytná pro řešení sporu v původním řízení. Uvádí, že se žalobou domáhá pouze toho, aby předkládající soud uložil HBDI rozhodnout o námitkách uplatněných ve stížnosti, která mu byla podána, a nikoli toho, aby HBDI bylo uloženo uplatnit pravomoci přiznané čl. 58 odst. 2 GDPR.

28.

V tomto ohledu je třeba připomenout, že v rámci spolupráce mezi Soudním dvorem a vnitrostátními soudy založené článkem 267 SFEU je pouze věcí vnitrostátního soudu, kterému byl spor předložen a který musí nést odpovědnost za soudní rozhodnutí, jež bude vydáno, aby s přihlédnutím ke konkrétním okolnostem věci posoudil jak nezbytnost rozhodnutí o předběžné otázce pro vydání rozsudku, tak relevanci otázek, které klade Soudnímu dvoru. Jestliže se tedy položené otázky týkají výkladu unijního práva, je Soudní dvůr v zásadě povinen rozhodnout ( 4 ).

29.

Z toho vyplývá, že se na otázky týkající se výkladu unijního práva položené vnitrostátním soudem v právním a skutkovém rámci, který tento soud vymezí na vlastní odpovědnost a jehož správnost nepřísluší Soudnímu dvoru ověřovat, vztahuje domněnka relevance. Odmítnutí žádosti podané vnitrostátním soudem je ze strany Soudního dvora možné pouze tehdy, je-li zjevné, že žádaný výklad unijního práva nemá žádný vztah k realitě nebo předmětu sporu v původním řízení, jestliže se jedná o hypotetický problém nebo také jestliže Soudní dvůr nedisponuje skutkovými nebo právními poznatky nezbytnými pro užitečnou odpověď na otázky, které jsou mu položeny ( 5 ).

30.

V projednávané věci předkládající soud jasně uvedl důvody, proč se dotazuje na výklad ustanovení unijního práva uvedených v předběžné otázce, a zároveň upřesnil, že odpověď na předběžnou otázku je rozhodující pro vyřešení sporu v původním řízení, jelikož TR požádal HBDI, aby zasáhl vůči Sparkasse. Jak vyplývá z odůvodnění žádosti o rozhodnutí o předběžné otázce, TR uplatnil „právo“ takový zásah požadovat. Podle názoru TR zejména „měl HBDI Sparkasse uložit pokuty“. V této souvislosti pak předkládající soud odkazuje na výpočty, které TR provedl za účelem stanovení výše pokut, která má být uložena.

31.

Všechny tyto informace poskytnuté přímo předkládajícím soudem jsou ve zřejmém rozporu s tvrzeními TR o údajné nepřípustnosti žádosti o rozhodnutí o předběžné otázce. S ohledem na tyto okolnosti není podle mého názoru pochyb o tom, že odpověď na otázku položenou předkládajícím soudem je nezbytná pro řešení sporu. Jeví se totiž jako zásadní, aby byl stanoven rozsah pravomocí dozorového úřadu a jeho povinností vůči stěžovateli. Je tudíž třeba konstatovat, že žádost o rozhodnutí o předběžné otázce je přípustná.

32.

Co se týče věci samé, podstatou předběžné otázky je určení, jaké jsou povinnosti dozorového úřadu v případě, že bylo zjištěno porušení zabezpečení osobních údajů. To v zásadě předpokládá, že dotčené porušení bylo konstatováno v rámci šetření zahájeného po podání stížnosti.

33.

Ve sděleních předkládajícího soudu je patrno několik nepřesností ohledně povinností, které má dle GDPR dozorový úřad při šetření stížnosti, což si lze podle mého názoru vysvětlit tím, že žádost o rozhodnutí o předběžné otázce byla předložena před vydáním rozsudku ve věcech SCHUFA ( 6 ), ve kterém Soudní dvůr vymezil několik důležitých zásad, kterými se řídí řízení o stížnosti. Lze tedy důvodně předpokládat, že předkládající soud neměl možnost se s touto judikaturou seznámit.

34.

V zájmu co možná nejúplnějšího představení právního rámce týkajícího se režimu dohledu zavedeného GDPR a ve snaze poskytnout předkládajícímu soudu užitečnou odpověď považuji za nezbytné nejprve připomenout, jaké zásady se použijí na řízení o stížnosti ( 7 ), a následně objasnit, jak by měl dozorový úřad postupovat v případě, že zjistí porušení zabezpečení osobních údajů ( 8 ).

35.

Jak uvedl Soudní dvůr v rozsudku SCHUFA, podle čl. 8 odst. 3 Listiny, jakož i podle čl. 51 odst. 1 a čl. 57 odst. 1 písm. a) GDPR jsou vnitrostátní dozorové úřady pověřeny dohlížením na dodržování unijních pravidel týkajících se ochrany fyzických osob v souvislosti se zpracováním osobních údajů ( 9 ).

36.

Podle čl. 57 odst. 1 písm. f) GDPR má každý dozorový úřad zejména povinnost zabývat se na svém území stížnostmi, které mu má podle čl. 77 odst. 1 tohoto nařízení právo podat každý subjekt údajů, jenž se domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení, a také povinnost ve vhodné míře prošetřit předmět takové stížnosti ( 10 ).

37.

Dozorový úřad se musí takovou stížností zabývat s veškerou náležitou péčí. Soudní dvůr dále uvedl, že za účelem vyřizování podaných stížností přiznává čl. 58 odst. 1 GDPR každému dozorovému úřadu významné vyšetřovací pravomoci ( 11 ).

38.

V tomto kontextu je třeba poukázat na to, že se Soudní dvůr ztotožnil s výkladem, který jsem zastával v mém stanovisku ve věcech SCHUFA a podle kterého řízení o stížnosti, které není podobné řízení o petici, je koncipováno jako mechanismus schopný účinně chránit práva a zájmy subjektů údajů ( 12 ).

39.

Dále je nutné uvést, že Soudní dvůr souhlasil i s mým výkladem čl. 78 odst. 1 GDPR, když konstatoval, že rozhodnutí o stížnosti přijaté dozorovým úřadem podléhá úplnému soudnímu přezkumu ( 13 ).

40.

V případě, že dozorový úřad při šetření stížnosti konstatuje porušení zabezpečení osobních údajů, vyvstává otázka, jakým způsobem má postupovat. Jak níže objasním, v případě takového zjištění předně vzniká dozorovému úřadu povinnost konat v zájmu zásady legality. V zásadě jde o to určit nejvhodnější nápravné či nápravná opatření k odstranění porušení ( 14 ). Tento výklad se mi zdá rozumný, přihlédneme-li k tomu, že čl. 57 odst. 1 písm. a) GDPR svěřuje dozorovému úřadu úkol „monitorovat a vymáhat uplatňování tohoto nařízení“. S tímto posláním by bylo neslučitelné, pokud by měl dozorový úřad možnost ponechat zjištěné porušení jednoduše bez povšimnutí ( 15 ).

41.

Vyšetřovací pravomoci, které má dozorový úřad podle čl. 58 odst. 1 GDPR by nadto nebyly valného významu, pokud by dozorový úřad byl nucen se omezit navzdory zjištění porušení zabezpečení osobních údajů na provedení šetření. Uplatňování unijního práva v oblasti ochrany osobních údajů je základní součástí pojmu „kontrola“ uvedeného v čl. 16 odst. 2 SFEU a pojmu „dohl[ed]“ uvedeného v čl. 8 odst. 3 Listiny ( 16 ). V této souvislosti je třeba mít na paměti, že dozorový úřad jedná také v zájmu osoby či subjektu, jehož práva byla porušena. V tomto ohledu je třeba uvést, že čl. 57 odst. 1 písm. f) a čl. 77 odst. 2 GDPR stanoví určité povinnosti ve vztahu ke stěžovateli, a sice „informovat ho o vývoji a výsledku šetření“.

42.

Z poslední věty plyne, že dozorový úřad musí rovněž podat zprávu o opatřeních přijatých ve vztahu k porušení zabezpečení osobních údajů, které zjistil. Je zřejmé, že řízení o stížnosti by postrádalo smysl, pokud by dozorový úřad mohl zůstat nečinný ve vztahu k právní situaci, která je v rozporu s unijním právem. Z toho důvodu, s cílem poskytnout dozorovému úřadu účinný nástroj pro řešení tohoto typu porušení, zakotvuje čl. 58 odst. 2 GDPR soubor nápravných opatření odstupňovaných dle intenzity zásahu. Povinnost konat vždy bez ohledu na závažnost porušení, znamená, že dozorový úřad musí využít tohoto souboru nápravných opatření, aby obnovil stav, který je v souladu s unijním právem ( 17 ).

43.

Nutno ovšem upřesnit, že otázku, zda má úřad povinnost v případě porušení zabezpečení osobních údajů konat, je třeba zřetelně odlišit od otázky, jak konkrétně má jednat. Co se týče této druhé otázky, lze mít na základě více indicií za to, že dozorový úřad má určitý rozhodovací prostor, kterého ovšem musí využít v souladu s cíli GDPR a v mezích jím stanovených. I když jsem již uvedl některé argumenty na podporu takového výkladu ve věcech SCHUFA ( 18 ), je přece jen nezbytné zabývat se touto otázkou v tomto stanovisku důkladněji.

44.

Úvodem je třeba poznamenat, že podle čl. 58 odst. 2 GDPR „má“ dozorový úřad všechny nápravné „pravomoci“ vyjmenované v tomto ustanovení, což jak správně uvádí předkládající soud, vyjadřuje existenci možnosti. Tento význam je ostatně přítomen ve všech jazykových verzích, které jsem v rámci své analýzy podrobil zkoumání ( 19 ).

45.

Článek 58 odst. 2 GDPR je třeba vykládat ve světle bodu 129 odůvodnění tohoto nařízení, ze kterého vyplývá, že „každé opatření [musí] být vhodné, nezbytné a přiměřené, aby byl s přihlédnutím k okolnostem každého jednotlivého případu zajištěn soulad s tímto nařízením“ (kurzivou zvýraznil autor stanoviska). Jinými slovy, dozorovému úřadu svěřená „pravomoc“ využít souboru nápravných opatření uvedeného v tomto ustanovení podléhá řadě podmínek, zejména tomu, aby opatření přijaté tímto úřadem bylo „vhodné“. Tento neurčitý právní pojem přiznávající úřadu prostor pro uvážení vykládám v tom smyslu, že zvolené opatření musí být způsobilé, s ohledem na své vlastnosti a modalitu účinků, obnovit stav, který je v souladu s unijním právem ( 20 ).

46.

Tento výklad je zcela v souladu s judikaturou Soudního dvora, který rozhodl, že pokud dozorový úřad zjistí, že zpracováním osobních údajů bylo porušeno GDPR, „má povinnost přiměřeně reagovat, aby zjednal nápravu shledaného nedostatku“ ( 21 ). Jak uvádí Komise, povinnost připadající dozorovému úřadu se tedy týká v prvé řadě výsledku, kterého má být dosaženo, a sice zjednat nápravu shledaného nedostatku tím, že bude za tím účelem přijato „vhodné“ opatření. Kromě toho je třeba uvést, že rozhodnutí o tom, jaké opatření má být přijato, závisí na konkrétních okolnostech každého jednotlivého případu, jak jasně vyplývá ze zmíněného bodu 129 odůvodnění GDPR. Rozhodnutí přijatá dozorovým úřadem v rámci jeho správní praxe se mohou případ o případu podle situace značně lišit.

47.

Vzhledem k tomu, že čl. 58 odst. 2 GDPR pouze stanoví, že každý dozorový úřad „má“ všechny nápravné „pravomoci“ vyjmenované v tomto ustanovení, dozorový úřad má prostor pro uvážení v tom smyslu, že za účelem nápravy zjištěného porušení může v zásadě volit mezi těmito nápravnými opatřeními. Jak zdůraznil Soudní dvůr v rozsudku vydaném ve věci C‑311/18 (Facebook Ireland a Schrems), „volba vhodného a nezbytného prostředku přísluší dozorovému úřadu“, který musí tuto volbu provést s přihlédnutím ke všem okolnostem konkrétního případu ( 22 ).

48.

Uznání diskreční pravomoci podle mého názoru zahrnuje rovněž pravomoc nepřijmout žádné z nápravných opatření uvedených čl. 58 odst. 2 GDPR, je-li takový přístup odůvodněn konkrétními okolnostmi daného případu. Vzhledem k tomu, že je využití souboru nápravných opatření také podmíněno tím, že je dotčené opatření „nezbytné“ pro zajištění souladu s tímto nařízením, nelze vyloučit, že by konkrétní zásah dozorového úřadu tuto podmínku nesplňoval, například pokud byl problém v mezidobí vyřešen či překonán nebo porušení pominulo. Je zřejmé, že za takových okolností by zásah dozorového úřadu postrádal smysl.

49.

Jak také správně uvádí portugalská vláda, použití nápravných opatření již nemusí být odůvodněné v případě, že míra protiprávnosti chování správce nebo zpracovatele je zjevně zanedbatelná nebo jsou polehčující samotné okolnosti věci, a to zejména proto, že je do určité míry spoluodpovědný stěžovatel. To nicméně předpokládá oprávnění dozorového úřadu určit mez, pod kterou již zásah není považován za „nezbytný“ ve smyslu GDPR.

50.

V tomto kontextu bych chtěl upozornit na bod 141 odůvodnění GDPR, který výslovně zmiňuje možnost dozorového úřadu rozhodnout, že nebude konat v případech, ve kterých má za to, že to není pro zajištění ochrany práv subjektu údajů „nutné“ („pokud nekoná, přestože je to nutné“) (kurzivou zvýraznil autor stanoviska). Tento bod odůvodnění upřesňuje, že rozhodnutí dozorového úřadu může být předmětem soudního přezkumu i v případě, že stěžovatel případně nesdílí posouzení dozorového úřadu ohledně „nutnosti“ konat, a to vedle dalších v něm vypočtených důvodů, konkrétně jestliže jsou porušena jeho práva podle tohoto nařízení, nebo pokud dozorový úřad na stížnost nereaguje, stížnost zcela či částečně odmítne či zamítne.

51.

Diskreční pravomoc, která je dozorovému úřadu přiznána podle čl. 58 odst. 2 GDPR, zahrnuje i možnost, že v případě méně závažných případů porušení bude náprava zjednána jinými opatřeními přijatými samotným správcem. Jak ukazují okolnosti projednávané věci, mohou nápravná opatření přijatá „autonomně“ odpovědnými podniky spočívat v tom, že budou vůči zaměstnancům, kteří se dopustili porušení, přijata disciplinární opatření. Za okolností, ve kterých byla odpovědnost za porušení uznána, a bylo zajištěno, že k novému porušení zabezpečení osobních údajů nedojde, se uložení dodatečných nápravných opatření ze strany dozorového úřadu může jevit nadbytečné.

52.

Za určitých okolností, pokud to není vhodné ani nezbytné, by použití nápravných pravomocí vůči správci mohlo být dokonce kontraproduktivní. Pokud by byl dozorový úřad povinen použít nápravné pravomoci podle čl. 58 odst. 2 GDPR v případě každého porušení, znamenalo by to snížení zdrojů využitelných pro monitorování jiných věcí a úkolů, které jsou z hlediska ochrany údajů hodny větší pozornosti. Mám tudíž za to, že použití „autonomních“ opatření přijatých samotným správcem dává dozorovému úřadu možnost soustředit se na závažné případy, které by měly být upřednostněny, a to při současném zajištění kontinuálního boje proti porušování zabezpečení osobních údajů, ovšem decentralizovaným způsobem, tedy cestou částečné delegace jeho úkolů.

53.

V případě, že se dozorový úřad rozhodne neuplatnit nápravná opatření uvedená čl. 58 odst. 2 GDPR a upřednostní použití „autonomních“ opatření přijatých správcem, je nicméně podle mého názoru nezbytné, aby byly dodrženy určité právní požadavky. Zaprvé, dozorový úřad by měl vyjádřit výslovný souhlas s takovým opatřením, aby se předešlo obcházení režimu dohledu, který zavádí GDPR. Zadruhé, tomuto vyjádření souhlasu by mělo předcházet pečlivé posouzení situace z hlediska podmínek uvedených v bodě 129 odůvodnění GDPR, aby nebyl dozorový úřad zproštěn své odpovědnosti za vymáhání uplatňování tohoto nařízení. Zatřetí, dohoda se subjektem, který má vykonat „autonomní“ opatření, by měla stanovit oprávnění dozorového úřadu zasáhnout v případě, že jeho pokyny nejsou dodrženy. Pokud by se měl Soudní dvůr s tímto výkladem ztotožnit a mít za to, že taková „autonomní“ opatření jsou v zásadě v souladu s GDPR, domnívám se, že by Soudní dvůr měl rovněž trvat na nutnosti dodržovat výše uvedené požadavky v zájmu soudržnosti režimu dohledu.

54.

Vzhledem k tomu, že čl. 58 odst. 2 GDPR přiznává dozorovému úřadu diskreční pravomoc ohledně volby „vhodného“ nápravného opatření v konkrétním případě, je logické vyloučit jakékoliv právo stěžovatele vyžadovat přijetí určitého opatření. I když má stěžovatel vůči dozorovému úřadu v rámci tohoto řízení určitá práva, zejména právo být v přiměřené lhůtě informován o vývoji a výsledku šetření, nic to nemění na tom, že tato práva nezahrnují právo požadovat přijetí daného konkrétního opatření.

55.

Takové právo nelze dovozovat ani z toho, že stěžovatel má podle článku 78 GDPR právo na účinnou soudní ochranu vůči dozorovému úřadu, neboť hlavní povinnost tohoto úřadu vůči stěžovateli v rámci řízení o stížnosti spočívá v tom, že na základě zjištění učiněných v rámci jím vedeného šetření dostatečně přesně a podrobně odůvodní své rozhodnutí v konkrétní věci konat či nekonat.

56.

Dále je třeba poznamenat, že podle čl. 78 odst. 2 GDPR lze právo na soudní ochranu uplatnit z důvodu, že se příslušný dozorový úřad stížností nezabývá nebo neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti podané podle článku 77 tohoto nařízení či o jeho výsledku. Nutno konstatovat, že žádný z uvedených důvodů nenaznačuje, že by měl subjekt údajů v rámci opravného prostředku k soudu subjektivní právo požadovat přijetí určitého opatření.

57.

To platí i ohledně možnosti, uvedené v bodě 141 odůvodnění GDPR, napadnout, v rámci opravného prostředku k soudu, posouzení dozorového úřadu stran „nutnosti“ konat z důvodu ochrany práv subjektu údajů. I když „nutnost“ konat v daném konkrétním případě by měl v konečném důsledku konstatovat příslušný soud, nutně to neznamená, že by dozorovým úřadem mělo být přijato určité opatření. Dozorový úřad by měl spíše povinnost uplatnit diskreční pravomoc, a to případně se zřetelem k posouzení, které provedl tento soud.

58.

Je nicméně třeba upřesnit, že je možné si představit i situaci, kdy dozorový úřad jako správní orgán bude povinen přijmout určité opatření z důvodu zvláštních okolností případu, zejména pokud existuje vážné riziko porušení základních práv subjektu údajů. Právě takový scénář jsem zmínil ve svém stanovisku ve věcech SCHUFA ( 23 ). Projednávaná žádost o rozhodnutí o předběžné otázce je tak příležitostí rozvinout úvahy v tomto směru.

59.

V této souvislosti je nutné předně připomenout rozsudek vydaný ve věci C‑311/18 (Facebook Ireland a Schrems), ve kterém Soudní dvůr naznačil, že takový případ skutečně může nastat. Soudní dvůr konkrétně rozhodl, že dozorový úřad má případně povinnost přijmout některá z opatření vypočtených v čl. 58 odst. 2 GDPR, a to zejména má-li za to, že ochrana vyžadovaná unijním právem nemůže být zajištěna jinými prostředky. V tomto ohledu je tedy diskreční pravomoc dozorového úřadu omezena na určitá opatření uvedená v tomto ustanovení, či případně dokonce na jedno z nich ( 24 ).

60.

Jak správně uvádí rakouská vláda, může existovat mnoho obdobných případů vyžadujících přijetí určitého nápravného opatření, například pokud dozorový úřad v rámci řízení o stížnosti zjistí, že je dána povinnost výmazu údajů a správce tyto údaje dosud nevymazal. V popsané situaci je dozorový úřad v každém případě povinen, na základě čl. 58 odst. 2 písm. g) GDPR, nařídit výmaz údajů.

61.

Výše uvedené příklady svědčí o tom, že nelze vyloučit, že v závislosti na konkrétních okolnostech daného případu bude možné dosáhnout obnovení stavu, který je v souladu s unijním právem, pouze přijetím určitého nápravného opatření. Domnívám se, že zejména za okolností, ve kterých by jinak hrozilo závažné porušení práv subjektu údajů, by diskreční pravomoc dozorového úřadu mohla být omezena na přijetí jediného vhodného opatření za účelem ochrany práv subjektu údajů.

62.

Jakýkoli jiný výklad by byl podle mého názoru neslučitelný s povinností zaručit dodržování základních práv Listiny, kterými jsou podle čl. 51 odst. 1 Listiny orgány členských států vázány, pokud uplatňují unijní právo. Tuto povinnost mají i dozorové úřady, jak vyplývá z čl. 58 odst. 4 GDPR ( 25 ). Z tohoto úhlu pohledu se jeví jako rozumné přiklonit se k výkladu, podle něhož unijní právo přiznává subjektu údajů subjektivní právo požadovat, aby dozorový úřad dotčené opatření přijal. Musím nicméně zdůraznit, že v p rojednávané věci podle mého názoru nic nenasvědčuje tomu, že by byly takové podmínky pro omezení diskreční pravomoci dozorového úřadu splněny.

63.

Je tedy třeba konstatovat, že dozorový úřad, kterému byla předložena stížnost podle článku 77 GDPR, má povinnost, pokud konstatuje porušení práv subjektu údajů, přiměřeně reagovat, aby zjednal nápravu shledaných a přetrvávajících nedostatků a zajistil ochranu práv subjektu údajů. Jestliže dozorový úřad v tomto ohledu koná, je povinen zvolit, v rámci pravomocí uvedených v čl. 58 odst. 2 tohoto nařízení, opatření, které je vhodné, nezbytné a přiměřené. Tato diskreční pravomoc v oblasti volby prostředků je omezena v případě, že je požadovanou ochranu možné zajistit pouze přijetím konkrétních opatření.

64.

Po této obecné analýze nápravných pravomocí, kterými disponuje dozorový úřad, je třeba posoudit otázku, zda je dozorový úřad povinen uložit správní pokuty ve všech případech. Přestože lze určité aspekty této otázky zodpovědět na základě toho, co bylo uvedeno výše, některé je podle mého názoru nezbytné dovysvětlit. I když totiž unijní normotvůrce zahrnul správní pokuty mezi „nápravná opatření“ podle čl. 58 odst. 2 GDPR, faktem zůstává, že oproti ostatním opatřením se správní pokuty vyznačují některými specifiky. Z toho důvodu se tato část analýzy zaměří na zvláštní právní úpravu uvedenou v čl. 58 odst. 2 písm. i) a článku 83 tohoto nařízení.

65.

Jak v nedávné době připomenul Soudní dvůr, správní pokuta je součástí systému sankcí zavedeného GDPR, neboť podněcuje správce a zpracovatele k dodržování tohoto nařízení. Správní pokuty svým odrazujícím účinkem přispívají k posílení ochrany fyzických osob v souvislosti se zpracováním osobních údajů, a jsou tedy klíčovým prvkem pro zajištění dodržování práv těchto osob v souladu s účelem tohoto nařízení, kterým je zajistit vysokou úroveň ochrany takových osob v souvislosti se zpracováním osobních údajů ( 26 ).

66.

Článek 83 GDPR stanoví dvoustupňový systém, totiž výslovně stanoví, že některá porušení jsou závažnější než jiná. První stupeň zahrnuje porušení ustanovení upravujících odpovědnost jednotlivých aktérů (správce, zpracovatel, subjekty pro vydávání osvědčení atd.). Druhý stupeň zahrnuje porušení individuálních práv chráněných tímto nařízením, jako jsou základní práva, základní zásady zpracování údajů, práva subjektů údajů na informace, pravidla týkající se předávání údajů atd. Na obou stupních je třeba provést dvojí posouzení: zaprvé za účelem rozhodnutí, zda uložit pokutu, a zadruhé za účelem rozhodnutí o výši správní pokuty. V rámci obou posouzení musí dozorové úřady zohlednit všechny faktory vypočtené v čl. 83 odst. 2 uvedeného nařízení. Závěry učiněné v první etapě lze nicméně použít ve druhé etapě týkající se výše pokuty, aby nebylo nutné provádět druhé posouzení na základě týchž kritérií ( 27 ).

67.

Na tento úvod naváži posouzením otázky týkající se případné povinnosti uložit správní pokuty ve všech případech. V tomto ohledu je třeba předeslat, že čl. 58 odst. 2 písm. i) GDPR stanoví, že dozorový úřad může uložit správní pokutu „podle okolností každého jednotlivého případu“. Toto ustanovení musí být vykládáno ve spojení s čl. 83 odst. 2 tohoto nařízení, který stanoví pro použití tohoto nápravného opatření shodné omezení a navíc naznačuje, že dozorový úřad může od uložení pokuty i upustit („při rozhodování o tom, zda uložit správní pokutu“) (kurzivou zvýraznil autor stanoviska), pokud to okolnosti odůvodňují. Tato formulace je ve více či méně obdobném znění přítomna v ostatních jazykových verzích ( 28 ). Lze tak shrnout, že znění čl. 83 odst. 2 GDPR samo naznačuje, že uložení správní pokuty není povinné ve všech případech.

68.

Kromě toho je nutné poznamenat, že toto ustanovení dozorovému úřadu ukládá, aby při rozhodování o tom, zda uložit správní pokutu, zohlednil v každém jednotlivém případě celou řadu okolností. V podstatě se jedná o okolnosti – přitěžující či polehčující – které mají vliv na rozhodování dozorového úřadu, jako jsou povaha, závažnost a délka trvání porušení, ale také okolnosti související s jednáním správce, například zda k porušení došlo úmyslně nebo z nedbalosti ( 29 ).

69.

V této souvislosti považuji pro účely výkladu čl. 83 odst. 2 GDPR za relevantní druhou a třetí větu bodu 148 odůvodnění tohoto nařízení, jelikož poskytují vodítka ke skutečnostem, které je třeba vzít v úvahu při takovém rozhodování. Tento bod odůvodnění zavádí pojem„méně závažné případy porušení“ mající významné důsledky pro správní praxi dozorového úřadu ( 30 ). Mimo jiné se v něm uvádí, že „[v] méně závažných případech porušení nebo pokud by pokuta, která bude pravděpodobně uložena, představovala pro fyzickou osobu nepřiměřenou zátěž, může být namísto pokuty uloženo napomenutí“ (kurzivou zvýraznil autor stanoviska).

70.

Z výše uvedeného lze dovodit, že unijní normotvůrce si byl vědom toho, že správní pokuta je obzvláště přísné nápravné opatření, které by nemělo být použito ve všech případech, aby nebyla snížena jeho účinnost, nýbrž výhradně tehdy, když to okolnosti konkrétního případu vyžadují. Bod 148 odůvodnění GDPR připomíná zásadu proporcionality, kterou mají dozorové úřady dodržovat, když uplatňují toto nařízení ve specifickém kontextu sankcí, včetně správních pokut. Jak jsem již v této analýze zmínil, tato zásada je vyjádřena v bodě 129 odůvodnění uvedeného nařízení, který se týká přijímání nápravných opatření obecně ( 31 ). Systém sankcí, který unijní normotvůrce zamýšlel ustanovit, je tudíž flexibilní a diferencovaný ( 32 ).

71.

Z výkladu zmíněného čl. 83 odst. 2 ve spojení s bodem 148 odůvodnění GDPR vyplývá, že i když je konstatováno porušení, může dozorový úřad na základě posouzení kritérií uvedených v tomto ustanovení dospět k závěru, že za konkrétních okolností daného případu například porušení nemá za následek významné riziko pro práva subjektů údajů a nezasahuje do podstaty dotčené povinnosti. V takových případech může být občas, nikoliv však vždy, uloženo napomenutí namísto pokuty ( 33 ).

72.

Je ovšem nutno upřesnit, že bod 148 odůvodnění GDPR nezavazuje dozorový úřad k tomu, aby v případě méně závažných porušení uložil vždy namísto pokuty napomenutí, nýbrž mu ponechává možnost tak učinit po konkrétním posouzení všech okolností dané věci. Z uvedeného bodu 148 odůvodnění konečně vyplývá, že dozorový úřad je oprávněn upustit od uložení pokuty i v případě, že je uložení takového nápravného opatření na základě jím provedeného posouzení a priori nezbytné, pokud taková pokuta představuje pro fyzickou osobu nepřiměřenou zátěž ( 34 ).

73.

Okolnosti každého jednotlivého případu, které zmiňuje čl. 83 odst. 2 GDPR, tak v konečném důsledku určují, zda uložit pokutu, a pokud ano, v jaké výši. Všechny tyto indicie potvrzují můj názor, že toto rozhodnutí je tedy diskrečním rozhodnutím dozorového úřadu ( 35 ). Ten je odpovědný za to, že pečlivě a v souladu s požadavky GDPR uplatní diskreční pravomoc, která mu byla svěřena. Meze této diskreční pravomoci vyplývají z obecných zásad unijního práva a práva členských států, zejména ze zásady rovného zacházení. Z ní vyplývá, že je nezbytné vyvinout takovou správní praxi ukládání pokut, při které je postupováno v obdobných případech srovnatelným způsobem.

74.

Poukázal bych i na to, že, jak plyne z bodu 149 odůvodnění GDPR, v případě kumulativního ukládání peněžitých sankcí trestní povahy navíc hrozí, že bude porušena zásada ne bis in idem, jak ji vykládá Soudní dvůr. Tato zásada přitom představuje základní právo, které je chráněno článkem 50 Listiny a lze jej omezit pouze za striktních podmínek uvedených v článku 52 Listiny. Jinými slovy, uložení správních pokut mohou stát v cestě i překážky právní povahy.

75.

Poslední aspekt, který je třeba posoudit, se týká otázky, zda dozorový úřad má povinnost uložit správní pokuty v případě, že to stěžovatel výslovně požaduje. Jak jsem zmínil v rámci posouzení přípustnosti žádosti o rozhodnutí o předběžné otázce, ze spisu vyplývá, že TR požádal HBDI, aby vůči Sparkasse zasáhl a uložil jí správní pokuty. Na podporu své žádosti TR provedl výpočty za účelem stanovení výše pokut, která má být uložena ( 36 ). Uvedená žádost se podle všeho zakládá na postoji, podle kterého má stěžovatel subjektivní právo požadovat na dozorovém úřadu přijetí konkrétního opatření. Jak však dále objasním, tento postoj nemá podle mého názoru žádnou právní oporu.

76.

Zaprvé má analýza ukázala, že dozorový úřad má v každém jednotlivém případě diskreční pravomoc ohledně volby vhodného opatření. Dozorový úřad si tuto diskreční pravomoc zachovává vyjma zvláštních okolností, které mohou vést k jejímu omezení, jako je závažnost a přetrvávající dopad porušení zabezpečení osobních údajů, přičemž v projednávané věci se takové okolnosti nezdají být dány. Vzhledem k tomu, že jsou správní pokuty uvedeny mezi nápravnými opatřeními, která může dozorový úřad podle čl. 58 odst. 2 GDPR přijmout, je logické dovozovat, že se diskreční pravomoc vztahuje i na ně. Z toho vyplývá, že není dána povinnost dozorového úřadu konat v zájmu stěžovatele přijetím určitého nápravného opatření.

77.

Zadruhé i v případě, že by okolnosti projednávané věci byly odlišné do té míry, že by odůvodňovaly přijetí konkrétního nápravného opatření, nelze podle mého názoru právoplatně tvrdit, že je uložení správní pokuty nezbytné. Obdobně jako rakouská vláda se domnívám, že je třeba zohlednit cíle sledované jednotlivými nápravnými opatřeními vypočtenými v čl. 58 odst. 2 GDPR, a to zejména správní pokutou. Konkrétně mám za to, že její právní povaha brání tomu, aby bylo subjektu údajů přiznáno subjektivní právo ve výše uvedeném smyslu, jelikož jedním z cílů tohoto opatření je sankcionovat jednání, které je považováno za rozporné s unijním právem. Domnívám se, že s ohledem na represivní cíl, který přinejmenším v některých situacích ( 37 ) sleduje, a se zřetelem k možné vyšší míře její přísnosti může mít správní pokuta trestní povahu ( 38 ). Je přitom třeba připomenout, že právo trestat (ius puniendi) přísluší výlučně státu a jeho orgánům.

78.

V tomto kontextu podotýkám, že čl. 58 odst. 1 GDPR mimo jiné vyžaduje, aby pokuty byly v každém jednotlivém případě „účinné, přiměřené a odrazující“. Posouzení, zda zamýšlená pokuta všechny tyto podmínky v daném případě splňuje, přísluší dozorovému úřadu, který jedná na svou vlastní odpovědnost. Je na tomto úřadě, aby rozhodl, zda použití nástroje v podobě správní pokuty je v daném konkrétním případě namístě. Za tím účelem unijní normotvůrce poskytuje dozorovému úřadu podrobný právní rámec. Článek 83 GDPR tak stanoví pro ukládání takových pokut obecné podmínky, které jsou doplněny Pokyny k uplatňování a stanovování správních pokut pro účely GDPR, vypracovanými ESOOÚ v souladu s čl. 70 odst. 1 písm. k) tohoto nařízení. V tomto ohledu je třeba poukázat na to, že z žádného z těchto ustanovení a pokynů nelze dovozovat, že stěžovatel, jehož práva byla porušena, požívá zvláštního právního postavení, které by mu umožnovalo požadovat na dozorovém úřadu uložení správní pokuty tomu, kdo se porušení dopustil.

79.

Je pravda, že některá kritéria uvedená v čl. 83 odst. 2 GDPR, například míra způsobené škody, naznačují, že dozorový úřad musí při přijetí rozhodnutí zohlednit i situaci subjektu údajů. Jen z těchto kritérií nelze ovšem dovozovat existenci subjektivního práva požadovat uložení pokuty. Jak vyplývá z výkladu tohoto ustanovení ve spojení s bodem 75 odůvodnění tohoto nařízení, účelem těchto kritérií je poskytnout dozorovému úřadu užitečná vodítka, která mu umožní posoudit povahu, závažnost a délku trvání porušení a zvolit vhodné nápravné opatření ( 39 ). V závislosti na okolnostech každého jednotlivého případu mohou být dozorovým úřadem zvažována různá nápravná opatření, a to nejen správní pokuta, avšak subjekt údajů není oprávněn požadovat přijetí určitého konkrétního opatření. Je pouze věcí dozorového úřadu rozhodnout, zda je namístě přijmout opatření za účelem znovunastolení souladu s pravidly nebo potrestání protiprávního jednání.

80.

Zatřetí, jiný závěr nelze dovozovat ani ze skutečnosti, že se unijní normotvůrce při vymezení role dozorového úřadu v rámci systému pokut vytvořeného GDPR inspiroval pravomocemi, které náleží Komisi v oblasti práva hospodářské soutěže ( 40 ). V tomto ohledu připomínám, že pravomoc tohoto orgánu ukládat pokuty podnikům, které se dopustily porušení ve smyslu článků 101 a 102 SFEU, představuje jeden z prostředků svěřených Komisi k tomu, aby mohla plnit úkol dohledu, který jí svěřuje unijní právo ( 41 ). Je však třeba uvést, že Komise má diskreční pravomoc, jejíž výkon je omezen pouze tím, že musí respektovat obecné zásady unijního práva, včetně zásady proporcionality a zásady rovného zacházení ( 42 ). Kromě toho je nutné poznamenat, že nařízení (ES) č. 1/2003 o provádění pravidel hospodářské soutěže ( 43 )nezakotvuje ve prospěch stěžovatelů či třetích osob, jejichž zájmy mohou být dotčeny rozhodnutím v rámci správního řízení zahájeného Komisí, žádné právo požadovat uložení pokut na základě jeho článku 23 ( 44 ), přičemž Komise je podle článku 27 tohoto nařízení pouze povinna vyhovět případným žádostem o slyšení, předloženým těmito osobami, před uložením sankce.

81.

Na základě uvedených skutečností mám za to, že za aktuálního stavu vývoje unijního práva nelze učinit závěr v tom smyslu, že stěžovatel, jehož práva byla porušena, má subjektivní právo požadovat uložení správní pokuty. Tím není dotčeno právo použití takového nápravného opatření navrhnout a současně předložit argumenty a důkazy na podporu tohoto svého postoje. Konečné rozhodnutí nicméně spadá do diskreční pravomoci dozorového úřadu.

82.

Z výše uvedené analýzy vyplývá, že dozorový úřad má povinnost konat, pokud v rámci šetření stížnosti konstatuje porušení zabezpečení osobních údajů. Zejména je povinen stanovit jedno nebo více nápravných opatření, která jsou nejvhodnější ke zjednání nápravy a zajištění dodržování práv subjektu údajů. V tomto ohledu GDPR vyžaduje, při současném ponechání určité diskreční pravomoci dozorovému úřadu, aby tato opatření byla vhodná, nezbytná a přiměřená. Za určitých podmínek je dozorový úřad oprávněn upustit od opatření uvedených v čl. 58 odst. 2 tohoto nařízení a spokojit se s „autonomním“ opatřením přijatým samotným správcem. V každém případě subjekt údajů nemá právo požadovat, aby bylo přijato určité konkrétní opatření. Tyto zásady se uplatní rovněž na systém správních pokut.

83.

S ohledem na výše uvedené úvahy navrhuji, aby Soudní dvůr na předběžné otázky Verwaltungsgericht Wiesbaden (Správní soud ve Wiesbadenu, Německo) odpověděl takto:

„Ustanovení čl. 57 odst. 1 písm. a) a f), čl. 58 odst. 2 písm. a) až j) a čl. 77 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů),

musí být vykládána v tom smyslu, že

pokud dozorový úřad konstatuje, že při zpracování údajů byla porušena práva subjektu údajů, je povinen konat na základě čl. 58 odst. 2 nařízení 2016/679 v rozsahu, v němž je to nezbytné k zajištění plného souladu s tímto nařízením. V tomto ohledu je povinen zvolit, se zřetelem ke konkrétním okolnostem daného případu, vhodný, nezbytný a přiměřený prostředek zejména ke zjednání nápravy a zajištění dodržování práv subjektu údajů.“