1.

Šiuo prašymu priimti prejudicinį sprendimą, kurį Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas, Vokietija) pateikė pagal SESV 267 straipsnį, prašoma išaiškinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ( 2 ) (toliau – BDAR) 57 straipsnio 1 dalies a ir f punktus, 58 straipsnio 2 dalį ir 77 straipsnio 1 dalį.

2.

Šis prašymas pateiktas nagrinėjant TR ir Land Hessen (Heseno federalinė žemė, Vokietija), atstovaujamos Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Heseno federalinės žemės duomenų apsaugos ir informacijos laisvės priežiūros pareigūnas, toliau – HBDI), ginčą dėl šio pareigūno atsisakymo imtis veiksmų prieš Taupomąją kasą dėl asmens duomenų saugumo pažeidimo. Prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar priežiūros institucija, konstatavusi duomenų tvarkymą, kuriuo pažeidžiamos duomenų subjekto teisės, bet kuriuo atveju privalo įsikišti ir įgyvendinti pagal BDAR 58 straipsnio 2 dalį jai suteiktus įgaliojimus, ar konkrečiu atveju, nepaisant pažeidimo, ji gali atsisakyti imtis veiksmų.

3.

Šioje byloje kyla keli nauji teisės klausimai, kuriuos reikia išsamiai išnagrinėti. Teisingumo Teismas iš esmės turės priimti sprendimą dėl teisėtumo ir tikslingumo principų vaidmens priežiūros institucijų administracinėje praktikoje, visų pirma joms vykdant užduotį prižiūrėti, kaip taikomas BDAR, ir užtikrinti jo laikymąsi. Iš Teisingumo Teismo jurisprudencijos kylančios aiškinimo gairės turės įtakos šiai administracinei praktikai ir taip padės nuosekliai taikyti šį reglamentą Sąjungoje.

4.

BDAR 129, 141, 148 ir 150 konstatuojamosios dalys suformuluotos taip:

<…>

<…>

<…>

5.

Šio reglamento 33 straipsnio 1 dalyje nustatyta:

„Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip <…> 72 valandoms nuo tada, kai jis sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša priežiūros institucijai, kuri yra kompetentinga pagal 55 straipsnį, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. <…>“

6.

Minėto reglamento 34 straipsnio 1 dalyje numatyta:

„Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui.“

7.

To paties reglamento 57 straipsnio 1 dalyje nustatyta:

„Nedarant poveikio kitoms pagal šį reglamentą nustatytoms užduotims, kiekviena priežiūros institucija savo teritorijoje:

<…>

<…>“

8.

BDAR 58 straipsnyje nustatyta:

„1.   Kiekviena priežiūros institucija turi visus šiuos tyrimo įgaliojamus:

<…>

2.   Kiekviena priežiūros institucija turi visus šiuos įgaliojimus imtis taisomųjų veiksmų:

<…>

<…>“

9.

Šio reglamento 77 straipsnyje nustatyta:

„1.   Neapribojant galimybių imtis kitų administracinių arba teisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai, visų pirma valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, darbo vieta arba vieta, kurioje padarytas įtariamas pažeidimas, jeigu tas duomenų subjektas mano, kad su juo susijęs asmens duomenų tvarkymas atliekamas pažeidžiant šį reglamentą.

2.   Priežiūros institucija, kuriai pateiktas skundas, informuoja skundo pateikėją apie skundo nagrinėjimo pažangą ir rezultatus, be kita ko, apie galimybę imtis teisminių teisių gynimo priemonių pagal 78 straipsnį.“

10.

Minėto reglamento 78 straipsnio 1 ir 2 dalyse numatyta:

„1.   Nedarant poveikio galimybei imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas fizinis ar juridinis asmuo turi teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros institucijos dėl jo priimtą teisiškai privalomą sprendimą.

2.   Nedarant poveikio galimybei imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu priežiūros institucija, kuri yra kompetentinga pagal 55 straipsnį ir 56 straipsnius, skundo nenagrinėja arba per tris mėnesius nepraneša duomenų subjektui apie pagal 77 straipsnį pateikto skundo nagrinėjimo pažangą arba rezultatus.“

11.

BDAR 83 straipsnio 1 ir 2 dalyse nustatyta:

„1.   Kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos.

2.   Administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos kartu su 58 straipsnio 2 dalies a–h punktuose ir j punkte nurodytomis priemonėmis arba vietoj jų. Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus:

12.

Taupomoji kasa yra viešosios teisės reglamentuojama vietos valdžios įstaiga, vykdanti, be kita ko, banko ir kredito sandorius. 2019 m. lapkričio 15 d. ji pranešė HBDI apie asmens duomenų pažeidimą pagal BDAR 33 straipsnį, nes viena iš jos darbuotojų kelis kartus, neturėdama tam teisės, susipažino su vieno iš jos klientų, TR, asmens duomenimis. Manydama, kad tai nėra asmens duomenų saugumo pažeidimas, dėl kurio TR galėjo kilti didelis pavojus, Taupomoji kasa nepranešė apie jį TR pagal šio reglamento 34 straipsnį.

13.

Sužinojęs apie šį incidentą, TR 2020 m. liepos 27 d. raštu kreipėsi į HBDI, jame nurodė BDAR 34 straipsnio pažeidimą ir kritikavo trumpą trijų mėnesių laikotarpį, per kurį Taupomoji kasa turėjo saugoti prieigos registro duomenis, taip pat plačias susipažinimo su duomenimis teises, kurias turi visi jos darbuotojai.

14.

Per HBDI vykdytą procedūrą Taupomoji kasa nurodė, kad jos įgaliotas duomenų apsaugos pareigūnas nusprendė, jog pareiškėjui nekyla jokio pavojaus, nes atitinkamai darbuotojai buvo pritaikytos drausminės priemonės ir ji raštu patvirtino, kad nekopijavo ir neišsaugojo duomenų, su kuriais susipažino, taip pat neperdavė jų tretiesiems asmenims, ir pažadėjo ateityje daugiau taip nesielgti. Be to, prieigos duomenų saugojimo trukmė turėjo būti peržiūrėta.

15.

2020 m. rugsėjo 3 d. sprendimu HBDI informavo TR, kad nagrinėjamu atveju Taupomoji kasa nepažeidė BDAR 34 straipsnio. Šios institucijos teigimu, sprendimas, kuris turėjo būti priimtas pagal šią nuostatą, buvo grindžiamas numatymu. Atsižvelgiant į duomenų apsaugos priežiūros tvarką, reikia patikrinti, ar toks sprendimas buvo akivaizdžiai klaidingas. Taupomoji kasa paaiškino, kad nors prie duomenų ir buvo prieita, vis dėlto nebuvo jokio pagrindo manyti, kad atitinkama darbuotoja perdavė duomenis tretiesiems asmenims arba panaudojo juos TR nenaudai. Taigi tikriausiai didelio pavojaus nebuvo. Be to, Taupomosios kasos buvo paprašyta nuo šiol ilgiau saugoti prieigos registrą. Kaip teigė HBDI, kiekvienos prieigos nebuvo būtina tikrinti iš esmės, nes plačios prieigos teisės iš esmės gali būti suteiktos, jeigu užtikrinama, kad kiekvienas naudotojas yra informuojamas, kokiomis sąlygomis ir prie kokių konkrečiai duomenų jam leidžiama prieiti.

16.

Dėl 2020 m. rugsėjo 3 d. sprendimo TR pateikė skundą Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas), prašymą priimti prejudicinį sprendimą pateikusiam teismui, prašydamas įpareigoti HBDI imtis veiksmų prieš Taupomąją kasą.

17.

Grįsdamas ieškinį TR tvirtina, kad HBDI neišnagrinėjo jo skundo taip, kaip to reikalaujama pagal BDAR. Jis tvirtina turintis teisę į tai, kad jo skundas būtų išnagrinėtas ir kad jis būtų apie tai informuotas. HBDI turėjo ištirti faktines aplinkybes, kuriomis Taupomoji kasa vertino pavojų, neapsiribodama aiškiai prašomomis priemonėmis, ir turėjo skirti baudas Taupomajai kasai. TR teigimu, konstatavus pažeidimą, tikslingumo principas nebūtų taikomas, todėl HBDI negalėjo nuspręsti, ar imtis veiksmų; HBDI nebent galėjo pasirinkti priemones, kurių ketina imtis.

18.

Prašymą priimti prejudicinį sprendimą pateikęs teismas patikslina, kad nagrinėjamu atveju HBDI, kaip priežiūros institucija, priėjo prie išvados, kad nors duomenų apsaugos nuostatos buvo pažeistos, imtis veiksmų pagal BDAR 58 straipsnio 2 dalį nebuvo būtina. Tačiau toks požiūris atitiktų reikalavimus tik tuo atveju, jeigu priežiūros institucija neturėtų imtis veiksmų net ir konstatavus duomenų apsaugos pažeidimą. Jeigu būtų vadovaujamasi TR pozicija, pagal kurią priežiūros institucija neturi jokios diskrecijos, tai reikštų, kad nustatyto pažeidimo atveju visada išliktų teisė į tai, kad būtų imtasi veiksmų ir padėtis ištaisyta, ir kad priežiūros institucija visais atvejais privalėtų imtis priemonės. Taigi atsisakymo atveju teismas turėtų įpareigoti priežiūros instituciją taikyti vieną ar kelias priemones.

19.

Prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo, jog tokie argumentai, kurių dalis pateikiama ir doktrinoje, grindžiami tuo, kad BDAR 58 straipsnio 2 dalyje numatyti įgaliojimai imtis taisomųjų veiksmų yra skirti atkurti teisėtai padėčiai tuo atveju, kai tvarkant duomenis pažeidžiamos piliečių teisės. Taigi ši nuostata turėtų būti suprantama kaip pareigos, kuria grindžiama piliečio teisė į valdžios institucijų veiksmus, kai įmonė ar valdžios institucija neteisėtai tvarkė piliečio asmens duomenis arba kitaip pažeidė teises, šaltinis. Nustačius duomenų apsaugos pažeidimą, priežiūros institucija turėtų imtis taisomųjų veiksmų, ir ji turėtų diskreciją tik pasirinkti, kurio iš numatytų veiksmų imtis.

20.

Vis dėlto prašymą priimti prejudicinį sprendimą pateikęs teismas turi abejonių dėl tokio aiškinimo ir mano, kad jis pernelyg platus. Jis labiau linkęs manyti, kad priežiūros institucija turi diskreciją, leidžiančią jai ir konstatuotų pažeidimų atveju neskirti sankcijų. BDAR 57 straipsnio 1 dalies f punkte nustatyta tik tai, kad priežiūros institucija nagrinėja skundus, tinkamu mastu tiria skundo dalyką ir per pagrįstą laikotarpį informuoja skundo pateikėją apie skundo tyrimo pažangą ir rezultatus. Taigi iš to kyla priežiūros institucijos pareiga atidžiai išnagrinėti skundo turinį ir kiekvieną konkretų atvejį, tačiau tai nereiškia, kad konstatavus pažeidimą visais atvejais be išimties reikia imtis veiksmų.

21.

Šiomis aplinkybėmis Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šį prejudicinį klausimą:

„Ar [BDAR] kartu siejami 57 straipsnio 1 dalies a ir f punktai, 58 straipsnio 2 dalies a–j punktai ir77 straipsnio 1 dalis turi būti aiškinami taip, kad tuo atveju, jeigu priežiūros institucija konstatuoja, kad tvarkant duomenis buvo pažeistos duomenų subjekto teisės, ji visuomet privalo imtis veiksmų pagal [šio reglamento] 58 straipsnio 2 dalį?“

22.

2021 m. gruodžio 10 d. nutartį dėl prašymo priimti prejudicinį sprendimą Teisingumo Teismo kanceliarija gavo 2021 m. gruodžio 14 d.

23.

Šalys pagrindinėje byloje, Austrijos, Portugalijos, Rumunijos ir Norvegijos vyriausybės bei Europos Komisija pateikė rašytines pastabas per Europos Sąjungos Teisingumo Teismo statuto 23 straipsnyje nustatytą terminą.

24.

2024 m. sausio 16 d. bendrajame posėdyje Teisingumo Teismas nusprendė nerengti teismo posėdžio.

25.

Įsigaliojus BDAR daug organizacijų turėjo imtis įvairių priemonių, kad laikytųsi naujų asmens duomenų tvarkymo teisės aktų. Jei organizacijos nesilaiko šių priemonių, joms, atsižvelgiant į pažeidimo sunkumą, gresia didesnės ar mažesnės sankcijos. Administracinės baudos yra BDAR nustatytos įgyvendinimo tvarkos pagrindas. Jos kartu su kitomis BDAR 58 straipsnio 2 dalyje numatytomis taisomosiomis priemonėmis yra veiksmingas priežiūros institucijų turimo arsenalo, skirto teisės aktų laikymuisi užtikrinti, elementas. Kadangi šiuo reglamentu priežiūros institucijoms leidžiama kartais skirti labai dideles baudas, teisinio saugumo sumetimais tikslinga paaiškinti, kokios aplinkybės pateisina tokios taisomosios priemonės taikymą. Taigi šią išvadą reikia suprasti taip, kad ja prisidedama prie šio tikslo.

26.

Šioje byloje pateikiamą išvadą, galima sakyti, pratęsiu nuo ten, kur baigiau savo išvadą sujungtose bylose C‑26/22 ir C‑64/22 (SCHUFA Holding) (toliau – bylos SCHUFA) ( 3 ). Nors tose bylose paaiškinau, kokios yra priežiūros institucijos pareigos nagrinėjant pagal BDAR 77 straipsnį pateiktą skundą, šioje byloje nagrinėsiu jos pareigas nustatant asmens duomenų saugumo pažeidimą, taip pat jos įgaliojimus imtis taisomųjų priemonių, be kita ko, skirti administracines baudas. Tada išnagrinėsiu klausimą, ar BDAR numatyta priežiūros institucijos pareiga skirti tokią baudą visais atvejais arba bent tais atvejais, kai to aiškiai reikalauja skundo pateikėjas. Apibendrinęs savo analizę, atsakysiu į prašymą priimti prejudicinį sprendimą pateikusio teismo klausimą dėl priežiūros institucijos galimybės atsisakyti imtis taisomųjų priemonių.

27.

Prieš nagrinėjant visus šiuos aspektus pirma reikia išnagrinėti TR argumentą, grindžiamą prašymo priimti prejudicinį sprendimą nepriimtinumu. Konkrečiai kalbant, TR tvirtina, kad atsakymas į pateiktą klausimą nėra būtinas siekiant išspręsti ginčą pagrindinėje byloje. Jis siekia tik to, kad prašymą priimti prejudicinį sprendimą pateikęs teismas įpareigotų HBDI priimti sprendimą dėl šiai institucijai pateiktame skunde nurodytų argumentų, o ne to, kad HBDI būtų įpareigota pasinaudoti BDAR 58 straipsnio 2 dalyje suteiktais įgaliojimais.

28.

Šiuo klausimu primintina, kad, Teisingumo Teismui ir nacionaliniams teismams bendradarbiaujant pagal SESV 267 straipsnį, tik bylą nagrinėjantis nacionalinis teismas, atsakingas už sprendimo priėmimą, atsižvelgdamas į konkrečios bylos aplinkybes turi įvertinti, ar jo sprendimui priimti būtinas prejudicinis sprendimas, ir Teisingumo Teismui pateikiamų klausimų svarbą. Vadinasi, iš principo Teisingumo Teismas turi priimti sprendimą tuo atveju, kai pateikiami klausimai dėl Sąjungos teisės išaiškinimo ( 4 ).

29.

Remiantis tuo, darytina išvada, kad nacionalinio teismo pateiktiems klausimams dėl Sąjungos teisės išaiškinimo, atsižvelgiant į jo paties nurodytas faktines aplinkybes ir teisinius pagrindus, kurių tikslumo Teisingumo Teismas neprivalo tikrinti, taikoma svarbos prezumpcija. Teisingumo Teismas gali atsisakyti priimti sprendimą dėl nacionalinio teismo pateikto prašymo tik jeigu akivaizdu, kad prašomas Sąjungos teisės išaiškinimas visiškai nesusijęs su pagrindinėje byloje nagrinėjamo ginčo aplinkybėmis ar dalyku, jeigu problema hipotetinė arba jeigu Teisingumo Teismas neturi informacijos apie faktines ir teisines aplinkybes, būtinos tam, kad naudingai atsakytų į jam pateiktus klausimus ( 5 ).

30.

Nagrinėjamu atveju prašymą priimti prejudicinį sprendimą pateikęs teismas, aiškiai nurodęs priežastis, dėl kurių jam kyla klausimų dėl prejudiciniuose klausimuose nurodytų Sąjungos teisės nuostatų išaiškinimo, patikslino, kad atsakymai į juos turi lemiamą reikšmę sprendimui pagrindinėje byloje priimti, nes TR prašė HBDI imtis veiksmų prieš Taupymo kasą. Kaip matyti iš prašymo priimti prejudicinį sprendimą motyvų santraukos, TR remiasi „teise“ reikalauti tokių veiksmų. TR nuomone, „[HBDI] turėjo skirti [Taupomajai kasai] baudą“. Šiomis aplinkybėmis prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo TR atliktus apskaičiavimus, kad nustatytų skirtinų baudų dydį.

31.

Visa ši paties prašymą priimti prejudicinį sprendimą pateikusio teismo pateikta informacija aiškiai prieštarauja TR teiginiams dėl prašymo priimti prejudicinį sprendimą tariamo nepriimtinumo. Atsižvelgiant į šias aplinkybes, mano nuomone, nekyla jokių abejonių, kad atsakymas į prašymą priimti prejudicinį sprendimą pateikusio teismo klausimą yra būtinas ginčui išspręsti. Atrodo labai svarbu nustatyti priežiūros institucijos įgaliojimų apimtį ir jos pareigas skundo pateikėjui. Vadinasi, prašymą priimti prejudicinį sprendimą reikia pripažinti priimtinu.

32.

Kiek tai susiję su bylos esme, prejudiciniu klausimu iš esmės siekiama nustatyti, kokios yra priežiūros institucijos pareigos nustačius asmens duomenų saugumo pažeidimą. Toks atvejis paprastai reiškia, kad aptariamas pažeidimas buvo nustatytas atliekant tyrimą, pradėtą gavus skundą.

33.

Prašymą priimti prejudicinį sprendimą pateikusio teismo teiginiai atskleidžia tam tikrą neaiškumą dėl pareigų, pagal BDAR nustatytų priežiūros institucijai nagrinėjant skundą, o tai, mano nuomone, galima paaiškinti tuo, kad prašymas priimti prejudicinį sprendimą buvo pateiktas prieš priimant sprendimą bylose SCHUFA ( 6 ), kuriame Teisingumo Teismas nustatė keletą svarbių principų, taikomų skundų nagrinėjimo procedūrai. Taigi galima pagrįstai daryti prielaidą, kad prašymą priimti prejudicinį sprendimą pateikęs teismas neturėjo galimybės susipažinti su šia jurisprudencija.

34.

Siekiant kuo išsamiau išdėstyti BDAR nustatytą priežiūros tvarkos teisinį pagrindą ir pateikti naudingą atsakymą prašymą priimti prejudicinį sprendimą pateikusiam teismui, manau, pirmiausia būtina priminti, kokie principai taikytini skundų nagrinėjimo procedūrai ( 7 ), ir, antra, paaiškinti, kaip priežiūros institucija turėtų elgtis, kai nustato asmens duomenų saugumo pažeidimą ( 8 ).

35.

Kaip Teisingumo Teismas pažymėjo Sprendime SCHUFA, pagal Chartijos 8 straipsnio 3 dalį, BDAR 51 straipsnio 1 dalį ir 57 straipsnio 1 dalies a punktą nacionalinės priežiūros institucijos yra atsakingos už Sąjungos taisyklių, susijusių su fizinių asmenų apsauga tvarkant asmens duomenis, laikymosi kontrolę ( 9 ).

36.

Be to, pagal BDAR 57 straipsnio 1 dalies f punktą kiekviena priežiūros institucija savo teritorijoje privalo nagrinėti skundus, kuriuos pagal šio reglamento 77 straipsnio 1 dalį turi teisę pateikti bet kuris asmuo, kai mano, kad tvarkant jo asmens duomenis buvo pažeistas minėtas reglamentas, ir tinkamu mastu tirti šių skundų dalyką ( 10 ).

37.

Priežiūros institucija tokį skundą turi išnagrinėti ypač kruopščiai, kaip to reikalaujama. Teisingumo Teismas taip pat pažymėjo, jog tam, kad būtų išnagrinėti pateikti skundai, BDAR 58 straipsnio 1 dalyje kiekvienai priežiūros institucijai suteikti platūs tyrimo įgaliojimai ( 11 ).

38.

Šiomis aplinkybėmis reikia pažymėti, kad Teisingumo Teismas pritarė aiškinimui, kurį pateikiau savo išvadoje bylose SCHUFA ir pagal kurį skundų nagrinėjimo procedūra, kuri nėra peticijos nagrinėjimo procedūra, sukurta kaip mechanizmas, galintis veiksmingai apsaugoti duomenų subjektų teises ir interesus ( 12 ).

39.

Be to, reikia pažymėti, kad Teisingumo Teismas taip pat pritarė mano pateiktam BDAR 78 straipsnio 1 dalies aiškinimui ir nusprendė, kad priežiūros institucijos priimtam sprendimui dėl skundo taikoma visapusiška teisminė kontrolė ( 13 ).

40.

Jeigu nagrinėdama skundą priežiūros institucija nustato asmens duomenų saugumo pažeidimą, kyla klausimas, kaip ji turi elgtis. Kaip paaiškinsiu toliau, tokia išvada pirmiausia reiškia priežiūros institucijos pareigą įsikišti teisėtumo principo sumetimais. Apskritai reikia nustatyti pažeidimui ištaisyti tinkamiausią taisomąją priemonę ar priemones ( 14 ). Toks aiškinimas man atrodo pagrįstas, atsižvelgiant į tai, kad pagal BDAR 57 straipsnio 1 dalies a punktą institucija įgaliojama „steb[ėti], kaip taikomas šis reglamentas“, ir „užtikrin[ti], kad jis būtų taikomas“. Su šiuo įgaliojimu būtų nesuderinama tai, jeigu priežiūros institucija turėtų teisę paprasčiausiai nekreipti dėmesio į nustatytą pažeidimą ( 15 ).

41.

Be to, tyrimo įgaliojimai, kuriuos priežiūros institucija turi pagal BDAR 58 straipsnio 1 dalį, neturėtų didelės vertės, jeigu priežiūros institucija būtų priversta tik atlikti tyrimą, nepaisant to, kad buvo konstatuotas teisės į asmens duomenų apsaugą pažeidimas. Sąjungos teisės asmens duomenų apsaugos srityje įgyvendinimo užtikrinimas yra būtina SESV 16 straipsnio 2 dalyje ir Chartijos 8 straipsnio 3 dalyje vartojamos sąvokos „kontroliuoja“ sudedamoji dalis ( 16 ). Šiomis aplinkybėmis nereikia pamiršti, kad priežiūros institucija taip pat veikia asmens ar subjekto, kurio interesai buvo pažeisti, interesais. Šiuo tikslu reikėtų pažymėti, kad BDAR 57 straipsnio 1 dalies f punkte ir 77 straipsnio 2 dalyje nustatytos tam tikros pareigos skundo pateikėjui, t. y. „informuoti skundo pateikėją apie skundo tyrimo pažangą ir rezultatus“.

42.

Pastarasis sakinys reiškia, kad priežiūros institucija taip pat turi pranešti apie priemones, kurių imtasi dėl jos nustatyto asmens duomenų saugumo pažeidimo. Akivaizdu, kad skundų pateikimo procedūra neduotų jokios naudos, jei priežiūros institucija galėtų išlikti pasyvi susiklosčius Sąjungos teisei prieštaraujančiai teisinei situacijai. Būtent dėl šios priežasties, siekiant suteikti priežiūros institucijai veiksmingą priemonę dorotis su tokio pobūdžio pažeidimais, BDAR 58 straipsnio 2 dalyje numatytas taisomųjų priemonių, suskirstytų pagal veiksmų intensyvumą, katalogas. Pareiga imtis veiksmų visais atvejais, neatsižvelgiant į pažeidimo sunkumą, reiškia, kad priežiūros institucija turi naudoti šį taisomųjų priemonių katalogą, kad atkurtų Sąjungos teisę atitinkančią padėtį ( 17 ).

43.

Atsižvelgiant į tai, reikia patikslinti, kad klausimą, ar institucija turi imtis veiksmų asmens duomenų saugumo pažeidimo atveju, reikia aiškiai atskirti nuo klausimo, kaip konkrečiai ji turi veikti. Dėl pastarojo klausimo keli požymiai leidžia daryti išvadą, kad priežiūros institucija turi diskreciją, kuria vis dėlto turi būti naudojamasi laikantis BDAR tikslų ir jame nustatytų ribų. Nors bylose SCHUFA jau pateikiau kelis argumentus tokiam aiškinimui pagrįsti ( 18 ), atrodo, kad šioje išvadoje reikia išsamiai išnagrinėti šį klausimą.

44.

Pirmiausia reikia pažymėti, kad pagal BDAR 58 straipsnio 2 dalį priežiūros institucija „turi įgaliojimus“ imtis visų šioje nuostatoje išvardytų taisomųjų priemonių, o tai reiškia, kad yra galimybė, kaip teisingai pažymi prašymą priimti prejudicinį sprendimą pateikęs teismas. Be to, šią konotaciją galima rasti visose kalbinėse versijose, kurias nagrinėjau atlikdamas savo analizę ( 19 ).

45.

BDAR 58 straipsnio 2 dalis turi būti aiškinama atsižvelgiant į šio reglamento 129 konstatuojamąją dalį, pagal kurią „kiekviena priemonė turėtų būti tinkama, būtina ir proporcinga siekiant užtikrinti šio reglamento laikymąsi, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes“ (pasvyruoju šriftu išskirta mano). Kitaip tariant, priežiūros institucijai suteiktiems „įgaliojimams“ naudotis šioje nuostatoje nurodytu taisomųjų priemonių katalogu taikomos kelios sąlygos, be kita ko, kad priemonė, kurios imasi ši institucija, turi būti „tinkama“. Šią neapibrėžtą teisinę sąvoką, suteikiančią institucijai veiksmų laisvę, suprantu taip, kad pasirinkta priemonė dėl savo savybių ir veikimo būdo turi galėti atkurti Sąjungos teisę atitinkančią padėtį ( 20 ).

46.

Toks aiškinimas atitinka Teisingumo Teismo jurisprudenciją – jis yra nusprendęs, kad, kai priežiūros institucija konstatuoja, kad tvarkant asmens duomenis buvo pažeistas BDAR, „ji privalo tinkamai reaguoti, kad ištaisytų nustatytą nepakankamumą“ ( 21 ). Taigi, kaip pažymi Komisija, priežiūros institucijai tenkanti pareiga pirmiausia susijusi su rezultatu, kurį reikia pasiekti, t. y. ištaisyti nustatytą pažeidimą, šiuo tikslu imantis „tinkamos“ priemonės. Be to, reikia pažymėti, kad sprendimas dėl taikytinos priemonės priklauso nuo konkrečių kiekvieno atvejo aplinkybių, kaip aiškiai matyti iš minėtos BDAR 129 konstatuojamosios dalies. Todėl priežiūros institucijos sprendimai, priimti vykdant jos administracinę praktiką, kiekvienu atveju gali labai skirtis, atsižvelgiant į situaciją.

47.

Kadangi BDAR 58 straipsnio 2 dalyje nurodyta tik tai, kad kiekviena priežiūros institucija „turi įgaliojimus“ imtis visų šioje nuostatoje išvardytų taisomųjų priemonių, tokia institucija turi ir veiksmų laisvę, nes ji iš esmės gali laisvai pasirinkti iš šių taisomųjų priemonių, kad ištaisytų nustatytą pažeidimą. Kaip Teisingumo Teismas pažymėjo byloje C‑311/18 (Facebook Ireland ir Schrems) priimtame sprendime, „tinkamą ir reikiamą priemonę turi pasirinkti priežiūros institucija“, kuri turi tai padaryti atsižvelgdama į visas konkretaus atvejo aplinkybes ( 22 ).

48.

Mano nuomone, diskrecijos pripažinimas taip pat reiškia teisę nesiimti jokių taisomųjų priemonių, numatytų BDAR 58 straipsnio 2 dalyje, jei toks požiūris pateisinamas konkrečiomis konkretaus atvejo aplinkybėmis. Kadangi taisomųjų priemonių katalogo naudojimui taip pat taikoma sąlyga, kad nagrinėjama priemonė turi būti „būtina“, siekiant užtikrinti šio reglamento laikymąsi, negalima atmesti galimybės, kad konkretus priežiūros institucijos įsikišimas neatitiks šios sąlygos, pavyzdžiui, jeigu per tą laiką problema buvo išspręsta arba įveikta ir pažeidimas nustojo egzistuoti. Akivaizdu, kad tokiomis aplinkybėmis priežiūros institucijos įsikišimas neturėtų prasmės.

49.

Be to, kaip teisingai nurodo Portugalijos vyriausybė, taisomųjų priemonių taikymas gali būti nebepateisinamas, jeigu akivaizdu, kad duomenų valdytojo arba duomenų tvarkytojo elgesys yra mažai smerktinas arba jeigu pačios bylos aplinkybės yra lengvinančios, be kita ko, dėl to, kad tam tikra atsakomybė tenka ir skundo pateikėjui. Tai reiškia, kad priežiūros institucija turi teisę nustatyti ribą, žemiau kurios įsikišimas nelaikomas „būtinu“, kaip tai suprantama pagal BDAR.

50.

Šiomis aplinkybėmis norėčiau atkreipti dėmesį į BDAR 141 konstatuojamąją dalį, kurioje aiškiai nurodyta, kad priežiūros institucija gali nuspręsti nesiimti veiksmų tais atvejais, kai mano, kad veiksmai nėra „būtini“ duomenų subjekto teisių apsaugai užtikrinti („jeigu priežiūros institucija nesiima veiksmų, <…> kai tokie veiksmai yra būtini“) (pasvyruoju šriftu išskirta mano). Šioje konstatuojamojoje dalyje patikslinta, kad teisminė kontrolė priežiūros institucijos sprendimui gali būti taikoma ir tuo atveju, kai skundo pateikėjas neturėjo pritarti priežiūros institucijos vertinimui dėl „būtinybės“ imtis veiksmų, be kitų jame išvardytų atvejų, t. y. kai pažeidžiamos jam pagal šį reglamentą suteikiamos teisės arba kai priežiūros institucija nesiima veiksmų dėl jo skundo, atsisako jį nagrinėti arba visiškai ar iš dalies jį atmeta.

51.

Pagal BDAR 58 straipsnio 2 dalį priežiūros institucijai suteikta diskrecija reiškia, kad nedidelius pažeidimus taip pat galima ištaisyti kitomis priemonėmis, kurių imasi pats duomenų valdytojas. Kaip matyti iš šios bylos aplinkybių, taisomosios priemonės, kurių atsakingos įmonės turi imtis „savarankiškai“, gali būti drausminių priemonių taikymas pažeidimus padariusiems darbuotojams. Tokiomis aplinkybėmis, kai buvo pripažinta atsakomybė už pažeidimą ir buvo užtikrinta, kad nebus jokio naujo duomenų saugumo pažeidimo, gali atrodyti, kad priežiūros institucijai būtų netikslinga taikyti papildomas taisomąsias priemones.

52.

Tam tikromis aplinkybėmis pasinaudojimas įgaliojimais imtis taisomųjų priemonių prieš duomenų valdytoją, kai tai nėra nei tinkama, nei būtina, gali netgi duoti priešingą rezultatą. Jeigu priežiūros institucija kiekvienu pažeidimo atveju privalėtų naudotis BDAR 58 straipsnio 2 dalyje numatytais įgaliojimais imtis taisomųjų priemonių, sumažėtų išteklių, skirtų kitoms byloms ir užduotims, kurioms reikia skirti daugiau dėmesio duomenų apsaugos požiūriu, prižiūrėti. Todėl manau, kad pačiam duomenų valdytojui ėmusis „savarankiškų“ priemonių, priežiūros institucija galėtų sutelkti dėmesį į rimtus atvejus, kuriems teiktina pirmenybė, ir kartu užtikrinti nuolatinę, bet decentralizuotą kovą su asmens duomenų saugumo pažeidimais, t. y. iš dalies deleguodama savo užduotis.

53.

Jeigu priežiūros institucija nusprendžia netaikyti BDAR 58 straipsnio 2 dalyje nurodytų taisomųjų priemonių ir pirmenybę suteikia „savarankiškų“ priemonių, kurių imasi duomenų valdytojas, taikymui, man atrodo būtina, kad būtų laikomasi kai kurių teisinių reikalavimų. Pirma, priežiūros institucija turėtų duoti aiškų sutikimą dėl tokios priemonės, kad būtų išvengta BDAR nustatytos priežiūros tvarkos apėjimo. Antra, prieš duodant tokį sutikimą turėtų būti kruopščiai išnagrinėta padėtis atsižvelgiant į BDAR 129 konstatuojamojoje dalyje nurodytas sąlygas, kad priežiūros institucija nebūtų atleista nuo atsakomybės užtikrinti, kad būtų laikomasi šio reglamento. Trečia, susitarime su subjektu, kuris turi įgyvendinti „savarankišką“ priemonę, turėtų būti numatyta priežiūros institucijos teisė įsikišti, jeigu jos nurodymų nebūtų laikomasi. Jeigu Teisingumo Teismas pritartų tokiam aiškinimui ir nuspręstų, kad tokios „savarankiškos“ priemonės iš esmės atitinka BDAR, manau, kad Teisingumo Teismas taip pat turėtų pabrėžti būtinybę laikytis minėtų reikalavimų, kad būtų užtikrinta priežiūros sistemos darna.

54.

Kadangi BDAR 58 straipsnio 2 dalyje priežiūros institucijai pripažįstama diskrecija pasirinkti konkrečiu atveju „tinkamą“ taisomąją priemonę, logiška atmesti bet kokią skundo pateikėjo teisę reikalauti imtis konkrečios priemonės. Nors vykstant šiai procedūrai skundo pateikėjas turi tam tikrų teisių priežiūros institucijos atžvilgiu, be kita ko, teisę būti informuotam apie tyrimo eigą ir baigtį per protingą terminą, jos neapima teisės reikalauti imtis konkrečios priemonės.

55.

Tokios teisės taip pat negalima kildinti iš to, kad skundo pateikėjas pagal BDAR 78 straipsnį turi teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš priežiūros instituciją, nes pagrindinė šios institucijos pareiga skundo nagrinėjimo procedūroje yra pakankamai tiksliai ir išsamiai motyvuoti savo sprendimą imtis arba nesiimti veiksmų nagrinėjamu atveju, atsižvelgiant į institucijos atliekant tyrimą padarytas išvadas.

56.

Be to, reikia pažymėti, kad pagal BDAR 78 straipsnio 2 dalį ieškinys teisme gali būti pareikštas remiantis tuo, kad kompetentinga priežiūros institucija nenagrinėja skundo arba per tris mėnesius nepraneša duomenų subjektui apie skundo, kurį jis pateikė pagal BDAR 77 straipsnį, nagrinėjimo eigą ar rezultatus. Vis dėlto reikia konstatuoti, kad nė vienas iš minėtų motyvų nerodo, jog duomenų subjektas turi kokią nors subjektinę teisę prašyti imtis konkrečios priemonės, kai pareiškiamas ieškinys teisme.

57.

Tas pats pasakytina apie BDAR 141 konstatuojamojoje dalyje nurodytą galimybę teisme ginčyti priežiūros institucijos vertinimą dėl „būtinybės“ imtis veiksmų duomenų subjekto teisėms apsaugoti. Net jei „būtinybę“ konkrečiu atveju imtis veiksmų galiausiai turėtų nustatyti kompetentingas teismas, tai nebūtinai reiškia, kad priežiūros institucija turėtų imtis konkrečios priemonės. Ji veikiau privalo įgyvendinti savo diskreciją, prireikus atsižvelgdama į šio teismo atliktą vertinimą.

58.

Atsižvelgiant į tai, reikia patikslinti, jog gali nutikti ir taip, kad priežiūros institucija, kaip administracinė institucija, dėl konkrečių bylos aplinkybių bus priversta imtis tam tikros priemonės, be kita ko, jei kiltų didelis pavojus, kad bus pažeistos duomenų subjekto pagrindinės teisės. Būtent tokį scenarijų minėjau savo išvadoje bylose SCHUFA ( 23 ). Taigi šis prašymas priimti prejudicinį sprendimą suteikia galimybę išplėtoti šią temą.

59.

Šiuo klausimu pirmiausia reikia priminti sprendimą byloje C‑311/18 (Facebook Ireland ir Schrems), kuriame Teisingumo Teismas patvirtino, kad taip iš tikrųjų gali būti. Konkrečiau kalbant, Teisingumo Teismas nusprendė, kad priežiūros institucija prireikus privalo imtis tam tikrų BDAR 58 straipsnio 2 dalyje išvardytų priemonių, be kita ko, kai mano, kad pagal Sąjungos teisę reikalaujamos apsaugos negalima užtikrinti kitomis priemonėmis. Todėl šiuo aspektu priežiūros institucijos diskrecija apima tik kai kurias arba tam tikrais atvejais net vieną iš šioje nuostatoje nurodytų priemonių ( 24 ).

60.

Kaip teisingai nurodo Austrijos vyriausybė, gali būti daug panašių atvejų, kai reikia imtis konkrečios taisomosios priemonės, pavyzdžiui, kai priežiūros institucija per skundo nagrinėjimo procedūrą konstatuoja, kad yra pareiga ištrinti duomenis ir kad duomenų valdytojas dar neištrynė duomenų. Aprašytomis aplinkybėmis priežiūros institucija bet kuriuo atveju pagal BDAR 58 straipsnio 2 dalies g punktą privalės įpareigoti ištrinti duomenis.

61.

Pirmesniuose šios išvados punktuose nurodyti pavyzdžiai rodo, kad negalima atmesti galimybės, jog, atsižvelgiant į konkrečias konkretaus atvejo aplinkybes, Sąjungos teisę atitinkanti padėtis gali būti atkurta tik ėmusis konkrečios taisomosios priemonės. Visų pirma man atrodo, kad tokiomis aplinkybėmis, kai kitu atveju kiltų šiurkštaus duomenų subjekto teisių pažeidimo pavojus, priežiūros institucijos diskrecija galėtų apsiriboti vien priemonės, tinkamos šio asmens teisėms apsaugoti, nustatymu.

62.

Manau, bet koks kitas aiškinimas būtų nesuderinamas su pareiga užtikrinti Chartijoje įtvirtintų pagrindinių teisių, su kuriomis pagal Chartijos 51 straipsnio 1 dalį yra susijusios valstybių narių valdžios institucijos, kai įgyvendina Sąjungos teisę, laikymąsi. Kaip matyti iš BDAR 58 straipsnio 4 dalies, ši pareiga tenka ir priežiūros institucijoms ( 25 ). Atsižvelgiant į tai, pagrįsta teigti, kad pagal Sąjungos teisę duomenų subjektui suteikiama subjektinė teisė reikalauti, kad institucija imtųsi aptariamos priemonės. Vis dėlto norėčiau pabrėžti, jog šioje byloje nematau jokių požymių, kad tokio priežiūros institucijos diskrecijos apribojimo sąlygos yra įvykdytos.

63.

Apibendrinant reikia pažymėti, kad priežiūros institucija, kuriai pateiktas skundas pagal BDAR 77 straipsnį, konstatavusi duomenų subjekto teisių pažeidimą, turi tinkamai reaguoti, kad ištaisytų nustatytus ir tebesamus trūkumus ir užtikrintų duomenų subjekto teisių apsaugą. Kai priežiūros institucija imasi veiksmų šiuo klausimu, iš šio reglamento 58 straipsnio 2 dalyje nurodytų įgaliojimų ji turi pasirinkti tinkamą, būtiną ir proporcingą priemonę. Taigi ši diskrecija pasirenkant priemones yra ribojama, kai reikalaujama apsauga gali būti užtikrinta tik imantis konkrečių priemonių.

64.

Bendrai apžvelgus priežiūros institucijos įgaliojimus imtis taisomųjų priemonių reikia išnagrinėti klausimą, ar priežiūros institucija visais atvejais privalo skirti administracines baudas. Nors kai kuriuos šio klausimo aspektus galima paaiškinti remiantis pirma pateiktomis pastabomis, man atrodo, reikia pateikti kelis papildomus paaiškinimus. Nors Sąjungos teisės aktų leidėjas administracines baudas įtraukė į BDAR 58 straipsnio 2 dalyje numatytų „taisomųjų veiksmų“ sąrašą, jos turi tam tikrų ypatingų savybių, palyginti su kitomis priemonėmis. Dėl šios priežasties šioje analizės dalyje daugiausia dėmesio bus skiriama specialioms taisyklėms, nurodytoms šio reglamento 58 straipsnio 2 dalies i punkte ir 83 straipsnyje.

65.

Kaip neseniai priminė Teisingumo Teismas, administracinė bauda patenka į BDAR nustatytą sankcijų sistemą, kuria duomenų valdytojams ir duomenų tvarkytojams sukuriama paskata laikytis šio reglamento. Dėl savo atgrasomojo poveikio administracinės baudos prisideda prie fizinių asmenų apsaugos tvarkant asmens duomenis stiprinimo, todėl yra esminis elementas užtikrinant šių asmenų teisių paisymą, atsižvelgiant į minėto reglamento tikslą užtikrinti tokiems asmenims aukšto lygio apsaugą tvarkant asmens duomenis ( 26 ).

66.

BDAR 83 straipsnyje numatyta dviejų lygių sistema, aiškiai nurodant, kad kai kurie pažeidimai yra sunkesni už kitus. Pirmasis lygis apima straipsnių, reglamentuojančių įvairių subjektų (duomenų valdytojo, duomenų tvarkytojo, sertifikavimo įstaigų ir t. t.) atsakomybę, pažeidimą. Antrasis lygis apima šiuo reglamentu saugomų individualių teisių, pavyzdžiui, pagrindinių teisių, pagrindinių duomenų tvarkymo principų, duomenų subjektų teisės gauti informaciją, perdavimo taisyklių ir kt., pažeidimus. Abiem lygiais turi būti atliekami du vertinimai: pirma, siekiant nuspręsti, ar reikia skirti baudą, ir, antra, siekiant nuspręsti, kokio dydžio administracinę baudą skirti. Atlikdamos abu vertinimus, priežiūros institucijos turi atsižvelgti į visus minėto reglamento 83 straipsnio 2 dalyje išvardytus atskirus veiksnius. Vis dėlto pirmajame etape padarytos išvados gali būti panaudotos antrajame etape, susijusiame su baudos dydžiu, kad nereikėtų atlikti antro vertinimo remiantis tais pačiais kriterijais ( 27 ).

67.

Po šių įžanginių paaiškinimų toliau nagrinėsiu klausimą dėl galimos pareigos visais atvejais skirti administracines baudas. Šiuo tikslu pirmiausia reikia pažymėti, jog BDAR 58 straipsnio 2 dalies i punkte nustatyta, kad priežiūros institucija gali skirti administracinę baudą „atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes“. Ši nuostata turi būti aiškinama kartu su šio reglamento 83 straipsnio 2 dalimi, kurioje numatytas ne tik toks pat tokios taisomosios priemonės taikymo apribojimas, bet ir teigiama, kad priežiūros institucija gali net to nedaryti („sprendžiant dėl to, ar skirti administracinę baudą“) (pasvyruoju šriftu išskirta mano), jei tai pateisina aplinkybės. Šią formuluotę, suformuluotą daugiau ar mažiau panašiai, galima rasti kitose kalbinėse versijose ( 28 ). Apibendrinant pažymėtina, kad pačioje BDAR 83 straipsnio 2 dalies formuluotėje nurodyta, kad administracinės baudos skyrimas nėra privalomas visais atvejais.

68.

Be to, reikia pažymėti, kad pagal šią nuostatą priežiūros institucija, spręsdama, ar reikia skirti administracinę baudą, kiekvienu konkrečiu atveju privalo atsižvelgti į įvairias aplinkybes. Iš esmės tai yra sunkinančios ir lengvinančios aplinkybės, turinčios įtakos priežiūros institucijos sprendimui, kaip antai pažeidimo pobūdis, sunkumas ir trukmė, taip pat aplinkybės, susijusios su duomenų valdytojo elgesiu, pavyzdžiui, tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo ( 29 ).

69.

Šiomis aplinkybėmis manau, kad BDAR 148 konstatuojamosios dalies antras ir trečias sakiniai yra svarbūs aiškinant šio reglamento 83 straipsnio 2 dalį, nes juose pateikiamos gairės dėl veiksnių, į kuriuos reikia atsižvelgti priimant sprendimą. Šioje nuostatoje iš tikrųjų įvedama sąvoka „nedidelis pažeidimas“, o tai sukelia reikšmingų pasekmių priežiūros institucijos administracinei praktikai ( 30 ). Joje, be kita ko, nurodyta, kad „nedidelio pažeidimo atveju arba jeigu bauda, kuri gali būti skirta, sudarytų neproporcingą naštą fiziniam asmeniui, vietoj baudos gali būti pareikštas papeikimas“ (pasvyruoju šriftu išskirta mano).

70.

Mano nuomone, ši nuoroda leidžia daryti išvadą, kad Sąjungos teisės aktų leidėjas žinojo, jog administracinė bauda yra labai griežta taisomoji priemonė, kurios reikia imtis ne visada, nes priešingu atveju jos veiksmingumas sumažėtų, – jos reikia imtis tik kai to reikia dėl konkretaus atvejo aplinkybių. BDAR 148 konstatuojamojoje dalyje nurodytas proporcingumo principas, kurio priežiūros institucijos turi laikytis taikydamos šį reglamentą konkrečiomis sankcijų, įskaitant administracines baudas, aplinkybėmis. Kaip jau pažymėjau savo analizėje, šis principas atsispindi minėto reglamento 129 konstatuojamojoje dalyje, susijusioje su taisomųjų priemonių nustatymu apskritai ( 31 ). Taigi sankcijų, kurias teisės aktų leidėjas ketino numatyti, sistema yra lanksti ir diferencijuota ( 32 ).

71.

Iš BDAR 83 straipsnio 2 dalies, siejamos su jo 148 konstatuojamąja dalimi, aiškinimo matyti, kad net konstatavus pažeidimą priežiūros institucija, įvertinusi šioje nuostatoje nurodytus kriterijus, gali nuspręsti, kad konkrečiomis bylos aplinkybėmis pažeidimas nekelia, pavyzdžiui, didelio pavojaus duomenų subjektų teisėms ir nedaro poveikio nagrinėjamos pareigos esmei. Tokiais atvejais bauda kartais, bet ne visada, pakeičiama papeikimu ( 33 ).

72.

Vis dėlto svarbu pažymėti, kad toje pat 148 konstatuojamojoje dalyje priežiūros institucija neįpareigojama savo iniciatyva pakeisti baudos papeikimu, kai padarytas nedidelis pažeidimas, tačiau jai paliekama galimybė tai padaryti konkrečiai įvertinus visas bylos aplinkybes. Galiausiai iš minėtos 148 konstatuojamosios dalies matyti, kad priežiūros institucija gali neskirti baudos, net jei tokios taisomosios priemonės taikymas a priori būtų būtinas remiantis jos atliktu vertinimu, jei ši bauda būtų neproporcinga našta fiziniam asmeniui ( 34 ).

73.

Taigi kiekvieno atvejo ypatybės, nurodytos BDAR 83 straipsnio 2 dalyje, galiausiai lemia, ar reikia skirti baudą, ir, jei taip, koks jos dydis. Visi šie požymiai patvirtina mano nuomonę, kad šis sprendimas galiausiai yra diskrecinis priežiūros institucijos sprendimas ( 35 ). Ši institucija yra atsakinga už jai suteiktos diskrecijos įgyvendinimą tikslingai ir laikantis BDAR reikalavimų. Šios diskrecijos ribas lemia bendrieji Sąjungos teisės ir valstybių narių teisės principai, be kita ko, vienodo požiūrio principas. Iš to kyla būtinybė plėtoti administracinių baudų skyrimo praktiką, pagal kurią panašūs atvejai būtų nagrinėjami panašiai.

74.

Taip pat norėčiau pažymėti, kad tuo atveju, kai kartu skiriamos baudžiamojo pobūdžio piniginės sankcijos, net kyla grėsmė pažeisti ne bis in idem principą, kaip jį yra išaiškinęs Teisingumo Teismas, kaip matyti iš BDAR 149 konstatuojamosios dalies. Šis principas yra pagrindinė teisė, saugoma pagal Chartijos 50 straipsnį, ir gali būti ribojama tik griežtomis sąlygomis, nurodytomis Chartijos 52 straipsnyje. Kitaip tariant, teisinio pobūdžio kliūtys taip pat gali trukdyti skirti administracines baudas.

75.

Paskutinis nagrinėtinas aspektas susijęs su tuo, ar priežiūros institucija privalo skirti administracines baudas, kai to aiškiai reikalauja skundo pateikėjas. Kaip pažymėjau nagrinėdamas prašymo priimti prejudicinį sprendimą priimtinumą, iš bylos medžiagos matyti, kad TR prašė HBDI imtis veiksmų prieš Taupomąją kasą ir skirti jai administracines baudas. Grįsdamas savo prašymą TR atliko skaičiavimus, kad nustatytų skirtinų baudų dydį ( 36 ). Šis prašymas, atrodo, grindžiamas požiūriu, kad skundo pateikėjas turi subjektinę teisę prašyti priežiūros institucijos taikyti konkrečią priemonę. Vis dėlto, kaip paaiškinsiu toliau, manau, kad tokia pozicija neturi jokio teisinio pagrindo.

76.

Pirma, mano analizė parodė, kad priežiūros institucija turi diskreciją kiekvienu atskiru atveju pasirinkti tinkamą priemonę. Išskyrus ypatingas aplinkybes, dėl kurių ši diskrecija gali būti ribojama, pavyzdžiui, asmens duomenų saugumo pažeidimo sunkumą ar tebesamą poveikį (jų, mano nuomone, nagrinėjamu atveju nėra), priežiūros institucija išlaiko šią diskreciją. Atsižvelgiant į tai, kad administracinės baudos yra vienos iš taisomųjų priemonių, kurių priežiūros institucija gali imtis pagal BDAR 58 straipsnio 2 dalį, logiška daryti išvadą, kad ši diskrecija apima ir šias baudas. Darytina išvada, kad nustatydama konkrečią taisomąją priemonę priežiūros institucija neturi jokios pareigos atsižvelgti į skundo pateikėjo interesus.

77.

Antra, net jei šios bylos aplinkybės skirtųsi tiek, kad pateisintų konkrečios taisomosios priemonės nustatymą, man atrodo, jog negalima pagrįstai teigti, kad būtina skirti administracinę baudą. Kaip ir Austrijos vyriausybė, manau, kad reikia atsižvelgti į tikslus, kurių siekiama įvairiomis BDAR 58 straipsnio 2 dalyje išvardytomis taisomosiomis priemonėmis ir visų pirma administracine bauda. Konkrečiau kalbant, man atrodo, kad jos teisinis pobūdis neleidžia pripažinti duomenų subjektui subjektinės teisės, kokia ji nurodyta anksčiau, nes vienas iš šios priemonės tikslų yra nubausti už elgesį, kuris laikomas prieštaraujančiu Sąjungos teisei. Manau, kad administracinė bauda dėl savo baudžiamojo tikslo bent tam tikrais atvejais ( 37 ) ir atsižvelgiant į tai, kad ji gali būti labai griežta, gali būti baudžiamojo pobūdžio ( 38 ). Reikia priminti, kad teisė bausti (ius puniendi) priklauso tik valstybei ir jos institucijoms.

78.

Šiomis aplinkybėmis pažymėtina, jog BDAR 83 straipsnio 1 dalyje, be kita ko, reikalaujama, kad baudos kiekvienu atveju būtų „veiksmingos, proporcingos ir atgrasomos“. Vertinti, ar numatoma bauda konkrečiu atveju atitinka šias sąlygas, turi priežiūros institucija, kuri pati yra atsakinga už savo veiksmus. Ji turi nuspręsti, ar konkrečiu atveju reikia taikyti administracinės baudos priemonę. Šiuo tikslu Sąjungos teisės aktų leidėjas jai nustato išsamų teisinį pagrindą. Taigi BDAR 83 straipsnyje nustatytos tokių baudų skyrimo bendrosios sąlygos, kurias papildo pagal šio reglamento 70 straipsnio 1 dalies k punktą EDAPP parengtos administracinių baudų taikymo ir nustatymo BDAR tikslais gairės. Šiuo klausimu reikia pažymėti, jog nė viena iš šių taisyklių ir gairių neleidžia daryti išvados, kad skundo pateikėjas, kurio teisės buvo pažeistos, turi ypatingą teisinį statusą, leidžiantį prašyti priežiūros institucijos skirti administracinę baudą pažeidėjui.

79.

Žinoma, tam tikri BDAR 83 straipsnio 2 dalyje nurodyti kriterijai, kaip antai patirtos žalos dydis, leidžia manyti, kad priimdama sprendimą priežiūros institucija taip pat turi atsižvelgti į duomenų subjekto padėtį. Vis dėlto vien šių kriterijų nepakanka nustatyti, kad yra subjektinė teisė prašyti skirti baudą. Kaip matyti iš šios nuostatos aiškinimo, siejant ją su šio reglamento 75 konstatuojamąja dalimi, minėtų kriterijų tikslas yra suteikti priežiūros institucijai naudingos informacijos, kuri leistų jai įvertinti pažeidimo pobūdį, sunkumą ir trukmę ir pasirinkti tinkamą taisomąją priemonę ( 39 ). Taigi, atsižvelgdama į kiekvieną konkretų atvejį, priežiūros institucija gali numatyti įvairias taisomąsias priemones, o ne vien administracinę baudą, ir duomenų subjektas negali reikalauti taikyti konkrečią priemonę. Tik priežiūros institucija sprendžia, ar reikia imtis priemonės, kuria siekiama atkurti taisyklių laikymąsi arba nubausti už neteisėtus veiksmus.

80.

Trečia, kitokios išvados taip pat negalima daryti remiantis tuo, kad Sąjungos teisės aktų leidėjas priežiūros institucijos vaidmenį BDAR sukurtoje baudų sistemoje apibrėžė semdamasis įkvėpimo iš Komisijos konkurencijos teisės srityje turimų įgaliojimų ( 40 ). Šiuo klausimu reikėtų priminti, kad šios institucijos teisė skirti baudas pažeidimus padariusioms įmonėms, kaip tai suprantama pagal SESV 101 ir 102 straipsnius, yra viena iš jai šiuo tikslu suteiktų priemonių, kad ji galėtų įgyvendinti jai pagal Sąjungos teisę suteiktą priežiūros funkciją ( 41 ). Vis dėlto reikėtų pažymėti, kad Komisija turi diskreciją, kurią įgyvendindama privalo laikytis Sąjungos bendrųjų principų, įskaitant proporcingumo ir vienodo požiūrio principus ( 42 ). Be to, reikėtų pažymėti, kad Reglamente (EB) Nr. 1/2003 dėl konkurencijos taisyklių įgyvendinimo ( 43 ) skundų pateikėjams ar tretiesiems asmenims, kurių interesams per Komisijos pradėtą administracinę procedūrą priimtas sprendimas gali turėti įtakos, nenumatyta jokios teisės prašyti skirti baudas pagal jo 23 straipsnį ( 44 ), nes pagal minėto reglamento 27 straipsnį ji tiesiog turi patenkinti galimus prašymus dėl išklausymo, kuriuos šie asmenys pateikė prieš nustatant sankciją.

81.

Remdamasis tuo, kas išdėstyta, manau, kad pagal dabar galiojančią Sąjungos teisę negalima daryti išvados, kad skundo pateikėjas, kurio teisės pažeistos, turi subjektinę teisę prašyti skirti administracinę baudą. Tai nedaro poveikio galimybei siūlyti taikyti tokią taisomąją priemonę, pateikiant argumentus ir įrodymus savo nuomonei pagrįsti. Vis dėlto galutinis sprendimas priklauso priežiūros institucijos nuožiūrai.

82.

Iš pirma pateiktos analizės matyti, kad priežiūros institucija privalo įsikišti, kai nagrinėdama skundą konstatuoja asmens duomenų saugumo pažeidimą. Visų pirma ji turi nustatyti tinkamiausią taisomąją priemonę (-as), kad ištaisytų pažeidimą ir užtikrintų duomenų subjekto teisių įgyvendinimą. Šiuo klausimu BDAR, paliekant priežiūros institucijai tam tikrą diskreciją, reikalaujama, kad šios priemonės būtų tinkamos, būtinos ir proporcingos. Tam tikromis sąlygomis priežiūros institucija gali atsisakyti šio reglamento 58 straipsnio 2 dalyje nurodytų priemonių „savarankiškų“ priemonių, kurių imasi pats duomenų valdytojas, naudai. Bet kuriuo atveju duomenų subjektas neturi teisės reikalauti, kad būtų imtasi konkrečios priemonės. Šie principai taip pat taikomi administracinių baudų sistemai.

83.

Atsižvelgdamas į tai, kas išdėstyta, siūlau Teisingumo Teismui taip atsakyti į Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas, Vokietija) pateiktą prejudicinį klausimą:

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 57 straipsnio 1 dalies a ir f punktų, 58 straipsnio 2 dalies a–j punktų ir 77 straipsnio 1 dalies nuostatos visos kartu

turi būti aiškinamos taip:

kai priežiūros institucija nustato duomenų tvarkymą, kuriuo pažeidžiamos duomenų subjekto teisės, ji privalo imtis veiksmų pagal Reglamento 2016/679 58 straipsnio 2 dalį tiek, kiek tai būtina siekiant užtikrinti, kad būtų visapusiškai laikomasi šio reglamento. Šiuo klausimu ji, atsižvelgdama į konkrečias kiekvieno atvejo aplinkybes, turi pasirinkti tinkamą, būtiną ir proporcingą priemonę, kad pažeidimas būtų ištaisytas ir būtų paisoma duomenų subjekto teisių.