–

TR, atstovaujamo Rechtsanwalt F. Wittmaack,

–

Land Hessen, atstovaujamos Rechtsanwälte M. Kottmann ir G. Ziegenhorn,

–

Austrijos vyriausybės, atstovaujamos J. Schmoll ir M.‑T. Rappersberger,

–

Portugalijos vyriausybės, atstovaujamos P. Barros da Costa, J. Ramos ir C. Vieira Guerra,

–

Rumunijos vyriausybės, atstovaujamos L.-E. Baţagoi ir E. Gane,

–

Norvegijos vyriausybės, atstovaujamos S.-E. Jahr Dahl, L.-M. Moen Jünge ir M. Munthe-Kaas,

–

Europos Komisijos, atstovaujamos A. Bouchagiar, M. Heller ir H. Kranenborg,

1

Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1, toliau – BDAR) 57 straipsnio 1 dalies a ir f punktų, 58 straipsnio 2 dalies ir 77 straipsnio 1 dalies išaiškinimo.

2

Šis prašymas pateiktas nagrinėjant TR ir Land Hessen (Heseno federalinė žemė, Vokietija) ginčą dėl Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Heseno federalinės žemės duomenų apsaugos ir informacijos laisvės priežiūros pareigūnas, Vokietija, toliau – HBDI) neveikimo imtis taisomųjų veiksmų Sparkasse X (toliau – taupomasis bankas) atžvilgiu.

3

BDAR 6, 7, 10, 129 ir 148 konstatuojamosiose dalyse nurodyta:

<…>

<…>

<…>

4

Šio reglamento 5 straipsnis suformuluotas taip:

„1.   Asmens duomenys turi būti:

2.   Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“

5

Minėto reglamento 24 straipsnio 1 dalyje numatyta:

„Atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento. Tos priemonės prireikus peržiūrimos ir atnaujinamos.“

6

To paties reglamento 33 straipsnyje nustatyta:

„1.   Asmens duomenų saugumo pažeidimo atveju duomenų valdytojas nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip per 72 valandoms nuo tada, kai jis sužino apie asmens duomenų saugumo pažeidimą, apie tai praneša priežiūros institucijai, kuri yra kompetentinga pagal 55 straipsnį, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. <…>

<…>

3.   1 dalyje nurodytame pranešime turi būti bent:

<…>“

7

BDAR 34 straipsnio 1 dalyje nurodyta:

„Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui.“

8

Šio reglamento VI skyriuje „Nepriklausomos priežiūros institucijos“ yra 51–59 straipsniai.

9

Minėto reglamento 51 straipsnio 1 dalis suformuluota taip:

„Kiekviena valstybė narė užtikrina, kad viena arba kelios nepriklausomos valdžios institucijos yra atsakingos už šio reglamento taikymo stebėseną, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Sąjungoje (toliau – priežiūros institucija).“

10

BDAR 57 straipsnio „Užduotys“ 1 dalyje nustatyta:

„Nedarant poveikio kitoms pagal šį reglamentą nustatytoms užduotims, kiekviena priežiūros institucija savo teritorijoje:

<…>

<…>“

11

Šio reglamento 58 straipsnio „Įgaliojimai“ 1 ir 2 dalyse nustatyta:

„1.   Kiekviena priežiūros institucija turi visus šiuos tyrimo įgaliojamus:

<…>

2.   Kiekviena priežiūros institucija turi visus šiuos įgaliojimus imtis taisomųjų veiksmų:

<…>

<…>“

12

Šio reglamento 77 straipsnis suformuluotas taip:

„1.   Neapribojant galimybių imtis kitų administracinių arba teisminių teisių gynimo priemonių, kiekvienas duomenų subjektas turi teisę pateikti skundą priežiūros institucijai, visų pirma valstybėje narėje, kurioje yra jo nuolatinė gyvenamoji vieta, darbo vieta arba vieta, kurioje padarytas įtariamas pažeidimas, jeigu tas duomenų subjektas mano, kad su juo susijęs asmens duomenų tvarkymas atliekamas pažeidžiant šį reglamentą.

2.   Priežiūros institucija, kuriai pateiktas skundas, informuoja skundo pateikėją apie skundo nagrinėjimo pažangą ir rezultatus, be kita ko, apie galimybę imtis teisminių teisių gynimo priemonių pagal 78 straipsnį.“

13

To paties reglamento 83 straipsnio 1 ir 2 dalyse nustatyta:

„1.   Kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos.

2.   Administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos kartu su 58 straipsnio 2 dalies a–h punktuose ir j punkte nurodytomis priemonėmis arba vietoj jų. Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus:

14

Sparkasse X yra viešosios teisės reglamentuojama vietos valdžios įstaiga, vykdanti, be kita ko, banko ir kredito operacijas. 2019 m. lapkričio 15 d. ji pagal BDAR 33 straipsnį pranešė HBDI apie asmens duomenų saugumo pažeidimą, nes viena iš jos darbuotojų, neturėdama teisės, kelis kartus susipažino su TR, vieno iš jos klientų, asmens duomenimis. Sparkasse X nepranešė TR apie jo asmens duomenų saugumo pažeidimą.

15

Sužinojęs, kad su jo asmens duomenimis buvo neteisėtai susipažinta, 2020 m. liepos 27 d. TR pateikė skundą HBDI pagal BDAR 77 straipsnį. Tame skunde nurodė, kad jam nebuvo pranešta apie jo asmens duomenų saugumo pažeidimą, todėl buvo pažeistas šio reglamento 34 straipsnis. Jis taip pat kritiškai vertino Sparkasse X prieigos registro saugojimo trukmę (ji buvo nustatyta tik trims mėnesiams) ir plačias susipažinimo su duomenimis teises, kuriomis naudojasi šio taupomojo banko darbuotojai.

16

Gavęs TR skundą HBDI raštu ir žodžiu išklausė Sparkasse X dėl jai pateiktų priekaištų. Per apklausą Sparkasse X nurodė, kad susilaikė nuo pranešimo pagal BDAR 34 straipsnį, nes jos duomenų apsaugos pareigūnas manė, kad TR teisėms ir laisvėms nekyla didelio pavojaus. Atitinkamai darbuotojai buvo taikytos drausminės priemonės ir ji raštu patvirtino, kad asmens duomenų nekopijavo, nesaugojo, neperdavė jų trečiosioms šalims ir ateityje to nedarys. Be to, kadangi HBDI kritikavo pernelyg trumpą prieigos registrų saugojimo trukmę, Sparkasse X informavo, kad šis klausimas bus peržiūrėtas.

17

2020 m. rugsėjo 3 d. sprendimu HBDI informavo TR, kad Sparkasse Xnepažeidė BDAR 34 straipsnio, nes jos vertinimas, kad padarytas asmens duomenų saugumo pažeidimas negalėjo kelti didelės rizikos TR teisėms ir laisvėms, kaip tai suprantama pagal šį straipsnį, nėra akivaizdžiai klaidingas. Iš tikrųjų, net jei darbuotoja ir susipažino su duomenimis, nėra įrodymų, kad ji perdavė juos tretiesiems asmenims ar panaudojo TR nenaudai. Be to, HBDI nurodė, kad paprašė Sparkasse X saugoti prieigos registrą ilgiau nei tris mėnesius. Galiausiai, kiek tai susiję su Sparkasse X darbuotojų prieiga prie asmens duomenų, HBDI atmetė TR pateiktą skundą ir pabrėžė, kad platesnės susipažinimo su duomenimis teisės iš esmės gali būti suteiktos, jei yra aišku, kad kiekvienas naudotojas yra informuotas apie sąlygas, kuriomis gali susipažinti su duomenimis. Taigi HBDI mano, kad nebūtina iš principo tikrinti kiekvienos prieigos.

18

TR apskundė šį sprendimą Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas, Vokietija), prašymą priimti prejudicinį sprendimą pateikusiam teismui, prašydamas įpareigoti HBDI imtis veiksmų prieš Sparkasse X.

19

TR savo ieškinį grindė tuo, kad HBDI neišnagrinėjo jo skundo taip, kaip reikalaujama pagal BDAR, t. y. atsižvelgiant į visas faktines aplinkybes, ir pridūrė, kad HBDI turėjo skirti Sparkasse X baudą, atsižvelgiant į įvairius padarytus šio reglamento nuostatų, visų pirma jo 5 straipsnio, 12 straipsnio 3 dalies, 15 straipsnio 1 dalies c punkto, 33 straipsnio 1 dalies ir 33 straipsnio 3 dalies, pažeidimus. TR teigimu, konstatavus minėto reglamento pažeidimą, diskrecijos principas netaikomas, nes HBDI negali spręsti, ar reikia imtis veiksmų, jis nebent gali pasirinkti priemones, kurių ketina imtis.

20

Šiuo klausimu prašymą priimti prejudicinį sprendimą pateikusiam teismui iš esmės kyla klausimas, ar, nustačius asmens duomenų apsaugą reglamentuojančių nuostatų pažeidimą, BDAR turi būti aiškinamas taip, kad priežiūros institucija privalo imtis taisomųjų veiksmų pagal šio reglamento 58 straipsnio 2 dalį, pavyzdžiui, skirti administracinę baudą, ar vis dėlto ši institucija turi diskreciją, atsižvelgiant į aplinkybes, leidžiančią jai nesiimti tokių veiksmų.

21

Prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo, kad pirmasis aiškinimas, kurį siūlo TR ir kuris pripažįstamas dalyje doktrinos, grindžiamas tuo, kad priežiūros institucijos įgaliojimais imtis taisomųjų veiksmų siekiama atkurti atitinkamas situacijas, kai piliečių duomenų tvarkymas pažeidžia jų teises. Taigi BDAR 58 straipsnio2 dalis turėtų būti suprantama kaip pareigos, kuria grindžiama piliečio teisė į valdžios institucijų veiksmus, kai įmonė ar valdžios institucija neteisėtai tvarkė piliečio asmens duomenis arba kitaip pažeidė teises, šaltinis. Todėl nustačius duomenų apsaugos pažeidimą priežiūros institucija turi imtis taisomųjų veiksmų; diskreciją ji turi tik pasirinkti, kurio iš numatytų veiksmų imtis.

22

Vis dėlto prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla abejonių dėl šio aiškinimo (jis atrodo pernelyg platus) pagrįstumo, jis veikiau linkęs pripažinti priežiūros institucijos diskreciją tam tikrais atvejais, nustačius pažeidimą, nesiimti taisomųjų veiksmų, be kita ko, neskirti sankcijos. Nors pagal BDAR 57 straipsnio 1 dalies f punktą priežiūros institucija privalo atidžiai išnagrinėti skundus iš esmės ir kiekvieną konkretų atvejį, ji neprivalo imtis taisomųjų veiksmų visais atvejais. Tokia pareiga jai netaikoma, kai praeityje buvo pažeistos asmens duomenų apsaugos taisyklės, tačiau duomenų valdytojas ėmėsi priemonių, leidžiančių manyti, kad duomenų apsaugos pažeidimas nepasikartos.

23

Šiomis aplinkybėmis Verwaltungsgericht Wiesbaden (Vysbadeno administracinis teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šį prejudicinį klausimą:

„Ar kartu siejami [BDAR] 57 straipsnio 1 dalies a ir f punktai, 58 straipsnio 2 dalies a–j punktai ir 77 straipsnio 1 dalis turi būti aiškinami taip, kad tuo atveju, jeigu priežiūros institucija konstatuoja, kad tvarkant duomenis buvo pažeistos duomenų subjekto teisės, ji visuomet privalo imtis veiksmų pagal [šio reglamento] 58 straipsnio 2 dalį?“

24

Tiesiogiai neginčydamas prašymo priimti prejudicinį sprendimą priimtinumo TR teigia, kad atsakymas į pateiktą klausimą nėra būtinas, siekiant išspręsti ginčą pagrindinėje byloje. Jo ieškiniu siekiama tik to, kad prašymą priimti prejudicinį sprendimą pateikęs teismas įpareigotų HBDI priimti sprendimą dėl skunde nurodytų priekaištų pagal BDAR 57 straipsnio 1 dalies f punktą, o ne įpareigoti HBDI pasinaudoti įgaliojimais, kurie jam suteikti pagal šio reglamento 58 straipsnio 2 dalį.

25

Šiuo klausimu primintina, kad, Teisingumo Teismui ir nacionaliniams teismams bendradarbiaujant pagal SESV 267 straipsnį, tik bylą nagrinėjantis nacionalinis teismas, atsakingas už sprendimo priėmimą, atsižvelgdamas į konkrečios bylos aplinkybes turi įvertinti, ar jo sprendimui priimti būtinas prejudicinis sprendimas, ir Teisingumo Teismui pateikiamų klausimų svarbą. Taigi iš principo Teisingumo Teismas turi priimti sprendimą tuo atveju, kai pateikiami klausimai susiję su Sąjungos teisės išaiškinimu (2023 m. lapkričio 30 d. Sprendimo Ministero dell’Istruzione ir INPS, C‑270/22, EU:C:2023:933, 33 punktas ir jame nurodyta jurisprudencija).

26

Remiantis tuo, darytina išvada, kad nacionalinio teismo pateiktiems klausimams dėl Sąjungos teisės išaiškinimo, atsižvelgiant į jo paties nurodytas faktines aplinkybes ir teisinius pagrindus, kurių tikslumo Teisingumo Teismas neprivalo tikrinti, taikoma svarbos prezumpcija. Teisingumo Teismas gali atsisakyti priimti sprendimą dėl nacionalinio teismo pateikto prašymo, tik jeigu akivaizdu, kad prašomas Sąjungos teisės išaiškinimas visiškai nesusijęs su pagrindinės bylos aplinkybėmis ar dalyku, jeigu problema hipotetinė arba Teisingumo Teismas neturi informacijos apie faktines ir teisines aplinkybes, būtinos tam, kad būtų naudingai atsakyta į jam pateiktus klausimus (2023 m. lapkričio 30 d. Sprendimo Ministero dell’Istruzione ir INPS, C‑270/22, EU:C:2023:933, 34 punktas ir jame nurodyta jurisprudencija).

27

Šiuo atveju prašymą priimti prejudicinį sprendimą pateikęs teismas pabrėžia, kad TR rėmėsi teise į tai, kad HBDI imtųsi veiksmų, ir tvirtino, kad ši turi skirti baudą Sparkasse X.

28

Tokiomis aplinkybėmis nėra akivaizdu, kad prašomas Sąjungos teisės išaiškinimas visiškai nesusijęs su pagrindinės bylos faktais ar dalyku.

29

Vadinasi, prašymas priimti prejudicinį sprendimą yra priimtinas.

30

Siekiant atsakyti į šį klausimą, pirmiausia reikia priminti, kad aiškinant Sąjungos teisės nuostatą būtina atsižvelgti ne tik į jos formuluotę, bet ir į kontekstą bei teisės akto, kuriame ji įtvirtinta, tikslus ir paskirtį (2023 m. gruodžio 7 d. Sprendimo SCHUFA Holding (Atleidimas nuo likusių skolų), C‑26/22 ir C‑64/22, EU:C:2023:958, 48 punktas ir jame nurodyta jurisprudencija).

31

Taip pat reikia priminti, kad pagal Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio 3 dalį, BDAR 51 straipsnio 1 dalį ir 57 straipsnio 1 dalies a punktą nacionalinės priežiūros institucijos yra atsakingos už Sąjungos taisyklių, susijusių su fizinių asmenų apsauga tvarkant asmens duomenis, laikymosi priežiūrą (2023 m. gruodžio 7 d. Sprendimo SCHUFA Holding (Atleidimas nuo likusių skolų), C‑26/22 ir C‑64/22, EU:C:2023:958, 55 punktas ir jame nurodyta jurisprudencija).

32

Be to, pagal BDAR 57 straipsnio 1 dalies f punktą kiekviena priežiūros institucija savo teritorijoje privalo nagrinėti skundus, kuriuos pagal šio reglamento 77 straipsnio 1 dalį turi teisę pateikti bet kuris asmuo, kai mano, kad tvarkant jo asmens duomenis buvo pažeistas minėtas reglamentas, tinkamu mastu tirti šių skundų dalyką ir per pagrįstą laikotarpį informuoti skundo pateikėją apie skundo tyrimo pažangą ir rezultatus. Priežiūros institucija tokį skundą turi išnagrinėti ypač kruopščiai, kaip to reikalaujama (šiuo klausimu žr. 2023 m. gruodžio 7 d. Sprendimo SCHUFA Holding (Atleidimas nuo likusių skolų), C‑26/22 ir C‑64/22, EU:C:2023:958, 56 punktą ir jame nurodytą jurisprudenciją).

33

Tam, kad būtų išnagrinėti pateikti skundai, BDAR 58 straipsnio 1 dalyje kiekvienai priežiūros institucijai suteikti platūs tyrimo įgaliojimai. Kai atlikusi tyrimą tokia institucija nustato šio reglamento nuostatų pažeidimą, ji privalo imtis tinkamų priemonių, kad ištaisytų nustatytą trūkumą, o priemonės, kaip nurodyta minėto reglamento 129 konstatuojamojoje dalyje, turi būti, be kita ko, tinkamos, būtinos ir proporcingos, siekiant užtikrinti šio reglamento laikymąsi, atsižvelgiant į konkretaus atvejo aplinkybes. Tam šio reglamento 58 straipsnio 2 dalyje išvardyti įvairūs taisomieji veiksmai, kurių gali imtis priežiūros institucija (šiuo klausimu žr. 2023 m. gruodžio 7 d. Sprendimo SCHUFA Holding (Atleidimas nuo likusių skolų), C‑26/22 ir C‑64/22, EU:C:2023:958, 57 punktą ir jame nurodytą jurisprudenciją).

34

Taigi pagal BDAR 58 straipsnio 2 dalį priežiūros institucija turi įgaliojimus, be kita ko, pareikšti papeikimus duomenų valdytojui arba duomenų tvarkytojui, kai duomenų tvarkymo operacijomis buvo pažeistos šio reglamento nuostatos (b punktas), nurodyti duomenų valdytojui arba duomenų tvarkytojui patenkinti duomenų subjekto prašymus pasinaudoti teisėmis pagal minėtą reglamentą (c punktas), nurodyti duomenų valdytojui arba duomenų tvarkytojui suderinti duomenų tvarkymo operacijas su šio reglamento nuostatomis, tam tikrais atvejais – nustatytu būdu ir per nustatytą laikotarpį (d punktas), arba skirti administracinę baudą pagal BDAR 83 straipsnį, kartu taikydama 58 straipsnio 2 dalyje nurodytas priemones arba vietoj jų, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes (i punktas).

35

Taigi skundų nagrinėjimo procedūra sukurta kaip mechanizmas, galintis veiksmingai apsaugoti duomenų subjektų teises ir interesus (2023 m. gruodžio 7 d. Sprendimo SCHUFA Holding (Atleidimas nuo likusių skolų), C‑26/22 ir C‑64/22, EU:C:2023:958, 58 punktas).

36

Šiuo atveju iš prašymo priimti prejudicinį sprendimą matyti, kad HBDI iš esmės išnagrinėjo ieškovo pagrindinėje byloje pateiktą skundą ir informavo jį apie tyrimo baigtį. Konkrečiai kalbant, HBDI patvirtino, kad Sparkasse X pažeidė TR asmens duomenis, nes viena iš jos darbuotojų be leidimo susipažino su jais. Vis dėlto HBDI atmetė ieškovo pagrindinėje byloje pateiktą skundą dėl Sparkasse X darbuotojų susipažinimo su duomenimis teisių. Be to, jis padarė išvadą, kad nereikia imtis veiksmų prieš Sparkasse X pagal BDAR 58 straipsnio 2 dalį.

37

Šiuo klausimu reikia pažymėti, kad pagal BDAR priežiūros institucijai paliekama diskrecija spręsti, kokių veiksmų imtis, siekiant ištaisyti trūkumus, nes jo 58 straipsnio 2 dalyje šiai institucijai suteikiami įgaliojimai imtis įvairių taisomųjų veiksmų. Taigi Teisingumo Teismas jau yra nusprendęs, kad tinkamą ir būtiną priemonę turi pasirinkti priežiūros institucija ir tai daryti ji turi atsižvelgdama į visas atitinkamo atvejo aplinkybes ir su reikalaujamu rūpestingumu vykdydama savo užduotį užtikrinti visišką BDAR laikymąsi (šiuo klausimu žr. 2020 m. liepos 16 d. Sprendimo Facebook Ireland ir Schrems, C‑311/18, EU:C:2020:559, 112 punktą).

38

Vis dėlto šią diskreciją riboja būtinybė užtikrinti nuoseklų ir aukštą asmens duomenų apsaugos lygį griežtai taikant taisykles, kaip matyti iš BDAR 7 ir 10 konstatuojamųjų dalių.

39

Konkrečiau kalbant apie BDAR 58 straipsnio 2 dalies i punkte nurodytas administracines baudas, iš šio reglamento 83 straipsnio 2 dalies matyti, kad jos, atsižvelgiant į kiekvieno atvejo aplinkybes, skiriamos kartu su kitomis 58 straipsnio 2 dalyje nurodytomis priemonėmis arba vietoj jų. Be to, to paties 83 straipsnio 2 dalyje nurodyta, kad spręsdama, ar skirti administracinę baudą, ir priimdama sprendimą dėl jos dydžio priežiūros institucija kiekvienu konkrečiu atveju turi tinkamai atsižvelgti į šios nuostatos a–k punktuose nurodytus aspektus, pavyzdžiui, pažeidimo pobūdį, sunkumą ir trukmę.

40

Taigi Sąjungos teisės aktų leidėjo numatyta sankcijų sistema leidžia priežiūros institucijoms skirti tinkamiausias ir pateisinamas sankcijas, atsižvelgiant į kiekvieno atvejo aplinkybes (šiuo klausimu žr. 2023 m. gruodžio 5 d. Sprendimo Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, 75 ir 78 punktus), siekiant užtikrinti, kaip priminta šio sprendimo 37 ir 38 punktuose, visapusišką BDAR laikymąsi ir nuoseklų ir aukštą asmens duomenų apsaugos lygį griežtai taikant taisykles.

41

Taigi nei iš BDAR 58 straipsnio 2 dalies, nei iš jo 83 straipsnio negalima daryti išvados, kad priežiūros institucija turi pareigą kiekvienu atveju, kai konstatuoja asmens duomenų saugumo pažeidimą, imtis taisomųjų veiksmų, konkrečiai kalbant, skirti administracinę baudą; tokiomis aplinkybėmis ji privalo tinkamai reaguoti, kad būtų pašalintas nustatytas trūkumas. Atsižvelgiant į tai, kaip savo išvados 81 punkte pažymėjo generalinis advokatas, skundą pateikęs asmuo, kurio teisės buvo pažeistos, neturi subjektinės teisės reikalauti, kad priežiūros institucija skirtų duomenų valdytojui administracinę baudą.

42

Vis dėlto priežiūros institucija turi imtis veiksmų, kai vieno ar kelių BDAR 58 straipsnio 2 dalyje numatytų taisomųjų veiksmų, atsižvelgiant į visas konkretaus atvejo aplinkybes, ėmimasis yra tinkamas, būtinas ir proporcingas siekiant ištaisyti nustatytą trūkumą ir užtikrinti visišką šio reglamento laikymąsi.

43

Šiuo klausimu negalima atmesti galimybės, kad išimtiniais atvejais ir atsižvelgdama į konkrečias atskiro atvejo aplinkybes priežiūros institucija gali nesiimti taisomųjų veiksmų, nors buvo konstatuotas asmens duomenų saugumo pažeidimas. Taip galėtų būti, be kita ko, tuo atveju, kai nustatytas pažeidimas nebuvo tęsiamas, pavyzdžiui, kai duomenų valdytojas, kuris iš principo įgyvendino tinkamas technines ir organizacines priemones, kaip tai suprantama pagal BDAR 24 straipsnį, sužinojęs apie šį pažeidimą ėmėsi tinkamų ir būtinų priemonių, kad jis būtų nutrauktas ir nepasikartotų, atsižvelgiant į duomenų valdytojui tenkančias pareigas, be kita ko, pagal šio reglamento 5 straipsnio 2 dalį ir 24 straipsnį.

44

Aiškinimą, kad priežiūros institucija, konstatavusi asmens duomenų saugumo pažeidimą, neprivalo visais atvejais imtis taisomųjų veiksmų pagal BDAR 58 straipsnio 2 dalį, patvirtina tikslai, kurių siekiama pagal šio reglamento 58 straipsnio 2 dalį ir 83 straipsnį.

45

Iš BDAR 129 konstatuojamosios dalies matyti, kad jo 58 straipsnio 2 dalimi siekiama užtikrinti, kad asmens duomenų tvarkymas atitiktų šį reglamentą ir kad, įsikišus nacionalinėms priežiūros institucijoms, būtų ištaisytos jo pažeidimo situacijos, kad atitiktų Sąjungos teisę (2024 m. kovo 14 d. Sprendimo Újpesti Polgármesteri Hivatal, C‑46/23, EU:C:2024:239, 40 punktas).

46

Darytina išvada, kad išimtiniais atvejais ir atsižvelgiant į konkrečios bylos aplinkybes gali nereikėti imtis taisomųjų veiksmų, jeigu BDAR pažeidimo situacija jau ištaisyta, ir duomenų valdytojas užtikrina, kad asmens duomenų tvarkymas atitinka šį reglamentą, o priežiūros institucijos neveikimas nėra toks, dėl kurio būtų paneigtas reikalavimas griežtai taikyti taisykles, kaip priminta šio sprendimo 38 punkte.

47

BDAR 83 straipsniu, susijusiu su administracinių baudų skyrimu, siekiama, kaip nurodyta šio reglamento 148 konstatuojamojoje dalyje, sustiprinti šio reglamento taisyklių taikymą. Vis dėlto toje pačioje konstatuojamojoje dalyje nurodyta, kad jeigu pažeidimas nedidelis arba jeigu administracinė bauda, kuri gali būti skirta, sudarytų neproporcingą naštą fiziniam asmeniui, priežiūros institucijoms leidžiama neskirti administracinės baudos ir vietoj jos pareikšti papeikimą (žr. 2023 m. gruodžio 5 d. Sprendimo Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, 76 punktą).

48

Nagrinėjamu atveju iš prašymo priimti prejudicinį sprendimą matyti, kad Sparkasse X pagal BDAR 33 straipsnį pranešė HBDI apie ieškovo pagrindinėje byloje asmens duomenų pažeidimą, padarytą vienai iš jos darbuotojų be leidimo susipažįstant su šiais duomenimis. Be to, Sparkasse X nurodė, kad šiai darbuotojai buvo taikytos drausminės priemonės ir kad prieigos registro saugojimo trukmė bus peržiūrėta. Šiomis aplinkybėmis HBDI nesiėmė taisomųjų veiksmų pagal BDAR 58 straipsnio 2 dalį ir, be kita ko, nepaskyrė administracinės baudos.

49

Kadangi priežiūros institucijos sprendimui dėl skundo taikoma visapusiška teisminė kontrolė (2023 m. gruodžio 7 d. Sprendimo SCHUFA Holding (Atleidimas nuo likusių skolų), C‑26/22 ir C‑64/22, EU:C:2023:958, 70 punktas), prašymą priimti prejudicinį sprendimą pateikęs teismas turi patikrinti, ar HBDI išnagrinėjo atitinkamą skundą taip rūpestingai, kaip to reikalaujama, ir ar priimdamas pagrindinėje byloje nagrinėjamą sprendimą HBDI neperžengė jam pagal BDAR 58 straipsnio 2 dalį suteiktos diskrecijos ribų (pagal analogiją žr. 2023 m. gruodžio 7 d. Sprendimo SCHUFA Holding (Atleidimas nuo likusių skolų), C‑26/22 ir C‑64/22, EU:C:2023:958, 68 ir 69 punktus ir juose nurodytą jurisprudenciją).

50

Atsižvelgiant į visa tai, kas išdėstyta, į pateiktą klausimą reikia atsakyti, kad BDAR 57 straipsnio 1 dalies a ir f punktai, 58 straipsnio 2 dalis ir 77 straipsnio 1 dalis turi būti aiškinami taip, kad nustačiusi asmens duomenų saugumo pažeidimą priežiūros institucija neprivalo imtis taisomųjų veiksmų, konkrečiai kalbant, skirti administracinę baudą, pagal šio 58 straipsnio 2 dalį, kai tokia intervencija nėra tinkama, būtina ar proporcinga nustatytam trūkumui ištaisyti ir užtikrinti, kad būtų visapusiškai laikomasi šio reglamento.

51

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (pirmoji kolegija) nusprendžia:

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 57 straipsnio 1 dalies a ir f punktai, 58 straipsnio 2 dalis ir 77 straipsnio 1 dalis

turi būti aiškinami taip:

nustačiusi asmens duomenų saugumo pažeidimą priežiūros institucija neprivalo imtis taisomųjų veiksmų, konkrečiai kalbant, skirti administracinę baudą, pagal šio 58 straipsnio 2 dalį, kai tokia intervencija nėra tinkama, būtina ar proporcinga nustatytam trūkumui ištaisyti ir užtikrinti, kad būtų visapusiškai laikomasi šio reglamento.