SENTENZA TAL-QORTI TAL-ĠUSTIZZJA (Il-Ħames Awla)

14 ta’ Marzu 2024 ( *1 )

“Rinviju għal deċiżjoni preliminari – Protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali – Regolament (UE) 2016/679 – Artikolu 58(2)(d) u (g) – Setgħat tal-awtorità superviżorja ta’ Stat Membru – Artikolu 17(1) – Dritt għal tħassir (‘dritt li wieħed jintesa’) – Tħassir tad-data personali li tkun ġiet ipproċessata illegalment – Setgħa tal-awtorità superviżorja nazzjonali li tordna lill-kontrollur jew lill-proċessur iħassar id-data mingħajr talba minn qabel tas-suġġett tad-data”

Fil-Kawża C‑46/23,

li għandha bħala suġġett talba għal deċiżjoni preliminari skont l-Artikolu 267 TFUE, imressqa mil-Fővárosi Törvényszék (il-Qorti tal-Belt ta’ Budapest, l-Ungerija), permezz ta’ deċiżjoni tat‑8 ta’ Diċembru 2022, li waslet fil-Qorti tal-Ġustizzja fil‑31 ta’ Jannar 2023, fil-proċedura

Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala

Nemzeti Adatvédelmi és Információszabadság Hatóság,

IL-QORTI TAL-ĠUSTIZZJA (Il-Ħames Awla),

komposta minn E. Regan, President tal-Awla, Z. Csehi, M. Ilešič (Relatur), I. Jarukaitis u D. Gratsias, Imħallfin,

Avukat Ġenerali: L. Medina,

Reġistratur: A. Calot Escobar,

wara li rat il-proċedura bil-miktub,

wara li kkunsidrat l-osservazzjonijiet ippreżentati:

–	għan-Nemzeti Adatvédelmi és Információszabadság Hatóság, minn G. J. Dudás, ügyvéd,

–	għall-Gvern Ungeriż, minn Zs. Biró-Tóth u M. Z. Fehér, bħala aġenti,

–	għall-Gvern Spanjol, minn A. Ballesteros Panizo, bħala aġent,

–	għall-Gvern Awstrijak, minn A. Posch, J. Schmoll u C. Gabauer, bħala aġenti,

–	għall-Gvern Pollakk, minn B. Majczyna, bħala aġent,

–	għall-Gvern Portugiż, minn P. Barros da Costa, J. Ramos u C. Vieira Guerra, bħala aġenti,

–	għall-Kummissjoni Ewropea, minn A. Bouchagiar, C. Kovács u H. Kranenborg, bħala aġenti,

wara li rat id-deċiżjoni, meħuda wara li nstemgħet l-Avukata Ġenerali, li taqta’ l-kawża mingħajr konklużjonijiet,

tagħti l-preżenti

Sentenza

It-talba għal deċiżjoni preliminari tirrigwarda l-interpretazzjoni tal-punti (c)(d) u (g) tal-Artikolu 58(2) tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas‑27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU 2016, L 119, p. 1, rettifika fil-ĠU 2018, L 127, p. 2) (iktar ’il quddiem il-“GDPR”).

Din it-talba ġiet ippreżentata fil-kuntest ta’ tilwima bejn, minn naħa l-Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (l-Amministrazzjoni Muniċipali ta’ Újpest — Ir-Raba’ Distrett tal-Belt ta’ Budapest, l-Ungerija) (iktar ’il quddiem l-“amministrazzjoni ta’ Újpest”) u, min-naħa l-oħra, n-Nemzeti Adatvédelmi és Információszabadság Hatóság (l-Awtorità Nazzjonali għall-Protezzjoni tad-Data u l-Libertà tal-Informazzjoni, l-Ungerija), (iktar ’il quddiem l-“awtorità superviżorja Ungeriża”) dwar deċiżjoni li permezz tagħha din tal-aħħar ordnat lill-amministrazzjoni ta’ Újpest tħassar data personali li kienet is-suġġett ta’ pproċessar illegali.

Il‑kuntest ġuridiku

Il‑GDPR

Il-premessi 1, 10 u 129 tal-GDPR huma fformulati kif ġej:

“(1)

Il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali hija dritt fundamentali. L-Artikolu 8(1) tal-Karta tad-Drittijiet Fundamentali tal-Unjoni Ewropea […] u l-Artikolu 16(1) [TFUE] jipprevedu li kull persuna għandha dritt għall-protezzjoni tad-data personali li tirrigwardaha.

[…]

(10)

Sabiex ikun żgurat livell konsistenti u għoli ta’ protezzjoni tal-persuni fiżiċi u sabiex jitneħħew l-ostakoli għaċ-ċirkolazzjoni tad-data personali fl-Unjoni [Ewropea], il-livell ta’ protezzjoni tad-drittijiet u l-libertajiet tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ din id-data għandu jkun ekwivalenti fl-Istati Membri kollha. L-applikazzjoni konsistenti u omoġenea tar-regoli għall-protezzjoni tad-drittijiet u l-libertajiet fundamentali tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali għandha tkun żgurata fl-Unjoni kollha. […]

[…]

(129)

Sabiex jiġu żgurati monitoraġġ u infurzar konsistenti ta’ dan ir-Regolament kullimkien fl-Unjoni, f’kull wieħed mill-Istati Membri, l-awtoritajiet superviżorji għandu jkollhom l-istess kompiti u setgħat effettivi, inklużi setgħat investigattivi, setgħat korrettivi u sanzjonijiet, u setgħat ta’ awtorizzazzjoni u konsultattivi, b’mod partikolari f’każijiet ta’ ilmenti minn persuni fiżiċi, u mingħajr preġudizzju għas-setgħat tal-awtoritajiet tal-prosekuzzjoni taħt il-liġi tal-Istat Membru, biex iressqu l-ksur ta’ dispożizzjonijiet f’dan ir-Regolament għall-attenzjoni tal-awtoritajiet ġudizzjarji u jidħlu fi proċedimenti legali. […]”

4	Il-Kapitolu I tal-GDPR, intitolat “Dispożizzjonijiet ġenerali”, jinkludi l-Artikoli 1 sa 4 ta’ dan ir-regolament.

Skont l-Artikolu 1 ta’ dan ir-regolament, intitolat “Suġġett u objettivi”:

“(1) Dan ir-Regolament jistabbilixxi regoli relatati mal-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar tad-data personali u regoli relatati mal-moviment liberu tad-data personali.

2. Dan ir-Regolament jipproteġi d-drittijiet u l-libertajiet fundamentali tal-persuni fiżiċi u b’mod partikolari d-dritt tagħhom għall-protezzjoni ta’ data personali.

[…]”

L-Artikolu 4 tal-imsemmi regolament, intitolat “Definizzjonijiet”, jipprovdi, fil-punti 2, 7 u 21 tiegħu:

“Għall-finijiet ta’ dan ir-Regolament:

[…]

(2)

‘ipproċessar’ tfisser kwalunkwe attività jew sett ta’ attivitajiet li jitwettqu fuq data personali jew fuq settijiet ta’ data personali, sew jekk b’mezzi awtomatizzati u sew jekk mingħajrhom, bħalma huma l-ġbir, ir-reġistrazzjoni, l-organizzazzjoni, l-istrutturar, il-ħażna, l-adattament jew il-bidliet, l-irkupru, il-konsultazzjoni, l-użu, l-iżvelar bi trażmissjoni, it-tixrid jew it-tqegħid għad-dispożizzjoni b’xi mezz ieħor, l-allinjament jew it-taħlita, ir-restrizzjoni, it-tħassir jew il-qerda;

[…]

(7)

‘kontrollur’ tfisser persuna fiżika jew ġuridika, awtorità pubblika, aġenzija jew kwalunkwe korp ieħor li, waħdu jew flimkien ma’ oħrajn, jiddetermina l-għanijiet u l-mezzi tal-ipproċessar ta’ data personali; fejn l-għanijiet u l-mezzi tal-ipproċessar ikunu ddeterminati mil-liġi tal-Unjoni jew ta’ Stat Membru, il-kontrollur jew il-kriterji speċifiċi għall-ħatra tiegħu jistgħu jiġu determinati mil-liġi tal-Unjoni jew ta’ Stat Membru;

[…]

(21)	‘awtorità superviżorja’ tfisser awtorità pubblika indipendenti li tiġi stabbilita minn Stat Membru skont l-Artikolu 51;

[…]”

Il-Kapitolu II tal-GDPR, intitolat “Prinċipji”, jinkludi b’mod partikolari l-Artikolu 5 ta’ dan ir-regolament, intitolat ukoll “Prinċipji relatati mal-ipproċessar ta’ data personali”, li jipprevedi:

“(1) Id-data personali għandha:

(a)	tkun ipproċessata legalment, ġustament u b’mod trasparenti fir-rigward tas-suġġett tad-data (‘legalità, ġustizzja u trasparenza’)

(b)	tinġabar għal finijiet speċifikati, espliċiti u leġittimi u ma għandhiex tiġi pproċessata ulterjorment b’mod inkompatibbli ma’ dawk il-finijiet […] (‘limitazzjoni tal-fini’);

(c)	tkun adegwata, rilevanti, u limitata għal dak li hu meħtieġ b’rabta mal-finijiet li għalihom tkun qed tiġi pproċessata (‘minimizzazzjoni tad-data’);

[…]

2. Il-kontrollur għandu jkun responsabbli għall-konformità mal-paragrafu 1 u jkun kapaċi juriha (‘responsabbiltà’).”

Fil-Kapitolu III tal-GDPR, intitolat “Drittijiet tas-suġġett tad-data”, l-Artikolu 17 ta’ dan ir-regolament, li huwa intitolat “Dritt għal tħassir (‘dritt li wieħed jintesa’)”, jipprevedi, fil-paragrafu 1 tiegħu:

“Is-suġġett tad-data għandu d-dritt li jikseb mingħand il-kontrollur it-tħassir ta’ data personali dwaru mingħajr dewmien żejjed u l-kontrollur għandu l-obbligu li jħassar data personali mingħajr dewmien żejjed jekk tkun tapplika waħda minn dawn ir-raġunijiet li ġejjin:

(a)	id-data personali ma tkunx għadha meħtieġa fir-rigward tal-għanijiet li għalihom tkun inġabret jew ġiet ipproċessata mod ieħor id-data;

(b)	is-suġġett tad-data jirtira l-kunsens li fuqu huwa bbażat l-ipproċessar skont l-Artikolu 6(1)(a) jew l-Artikolu 9(2)(a) u fejn ma jkun hemm l-ebda raġuni legali għall-ipproċessar;

(c)	is-suġġett tad-data joġġezzjona għall-ipproċessar skont l-Artikolu 21(1) u ma jkun hemm l-ebda raġuni leġittima prevalenti għall-ipproċessar, jew is-suġġett tad-data joġġezzjona għall-ipproċessar skont l-Artikolu 21(2);

(d)	id-data personali tkun ġiet ipproċessata illegalment;

[…]”

9	Il-Kapitolu VI tal-GDPR, intitolat “Awtoritajiet superviżorji indipendenti”, jinkludi l-Artikoli 51 sa 59 ta’ dan.

L-Artikolu 51 ta’ dan ir-regolament, bit-titolu “Awtorità superviżorja”, jipprevedi, fil-paragrafi 1 u 2 tiegħu:

“(1) Kull Stat Membru għandu jipprovdi li awtorità pubblika indipendenti waħda jew aktar ikunu responsabbli għall-monitoraġġ tal-applikazzjoni ta’ dan ir-Regolament, sabiex jiġu protetti d-drittijiet u l-libertajiet fundamentali ta’ persuni fiżiċi b’rabta mal-ipproċessar u biex jiġi ffaċilitat il-fluss liberu ta’ data personali fl-Unjoni […]

2. Kull awtorità superviżorja għandha tikkontribwixxi għall-applikazzjoni konsistenti ta’ dan ir-Regolament madwar l-Unjoni. Għal dak il-għan, l-awtoritajiet superviżorji għandhom jikkooperaw ma’ xulxin u mal-Kummissjoni [Ewropea] f’konformità mal-Kapitolu VII.”

L-Artikolu 57 tal-imsemmi regolament, intitolat “Kompiti”, huwa fformulat kif ġej, fil-paragrafu 1 tiegħu:

“(1) Mingħajr preġudizzju għal kompiti oħra stabbiliti f’dan ir-Regolament, kull awtorità superviżorja għandha fit-territorju tagħha:

(a) timmonitorja u tinforza l-applikazzjoni ta’ dan ir-Regolament;

[…]

(h)	twettaq investigazzjonijiet dwar l-applikazzjoni ta’ dan ir-Regolament, inkluż abbażi ta’ informazzjoni li taslilha minn awtorità superviżorja jew awtorità pubblika oħra;

[…]”

L-Artikolu 58 tal-istess regolament, intitolat “Setgħat”, jipprevedi fil-paragrafu 2 tiegħu:

“Kull awtorità superviżorja għandu jkollha s-setgħat kollha korrettivi li ġejjin:

[…]

(c)	li tordna lill-kontrollur jew il-proċessur jikkonforma mat-talbiet tas-suġġett tad-data li jeżerċita d-drittijiet tiegħu skont dan ir-Regolament;

(d)	li tordna lill-kontrollur jew il-proċessur jagħmel operazzjonijiet ta’ pproċessar konformi mad-dispożizzjonijiet ta’ dan ir-Regolament, fejn xieraq, b’mod speċifiku u f’perijodu ta’ żmien speċifiku;

[…]

(g)	li tordna r-rettifika jew it-tħassir ta’ data personali jew ir-restrizzjoni tal-ipproċessar skont l-Artikoli 16, 17 u 18 u n-notifika ta’ tali azzjonijiet lir-riċevituri li lilhom tkun ġiet żvelata d-data personali skont l-Artikolu 17(2) u l-Artikolu 19;

[…]

(i)	li timponi multa amministrattiva skont l-Artikolu 83, flimkien ma’, jew minflok il-miżuri msemmija f’dan il-paragrafu, skont iċ-ċirkostanzi ta’ kull każ individwali;

[…]”

Il‑kawża prinċipali u d‑domandi preliminari

13	Fix-xahar ta’ Frar 2020, l-amministrazzjoni ta’ Újpest iddeċidiet li tipprovdi għajnuna finanzjarja lir-residenti li jappartjenu għal kategorija ta’ persuni li ddgħajfu mill-pandemija tal-COVID-19 u li kienu jissodisfaw ċerti kundizzjonijiet ta’ eliġibbiltà.

Għal dan l-għan, hija kkuntattat lill-Magyar Államkincstár (it-Teżor Pubbliku Ungeriż) u l-Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (l-Uffiċċju tal-Gvern tar-Raba’ Distrett ta’ Budapest, l-Ungerija), (iktar ’il quddiem l-“Uffiċċju tal-Gvern”), sabiex tikseb id-data personali neċessarja għall-verifika tal-kundizzjonijiet ta’ eliġibbiltà. Din id-data kienet tinkludi b’mod partikolari d-data ta’ identifikazzjoni bażika u n-numri ta’ sigurtà soċjali tal-persuni fiżiċi. It-Teżor Pubbliku Ungeriż u l-Uffiċċju tal-Gvern ipprovdew id-data mitluba.

Għall-finijiet tal-ħlas tal-assistenza finanzjarja, l-Amministrazzjoni ta’ Újpest adottat l-az Újpest + Megbecsülés Program bevezetésérġl szóló 16/2020. (IV. 30.) önkormányzati rendelet (id-Digriet Muniċipali Nru 16/2020. (IV. 30.), dwar l-introduzzjoni tal-programm Újpest + Megbecsülés), li ġie emendat u ssupplimentat mill‑30/2020. (VII. 15.) önkormányzati rendelet (id-Digriet Muniċipali Nru 30/2020. (VII. 15.)). Dawn id-digrieti kienu jinkludu l-kriterji ta’ eliġibbiltà għall-għajnuna hekk stabbilita. L-amministrazzjoni ta’ Újpest ġabret flimkien id-data miksuba f’database li nħolqot għall-finijiet tal-implimentazzjoni tal-programm ta’ għajnuna tagħha u ħolqot identifikatur kif ukoll barcode speċifiku għal kull sett ta’ data.

Informata permezz ta’ senjalazzjoni, l-awtorità superviżorja Ungeriża fetħet ex officio, fit‑2 ta’ Settembru 2020, investigazzjoni dwar l-ipproċessar tad-data personali li fuqha kien ibbażat il-programm ta’ għajnuna msemmi iktar ’il fuq. F’deċiżjoni adottata fit‑22 ta’ April 2021, din l-awtorità kkonstatat li l-amministrazzjoni ta’ Újpest kienet kisret diversi dispożizzjonijiet tal-Artikoli 5 u 14 tal-GDPR, kif ukoll l-Artikolu 12(1) tiegħu. Hija rrilevat, b’mod partikolari, li l-amministrazzjoni ta’ Újpest ma kinitx informat lill-persuni kkonċernati, fit-terminu ta’ xahar, bil-kategoriji ta’ data personali pproċessata fil-kuntest ta’ dan il-programm, dwar l-għanijiet tal-ipproċessar inkwistjoni, u lanqas dwar il-modalitajiet li bihom dawn il-persuni setgħu jeżerċitaw id-drittijiet tagħhom f’dan ir-rigward.

L-awtorità superviżorja Ungeriża ordnat lill-amministrazzjoni ta’ Újpest, skont l-Artikolu 58(2)(d) tal-GDPR, tħassar id-data personali tas-suġġetti tad-data li, skont l-informazzjoni pprovduta mill-Uffiċċju tal-Gvern u t-Teżor Pubbliku Ungeriż, kienu ċertament ikunu intitolati għal din l-għajnuna, iżda ma ressqux talba għaliha. Hija qieset li kemm it-Teżor Pubbliku Ungeriż kif ukoll l-Uffiċċju tal-Gvern kienu kisru d-dispożizzjonijiet dwar l-ipproċessar tad-data personali tal-imsemmija persuni. Hija kkundannat ukoll lill-amministrazzjoni ta’ Újpest u lit-Teżor Pubbliku Ungeriż jħallsu multa abbażi tal-protezzjoni tad-data.

Permezz ta’ rikors amministrattiv kontenzjuż, ippreżentat quddiem il-Fġvárosi Törvényszék (il-Qorti tal-Belt ta’ Budapest, l-Ungerija), li hija l-qorti tar-rinviju, l-amministrazzjoni ta’ Újpest tikkontesta d-deċiżjoni tal-awtorità ta’ superviżjoni Ungeriża, billi ssostni li din tal-aħħar ma għandhiex is-setgħa li tordna t-tħassir tad-data personali, skont l-Artikolu 58(2)(d) tal-GDPR, fl-assenza ta’ talba mressqa mis-suġġett tad-data, fis-sens tal-Artikolu 17 ta’ dan ir-regolament. F’dan ir-rigward, hija tibbaża ruħha fuq is-sentenza Kfv.II.37.001/2021/6. tal-Kúria (il-Qorti Suprema, l-Ungerija), li permezz tagħha din tal-aħħar iddeċidiet li l-awtorità superviżorja Ungeriża ma kellhiex tali setgħa, u b’hekk ikkonfermat sentenza tal-qorti tar-rinviju. Skont ir-rikorrenti fil-kawża prinċipali, id-dritt għat-tħassir, previst fl-Artikolu 17 tal-imsemmi regolament, huwa maħsub esklużivament bħala dritt tal-persuna kkonċernata.

Wara rikors kostituzzjonali ppreżentat mill-awtorità superviżorja Ungeriża, l-Alkotmánybíróság (il-Qorti Kostituzzjonali, l-Ungerija) annullat is-sentenza msemmija iktar ’il fuq tal-Kúria (il-Qorti Suprema), billi ddeċidiet li din l-awtorità għandha dritt tordna ex officio t-tħassir tad-data personali li kienet is-suġġett ta’ pproċessar illegali, inkluż fl-assenza ta’ talba mressqa mis-suġġett tad-data. L-Alkotmánybíróság (il-Qorti Kostituzzjonali) ibbażat ruħha f’dan ir-rigward fuq l-Opinjoni Nru 39/2021 tal-Bord Ewropew għall-Protezzjoni tad-Data li fil-fehma tiegħu l-Artikolu 17 tal-GDPR jipprevedi żewġ każijiet ta’ tħassir distinti, wieħed huwa t-tħassir fuq talba tas-suġġett tad-data, u l-ieħor li jikkonsisti f’obbligu awtonomu tal-kontrollur, b’tali mod li l-Artikolu 58(2)(g) tal-GDPR għandu jitqies li huwa bażi legali valida għall-finijiet tat-tħassir ex officio ta’ data personali pproċessata b’mod illegali.

Wara d-deċiżjoni tal-Alkotmánybíróság (il-Qorti Kostituzzjonali) imsemmija fil-punt preċedenti, il-qorti tar-rinviju tkompli jkollha dubji dwar l-interpretazzjoni tal-Artikolu 17 tal-Artikolu 58(2) tal-GDPR. Hija tqis li d-dritt għat-tħassir tad-data personali huwa ddefinit fl-Artikolu 17(1) tal-GDPR bħala dritt tas-suġġett tad-data u li din id-dispożizzjoni ma tinkludix żewġ każijiet distinti ta’ tħassir.

Din il-qorti żżid li persuna jista’ jkollha interess sabiex id-data personali li tikkonċernaha tiġi pproċessata, inkluż meta l-awtorità superviżorja nazzjonali tordna, minħabba l-illegalità tal-ipproċessar, lill-kontrollur sabiex iħassar l-imsemmija data. F’każ bħal dan, din l-awtorità teżerċita d-dritt tal-imsemmija persuna kontra r-rieda ta’ din tal-aħħar.

Il-qorti tar-rinviju tfittex għalhekk li tiddetermina jekk, indipendentement mill-eżerċizzju tad-drittijiet tas-suġġett tad-data, l-awtorità superviżorja ta’ Stat Membru tistax teżiġi li l-kontrollur jew il-proċessur iħassar id-data personali li kienet is-suġġett ta’ pproċessar illegali, u fl-affermattiv, fuq liema bażi legali, fid-dawl b’mod partikolari tal-fatt li l-Artikolu 58(2)(c) tal-GDPR jipprevedi espressament talba mressqa minn dan is-suġġett tad-data sabiex jeżerċita d-drittijiet tiegħu u fid-dawl tal-fatt li l-Artikolu 58(2)(d) ta’ dan ir-regolament jipprevedi b’mod ġenerali li l-operazzjonijiet ta’ pproċessar ikunu konformi mad-dispożizzjonijiet tal-imsemmi regolament, filwaqt li l-Artikolu 58(2)(g) tal-istess regolament jagħmel riferiment dirett għall-Artikolu 17 tiegħu, li l-applikazzjoni tiegħu teżiġi talba espliċita mis-suġġett tad-data.

Fil-każ li l-awtorità superviżorja nazzjonali tkun tista’, minkejja l-assenza ta’ talba tas-suġġett tad-data, tordna lill-kontrollur jew lill-proċessur iħassar id-data personali li kienet is-suġġett ta’ pproċessar illegali, il-qorti tar-rinviju tistaqsi dwar jekk tistax issir distinzjoni, fid-data li fiha jiġi ordnat dan it-tħassir, skont jekk id-data personali tkunx inġabret mingħand is-suġġett tad-data, fid-dawl tal-obbligu tal-kontrollur tad-data msemmi fl-Artikolu 13(2)(b) tal-GDPR, jew mingħand persuna oħra, fid-dawl tal-obbligu previst fl-Artikolu 14(2)(c) ta’ dan ir-regolament.

F’dawn iċ-ċirkustanzi, il-Fővárosi Törvényszék (il-Qorti tal-Belt ta’ Budapest, l-Ungerija) iddeċidiet li tissospendi l-proċeduri quddiemha u li tagħmel lill-Qorti tal-Ġustizzja d-domandi preliminari li ġejjin:

“(1)

L-Artikolu 58(2), b’mod partikolari l-punti (c), (d) u (g), [tal-GDPR], għandu jiġi interpretat fis-sens li l-awtorità superviżorja nazzjonali, fl-eżerċizzju tas-setgħat korrettivi tagħha, tista’ tordna lill-kontrollur jew lill-proċessur iħassar id-data personali ipproċessata illegalment anki fl-assenza ta’ talba espressa mis-suġġett tad-data konformement mal-Artikolu 17(1) [tal-GDPR]?

(2)

Fil-każ li tingħata risposta għall-ewwel domanda preliminari fis-sens li l-awtorità superviżorja tista’ tordna lill-kontrollur jew lill-proċessur iħassar id-data personali pproċessata illegalment anki fl-assenza ta’ talba mis-suġġett tad-data, dan ikun indipendenti mill-aspett li d-data personali tkun inkisbet, jew le, mingħand is-suġġett tad-data?”

Fuq id‑domandi preliminari

Fuq l‑ewwel domanda

Permezz tal-ewwel domanda tagħha, il-qorti tar-rinviju tistaqsi jekk l-Artikolu 58(2)(c),(d) u (g) tal-GDPR għandux jiġi interpretat fis-sens li l-awtorità superviżorja ta’ Stat Membru hija awtorizzata, fl-eżerċizzju tas-setgħa tagħha li tadotta miżuri korrettivi previsti għal dawn id-dispożizzjonijiet, tordna lill-kontrollur jew lill-proċessur iħassar data personali li kienet is-suġġett ta’ pproċessar illegali, u dan meta ma tkun tressqet ebda talba għal dan l-għan mis-suġġett tad-data sabiex jeżerċita d-drittijiet tiegħu skont l-Artikolu 17(1) ta’ dan ir-regolament.

Din il-kwistjoni taqa’ fil-kuntest ta’ tilwima dwar il-legalità ta’ deċiżjoni tal-awtorità superviżorja Ungeriża li tordna lill-amministrazzjoni ta’ Újpest, skont l-Artikolu 58(2)(d) tal-GDPR, tħassar id-data personali li kienet is-suġġett ta’ pproċessar illegali fil-kuntest tal-programm ta’ għajnuna deskritt fil-punti 13 sa 15 ta’ din is-sentenza.

B’mod konformi mal-Artikolu 17(1) tal-GDPR, is-suġġett tad-data għandu d-dritt li jikseb mingħand il-kontrollur it-tħassir, mingħajr dewmien żejjed, ta’ data personali li tikkonċernah u l-kontrollur għandu l-obbligu li jħassar din id-data mingħajr dewmien żejjed, b’mod partikolari, fuq il-bażi tal-punt (d) ta’ din id-dispożizzjoni, meta d-data inkwistjoni “tkun ġiet ipproċessata illegalment”.

Skont l-Artikolu 58(2)(d) tal-GDPR, l-awtorità superviżorja tista’ tordna lill-kontrollur jew il-proċessur jagħmel operazzjonijiet ta’ pproċessar b’mod konformi mad-dispożizzjonijiet ta’ dan ir-regolament, fejn xieraq, b’mod speċifiku u f’terminu speċifiku. Barra minn hekk, l-Artikolu 58(2)(d) ta’ dan ir-regolament jipprevedi li l-awtorità superviżorja għandha s-setgħa li tordna r-rettifika jew it-tħassir ta’ data personali jew ir-restrizzjoni tal-ipproċessar skont l-Artikoli 16, 17 u 18 ta’ dan ir-regolament, u li tikkomunika dawn il-miżuri lid-destinatarji li lilhom tkun ġiet żvelata d-data personali skont l-Artikolu 17(2) u l-Artikolu 19 tal-istess regolament.

F’dan il-kuntest, il-qorti tar-rinviju tistaqsi dwar jekk l-awtorità superviżorja ta’ Stat Membru hijiex awtorizzata, fl-eżerċizzju tas-setgħa tagħha li tadotta miżuri korrettivi, bħal dawk previsti fl-Artikolu 58(2)(c),(d) u (g) tal-GDPR, tordna ex officio, jiġifieri fl-assenza ta’ talba mressqa minn qabel għal dan l-għan mis-suġġett tad-data, lill-kontrollur jew lill-proċessur sabiex iħassar data personali li kienet is-suġġett ta’ pproċessar illegali.

Konformement ma ġurisprudenza stabbilita, għall-finijiet tal-interpretazzjoni ta’ dispożizzjoni tad-dritt tal-Unjoni, hemm lok li ma jittiħdux inkunsiderazzjoni biss kliemha iżda wkoll il-kuntest tagħha u l-għanijiet li għandhom jintlaħqu mil-leġiżlazzjoni li minnha hija tagħmel parti (sentenza tat‑13 ta’ Lulju 2023, G GmbH, C‑134/22, EU:C:2023:567, punt 25 u l-ġurisprudenza ċċitata).

Preliminarjament, għandu jiġi rrilevat li d-dispożizzjonijiet rilevanti tad-dritt tal-Unjoni, imsemmija fil-punti 27 u 28 ta’ din is-sentenza, għandhom jinqraw flimkien mal-Artikolu 5(1) tal-GDPR, li jistabbilixxi l-prinċipji relatati mal-ipproċessar tad-data personali u li fosthom jinsab b’mod partikolari, fil-punt (a), dak li jipprevedi li d-data personali għandha tiġi pproċessata b’mod legali, ġust u trasparenti fir-rigward tas-suġġett tad-data.

Skont it-tieni paragrafu ta’ dam l-Artikolu 5, il-kontrollur, konformement mal-prinċipju ta’ “responsabbiltà” stabbilit f’din id-dispożizzjoni, huwa responsabbli għall-osservanza tal-paragrafu 1 ta’ dan l-imsemmi artikolu 5 u għandu jkun f’pożizzjoni li juri li huwa josserva kull wieħed mill-prinċipji stabbiliti fih, prova li, barra minn hekk, għandha tiġi prodotta minnu (sentenza tal‑4 ta’ Mejju 2023, Bundesrepublik Deutschland (Indirizz tal-posta elettronika tal-qorti), C‑60/22, EU:C:2023:373, punt 53 u l-ġurisprudenza ċċitata).

Meta l-ipproċessar ta’ data personali ma jissodisfax il-prinċipji previsti b’mod partikolari fl-Artikolu 5 tal-GDPR, l-awtoritajiet superviżorji tal-Istati Membri huma awtorizzati jintervjenu, skont il-funzjonijiet u s-setgħat tagħhom, previsti fl-Artikoli 57 u 58 ta’ dan ir-regolament. Fost dawn il-funzjonijiet hemm, b’mod partikolari, dik li tiġi kkontrollata l-applikazzjoni tal-imsemmi regolament u li tiġi żgurata l-osservanza tiegħu, skont l-Artikolu 57(1)(a) tiegħu (ara, f’dan is-sens, is-sentenza tas‑16 ta’ Lulju 2020, Facebook Ireland u Schrems, C‑311/18, EU:C:2020:559, punt 108).

F’dan ir-rigward, il-Qorti tal-Ġustizzja diġà ppreċiżat li, meta awtorità superviżorja nazzjonali tqis, fi tmiem l-investigazzjoni tagħha, li s-suġġett tad-data ma jibbenefikax minn livell adegwat ta’ protezzjoni, hija obbligata, b’applikazzjoni tad-dritt tal-Unjoni, tirreaġixxi b’mod xieraq sabiex tirrimedja l-insuffiċjenza kkonstatata, u dan irrispettivament mill-oriġini jew min-natura ta’ din l-insuffiċjenza. Għal dan il-għan, l-Artikolu 58(2) tal-GDPR jelenka d-diversi miżuri korrettivi li jistgħu jiġu adottati mill-awtorità superviżorja. Hija din l-awtorità superviżorja li għandha tagħżel il-mezz xieraq sabiex twettaq bid-diliġenza dovuta l-funzjoni tagħha li tiżgura l-osservanza sħiħa ta’ dan ir-regolament (ara, f’dan is-sens, is-sentenza tas‑16 ta’ Lulju 2020, Facebook Ireland u Schrems, C‑311/18, EU:C:2020:559, punti 111 u 112).

Fir-rigward, b’mod iktar partikolari, tal-kwistjoni dwar jekk tali miżuri korrettivi jistgħux jiġu adottati ex officio mill-awtorità superviżorja kkonċernata, għandu jiġi rrilevat qabel kollox li, fid-dawl tal-formulazzjoni tiegħu, l-Artikolu 58(2) tal-GDPR jagħmel distinzjoni bejn il-miżuri korrettivi li jistgħu jiġu ordnati ex officio, b’mod partikolari dawk imsemmija fl-Artikolu 58(2)(d) u (g), u dawk li jistgħu jiġu adottati biss wara talba mressqa mis-suġġett tad-data sabiex jeżerċita d-drittijiet tiegħu skont dan ir-regolament, kif imsemmija fl-Artikolu 58(2)(c) tal-imsemmi regolament.

Fil-fatt, minn naħa, mill-formulazzjoni tal-Artikolu 58(2)(c) tal-GDPR jirriżulta espressament li l-adozzjoni tal-miżura korrettiva msemmija f’din id-dispożizzjoni, jiġifieri “li tordna lill-kontrollur jew il-proċessur jikkonforma mat-talbiet tas-suġġett tad-data li jeżerċita d-drittijiet tiegħu skont dan ir-Regolament”, tippreżupponi li, suġġett tad-data jkun invoka d-drittijiet tiegħu minn qabel, bit-tressiq ta’ talba f’dan is-sens u li din it-talba ma tkunx intlaqgħet qabel id-deċiżjoni tal-awtorità superviżorja prevista mill-imsemmija dispożizzjoni. Min-naħa l-oħra, b’differenza minn din id-dispożizzjoni, il-formulazzjoni tal-Artikolu 58(2)(d) u (g) ta’ dan ir-regolament ma tippermettix li jitqies li intervent tal-awtorità superviżorja ta’ Stat Membru, sabiex jiġu applikati l-miżuri msemmija fih, huwa limitat biss għall-każijiet fejn talba tkun tressqet għal dan l-għan mis-suġġett tad-data, peress li din il-formulazzjoni ma tinkludix riferiment għal tali talba.

Sussegwentement, fir-rigward tal-kuntest ta’ dawn id-dispożizzjonijiet, għandu jiġi rrilevat li l-kliem tal-Artikolu 17(1) ta’ dan ir-regolament jiddistingwu, permezz tal-konġunzjoni ta’ koordinazzjoni “u”, minn naħa, id-dritt tas-suġġett tad-data li jikseb mingħand il-kontrollur it-tħassir, mingħajr dewmien żejjed, tad-data li tikkonċernah u, min-naħa l-oħra, l-obbligu tal-kontrollur li jħassar din id-data personali mingħajr dewmien. Minn dan għandu jiġi dedott li din id-dispożizzjoni tirregola żewġ każijiet indipendenti, jiġifieri, minn naħa, it-tħassir tad-data fuq talba tas-suġġett tad-data u, min-naħa l-oħra, it-tħassir li jirriżulta mill-eżistenza ta’ obbligu awtonomu, impost fuq il-kontrollur, u dan indipendentement minn kwalunkwe talba mressqa mis-suġġett tad-data.

Fil-fatt, kif irrileva l-Bord Ewropew għall-Protezzjoni tad-Data, fl-opinjoni tiegħu Nru 39/2021, tali distinzjoni hija neċessarja peress li, fost il-każijiet previsti f’dan l-Artikolu 17(1), uħud minnhom ikopru sitwazzjonijiet li fihom is-suġġett tad-data ma jkunx neċessarjament ġie informat li data personali li tikkonċernah tkun ġiet ipproċessata, b’tali mod li l-kontrollur huwa l-uniku li jista’ jikkonstata l-eżistenza tagħha. Dan huwa l-każ, b’mod partikolari, fis-sitwazzjoni fejn din id-data kienet is-suġġett ta’ pproċessar illegali, hekk kif imsemmija fl-Artikolu 17(1)(d).

Din l-interpretazzjoni hija kkonfermata mill-Artikolu 5(2) tal-GDPR, moqri flimkien mal-paragrafu 1(a) ta’ dan l-artikolu 5, li jipprovdi li l-kontrollur għandu jiżgura ruħu, b’mod partikolari, min-natura legali tal-ipproċessar tad-data li huwa jwettaq (ara f’dan is-sens, is-sentenza tal‑4 ta’ Mejju 2023, Bundesrepublik Deutschland (Indirizz tal-posta elettronika tal-qorti), C‑60/22, EU:C:2023:373, punt 54).

Fl-aħħar nett, tali interpretazzjoni hija sostnuta wkoll mill-għan imfittex mill-Artikolu 58(2) tal-GDPR, kif jirriżulta mill-premessa 129 tiegħu, jiġifieri li tiġi żgurata l-konformità tal-ipproċessar tad-data personali ma’ dan ir-regolament kif ukoll ir-rettifika ta’ sitwazzjonijiet ta’ ksur ta’ dan tal-aħħar sabiex dawn isiru konformi mad-dritt tal-Unjoni, permezz tal-intervent tal-awtoritajiet superviżorji nazzjonali.

F’dan ir-rigward, għandu jiġi ppreċiżat li, għalkemm l-għażla tal-mezz adegwat u neċessarju għandha ssir mill-awtorità superviżorja u għalkemm din għandha tagħmel din l-għażla b’teħid inkunsiderazzjoni taċ-ċirkustanzi kollha tal-każ, din l-awtorità hija xorta waħda obbligata taġixxi bid-diliġenza kollha meħtieġa mill-funzjoni tagħha li tiżgura l-osservanza sħiħa tal-GDPR (ara, f’dan is-sens, is-sentenza tas‑16 ta’ Lulju 2020, Facebook Ireland u Schrems, C‑311/18, EU:C:2020:559, punt 112). Għaldaqstant, sabiex tiġi żgurata applikazzjoni effettiva tal-GDPR, huwa ta’ importanza partikolari, li din l-awtorità jkollha setgħat effettivi sabiex taġixxi b’mod effikaċi kontra l-ksur ikkonstatat ta’ dan ir-regolament, u b’mod partikolari sabiex ittemm dan il-ksur, inkluż f’każijiet fejn is-suġġetti tad-data ma jkunux informati bl-ipproċessar tad-data personali tagħhom, ma jkollhomx għarfien tiegħu jew, fi kwalunkwe każ, ma jkunux talbu t-tħassir ta’ din id-data

F’dawn iċ-ċirkustanzi, għandu jitqies li s-setgħa li jiġu adottati wħud mill-miżuri korrettivi msemmija fl-Artikolu 58(2) tal-GDPR, b’mod partikolari dawk li jinsabu fil-punti (d) u (g) ta’ din id-dispożizzjoni, tista’ tiġi eżerċitata ex officio mill-awtorità superviżorja ta’ Stat Membru sa fejn l-eżerċizzju ex officio ta’ din is-setgħa huwa meħtieġ sabiex hija tkun tista’ twettaq il-funzjoni tagħha. Għaldaqstant, meta din l-awtorità tqis, fi tmiem l-investigazzjoni tagħha, li dan l-ipproċessar ma jissodisfax ir-rekwiżiti ta’ dan ir-regolament, hija għandha, skont id-dritt tal-Unjoni, tadotta l-miżuri xierqa sabiex tirrimedja l-ksur ikkonstatat, u dan indipendentement mill-eżistenza ta’ talba minn qabel imressqa mis-suġġett tad-data sabiex jeżerċita d-drittijiet tiegħu skont l-Artikolu 17(1) tal-imsemmi regolament.

Tali interpretazzjoni hija barra minn hekk ikkorroborata mill-għanijiet imfittxija mill-GDPR, kif jirriżultaw b’mod partikolari mill-Artikolu 1 tiegħu kif ukoll mill-premessi 1 u 10 tiegħu, li jirreferu għall-garanzija ta’ livell għoli ta’ protezzjoni fir-rigward tad-dritt fundamentali tal-persuni fiżiċi għall-protezzjoni tad-data personali li tikkonċernahom, stabbilit fl-Artikolu 8(1) tal-Karta tad-Drittijiet Fundamentali u fl-Artikolu 16(1) TFUE (ara, f’dan is-sens, is-sentenzi tas‑6 ta’ Ottubru 2020, La Quadrature du Net et , C‑511/18, C‑512/18 u C‑520/18, EU:C:2020:791, punt 207, kif ukoll tat‑28 ta’ April 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punt 73).

Interpretazzjoni kuntrarja għal dik mogħtija fil-punt 42 ta’ din is-sentenza, li tipprovdi li tali awtorità superviżorja tista’ taġixxi biss wara talba mressqa għal dan l-għan mis-suġġett tad-data, tkun tikkomprometti t-twettiq tal-għanijiet imfakkra fil-punti 40 u 43 ta’ din is-sentenza, b’mod partikolari, f’sitwazzjoni bħal dik inkwistjoni fil-kawża prinċipali fejn it-tħassir ta’ data personali li kienet is-suġġett ta’ pproċessar illegali jikkonċerna numru potenzjalment għoli ta’ persuni li ma jkunux invokaw id-dritt tagħhom għat-tħassir, b’applikazzjoni tal-Artikolu 17(1) tal-GDPR.

Fil-fatt, kif sostniet, essenzjalment, il-Kummissjoni fl-osservazzjonijiet bil-miktub tagħha, ir-rekwiżit ta’ talba minn qabel imressqa mis-suġġetti tad-data, fis-sens tal-Artikolu 17(1) tal-GDPR, ikun ifisser li l-kontrollur ikun jista’, fl-assenza ta’ tali talba, iżomm id-data personali inkwistjoni u jkompli jipproċessaha b’mod illegali. Tali interpretazzjoni tippreġudika l-effettività tal-protezzjoni prevista minn dan ir-regolament, peress li twassal sabiex il-persuni inattivi jiġu mċaħħda mill-protezzjoni minkejja li d-data personali tagħhom kienet is-suġġett ta’ pproċessar illegali.

Fid-dawl tal-kunsiderazzjonijiet preċedenti, ir-risposta għall-ewwel domanda għandha tkun li l-Artikolu 58(2)(d) u (g) tal-GDPR għandu jiġi interpretat fis-sens li l-awtorità superviżorja ta’ Stat Membru hija awtorizzata, fl-eżerċizzju tas-setgħa tagħha li tadotta miżuri korrettivi previsti għal dawn id-dispożizzjonijiet, tordna lill-kontrollur jew lill-proċessur iħassar data personali li kienet is-suġġett ta’ pproċessar illegali, u dan meta ma tkun tressqet ebda talba għal dan l-għan mis-suġġett tad-data sabiex jeżerċita d-drittijiet tiegħu skont l-Artikolu 17(1) ta’ dan ir-regolament.

Fuq it‑tieni domanda

Permezz tat-tieni domanda tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk l-Artikolu 58(2) tal-GDPR għandux jiġi interpretat fis-sens li s-setgħa tal-awtorità superviżorja ta’ Stat Membru li tordna t-tħassir ta’ data personali li kienet is-suġġett ta’ pproċessar illegali tista’ tkopri kemm data miġbura mingħand is-suġġett tad-data kif ukoll data li toriġina minn sors ieħor.

F’dan ir-rigward, għandu jiġi rrilevat, qabelxejn, li l-formulazzjoni tad-dispożizzjonijiet imsemmija fil-punt preċedenti ma tinkludi ebda indikazzjoni li tagħti x’tifhem li s-setgħa tal-awtorità superviżorja li tadotta l-miżuri korrettivi elenkati fihom tiddependi mill-oriġini tad-data kkonċernata u, b’mod partikolari, mill-fatt li din tkun inġabret mingħand is-suġġett tad-data.

49	Bl-istess mod, il-formulazzjoni tal-Artikolu 17(1) tal-GDPR, li, kif jirriżulta mill-punt 37 ta’ din is-sentenza, jistabbilixxi obbligu awtonomu, għall-kontrollur, li jħassar id-data personali li kienet is-suġġett ta’ pproċessar illegali, ma tinkludi ebda rekwiżit dwar l-oriġini tad-data miġbura.

Barra minn hekk, kif jirriżulta mill-punti 41 u 42 ta’ din is-sentenza, huwa neċessarju, sabiex tiġi żgurata applikazzjoni effettiva u koerenti tal-GDPR, li l-awtorità superviżorja nazzjonali jkollha setgħat effettivi sabiex taġixxi b’mod effikaċi kontra l-ksur ta’ dan ir-regolament. Għaldaqstant, is-setgħa li jiġu adottati miżuri korrettivi, kif stabbilita fl-Artikolu 58(2)(d) u (g) tal-GDPR, ma tistax tiddependi mill-oriġini tad-data kkonċernata u, b’mod partikolari, mill-fatt li din tkun inġabret mingħand is-suġġett tad-data.

Konsegwentement, għandu jitqies, bħalma għamlu l-gvernijiet kollha li ppreżentaw osservazzjonijiet bil-miktub u l-Kummissjoni, li l-eżerċizzju tas-setgħa ta’ adozzjoni ta’ miżuri korrettivi, fis-sens tal-Artikolu 58(2)(d) u (g) tal-GDPR, ma jistax jiddependi minn jekk id-data personali inkwistjoni tkunx inġabret jew le direttament mingħand is-suġġett tad-data.

52	Tali interpretazzjoni hija kkorroborata wkoll mill-għanijiet imfittxija mill-GDPR, b’mod partikolari mill-Artikolu 58(2) ta’ dan ir-regolament, imfakkra fil-punti 40 u 43 ta’ din is-sentenza.

Fid-dawl tal-kunsiderazzjonijiet preċedenti, ir-risposta għat-tieni domanda għandha tkun li l-Artikolu 58(2) tal-GDPR għandu jiġi interpretat fis-sens li s-setgħa tal-awtorità superviżorja ta’ Stat Membru li tordna t-tħassir ta’ data personali li kienet is-suġġett ta’ pproċessar illegali tista’ tkopri kemm data miġbura mingħand is-suġġett tad-data kif ukoll data li toriġina minn sors ieħor.

Fuq l‑ispejjeż

Peress li l-proċedura għandha, fir-rigward tal-partijiet fil-kawża prinċipali, in-natura ta’ kwistjoni mqajma quddiem il-qorti tar-rinviju, hija dik il-qorti li tiddeċiedi fuq l-ispejjeż. L-ispejjeż sostnuti għas-sottomissjoni tal-osservazzjonijiet lill-Qorti tal-Ġustizzja, barra dawk tal-imsemmija partijiet, ma jistgħux jitħallsu lura.

Għal dawn il-motivi, Il-Qorti tal-Ġustizzja (Il-Ħames Awla) taqta’ u tiddeċiedi:

L-Artikolu 58(2)(d) u (g) tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas‑27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data)

għandu jiġi interpretat fis-sens li:

l-awtorità superviżorja ta’ Stat Membru hija awtorizzata, fl-eżerċizzju tas-setgħa tagħha li tadotta miżuri korrettivi previsti għal dawn id-dispożizzjonijiet, tordna lill-kontrollur jew lill-proċessur iħassar data personali li kienet is-suġġett ta’ pproċessar illegali, u dan meta ma tkun tressqet ebda talba għal dan l-għan mis-suġġett tad-data sabiex jeżerċita d-drittijiet tiegħu skont l-Artikolu 17(1) ta’ dan ir-regolament.

L-Artikolu 58(2) tar-Regolament 2016/679

għandu jiġi interpretat fis-sens li:

is-setgħa tal-awtorità superviżorja ta’ Stat Membru li tordna t-tħassir ta’ data personali li kienet is-suġġett ta’ pproċessar illegali tista’ tkopri kemm data miġbura mingħand is-suġġett tad-data kif ukoll data li toriġina minn sors ieħor.

Firem

( *1 ) Lingwa tal-kawża: l-Ungeriż.