–

pentru TR, de F. Wittmaack, Rechtsanwalt;

–

pentru Land Hessen, de M. Kottmann și G. Ziegenhorn, Rechtsanwälte;

–

pentru guvernul austriac, de J. Schmoll și M.‑T. Rappersberger, în calitate de agenți;

–

pentru guvernul portughez, de P. Barros da Costa, J. Ramos și C. Vieira Guerra, în calitate de agenți;

–

pentru guvernul român, de L.‑E. Bațagoi și E. Gane, în calitate de agenți;

–

pentru guvernul norvegian, de S.‑E. Jahr Dahl, L.‑M. Moen Jünge și M. Munthe‑Kaas, în calitate de agenți;

–

pentru Comisia Europeană, de A. Bouchagiar, M. Heller și H. Kranenborg, în calitate de agenți,

1

Cererea de decizie preliminară privește interpretarea articolului 57 alineatul (1) literele (a) și (f), a articolului 58 alineatul (2), precum și a articolului 77 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, rectificare în JO 2018, L 127, p. 2, denumit în continuare „RGPD”).

2

Această cerere a fost formulată în cadrul unui litigiu între TR, pe de o parte, și Land Hessen (landul Hessen, Germania), pe de altă parte, în legătură cu neexercitarea de către Hessischer Beauftragte für Datenschutz und Informationsfreiheit (comisarul pentru protecția datelor și libertatea de informare pentru landul Hessen, Germania) (denumit în continuare „HBDI”) a competențelor corective în privința Sparkasse X (Casa de Economii X, denumită în continuare „Casa de Economii”).

3

Potrivit considerentelor (6), (7), (10), (129) și (148) ale RGPD:

[…]

[…]

[…]

4

Articolul 5 din acest regulament are următorul cuprins:

„(1)   Datele cu caracter personal sunt:

(2)   Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”

5

Articolul 24 alineatul (1) din regulamentul menționat prevede:

„Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.”

6

Articolul 33 din același regulament prevede:

„(1)   În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice. […]

[…]

(3)   Notificarea menționată la alineatul (1) cel puțin:

[…]”

7

Articolul 34 alineatul (1) din RGPD prevede:

„În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.”

8

Capitolul VI din acest regulament, intitulat „Autorități de supraveghere independente”, cuprinde articolele 51-59 din acesta.

9

Articolul 51 alineatul (1) din regulamentul menționat are următorul cuprins:

„Fiecare stat membru se asigură că una sau mai multe autorități publice independente sunt responsabile de monitorizarea aplicării prezentului regulament, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii («autoritatea de supraveghere»).”

10

Articolul 57 din RGPD, intitulat „Sarcini”, prevede la alineatul (1):

„Fără a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, fiecare autoritate de supraveghere, pe teritoriul său:

[…]

[…]”

11

Articolul 58 din acest regulament, intitulat „Competențe”, prevede la alineatele (1) și (2):

„(1)   Fiecare autoritate de supraveghere are toate următoarele competențe de investigare:

[…]

(2)   Fiecare autoritate de supraveghere are toate următoarele competențe corective:

[…]

[…]”

12

Articolul 77 din regulamentul menționat are următorul cuprins:

„(1)   Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament.

(2)   Autoritatea de supraveghere la care s‑a depus plângerea informează reclamantul cu privire la evoluția și rezultatul plângerii, inclusiv posibilitatea de a exercita o cale de atac judiciară în temeiul articolului 78.”

13

Articolul 83 alineatele (1) și (2) din același regulament prevede:

„(1)   Fiecare autoritate de supraveghere asigură faptul că impunerea unor amenzi administrative în conformitate cu prezentul articol pentru încălcările prezentului regulament menționate la alineatele (4), (5) și (6) este, în fiecare caz, eficace, proporțională și disuasivă.

(2)   În funcție de circumstanțele fiecărui caz în parte, amenzile administrative sunt impuse în completarea sau în locul măsurilor menționate la articolul 58 alineatul (2) literele (a)-(h) și (j). Atunci când se ia decizia dacă să se impună o amendă administrativă și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte:

14

Casa de Economii este un organism local de drept public care efectuează printre altele operațiuni bancare și de creditare. La 15 noiembrie 2019, ea a notificat HBDI, în conformitate cu articolul 33 din RGPD, o încălcare a securității datelor cu caracter personal, constând în faptul că una dintre angajatele sale consultase în mai multe rânduri, fără autorizație, date cu caracter personal ale lui TR, unul dintre clienții săi. Casa de Economii nu l‑a informat pe TR cu privire la încălcarea securității datelor sale cu caracter personal.

15

După ce a luat cunoștință în mod incident de faptul că datele sale cu caracter personal fuseseră consultate în mod nejustificat, TR a introdus, la 27 iulie 2020, o plângere la HBDI în temeiul articolului 77 din RGPD. În această plângere, el denunța faptul că nu fusese informat cu privire la încălcarea securității datelor sale cu caracter personal, cu încălcarea articolului 34 din acest regulament. El critica de asemenea durata de păstrare a registrelor de acces ale Casei de Economii, stabilită la numai trei luni, precum și faptul că membrii personalului său dispuneau de drepturi de acces extinse.

16

În urma plângerii formulate de TR, HBDI a primit de la Casa de Economii observații, în scris și oral, cu privire la criticile formulate împotriva sa. În cursul ședinței de audiere a observațiilor sale, Casa de Economii a arătat că nu efectuase informarea prevăzută la articolul 34 din RGPD întrucât responsabilul său cu protecția datelor considerase că nu exista un risc ridicat pentru drepturile și libertățile lui TR. Astfel, fuseseră luate măsuri disciplinare împotriva angajatei vizate, iar aceasta confirmase în scris că nici nu copiase, nici nu stocase datele cu caracter personal, că nu le transmisese unor terți și că nu le va transmite nici în viitor. Pe de altă parte, întrucât HBDI criticase durata prea scurtă de păstrare a registrelor de acces, Casa de Economii l‑a informat că această problemă urma să facă obiectul unei reexaminări.

17

Printr‑o decizie din 3 septembrie 2020, HBDI l‑a informat pe TR că Casa de Economii nu încălcase articolul 34 din RGPD, întrucât aprecierea Casei de Economii potrivit căreia încălcarea securității datelor cu caracter personal săvârșită nu era susceptibilă să genereze un risc ridicat pentru drepturile și libertățile sale, în sensul acestui articol, nu era vădit eronată. Astfel, chiar dacă datele fuseseră consultate de angajată, nimic nu indica faptul că aceasta le transmisese unor terți sau că le utilizase în detrimentul lui TR. În plus, HBDI a indicat că invitase Casa de Economii să își păstreze pe viitor registrul de acces pentru o perioadă mai lungă de trei luni. În sfârșit, în ceea ce privește problema accesului angajaților Casei de Economii la datele cu caracter personal, HBDI a respins plângerea formulată de TR, subliniind că, în principiu, pot fi acordate drepturi de acces extinse atunci când există certitudinea că fiecare utilizator este informat cu privire la condițiile în care poate avea acces la date. Astfel, potrivit HBDI, nu ar fi necesar un control de principiu al fiecărui acces.

18

TR a introdus o acțiune împotriva acestei decizii la Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden, Germania), instanța de trimitere, solicitându‑i obligarea HBDI să ia măsuri împotriva Casei de Economii.

19

În susținerea acțiunii formulate, TR arată că HBDI nu i‑a tratat plângerea în conformitate cu cerințele RGPD, și anume ținând seama de toate împrejurările de fapt, și adaugă că HBDI ar fi trebuit să aplice o amendă Casei de Economii având în vedere diferitele încălcări săvârșite de aceasta ale dispozițiilor regulamentului menționat, în special ale articolului 5, ale articolului 12 alineatul (3), ale articolului 15 alineatul (1) litera (c), ale articolului 33 alineatul (1) și ale articolului 33 alineatul (3) din acesta. În opinia TR, în cazul unei încălcări dovedite a regulamentului menționat, precum în speță, principiul oportunității nu ar fi aplicabil, motiv pentru care HBDI nu ar avea posibilitatea să decidă dacă să ia sau nu măsuri, ci cel mult să aleagă măsurile pe care trebuie să le ia.

20

În această privință, instanța de trimitere ridică în esență problema dacă, în cazul unei încălcări dovedite a dispozițiilor referitoare la protecția datelor cu caracter personal, RGPD trebuie interpretat în sensul că autoritatea de supraveghere este obligată să exercite competențe corective în temeiul articolului 58 alineatul (2) din acest regulament, aplicând, de exemplu, o amendă administrativă, sau în sensul că această autoritate dispune de o putere de apreciere care o autorizează, în funcție de împrejurări, să se abțină de la exercitarea unor astfel de competențe.

21

Instanța de trimitere arată că prima interpretare, care este cea preconizată de TR, precum și de o parte a doctrinei, se întemeiază pe faptul că puterile de care dispune o autoritate de supraveghere de a exercita competențe corective urmăresc restabilirea unor situații legitime atunci când cetățenii constată că li se aduce atingere drepturilor lor printr‑o prelucrare de date. Astfel, articolul 58 alineatul (2) din RGPD ar trebui înțeles ca un izvor de obligații, care ar da naștere unui drept al cetățeanului ca autoritățile să ia măsuri atunci când o întreprindere sau o autoritate a prelucrat în mod nelegal date cu caracter personal ale cetățeanului sau a adus atingere unor drepturi în alt mod. În cazul unei încălcări dovedite a protecției datelor, autoritatea de supraveghere ar fi deci obligată să exercite competențe corective, singura putere discreționară de care ar dispune fiind numai aceea de a alege măsurile pe care să le adopte dintre cele prevăzute.

22

Instanța de trimitere are însă îndoieli cu privire la temeinicia acestei interpretări, pe care o consideră prea extensivă, și înclină mai degrabă să recunoască autorității de supraveghere o marjă de apreciere care o autorizează, în anumite cazuri, să se abțină de la exercitarea competențelor corective, în particular prin aplicarea de sancțiuni, în cazul unei încălcări dovedite. Chiar dacă autoritatea de supraveghere ar avea, în temeiul articolului 57 alineatul (1) litera (f) din RGPD, obligația de a efectua o examinare atentă pe fond a plângerilor și de a examina fiecare caz în parte, ea nu ar fi totuși obligată să exercite o competență corectivă în orice situație. Astfel, ea nu ar fi supusă unei asemenea obligații atunci când în trecut au fost încălcate norme privind protecția datelor cu caracter personal însă operatorul a luat măsuri care permit să se presupună că o încălcare a protecției datelor nu s‑ar repeta.

23

În aceste condiții, Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarea întrebare preliminară:

„Articolul 57 alineatul (1) literele (a) și (f) și articolul 58 alineatul (2) literele (a)-(j) coroborate cu articolul 77 alineatul (1) din [RGPD] trebuie interpretate în sensul că, în cazul în care autoritatea de supraveghere constată că există o prelucrare a datelor care aduce atingere drepturilor persoanei vizate, autoritatea de supraveghere este obligată întotdeauna să adopte măsuri în temeiul articolului 58 alineatul (2) [din acest regulament]?”

24

Fără a contesta în mod expres admisibilitatea cererii de decizie preliminară, TR arată că un răspuns la întrebarea adresată nu este necesar pentru soluționarea litigiului principal. Acțiunea sa ar urmări numai ca instanța de trimitere să oblige HBDI să se pronunțe cu privire la motivele invocate în plângere, în conformitate cu articolul 57 alineatul (1) litera (f) din RGPD, iar nu să îl oblige să facă uz de puterile care îi sunt conferite prin articolul 58 alineatul (2) din acest regulament.

25

În această privință, trebuie amintit că, în cadrul cooperării dintre Curte și instanțele naționale instituită prin articolul 267 TFUE, numai instanța națională, care este sesizată cu soluționarea litigiului și care trebuie să își asume răspunderea pentru decizia ce urmează a fi pronunțată, are competența să aprecieze, luând în considerare particularitățile cauzei, atât necesitatea unei decizii preliminare pentru a fi în măsură să pronunțe propria hotărâre, cât și pertinența întrebărilor pe care le adresează Curții. În consecință, în cazul în care întrebările adresate privesc interpretarea dreptului Uniunii, Curtea este, în principiu, obligată să se pronunțe (Hotărârea din 30 noiembrie 2023, Ministero dell’Istruzione și INPS, C‑270/22, EU:C:2023:933, punctul 33, precum și jurisprudența citată).

26

Prin urmare, întrebările referitoare la interpretarea dreptului Uniunii adresate de instanța națională în cadrul normativ și factual pe care îl definește sub răspunderea sa și a cărui exactitate Curtea nu are competența să o verifice beneficiază de o prezumție de pertinență. Curtea poate refuza să se pronunțe asupra unei cereri formulate de o instanță națională numai dacă este evident că interpretarea solicitată a dreptului Uniunii nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când problema este de natură ipotetică ori atunci când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util la întrebările care i‑au fost adresate (Hotărârea din 30 noiembrie 2023, Ministero dell’Istruzione și INPS, C‑270/22, EU:C:2023:933, punctul 34, precum și jurisprudența citată).

27

În speță, instanța de trimitere subliniază că TR a invocat un drept ca HBDI să adopte măsuri și a afirmat că acesta era obligat să aplice o amendă Casei de Economii.

28

În aceste condiții, nu rezultă în mod evident că interpretarea solicitată a dreptului Uniunii nu are nicio legătură cu realitatea sau cu obiectul litigiului principal.

29

În consecință, cererea de decizie preliminară este admisibilă.

30

Pentru a răspunde la întrebarea adresată, trebuie amintit, cu titlu introductiv, că interpretarea unei dispoziții de drept al Uniunii impune să se țină seama nu numai de termenii săi, ci și de contextul în care se înscrie, precum și de obiectivele și de finalitatea urmărite de actul din care aceasta face parte [a se vedea Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie), C‑26/22 și C‑64/22, EU:C:2023:958, punctul 48, precum și jurisprudența citată].

31

Trebuie amintit de asemenea că, în conformitate cu articolul 8 alineatul (3) din Carta drepturilor fundamentale a Uniunii Europene, precum și cu articolul 51 alineatul (1) și cu articolul 57 alineatul (1) litera (a) din RGPD, autoritățile naționale de supraveghere sunt responsabile să supravegheze respectarea normelor Uniunii referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal [a se vedea Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie), C‑26/22 și C‑64/22, EU:C:2023:958, punctul 55, precum și jurisprudența citată].

32

În special, în temeiul articolului 57 alineatul (1) litera (f) din RGPD, fiecare autoritate de supraveghere este obligată, pe teritoriul său, să trateze plângerile pe care orice persoană, conform articolului 77 alineatul (1) din acest regulament, are dreptul de a le depune în cazul în care consideră că o prelucrare a datelor cu caracter personal care o vizează încalcă regulamentul menționat și să investigheze într‑o măsură adecvată obiectul plângerii și să informeze reclamantul cu privire la evoluția și rezultatul investigației, într‑un termen rezonabil. Autoritatea de supraveghere trebuie să soluționeze o astfel de plângere cu toată diligența necesară [a se vedea Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie), C‑26/22 și C‑64/22, EU:C:2023:958, punctul 56, precum și jurisprudența citată].

33

În vederea soluționării plângerilor astfel depuse, articolul 58 alineatul (1) din RGPD învestește fiecare autoritate de supraveghere cu competențe importante de investigare. Atunci când o asemenea autoritate constată, la finalul investigației sale, o încălcare a dispozițiilor acestui regulament, ea este obligată să reacționeze în mod adecvat pentru a remedia deficiența constatată, orice măsură trebuind, așa cum se precizează în considerentul (129) al regulamentului menționat, în special să fie adecvată, necesară și proporțională în scopul de a asigura conformitatea cu dispozițiile regulamentului menționat, luând în considerare circumstanțele fiecărui caz în parte. În acest scop, articolul 58 alineatul (2) din același regulament enumeră diferitele competențe corective pe care le poate exercita autoritatea de supraveghere [a se vedea în acest sens Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie), C‑26/22 și C‑64/22, EU:C:2023:958, punctul 57, precum și jurisprudența citată].

34

Astfel, în temeiul articolului 58 alineatul (2) din RGPD, autoritatea de supraveghere are competența, printre altele, de a emite avertismente adresate unui operator sau unei persoane împuternicite de operator în cazul în care operațiunile de prelucrare au încălcat dispozițiile acestui regulament [litera (b)], de a da dispoziții operatorului sau persoanei împuternicite de operator să respecte cererile persoanei vizate de a‑și exercita drepturile în temeiul regulamentului menționat [litera (c)], de a da dispoziții operatorului sau persoanei împuternicite de operator să asigure conformitatea operațiunilor de prelucrare cu dispozițiile aceluiași regulament, specificând, după caz, modalitatea și termenul‑limită pentru aceasta [litera (d)] sau de a impune amenzi administrative în conformitate cu articolul 83 din RGPD, în completarea sau în locul măsurilor menționate la acest articol 58 alineatul (2), în funcție de circumstanțele fiecărui caz în parte [punctul (i)].

35

Prin urmare, procedura plângerii este concepută ca un mecanism apt să protejeze în mod eficient drepturile și interesele persoanelor vizate [a se vedea Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie), C‑26/22 și C‑64/22, EU:C:2023:958, punctul 58].

36

În speță, din cererea de decizie preliminară reiese că HBDI a examinat pe fond plângerea cu care o sesizase reclamantul din litigiul principal și l‑a informat pe acesta cu privire la rezultatul investigației. Mai precis, HBDI a confirmat că se produsese o încălcare a securității datelor cu caracter personal ale acestuia din urmă în cadrul Casei de Economii, constând în accesul neautorizat la acestea al uneia dintre angajatele sale. Cu toate acestea, în ceea ce privește dreptul la consultare al membrilor personalului Casei de Economii, HBDI a respins plângerea formulată de reclamantul din litigiul principal. În plus, a concluzionat că nu era necesar să ia măsuri împotriva Casei de Economii în temeiul articolului 58 alineatul (2) din RGPD.

37

În această privință, trebuie arătat că RGPD lasă autorității de supraveghere o marjă de apreciere în ceea ce privește modul în care trebuie să remedieze deficiența constatată, întrucât articolul 58 alineatul (2) din acesta conferă autorității respective puterea de a exercita diverse competențe corective. Astfel, Curtea a statuat deja că alegerea mijlocului adecvat și necesar aparține autorității de supraveghere, care trebuie să facă această alegere luând în considerare toate împrejurările cazului concret și îndeplinindu‑și cu toată diligența necesară sarcina care constă în a asigura respectarea deplină a RGPD (a se vedea în acest sens Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems, C‑311/18, EU:C:2020:559, punctul 112).

38

Această marjă de apreciere este însă limitată de necesitatea de a asigura un nivel consecvent și ridicat de protecție a datelor cu caracter personal printr‑o aplicare riguroasă a normelor, astfel cum reiese din considerentele (7) și (10) ale RGPD.

39

În ceea ce privește, mai precis, amenzile administrative prevăzute la articolul 58 alineatul (2) litera (i) din RGPD, din articolul 83 alineatul (2) din acest regulament reiese că ele sunt impuse, în funcție de circumstanțele fiecărui caz în parte, în completarea sau în locul celorlalte măsuri menționate la acest articol 58 alineatul (2). În plus, acest articol 83 alineatul (2) precizează că, atunci când se ia decizia dacă să se impună o amendă administrativă și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, autoritatea de supraveghere acordă atenția cuvenită aspectelor prevăzute la literele (a)-(k) ale acestei dispoziții, cum ar fi natura, gravitatea și durata încălcării.

40

Astfel, sistemul de sancțiuni prevăzut de legiuitorul Uniunii permite autorităților de supraveghere să impună sancțiunile cele mai adecvate și justificate în funcție de circumstanțele fiecărui caz în parte (a se vedea în acest sens Hotărârea din 5 decembrie 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punctele 75 și 78), luând în considerare, astfel cum s‑a amintit la punctele 37 și 38 din prezenta hotărâre, necesitatea de a asigura respectarea deplină a RGPD, precum și de a garanta un nivel consecvent și ridicat de protecție a datelor cu caracter personal printr‑o aplicare riguroasă a normelor.

41

În consecință, nu se poate deduce nici din articolul 58 alineatul (2) din RGPD, nici din articolul 83 din acesta existența unei obligații în sarcina autorității de supraveghere de a exercita, în toate cazurile, atunci când constată o încălcare a securității datelor cu caracter personal, o competență corectivă, mai concret, de a aplica o amendă administrativă, obligația sa fiind, în atare împrejurări, de a reacționa în mod adecvat pentru a remedia deficiența constatată. În aceste condiții, astfel cum a arătat avocatul general la punctul 81 din concluzii, reclamantul ale cărui drepturi au fost încălcate nu dispune de un drept subiectiv ca autoritatea de supraveghere să îi impună operatorului o amendă administrativă.

42

În schimb, autoritatea de supraveghere este obligată să intervină atunci când exercitarea uneia sau a mai multe dintre competențele corective prevăzute la articolul 58 alineatul (2) din RGPD este, ținând seama de toate împrejurările cazului concret, adecvată, necesară și proporțională pentru a remedia deficiența constatată și pentru a asigura respectarea deplină a acestui regulament.

43

În această privință, nu este exclus ca, cu titlu excepțional și ținând seama de împrejurările speciale ale cazului concret, autoritatea de supraveghere să se poată abține de la exercitarea unei competențe corective, deși a fost constatată o încălcare a securității datelor cu caracter personal. Aceasta ar putea fi situația în special atunci când încălcarea constatată nu a persistat, de exemplu atunci când operatorul, care în principiu a pus în aplicare măsuri tehnice și organizatorice adecvate în sensul articolului 24 din RGPD, a luat, de îndată ce a cunoscut această încălcare, măsurile adecvate și necesare pentru ca încălcarea menționată să înceteze și să nu se reproducă, ținând seama de obligațiile care îi revin printre altele în temeiul articolului 5 alineatul (2) și al articolului 24 din acest regulament.

44

Interpretarea potrivit căreia autoritatea de supraveghere, atunci când constată o încălcare a securității datelor cu caracter personal, nu este obligată să exercite în toate cazurile o competență corectivă în temeiul articolului 58 alineatul (2) din RGPD este confirmată de obiectivele urmărite de acest articol 58 alineatul (2), precum și, respectiv, de articolul 83 din acest regulament.

45

În ceea ce privește obiectivul urmărit de articolul 58 alineatul (2) din RGPD, reiese din considerentul (129) al acestuia că dispoziția menționată urmărește să asigure conformitatea prelucrării datelor cu caracter personal cu acest regulament și restabilirea situațiilor în care acesta din urmă este încălcat pentru a le face să respecte dreptul Uniunii prin intervenția autorităților de supraveghere naționale (Hotărârea din 14 martie 2024, Újpesti Polgármesteri Hivatal, C‑46/23, EU:C:2024:239, punctul 40).

46

Rezultă că exercitarea unei competențe corective poate, cu titlu excepțional și ținând seama de împrejurările speciale ale cazului concret, să nu se impună, cu condiția ca situația de încălcare a RGPD să fi fost deja rectificată, conformitatea prelucrării datelor cu caracter personal cu acest regulament de către operatorul lor să fie asigurată și o astfel de abținere a autorității de supraveghere să nu fie de natură să aducă atingere cerinței unei aplicări riguroase a normelor, astfel cum a fost amintită la punctul 38 din prezenta hotărâre.

47

În ceea ce privește obiectivul urmărit de articolul 83 din RGPD, referitor la impunerea de amenzi administrative, acesta constă, potrivit considerentului (148) al regulamentului menționat, în consolidarea aplicării normelor prevăzute de acesta din urmă. Totuși, același considerent enunță că, în cazul unei încălcări minore a regulamentului menționat sau în cazul în care amenda administrativă susceptibilă de a fi impusă ar constitui o sarcină disproporționată pentru o persoană fizică, autoritățile de supraveghere pot să se abțină de la aplicarea unei amenzi administrative și, în locul acesteia, să emită un avertisment (a se vedea în acest sens Hotărârea din 5 decembrie 2023, Nacionalinis vizuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punctul 76).

48

În speță, din cererea de decizie preliminară reiese că Casa de Economii a notificat HBDI, în conformitate cu articolul 33 din RGPD, încălcarea securității datelor cu caracter personal ale reclamantului din litigiul principal, care rezulta din accesul neautorizat la acestea al uneia dintre angajatele sale. În plus, ea a arătat că fuseseră luate măsuri disciplinare împotriva angajatei respective și că durata de păstrare a registrului de acces urma să facă obiectul unei reexaminări. În aceste condiții, HBDI s‑a abținut să exercite o competență corectivă în temeiul articolului 58 alineatul (2) din RGPD, în particular să aplice o amendă administrativă.

49

Întrucât deciziile privind o plângere adoptate de o autoritate de supraveghere sunt supuse unui control jurisdicțional complet [Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie), C‑26/22 și C‑64/22, EU:C:2023:958, punctul 70], revine instanței de trimitere sarcina de a verifica dacă HBDI a procedat la soluționarea plângerii vizate cu toată diligența necesară și dacă, prin adoptarea deciziei în discuție în litigiul principal, HBDI a respectat limitele marjei de apreciere pe care i‑o conferă articolul 58 alineatul (2) din RGPD [a se vedea prin analogie Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie), C‑26/22 și C‑64/22, EU:C:2023:958, punctele 68 și 69, precum și jurisprudența citată].

50

Ținând seama de ansamblul considerațiilor care precedă, este necesar să se răspundă la întrebarea adresată că articolul 57 alineatul (1) literele (a) și (f), articolul 58 alineatul (2) și articolul 77 alineatul (1) din RGPD trebuie interpretate în sensul că, în cazul constatării unei încălcări a securității datelor cu caracter personal, autoritatea de supraveghere nu este obligată să exercite o competență corectivă, în particular să aplice o amendă administrativă, în temeiul acestui articol 58 alineatul (2), atunci când o asemenea intervenție nu este adecvată, necesară sau proporțională pentru a remedia deficiența constatată și pentru a asigura respectarea deplină a acestui regulament.

51

Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Camera întâi) declară:

Articolul 57 alineatul (1) literele (a) și (f), articolul 58 alineatul (2) și articolul 77 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

trebuie interpretate în sensul că,

în cazul constatării unei încălcări a securității datelor cu caracter personal, autoritatea de supraveghere nu este obligată să exercite o competență corectivă, în particular să aplice o amendă administrativă, în temeiul acestui articol 58 alineatul (2), atunci când o asemenea intervenție nu este adecvată, necesară sau proporțională pentru a remedia deficiența constatată și pentru a asigura respectarea deplină a acestui regulament.