1.

Prezenta cerere de decizie preliminară privește interpretarea articolului 51 alineatul (1), a articolului 52 alineatul (1), a articolului 77 alineatul (1) și a articolului 79 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) ( 2 ).

2.

Această cerere a fost formulată în cadrul unui litigiu între BE, pe de o parte, și Nemzeti Adatvédelmi és Információszabadság Hatóság (Autoritatea Națională pentru Protecția Datelor și a Libertății de Informare, Ungaria, denumită în continuare „autoritatea de supraveghere”), pe de altă parte, în legătură cu respingerea cererii lui BE de a i se comunica extrase din înregistrarea sonoră a unei adunări generale a acționarilor la care participase.

3.

RGPD are vocația de a asigura aplicarea efectivă a normelor privind protecția datelor cu caracter personal, prevăzând un sistem de căi de atac care permite unei persoane vizate să formuleze o plângere la o autoritate de supraveghere, o cale de atac judiciară împotriva deciziei adoptate de această autoritate și o cale de atac judiciară împotriva unui operator sau a persoanei împuternicite de un operator, în cazul în care persoana respectivă consideră că drepturile de care beneficiază în temeiul acestui regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta regulamentul menționat.

4.

Fővárosi Törvényszék (Curtea din Budapesta‑Capitală, Ungaria) dorește să obțină din partea Curții precizări cu privire la corelația dintre aceste căi de atac și mai precis cu privire la mijloacele de a evita pronunțarea unor decizii contradictorii cu privire la existența unei încălcări a drepturilor protejate de RGPD în cadrul unui stat membru.

5.

Miza acestei întrebări este importantă, întrucât voința legiuitorului Uniunii de a asigura o protecție jurisdicțională efectivă a drepturilor conferite de RGPD, precum și de a garanta un nivel de protecție ridicat și consecvent a acestor drepturi nu pare compatibilă cu existența unor decizii contradictorii în cadrul unui stat membru, care este o sursă de insecuritate juridică.

6.

În prezentele concluzii, vom propune Curții să declare că articolul 78 alineatul (1) din RGPD coroborat cu articolul 47 din Carta drepturilor fundamentale a Uniunii Europene ( 3 ) trebuie interpretat în sensul că, în cazul exercitării de către o persoană vizată a căilor de atac prevăzute la articolul 77 alineatul (1) și la articolul 79 alineatul (1) din acest regulament, instanța care trebuie să se pronunțe cu privire la o cale de atac formulată împotriva deciziei unei autorități de supraveghere nu este ținută de decizia adoptată de o instanță sesizată în temeiul acestei din urmă dispoziții în ceea ce privește existența sau inexistența unei încălcări a drepturilor de care persoana respectivă beneficiază în temeiul regulamentului menționat.

7.

Vom prezenta, în această perspectivă, motivele pentru care articolul 77 alineatul (1) și articolul 79 alineatul (1) din RGPD trebuie interpretate, în opinia noastră, în sensul că respectivele căi de atac pe care le prevăd pot fi exercitate în paralel, fără ca una să beneficieze de prioritate în raport cu cealaltă în temeiul acestui regulament.

8.

Vom completa acest răspuns precizând că, în lipsa unei reglementări a Uniunii referitoare la corelarea căilor de atac prevăzute la articolele 77-79 din Regulamentul 2016/679, revine statelor membre, în temeiul principiului autonomiei procedurale și având în vedere atât obiectivul de a garanta un nivel ridicat și consecvent de protecție a drepturilor conferite de acest regulament, cât și dreptul la o cale de atac jurisdicțională efectivă, consacrat la articolul 47 din cartă, atribuția de a institui la nivel național mecanismele de corelare a acestor căi de atac necesare pentru a evita posibilitatea ca în cadrul unui stat membru să existe decizii contradictorii cu privire la aceeași prelucrare a unor date cu caracter personal.

9.

Articolul 51 alineatul (1) din RGPD prevede:

„Fiecare stat membru se asigură că una sau mai multe autorități publice independente sunt responsabile de monitorizarea aplicării prezentului regulament, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii («autoritatea de supraveghere»).”

10.

Potrivit articolului 52 alineatul (1) din RGPD:

„Fiecare autoritate de supraveghere beneficiază de independență deplină în îndeplinirea sarcinilor sale și exercitarea competențelor sale în conformitate cu prezentul regulament.”

11.

Articolul 58 alineatul (4) din RGPD prevede:

„Exercitarea competențelor conferite autorității de supraveghere în temeiul prezentului articol face obiectul unor garanții adecvate, inclusiv căi de atac judiciare eficiente și procese echitabile, prevăzute în dreptul Uniunii și în dreptul intern în conformitate cu carta.”

12.

Articolul 77 din RGPD, intitulat „Dreptul de a depune o plângere la o autoritate de supraveghere”, are următorul cuprins:

„(1)   Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament.

(2)   Autoritatea de supraveghere la care s‑a depus plângerea informează reclamantul cu privire la evoluția și rezultatul plângerii, inclusiv posibilitatea de a exercita o cale de atac judiciară în temeiul articolului 78.”

13.

Articolul 78 din RGPD este intitulat „Dreptul la o cale de atac judiciară [efectivă] împotriva unei autorități de supraveghere”. Potrivit alineatului (1) al acestui articol:

„Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară [efectivă] împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.”

14.

Articolul 79 din RGPD este intitulat „Dreptul la o cale de atac judiciară [efectivă] împotriva unui operator sau unei persoane împuternicite de operator”. Alineatul (1) al acestui articol are următorul cuprins:

„Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară [efectivă] în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.”

15.

Articolul 22 din információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Legea nr. CXII din 2011 privind autodeterminarea în materie de informare și libertatea informației, denumită în continuare „Legea informației”) ( 4 ) din 26 iulie 2011 prevede:

„În exercitarea drepturilor sale, persoana vizată poate, în conformitate cu dispozițiile capitolului VI:

16.

Articolul 23 din Legea informației prevede:

„1.   Persoana vizată poate introduce o acțiune în justiție împotriva operatorului sau a persoanei împuternicite de operator cu privire la operațiunile de prelucrare care intră în domeniul de activitate al acestuia din urmă, în cazul în care consideră că, la prelucrarea datelor sale cu caracter personal, operatorul sau, după caz, un reprezentant sau persoana împuternicită de operator, care acționează la ordinul său, a încălcat obligațiile în materie de prelucrare a datelor cu caracter personal prevăzute de lege sau în virtutea legii ori de un act obligatoriu al Uniunii […].

[…]

4.   Persoanele care, în mod normal, nu au calitate procesuală pot participa de asemenea la procedura judiciară. [Autoritatea de supraveghere] poate interveni în procedură în susținerea pretențiilor persoanei vizate.

5.   În cazul în care instanța admite acțiunea, aceasta constată existența unei încălcări și obligă operatorul sau, după caz, persoana împuternicită de operator:

și, dacă este cazul, se pronunță în același timp cu privire la cererile de despăgubire pentru prejudiciile materiale și morale.”

17.

După ce a participat la adunarea generală din 26 aprilie 2019 a societății pe acțiuni la care este acționar, BE a solicitat societății să îi comunice înregistrarea sonoră realizată în timpul respectivei adunări.

18.

Societatea pe acțiuni, în calitate de operator al acestor date, a pus la dispoziția lui BE doar extrasele din înregistrare care reproduceau intervențiile sale, excluzându‑le pe cele ale celorlalți participanți.

19.

BE, dorind să dispună de extrase care să reproducă răspunsurile participanților la întrebările sale adresate în cadrul adunării generale din 26 aprilie 2019, a sesizat autoritatea de supraveghere, solicitându‑i să constate comportamentul ilicit al societății pe acțiuni, precum și să o oblige pe aceasta la transmiterea acestor extrase. Autoritatea de supraveghere a respins această cerere prin decizia din 29 noiembrie 2019.

20.

În urma acestei respingeri, BE a introdus o acțiune împotriva respectivei decizii a autorității de supraveghere la instanța de trimitere, în temeiul articolului 78 alineatul (1) din RGPD, în vederea reformării, cu titlu principal, sau a anulării, cu titlu subsidiar, a deciziei menționate.

21.

În paralel cu sesizarea autorității de supraveghere, BE a sesizat o instanță civilă cu o acțiune împotriva operatorului, în temeiul articolului 79 alineatul (1) din RGPD.

22.

În timp ce acțiunea era pendinte la instanța de trimitere, Fövárosi Ítélötábla (Curtea Regională de Apel din Budapesta‑Capitală, Ungaria) a admis acțiunea lui BE introdusă în temeiul acestei dispoziții, constatând că operatorul încălcase dreptul de acces al lui BE la datele sale cu caracter personal prin faptul că nu i‑a pus la dispoziție, în pofida cererii sale, părțile din înregistrarea sonoră care conțineau răspunsurile la întrebările sale ( 5 ). Această hotărâre pronunțată de o instanță civilă de al doilea grad a rămas definitivă.

23.

În cadrul acțiunii formulate în fața instanței de trimitere, BE solicită să se țină seama de concluzia la care a ajuns această instanță civilă în hotărârea sa.

24.

Instanța de trimitere ridică problema dacă din dreptul Uniunii pot fi desprinse concluzii în ceea ce privește corelația dintre competențele, pe de o parte, ale autorității de supraveghere sesizate cu o plângere în temeiul articolului 77 alineatul (1) din RGPD și ale instanței administrative care este competentă, în temeiul articolului 78 alineatul (1) din acest regulament, să controleze legalitatea deciziilor adoptate de autoritatea respectivă, precum și, pe de altă parte, ale instanței civile care este competentă, în temeiul articolului 79 alineatul (1) din regulamentul menționat, să se pronunțe cu privire la o cale de atac formulată de o persoană care consideră că drepturile de care beneficiază în temeiul aceluiași regulament au fost încălcate.

25.

Astfel, instanța de trimitere arată că exercitarea în paralel a căilor de atac prevăzute de aceste dispoziții poate conduce la adoptarea unor decizii contrare privind fapte identice.

26.

Potrivit acestei instanțe, o asemenea situație ar putea genera un risc de insecuritate juridică. Instanța de trimitere observă în această privință că, potrivit normelor de procedură naționale, decizia autorității de supraveghere nu este obligatorie pentru instanța civilă. Prin urmare, nu este exclus ca aceasta din urmă să poată pronunța, cu privire la fapte identice, o decizie contrară celei a autorității de supraveghere.

27.

Instanța de trimitere arată că, în speță, în conformitate cu normele de procedură naționale, nu erau îndeplinite condițiile unei intervenții a autorității de supraveghere în fața instanței civile. Pe de altă parte, potrivit acestor norme, hotărârea unei instanțe civile nu este obligatorie pentru o instanță administrativă în cadrul controlului legalității deciziei autorității de supraveghere pe care aceasta trebuie să îl efectueze, conform articolului 78 alineatul (1) din RGPD.

28.

În măsura în care autoritatea de supraveghere și instanța civilă care s‑a pronunțat definitiv au adoptat poziții contrare cu privire la existența unei încălcări a normelor privind protecția datelor cu caracter personal, instanța de trimitere urmărește să se stabilească dacă elemente rezultate din dreptul Uniunii permit corelarea căilor de atac care sunt exercitate în paralel. Aceasta menționează, cu titlu de comparație, normele existente în domeniul dreptului concurenței ( 6 ).

29.

Această instanță arată de asemenea că, spre deosebire de împrejurările care au condus la pronunțarea Hotărârii din 27 septembrie 2017, Puškár ( 7 ), legislația maghiară nu impune epuizarea posibilităților de atac administrative drept condiție prealabilă pentru sesizarea unei instanțe.

30.

Însă dreptul la o cale de atac efectivă, precum și obiectivul de a garanta un nivel ridicat de protecție a drepturilor conferite de RGPD ar presupune asigurarea coerenței în aplicarea acestui regulament. Pentru a ajunge la acest rezultat, ar fi necesar să se determine care dintre căile de atac care pot fi exercitate în paralel ar trebui să fie prioritară.

31.

În această privință, instanța de trimitere arată că împărtășește opinia autorității de supraveghere potrivit căreia abilitarea prevăzută la articolul 51 alineatul (1) din RGPD, precum și atribuțiile și competențele prevăzute la articolul 57 alineatul (1) literele (a) și (f) și, respectiv, la articolul 58 alineatul (2) literele (b) și (c) din acest regulament conferă autorității menționate o competență prioritară de a examina și de a controla respectarea obligațiilor instituite prin regulamentul în discuție. Prin urmare, aceasta propune Curții să rețină o interpretare potrivit căreia, atunci când o procedură este în curs sau s‑a încheiat în fața autorității de supraveghere pentru aceeași încălcare, decizia autorității respective – ca și decizia instanței administrative care a controlat legalitatea acestei decizii – este cea care trebuie să soluționeze în mod prioritar problema existenței încălcării normelor prevăzute de RGPD. În consecință, constatările instanțelor civile, care acționează în temeiul articolului 79 din RGPD, nu ar fi obligatorii în procedurile desfășurate în temeiul articolelor 77 și 78 din acest regulament.

32.

Dacă, dimpotrivă, prioritatea competenței autorității de supraveghere de a constata o încălcare a drepturilor conferite de RGPD nu ar fi recunoscută, instanța de trimitere apreciază că, având în vedere principiul securității juridice, ar trebui să se considere ca fiind ținută de concluziile hotărârii definitive a instanței civile, fără a aprecia ea însăși legalitatea constatărilor efectuate de autoritatea de supraveghere în decizia sa în ceea ce privește existența unei asemenea încălcări. Instanța de trimitere consideră că aceasta ar însemna golirea de conținut a competenței prevăzute la articolul 78 din regulamentul menționat.

33.

Având în vedere aceste elemente, Fővárosi Törvényszék (Curtea din Budapesta‑Capitală) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

34.

BE, autoritatea de supraveghere, guvernele maghiar, ceh, italian și polonez, precum și Comisia Europeană au depus observații scrise. La 11 mai 2022 a avut loc o ședință cu participarea autorității de supraveghere, a guvernelor maghiar și polonez, precum și a Comisiei.

35.

Cu titlu introductiv, trebuie amintit că, potrivit unei jurisprudențe constante, este de competența Curții, în cadrul procedurii de cooperare cu instanțele naționale instituite prin articolul 267 TFUE, să ofere instanței de trimitere un răspuns util, care să îi permită să soluționeze litigiul cu care este sesizată și, din această perspectivă, Curtea trebuie, dacă este cazul, să reformuleze întrebările care îi sunt adresate ( 8 ).

36.

În plus, trebuie amintit că, în temeiul unei jurisprudențe constante a Curții, faptul că instanța de trimitere a formulat o întrebare făcând referire numai la anumite dispoziții ale dreptului Uniunii nu împiedică Curtea să îi furnizeze toate elementele de interpretare care pot fi utile pentru soluționarea cauzei cu care este sesizată, indiferent dacă această instanță s‑a referit sau nu la acestea în enunțul întrebărilor sale. În această privință, revine Curții sarcina de a extrage din ansamblul elementelor furnizate de instanța națională și mai ales din motivarea deciziei de trimitere elementele din dreptul Uniunii care necesită o interpretare, având în vedere obiectul litigiului ( 9 ).

37.

Subliniem că instanța de trimitere este sesizată în prezent cu o acțiune împotriva unei decizii a autorității de supraveghere prin care a fost respinsă plângerea formulată de BE, ceea ce corespunde căii de atac prevăzute la articolul 78 alineatul (1) din RGPD.

38.

Pentru a se putea pronunța cu privire la această cale de atac, instanța de trimitere dorește să obțină din partea Curții precizări cu privire la corelația dintre, pe de o parte, plângerea adresată unei autorități de supraveghere în temeiul articolului 77 alineatul (1) din acest regulament și, pe de altă parte, căile de atac prevăzute la articolul 78 alineatul (1) și la articolul 79 alineatul (1) din regulamentul menționat.

39.

Concret, în stadiul în care se află procedurile naționale, instanța de trimitere dorește să cunoască marja de manevră de care dispune în cadrul controlului legalității deciziei autorității de supraveghere pe care trebuie să îl efectueze în temeiul articolului 78 alineatul (1) din RGPD, având în vedere faptul că o instanță civilă sesizată în temeiul articolului 79 alineatul (1) din acest regulament a statuat într‑un sens contrar celui în care s‑a pronunțat autoritatea respectivă după ce fusese sesizată cu o plângere în temeiul articolului 77 alineatul (1) din același regulament.

40.

În aceste condiții, în opinia noastră, trebuie să se considere că, prin intermediul întrebărilor formulate, instanța de trimitere solicită în esență Curții să stabilească dacă articolul 78 alineatul (1) din RGPD trebuie interpretat în sensul că, în cazul exercitării de către o persoană vizată a căilor de atac prevăzute la articolul 77 alineatul (1) și la articolul 79 alineatul (1) din acest regulament, instanța care trebuie să se pronunțe cu privire la o cale de atac formulată împotriva deciziei unei autorități de supraveghere este ținută de poziția adoptată de o instanță sesizată în temeiul acestei din urmă dispoziții în ceea ce privește existența unei încălcări a drepturilor de care persoana respectivă beneficiază în temeiul regulamentului menționat.

41.

Din decizia de trimitere reiese că, din punctul de vedere al instanței de trimitere, răspunsul la această întrebare presupune să se stabilească dacă, în cadrul controlului legalității deciziei autorității de supraveghere pe care trebuie să îl efectueze, această instanță trebuie să țină seama, în cazul în care căile de atac prevăzute la articolul 77 alineatul (1) și la articolul 79 alineatul (1) din RGPD au fost exercitate în paralel, de eventuala prioritate pe care ar avea‑o prima cale de atac în raport cu cea de a doua în ceea ce privește constatarea unei încălcări a drepturilor protejate prin acest regulament.

42.

Pentru a răspunde la întrebările instanței de trimitere, trebuie amintit că, potrivit unei jurisprudențe constante, pentru interpretarea unei dispoziții de drept al Uniunii trebuie să se țină seama de modul său de redactare, precum și de economia și de obiectivele reglementării din care face parte această dispoziție ( 10 ).

43.

În ceea ce privește modul de redactare a articolelor 77-79 din RGPD, observăm că din alineatul (1) al acestora rezultă, pe de o parte, că dreptul de a depune o plângere nu „aduce atingere oricăror alte căi de atac administrative sau judiciare” și, pe de altă parte, că dreptul de a formula o cale de atac împotriva deciziei unei autorități de supraveghere sau împotriva unui operator nu „aduce atingere oricăror alte căi de atac administrative sau nejudiciare”.

44.

Rezultă, așadar, din modul de redactare a acestor dispoziții că respectivele căi de atac pe care le prevăd pot fi exercitate în paralel. Pe de altă parte, legiuitorul Uniunii nu a stabilit în dispozițiile menționate nicio normă de corelare între aceste căi de atac. Prin urmare, în opinia noastră, nu se poate deduce din RGPD existența unei priorități a unei căi de atac în raport cu celelalte în vederea constatării unei încălcări a drepturilor protejate prin acest regulament.

45.

În special, deși este adevărat că, așa cum rezultă mai specific din articolul 51 alineatul (1) din RGPD, autoritățile de supraveghere sunt responsabile de monitorizarea aplicării acestuia din urmă, printre altele pentru a proteja drepturile fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, nicio dispoziție din acest regulament nu indică faptul că autoritățile respective ar avea o competență prioritară pentru a constata încălcarea acestor drepturi în raport cu o instanță.

46.

Legiuitorul Uniunii a dorit, așadar, să pună la dispoziția persoanelor vizate un sistem complet de căi de atac, în care dreptul la o cale de atac judiciară și posibilitatea de a exercita o cale de atac administrativă sau extrajudiciară coexistă în mod autonom, fără ca una să fie subsidiară în raport cu cealaltă. Astfel, aceste persoane pot solicita protecție juridică prin depunerea, de exemplu, a unei plângeri la o autoritate de supraveghere, iar ulterior prin contestarea, dacă este cazul, a deciziei adoptate de această autoritate în fața unei instanțe și/sau prin exercitarea directă a unei căi de atac judiciare împotriva unui operator sau împotriva persoanei împuternicite de operator. Deși autoritatea de supraveghere și instanța sau instanțele sesizate pot ajunge la aprecieri juridice diferite în ceea ce privește existența unei încălcări a normelor prevăzute de RGPD, trebuie să se constate că legiuitorul Uniunii nu a instituit mecanisme de natură să înlăture acest risc, întrucât nu a definit modalitățile de corelare a căilor de atac prevăzute la articolele 77-79 din acest regulament.

47.

În această privință, din economia regulamentului menționat reiese că, deși legiuitorul Uniunii a dorit să prevadă norme referitoare la corelarea, pe de o parte, a plângerilor depuse la autorități de supraveghere situate în state membre diferite și, pe de altă parte, a căilor de atac introduse la instanțe situate în state membre diferite, legiuitorul respectiv nu a dorit să prevadă astfel de norme în ceea ce privește punerea în aplicare a căilor de atac în cadrul aceluiași stat membru.

48.

Arătăm în această privință că RGPD stabilește, în capitolul VII, intitulat „Cooperare și coerență”, mecanisme de asistență reciprocă între autoritățile de supraveghere din diferite state membre, care urmăresc să asigure coerența deciziilor adoptate de aceste autorități. În plus, articolul 81 din acest regulament, intitulat „Suspendarea procedurilor”, prevede la alineatul (2) că, „[a]tunci când pe rolul unei instanțe dintr‑un alt stat membru se află o acțiune având același obiect în ceea ce privește activitățile de prelucrare ale aceluiași operator sau ale aceleași persoane împuternicite de operator, orice altă instanță competentă decât instanța sesizată inițial poate suspenda acțiunea aflată la ea pe rol”. Mai mult, în temeiul articolului 81 alineatul (3) din regulamentul menționat, „[î]n cazul în care o astfel de acțiune se judecă în primă instanță, orice instanță sesizată ulterior poate, de asemenea, la cererea uneia dintre părți, să își decline competența, cu condiția ca respectiva acțiune să fie de competența primei instanțe sesizate și ca dreptul aplicabil acesteia să permită conexarea acțiunilor”.

49.

Observăm că o asemenea posibilitate de suspendare sau de declinare a competenței nu este prevăzută atunci când o plângere adresată unei autorități de supraveghere și căi de atac judiciare sunt introduse în cadrul aceluiași stat membru cu privire la aceeași prelucrare a unor date cu caracter personal.

50.

Din aceste elemente rezultă că, în cadrul controlului legalității deciziei adoptate de o autoritate de supraveghere pe care trebuie să îl efectueze în temeiul articolului 78 alineatul (1) din RGPD, o instanță națională nu este obligată, în temeiul acestui regulament, să recunoască nici o competență prioritară a autorității respective sau a unei instanțe sesizate în temeiul articolului 79 alineatul (1) din acest regulament, nici o prioritate a aprecierii efectuate de această autoritate sau de această instanță în ceea ce privește existența unei încălcări a drepturilor conferite de același regulament.

51.

Soluția opusă ar fi, în opinia noastră, contrară dreptului la o cale de atac judiciară efectivă de care trebuie să beneficieze o persoană care contestă decizia adoptată de o autoritate de supraveghere.

52.

Astfel, din modul de redactare a articolului 78 alineatul (1) din RGPD reiese că această dispoziție conferă oricărei persoane fizice sau juridice „dreptul de a exercita o cale de atac judiciară [efectivă] împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează”. Această dispoziție reflectă articolul 58 alineatul (4) din regulamentul menționat, din care rezultă că exercitarea competențelor conferite autorității de supraveghere este condiționată de garanții precum dreptul la o cale de atac judiciară efectivă ( 11 ). După cum a statuat deja Curtea, articolul 47 din cartă își găsește în special expresia, în domeniul protecției datelor cu caracter personal, în posibilitatea, prevăzută la articolul 78 alineatul (1) din RGPD, a oricărei persoane fizice sau juridice de a exercita o cale de atac judiciară efectivă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează ( 12 ).

53.

Acest drept la o cale de atac judiciară efectivă implică faptul că instanța sesizată cu o cale de atac împotriva deciziei unei autorități de supraveghere în temeiul articolului 78 alineatul (1) din RGPD trebuie, așa cum indică considerentul (143) al acestui regulament, „să își exercite competența judiciară deplină, care ar trebui să includă competența de a examina toate aspectele de fapt sau de drept care au relevanță pentru litigiul cu care acestea sunt sesizate”. Aceasta are drept consecință, în opinia noastră, faptul că instanța respectivă trebuie să poată aprecia în mod liber legalitatea deciziei supuse controlului său și, în acest scop, ea nu trebuie să fie ținută de aprecierea pe care ar fi efectuat‑o în prealabil o instanță sesizată în temeiul articolului 79 alineatul (1) din RGPD în ceea ce privește existența sau inexistența unei încălcări a normelor prevăzute de regulamentul menționat.

54.

Prin urmare, deși instanța sesizată în temeiul articolului 78 alineatul (1) din RGPD pentru a controla legalitatea unei decizii adoptate de o autoritate de supraveghere trebuie să beneficieze de o libertate de apreciere deplină pentru a constata existența sau inexistența unei încălcări a normelor prevăzute în acest regulament, acesta nu este, în opinia noastră, rezultatul unei pretinse priorități de care ar dispune autoritatea de supraveghere și ulterior, dacă este cazul, instanța respectivă pentru a efectua această constatare, ci mai degrabă rezultatul dreptului la o cale de atac judiciară efectivă, consacrat la articolul 47 din cartă, care presupune că această instanță trebuie să fie în măsură să controleze în mod liber și independent legalitatea deciziei adoptate de autoritatea de supraveghere.

55.

În ceea ce privește obiectivele urmărite de RGPD, arătăm că alegerea legiuitorului Uniunii de a lăsa persoanelor vizate posibilitatea de a exercita în paralel căile de atac prevăzute la articolele 77-79 din acest regulament se înscrie în obiectivul acestui regulament care constă în garantarea unui nivel ridicat de protecție a drepturilor conferite de același regulament.

56.

În această privință, după cum rezultă din articolul 1 alineatul (2) din RGPD coroborat cu considerentele (10), (11) și (13) ale acestui regulament, acesta din urmă impune instituțiilor, organelor, oficiilor și agențiilor Uniunii, precum și autorităților competente ale statelor membre sarcina de a asigura un nivel ridicat de protecție a drepturilor garantate la articolul 16 TFUE și la articolul 8 din cartă ( 13 ).

57.

Trebuie să se precizeze însă că, așa cum ilustrează prezenta cauză, posibilitatea oferită de RGPD de a introduce căi de atac paralele cu privire la aceeași prelucrare a unor date cu caracter personal poate prezenta un inconvenient, și anume insecuritatea juridică pe care o poate genera apariția unor decizii contradictorii în cadrul unui stat membru. Or, după cum am arătat anterior, deși riscul unor decizii contradictorii ale autorităților de supraveghere sau ale instanțelor din state membre diferite a fost abordat de legiuitorul Uniunii în acest regulament, situația este diferită atunci când asemenea decizii sunt adoptate în cadrul aceluiași stat membru.

58.

În aceste condiții, revine fiecărui stat membru sarcina de a pune în aplicare instrumentele procedurale care permit să se evite, pe cât posibil, adoptarea unor decizii contradictorii cu privire la aceeași prelucrare a unor date cu caracter personal.

59.

Amintim în această privință că, în lipsa unei reglementări a Uniunii în materie, revine, în temeiul principiului autonomiei procedurale, ordinii juridice interne a fiecărui stat membru atribuția de a prevedea modalitățile procedurale aplicabile căilor de atac prevăzute la articolele 77-79 din RGPD, cu condiția însă ca aceste modalități să nu fie, în situațiile care intră sub incidența dreptului Uniunii, mai puțin favorabile decât cele aplicabile unor situații similare supuse dreptului intern (principiul echivalenței) și ca ele să nu facă imposibilă în practică sau excesiv de dificilă exercitarea drepturilor conferite de dreptul Uniunii (principiul efectivității) ( 14 ).

60.

În acest context și potrivit unei jurisprudențe consacrate, revine instanțelor din statele membre, în temeiul principiului cooperării loiale prevăzut la articolul 4 alineatul (3) TUE, atribuția de a asigura protecția jurisdicțională a drepturilor conferite justițiabililor de dreptul Uniunii, articolul 19 alineatul (1) TUE impunând, pe de altă parte, statelor membre obligația de a stabili căile de atac necesare pentru a asigura o protecție jurisdicțională efectivă în domeniile reglementate de dreptul Uniunii ( 15 ).

61.

În consecință, atunci când definesc modalitățile procedurale ale căilor de atac în justiție menite să asigure protecția drepturilor conferite de RGPD, statele membre trebuie să garanteze respectarea dreptului la o cale de atac efectivă și de acces la o instanță judecătorească imparțială, consacrat la articolul 47 din cartă, care constituie o reafirmare a principiului protecției jurisdicționale efective ( 16 ).

62.

Caracteristicile căilor de atac judiciare prevăzute de acest regulament trebuie, așadar, să fie determinate în conformitate cu articolul 47 din cartă.

63.

Or, o protecție jurisdicțională efectivă nu constă, în opinia noastră, numai în a pune la dispoziția persoanelor vizate căile de atac necesare pentru protecția drepturilor de care acestea beneficiază în temeiul RGPD. În cazul coexistenței mai multor căi de atac care pot fi exercitate în paralel, trebuie de asemenea garantată securitatea juridică a protecției jurisdicționale obținute. În măsura în care decizii contradictorii cu privire la existența unei încălcări a normelor prevăzute de acest regulament nu ar fi de natură să asigure o protecție jurisdicțională efectivă a persoanelor vizate, este necesar ca statele membre să instituie măsurile necesare pentru a evita astfel de decizii contradictorii.

64.

Dacă statele membre nu instituie mecanisme procedurale care să permită corelarea diferitelor căi de atac, obiectivele urmărite de RGPD, care constau în a asigura o protecție jurisdicțională efectivă persoanelor vizate, precum și un nivel ridicat și consecvent de protecție a drepturilor conferite de acest regulament, ar putea să nu fie atinse pe deplin.

65.

În această privință, din considerentul (10) al RGPD reiese că acesta urmărește printre altele să asigure o aplicare consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în întreaga Uniune și să îndepărteze obstacolele din calea circulației datelor cu caracter personal în cadrul acesteia ( 17 ).

66.

Or, această cerință a unei aplicări consecvente și omogene a normelor prevăzute de RGPD ar putea fi compromisă dacă divergențele dintre nivelurile de protecție din statele membre, pe care acest regulament urmărește să le elimine, ar putea continua să existe în cadrul unui stat membru. Cerința menționată trebuie, așadar, să fie abordată nu numai la nivel interstatal, ci și în ceea ce privește deciziile adoptate în fiecare stat membru.

67.

Prin urmare, fiecare stat membru trebuie să se asigure că existența unor căi de atac care pot fi exercitate în paralel de către persoanele vizate nu repune în discuție efectivitatea protecției drepturilor de care acestea beneficiază în temeiul RGPD. Revine statelor membre atribuția de a alege care sunt mecanismele procedurale pe care le consideră cel mai bine adaptate pentru a permite corelarea căilor de atac prevăzute la articolele 77-79 din acest regulament.

68.

Cu titlu ilustrativ, statele membre ar putea să prevadă ca persoanele în cauză să fie obligate să epuizeze căile de atac administrative înainte de a iniția o procedură jurisdicțională ( 18 ).

69.

Statele membre ar putea de asemenea să prevadă posibilitatea sau obligația unei instanțe care este sesizată cu o cale de atac în temeiul articolului 79 alineatul (1) din RGPD în condițiile în care este pendinte o procedură de plângere în temeiul articolului 77 alineatul (1) din acest regulament sau o cale de atac judiciară în temeiul articolului 78 alineatul (1) din regulamentul menționat de a suspenda procedura aflată pe rolul său și judecarea cauzei până la adoptarea unei decizii în una sau în cealaltă dintre aceste proceduri.

70.

Arătăm că Curtea a statuat deja că dreptul de acces la o instanță judecătorească nu este un drept absolut și că acesta poate, prin urmare, să implice restrângeri proporționale care să urmărească un scop legitim și să nu aducă atingere substanței înseși a acestui drept ( 19 ). Suspendarea unei proceduri poate constitui, în această privință, o soluție pentru a evita adoptarea unor decizii contradictorii susceptibile să aducă atingere securității juridice ( 20 ).

71.

Având în vedere ansamblul considerațiilor care precedă, propunem Curții să răspundă la întrebările preliminare adresate de Fővárosi Törvényszék (Curtea din Budapesta‑Capitală, Ungaria) după cum urmează: