–

Nemzeti Adatvédelmi és Információszabadság Hatóság, v zastúpení: G. J. Dudás, ügyvéd,

–

maďarská vláda, v zastúpení: Zs. Biró‑Tóth a M. Z. Fehér, splnomocnení zástupcovia,

–

španielska vláda, v zastúpení: A. Ballesteros Panizo, splnomocnený zástupca,

–

rakúska vláda, v zastúpení: A. Posch, J. Schmoll a C. Gabauer, splnomocnení zástupcovia,

–

poľská vláda, v zastúpení: B. Majczyna, splnomocnený zástupca,

–

portugalská vláda, v zastúpení: P. Barros da Costa, M. J. Ramos a C. Vieira Guerra, splnomocnené zástupkyne,

–

Európska komisia, v zastúpení: A. Bouchagiar, C. Kovács a H. Kranenborg, splnomocnení zástupcovia,

1

Návrh na začatie prejudiciálneho konania sa týka výkladu článku 58 ods. 2 písm. c), d) a g) nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1) (ďalej len „GDPR“).

2

Tento návrh bol podaný v rámci sporu medzi Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (mestská správa Újpest – štvrtý obvod hlavného mesta Budapešť, Maďarsko) (ďalej len „mestská správa Újpest“) na jednej strane a Nemzeti Adatvédelmi és Információszabadság Hatóság (Národný úrad pre ochranu údajov a slobodu informácií, Maďarsko) (ďalej len „maďarský dozorný orgán“) na druhej strane vo veci rozhodnutia, ktorým tento úrad nariadil mestskej správe Újpest vymazať osobné údaje, ktoré boli spracúvané nezákonne.

3

Odôvodnenia 1, 10 a 129 GDPR znejú:

…

…

4

V kapitole I GDPR, nazvanej „Všeobecné ustanovenia“, sa nachádzajú články 1 až 4.

5

Podľa článku 1 tohto nariadenia s názvom „Predmet úpravy a ciele“:

„1.   Týmto nariadením sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.

2.   Týmto nariadením sa chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov.

…“

6

Článok 4 uvedeného nariadenia, nazvaný „Vymedzenie pojmov“, v bodoch 2, 7 a 21 stanovuje:

„Na účely tohto nariadenia:

…

…

…

…“

7

Kapitola II GDPR s názvom „Zásady“ obsahuje najmä článok 5 tohto nariadenia, nazvaný „Zásady spracúvania osobných údajov“, ktorý stanovuje:

„1.   Osobné údaje musia byť:

…

2.   Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“

8

Článok 17 GDPR s názvom „Právo na vymazanie (‚právo na zabudnutie‘)“, ktorý sa nachádza v kapitole III tohto nariadenia, nazvanej „Práva dotknutej osoby“, v odseku 1 stanovuje:

„Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:

…“

9

Kapitola VI GDPR s názvom „Nezávislé dozorné orgány“ obsahuje články 51 až 59 tohto nariadenia.

10

Článok 51 tohto nariadenia, nazvaný „Dozorný orgán“, v odsekoch 1 a 2 stanovuje:

„1.   Každý členský štát stanoví, že za monitorovanie uplatňovania tohto nariadenia je zodpovedný jeden alebo viacero nezávislých orgánov verejnej moci s cieľom chrániť základné práva a slobody fyzických osôb pri spracúvaní a uľahčiť voľný tok osobných údajov v rámci Únie…

2.   Každý dozorný orgán prispieva ku konzistentnému uplatňovaniu tohto nariadenia v celej Únii. Na tento účel dozorné orgány spolupracujú navzájom, ako aj s [Európskou k]omisiou v súlade s kapitolou VII.“

11

Článok 57 uvedeného nariadenia s názvom „Úlohy“ v odseku 1 stanovuje:

„1.   Bez toho, aby boli dotknuté iné úlohy stanovené podľa tohto nariadenia, každý dozorný orgán na svojom území:

a) monitoruje a presadzuje uplatňovanie tohto nariadenia;

…

…“

12

Článok 58 toho istého nariadenia, nazvaný „Právomoci“, v odseku 2 stanovuje:

„Každý dozorný orgán má všetky tieto nápravné právomoci:

…

…

…

…“

13

Vo februári 2020 sa mestská správa Újpest rozhodla poskytnúť finančnú pomoc obyvateľom, ktorí patrili do kategórie osôb ohrozených pandémiou COVID‑19 a ktorí spĺňali určité podmienky oprávnenosti.

14

Na tento účel sa obrátila na Magyar Államkincstár (Maďarská štátna pokladnica) a na Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (Vládny úrad štvrtého obvodu hlavného mesta Budapešť, Maďarsko) (ďalej len „vládny úrad“) s cieľom získať osobné údaje potrebné na overenie týchto podmienok oprávnenosti. Tieto údaje zahŕňali najmä základné identifikačné údaje a čísla sociálneho zabezpečenia fyzických osôb. Maďarská štátna pokladnica a vládny úrad poskytli požadované údaje.

15

Na účely vyplatenia finančnej pomoci mestská správa Újpest prijala az Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet [vyhláška mesta č. 16/2020. (IV. 30.) týkajúca sa zavedenia programu Újpest+ Megbecsülés], ktorá bola zmenená a doplnená 30/2020. (VII. 15.) önkormányzati rendelet [vyhláška mesta č. 30/2020. (VII. 15.)]. Tieto vyhlášky obsahovali kritériá oprávnenosti na takto stanovenú pomoc. Mestská správa Újpest zhromaždila získané údaje v databáze vytvorenej na účely vykonávania jej programu pomoci a pre každý súbor údajov vytvorila osobitný identifikátor a čiarový kód.

16

Maďarský dozorný orgán na základe sťažnosti začal 2. septembra 2020ex offo vyšetrovanie týkajúce sa spracúvania osobných údajov, na ktorom bol založený uvedený program pomoci. V rozhodnutí prijatom 22. apríla 2021 tento orgán konštatoval, že mestská správa Újpest porušila viaceré ustanovenia článkov 5 a 14 GDPR, ako aj jeho článku 12 ods. 1 Poukázal najmä na to, že mestská správa Újpest v lehote jedného mesiaca neinformovala dotknuté osoby o kategóriách osobných údajov spracúvaných v rámci tohto programu, o účeloch predmetného spracúvania ani o podmienkach, na základe ktorých môžu tieto osoby v tejto súvislosti vykonávať svoje práva.

17

Maďarský dozorný orgán nariadil mestskej správe Újpest v súlade s článkom 58 ods. 2 písm. d) GDPR, aby vymazala osobné údaje dotknutých osôb, ktoré by podľa informácií poskytnutých vládnym úradom a Maďarskou štátnou pokladnicou síce mali nárok na túto pomoc, ale nepožiadali o ňu. Domnieval sa, že tak Maďarská štátna pokladnica, ako aj vládny úrad porušili ustanovenia týkajúce sa spracúvania osobných údajov uvedených osôb. Rovnako uložil mestskej správe Újpest a Maďarskej štátnej pokladnici povinnosť zaplatiť pokutu z dôvodu ochrany údajov.

18

Na základe správnej žaloby podanej na Fővárosi Törvényszék (Súd hlavného mesta Budapešť, Maďarsko), ktorý je vnútroštátnym súdom, ktorý podal návrh na začatie prejudiciálneho konania, mestská správa Újpest spochybňuje rozhodnutie maďarského dozorného orgánu, pričom tvrdí, že tento orgán nemá právomoc nariadiť vymazanie osobných údajov podľa článku 58 ods. 2 písm. d) GDPR, ak dotknutá osoba nepodala žiadosť v zmysle článku 17 tohto nariadenia. V tejto súvislosti sa opiera o rozsudok Kúria (Najvyšší súd, Maďarsko), Kfv.II.37.001/2021/6., v ktorom tento súd rozhodol, že maďarský dozorný orgán nemá takúto právomoc, čo potvrdilo rozsudok vnútroštátneho súdu. Podľa žalobkyne vo veci samej je právo na vymazanie upravené v článku 17 uvedeného nariadenia koncipované výlučne ako právo dotknutej osoby.

19

V nadväznosti na ústavnú sťažnosť podanú maďarským dozorným orgánom Alkotmánybíróság (Ústavný súd, Maďarsko) zrušil vyššie uvedený rozsudok Kúria (Najvyšší súd), pričom rozhodol, že tento orgán je oprávnený nariadiť ex offo vymazanie osobných údajov, ktoré boli spracúvané nezákonne, a to aj v prípade neexistencie žiadosti zo strany dotknutej osoby. Alkotmánybíróság (Ústavný súd) sa v tejto súvislosti opieral o stanovisko Európskeho výboru pre ochranu údajov č. 39/2021, podľa ktorého článok 17 GDPR stanovuje dva rôzne prípady vymazania, pričom jedným z nich je vymazanie na žiadosť dotknutej osoby a druhý spočíva v samostatnej povinnosti prevádzkovateľa, takže článok 58 ods. 2 písm. g) GDPR by sa mal považovať za platný právny základ na účely vymazania nezákonne spracúvaných osobných údajov ex offo.

20

V nadväznosti na rozhodnutie Alkotmánybíróság (Ústavný súd) uvedené v predchádzajúcom bode má vnútroštátny súd naďalej pochybnosti, pokiaľ ide o výklad článku 17 a článku 58 ods. 2 GDPR. Domnieva sa, že právo na vymazanie osobných údajov je definované v článku 17 ods. 1 GDPR ako právo dotknutej osoby a že toto ustanovenie neobsahuje dva rôzne prípady vymazania osobných údajov.

21

Tento súd dodáva, že osoba môže mať záujem na spracúvaní osobných údajov, ktoré sa jej týkajú, a to aj v prípade, keď vnútroštátny dozorný orgán nariadi prevádzkovateľovi vymazať údaje z dôvodu, že spracúvanie je nezákonné. V takomto prípade by tento orgán uplatnil právo uvedenej osoby proti jej vôli.

22

Vnútroštátny súd sa teda snaží zistiť, či bez ohľadu na výkon práv dotknutej osoby môže dozorný orgán členského štátu požadovať od prevádzkovateľa alebo sprostredkovateľa, aby vymazal osobné údaje, ktoré boli spracúvané nezákonne, a ak áno, na akom právnom základe, a to najmä vzhľadom na skutočnosť, že článok 58 ods. 2 písm. c) GDPR výslovne stanovuje žiadosť predloženú touto osobou na účely výkonu jej práv a že článok 58 ods. 2 písm. d) tohto nariadenia vo všeobecnosti stanovuje zosúladenie spracovateľských operácií s ustanoveniami uvedeného nariadenia, zatiaľ čo článok 58 ods. 2 písm. g) toho istého nariadenia odkazuje priamo na jeho článok 17, ktorého uplatnenie si vyžaduje výslovnú žiadosť dotknutej osoby.

23

Za predpokladu, že by vnútroštátny dozorný orgán mohol napriek tomu, že dotknutá osoba nepodala žiadosť, nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vymazal osobné údaje, ktoré boli nezákonne spracúvané, vnútroštátny súd sa pýta, či je možné – v čase, keď sa toto vymazanie nariadilo –rozlišovať, podľa toho, či boli osobné údaje získané od dotknutej osoby vzhľadom na povinnosť prevádzkovateľa uvedenú v článku 13 ods. 2 písm. b) GDPR alebo od inej osoby vzhľadom na povinnosť stanovenú v článku 14 ods. 2 písm. c) tohto nariadenia.

24

Za týchto podmienok Fővárosi Törvényszék (Súd hlavného mesta Budapešť) rozhodol prerušiť konanie a položiť Súdnemu dvoru nasledujúce prejudiciálne otázky:

25

Svojou prvou otázkou sa vnútroštátny súd pýta, či sa má článok 58 ods. 2 písm. c), d) a g) GDPR vykladať v tom zmysle, že dozorný orgán členského štátu je v rámci výkonu svojej právomoci prijať nápravné opatrenia stanovené v týchto ustanoveniach oprávnený nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vymazal osobné údaje, ktoré boli predmetom nezákonného spracúvania, a to aj vtedy, keď dotknutá osoba o to nepožiadala s cieľom uplatniť svoje práva podľa článku 17 ods. 1 tohto nariadenia.

26

Táto otázka patrí do kontextu sporu týkajúceho sa zákonnosti rozhodnutia maďarského dozorného orgánu, ktorým sa mestskej správe Újpest podľa článku 58 ods. 2 písm. d) GDPR nariadilo vymazanie osobných údajov, ktoré boli predmetom nezákonného spracúvania v rámci programu pomoci opísaného v bodoch 13 až 15 tohto rozsudku.

27

V súlade s článkom 17 ods. 1 GDPR má dotknutá osoba právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný tieto údaje bez zbytočného odkladu vymazať, a to najmä v prípade, ak sa podľa písmena d) tohto ustanovenia predmetné údaje „spracúvali nezákonne“.

28

Podľa článku 58 ods. 2 písm. d) GDPR dozorný orgán môže prevádzkovateľovi alebo sprostredkovateľovi nariadiť, aby svoje spracovateľské operácie zosúladil podľa potreby určeným spôsobom a v rámci určenej lehoty s ustanoveniami tohto nariadenia. Okrem toho článok 58 ods. 2 písm. g) uvedeného nariadenia stanovuje, že dozorný orgán má právomoc nariadiť opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania podľa článkov 16, 17 a 18 tohto nariadenia a informovanie príjemcov, ktorým boli osobné údaje poskytnuté, o takýchto opatreniach v súlade s článkom 17 ods. 2 a článkom 19 toho istého nariadenia.

29

V tomto kontexte sa vnútroštátny súd pýta, či je dozorný orgán členského štátu v rámci výkonu svojej právomoci prijať nápravné opatrenia, ako sú opatrenia stanovené v článku 58 ods. 2 písm. c), d) a g) GDPR, oprávnený nariadiť ex offo, a to v prípade absencie predchádzajúcej žiadosti podanej na tento účel dotknutou osobou, prevádzkovateľovi alebo sprostredkovateľovi, aby vymazal osobné údaje, ktoré boli predmetom nezákonného spracúvania.

30

V súlade s ustálenou judikatúrou treba na účely výkladu ustanovenia práva Únie zohľadniť nielen jeho znenie, ale aj jeho kontext a ciele sledované právnou úpravou, ktorej je súčasťou (rozsudok z 13. júla 2023, G GmbH,C‑134/22, EU:C:2023:567, bod 25 a citovaná judikatúra).

31

Na úvod treba uviesť, že relevantné ustanovenia práva Únie uvedené v bodoch 27 a 28 tohto rozsudku treba vykladať v spojení s článkom 5 ods. 1 GDPR, ktorý stanovuje zásady týkajúce sa spracúvania osobných údajov, medzi ktoré patrí najmä v písmene a) zásada, podľa ktorej sa osobné údaje musia spracúvať zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe.

32

Podľa odseku 2 tohto článku 5 je prevádzkovateľ v súlade so zásadou „zodpovednosti“ stanovenou v tomto ustanovení zodpovedný za súlad s odsekom 1 uvedeného článku 5 a musí vedieť preukázať, že dodržiava každú zo zásad, ktoré sú v ňom stanovené, pričom v tejto súvislosti nesie dôkazné bremeno [rozsudok zo 4. mája 2023, Bundesrepublik Deutschland (Elektronická súdna schránka),C‑60/22, EU:C:2023:373, bod 53 a citovaná judikatúra].

33

Ak spracúvanie osobných údajov nie je v súlade so zásadami stanovenými najmä v článku 5 GDPR, dozorné orgány členských štátov sú oprávnené zasiahnuť v súlade so svojimi úlohami a právomocami stanovenými v článkoch 57 a 58 tohto nariadenia. Medzi tieto úlohy patrí najmä monitorovanie a presadzovanie uplatňovania uvedeného nariadenia podľa článku 57 ods. 1 písm. a) tohto nariadenia (pozri v tomto zmysle rozsudok zo 16. júla 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 108).

34

V tejto súvislosti Súdny dvor už spresnil, že ak sa vnútroštátny dozorný orgán po skončení svojho vyšetrovania domnieva, že dotknutá osoba nemá primeranú úroveň ochrany, je podľa práva Únie povinný reagovať primeraným spôsobom, aby napravil konštatovaný nedostatok, a to bez ohľadu na pôvod alebo povahu tohto nedostatku. Na tento účel článok 58 ods. 2 GDPR uvádza rôzne nápravné opatrenia, ktoré môže dozorný orgán prijať. Tomuto dozornému orgánu prináleží zvoliť si vhodný prostriedok, aby s náležitou starostlivosťou splnil svoju úlohu spočívajúcu v zabezpečení plného dodržiavania tohto nariadenia (pozri v tomto zmysle rozsudok zo 16. júla 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, body 111 a 112).

35

Pokiaľ ide konkrétnejšie o otázku, či takéto nápravné opatrenia môže dotknutý dozorný orgán prijať ex offo, treba najprv uviesť, že vzhľadom na svoje znenie článok 58 ods. 2 GDPR rozlišuje medzi nápravnými opatreniami, ktoré možno nariadiť ex offo, najmä tými, ktoré sú uvedené v článku 58 ods. 2 písm. d) a g), a nápravnými opatreniami, ktoré možno prijať len na základe žiadosti podanej dotknutou osobou na účely uplatnenia jej práv podľa tohto nariadenia, ako sú stanovené v článku 58 ods. 2 písm. c) uvedeného nariadenia.

36

Na jednej strane totiž zo znenia článku 58 ods. 2 písm. c) GDPR výslovne vyplýva, že prijatie nápravného opatrenia uvedeného v tomto ustanovení, t. j. „nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vyhovel žiadostiam dotknutej osoby o uplatnenie jej práv podľa tohto nariadenia“, predpokladá, že dotknutá osoba najprv uplatnila svoje práva podaním žiadosti v tomto zmysle a že tejto žiadosti sa nevyhovelo pred rozhodnutím dozorného orgánu, ktoré uvedené ustanovenie stanovuje. Na druhej strane na rozdiel od tohto ustanovenia znenie článku 58 ods. 2 písm. d) a g) tohto nariadenia neumožňuje konštatovať, že zásah dozorného orgánu členského štátu na účely uplatnenia opatrení, ktoré sú v ňom uvedené, by bol obmedzený len na prípady, keď dotknutá osoba podala žiadosť na tento účel, keďže toto znenie neobsahuje odkaz na takúto žiadosť.

37

Ďalej, pokiaľ ide o kontext týchto ustanovení, treba uviesť, že znenie článku 17 ods. 1 tohto nariadenia rozlišuje prostredníctvom priraďovacej spojky „a“ na jednej strane právo dotknutej osoby dosiahnuť od prevádzkovateľa bez zbytočného odkladu vymazanie údajov, ktoré sa jej týkajú, a na druhej strane povinnosť prevádzkovateľa vymazať tieto osobné bez zbytočného odkladu. Z toho treba vyvodiť, že toto ustanovenie upravuje dva samostatné prípady, t. j. jednak vymazanie údajov na žiadosť dotknutej osoby a jednak vymazanie vyplývajúce z existencie samostatnej povinnosti prevádzkovateľa, a to bez ohľadu na akúkoľvek žiadosť dotknutej osoby.

38

Ako totiž uviedol Európsky výbor pre ochranu údajov vo svojom stanovisku č. 39/2021, takéto rozlišovanie je nevyhnutné, keďže medzi prípadmi uvedenými v tomto článku 17 ods. 1 niektoré zahŕňajú situácie, v ktorých dotknutá osoba nebola nevyhnutne informovaná o tom, že sa spracúvajú osobné údaje, ktoré sa jej týkajú, takže prevádzkovateľ je jediný, kto môže konštatovať existenciu tohto spracúvania. Tak je to najmä v prípade situácie, keď tieto údaje boli predmetom nezákonného spracúvania podľa uvedeného článku 17 ods. 1 písm. d).

39

Tento výklad potvrdzuje článok 5 ods. 2 GDPR v spojení s odsekom 1 písm. a) tohto článku 5, podľa ktorého sa prevádzkovateľ musí uistiť najmä o zákonnosti spracúvania údajov, ktoré vykonáva [pozri v tomto zmysle rozsudok zo 4. mája 2023, Bundesrepublik Deutschland (Elektronická súdna schránka),C‑60/22, EU:C:2023:373, bod 54].

40

Napokon takýto výklad je podporený aj cieľom sledovaným článkom 58 ods. 2 GDPR, ako vyplýva z jeho odôvodnenia 129, a to zabezpečiť súlad spracúvania osobných údajov s týmto nariadením, ako aj nápravu situácií porušenia tohto nariadenia, aby boli v súlade s právom Únie, vďaka zásahu vnútroštátnych dozorných orgánov.

41

V tejto súvislosti treba spresniť, že hoci výber vhodného a potrebného prostriedku prináleží vnútroštátnemu dozornému orgánu a tento orgán musí pri tomto výbere zohľadniť všetky okolnosti prejednávanej veci, nič to nemení na tom, že so všetkou náležitou starostlivosťou je povinný splniť svoju úlohu spočívajúcu v zabezpečení plného dodržiavania GDPR (pozri v tomto zmysle rozsudok zo 16. júla 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 112). Na zabezpečenie účinného uplatňovania GDPR je preto mimoriadne dôležité, aby mal tento orgán účinné právomoci na to, aby účinne konal proti zisteným porušeniam tohto nariadenia, a najmä aby ich ukončil, a to aj v prípadoch, keď dotknuté osoby nie sú informované o spracúvaní svojich osobných údajov, nevedeli o ňom alebo v každom prípade nepožiadali o vymazanie týchto údajov.

42

Za týchto podmienok treba konštatovať, že právomoc prijať určité nápravné opatrenia uvedené v článku 58 ods. 2 GDPR, najmä tie, ktoré sú uvedené v písmenách d) a g) tohto ustanovenia, môže dozorný orgán členského štátu vykonávať ex offo v rozsahu, v akom sa výkon tejto právomoci ex offo vyžaduje na to, aby mohol splniť svoju úlohu. Ak sa teda tento orgán po skončení svojho vyšetrovania domnieva, že toto spracúvanie nespĺňa požiadavky tohto nariadenia, je podľa práva Únie povinný prijať vhodné opatrenia na nápravu konštatovaného porušenia, a to bez ohľadu na existenciu predchádzajúcej žiadosti dotknutej osoby o uplatnenie jej práv podľa článku 17 ods. 1 uvedeného nariadenia.

43

Takýto výklad navyše potvrdzujú ciele sledované GDPR, ako vyplývajú najmä z jeho článku 1, ako aj z jeho odôvodnení 1 a 10, ktoré odkazujú na záruku vysokej úrovne ochrany, pokiaľ ide o základné právo fyzických osôb na ochranu ich osobných údajov zakotvené v článku 8 ods. 1 Charty základných práv a v článku 16 ods. 1 ZFEÚ (pozri v tomto zmysle rozsudky zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 207, ako aj z 28. apríla 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, bod 73).

44

Výklad, ktorý by bol v rozpore s výkladom uvedeným v bode 42 tohto rozsudku a podľa ktorého je takýto dozorný orgán oprávnený konať až po žiadosti predloženej na tento účel dotknutou osobou, by ohrozil dosiahnutie cieľov pripomenutých v bodoch 40 a 43 tohto rozsudku, najmä v situácii, o akú ide vo veci samej, keď sa vymazanie osobných údajov, ktoré boli predmetom nezákonného spracúvania, týka potenciálne veľkého počtu osôb, ktoré si neuplatnili svoje právo na vymazanie podľa článku 17 ods. 1 GDPR.

45

Ako totiž v podstate uviedla Komisia vo svojich písomných pripomienkach, požiadavka predchádzajúcej žiadosti predloženej dotknutými osobami v zmysle článku 17 ods. 1 GDPR by znamenala, že prevádzkovateľ by mohol v prípade neexistencie takejto žiadosti uchovávať predmetné osobné údaje a pokračovať v ich nezákonnom spracúvaní. Takýto výklad by narušil účinnosť ochrany stanovenej týmto nariadením, keďže by viedol k zbaveniu ochrany neaktívnych osôb, hoci ich osobné údaje boli predmetom nezákonného spracúvania.

46

Vzhľadom na predchádzajúce úvahy treba na prvú otázku odpovedať tak, že článok 58 ods. 2 písm. d) a g) GDPR sa má vykladať v tom zmysle, že dozorný orgán členského štátu je v rámci výkonu svojej právomoci prijať nápravné opatrenia stanovené v týchto ustanoveniach oprávnený nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vymazal osobné údaje, ktoré boli predmetom nezákonného spracúvania, a to aj vtedy, keď dotknutá osoba o to nepožiadala s cieľom uplatniť svoje práva podľa článku 17 ods. 1 tohto nariadenia.

47

Svojou druhou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 58 ods. 2 GDPR vykladať v tom zmysle, že právomoc dozorného orgánu členského štátu nariadiť vymazanie osobných údajov, ktoré boli predmetom nezákonného spracúvania, sa môže vzťahovať tak na údaje získané od dotknutej osoby, ako aj na údaje pochádzajúce z iného zdroja.

48

V tejto súvislosti treba najprv uviesť, že znenie ustanovení uvedených v predchádzajúcom bode neobsahuje žiaden údaj, ktorý by naznačoval, že právomoc dozorného orgánu prijať v nich uvedené nápravné opatrenia závisí od pôvodu dotknutých údajov, a najmä od toho, či boli získané od dotknutej osoby.

49

Rovnako znenie článku 17 ods. 1 GDPR, ktoré, ako vyplýva z bodu 37 tohto rozsudku, stanovuje samostatnú povinnosť prevádzkovateľa vymazať osobné údaje, ktoré boli predmetom nezákonného spracúvania, nezahŕňa žiadnu požiadavku týkajúcu sa pôvodu získaných údajov.

50

Okrem toho, ako vyplýva z bodov 41 a 42 tohto rozsudku, na zabezpečenie účinného a jednotného uplatňovania GDPR je nevyhnutné, aby vnútroštátny dozorný orgán mal účinné právomoci na to, aby účinne konal proti porušeniam tohto nariadenia. Právomoc prijať nápravné opatrenia, ako je stanovená v článku 58 ods. 2 písm. d) a g) GDPR, preto nemôže závisieť od pôvodu dotknutých údajov, a najmä od toho, či boli získané od dotknutej osoby.

51

V dôsledku toho treba konštatovať, podobne ako všetky vlády, ktoré predložili písomné pripomienky, a Komisia, že výkon právomoci prijať nápravné opatrenia v zmysle článku 58 ods. 2 písm. d) a g) GDPR nemôže závisieť od toho, či dotknuté osobné údaje boli alebo neboli získané priamo od dotknutej osoby.

52

Takýto výklad potvrdzujú aj ciele sledované GDPR, najmä článok 58 ods. 2 tohto nariadenia, a pripomenuté v bodoch 40 a 43 tohto rozsudku.

53

Vzhľadom na predchádzajúce úvahy treba na druhú otázku odpovedať tak, že článok 58 ods. 2 GDPR sa má vykladať v tom zmysle, že právomoc dozorného orgánu členského štátu nariadiť vymazanie osobných údajov, ktoré boli predmetom nezákonného spracúvania, sa môže vzťahovať tak na údaje získané od dotknutej osoby, ako aj na údaje pochádzajúce z iného zdroja.

54

Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

Z týchto dôvodov Súdny dvor (piata komora) rozhodol takto: