–

za TR F. Wittmaack, Rechtsanwalt,

–

za Land Hessen M. Kottmann in G. Ziegenhorn, Rechtsanwälte,

–

za avstrijsko vlado J. Schmoll in M.-T. Rappersberger, agentki,

–

za portugalsko vlado P. Barros da Costa, M. J. Ramos in C. Vieira Guerra, agentke,

–

za romunsko vlado L.-E. Baţagoi in E. Gane, agentki,

–

za norveško vlado S.-E. Jahr Dahl, L.-M. Moen Jünge in M. Munthe Kaas, agenti,

–

za Evropsko komisijo A. Bouchagiar, M. Heller in H. Kranenborg, agenti,

1

Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 57(1)(a) in (f), člena 58(2) ter člena 77(1) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2018, L 127, str. 2, v nadaljevanju: SUVP).

2

Ta predlog je bil vložen v okviru spora med TR in Land Hessen (dežela Hessen, Nemčija), ker Hessischer Beauftragte für Datenschutz und Informationsfreiheit (pooblaščenec za varstvo podatkov in svobodo obveščanja dežele Hessen, Nemčija, v nadaljevanju: HBDI) ni sprejel popravljalnih ukrepov v zvezi z družbo Sparkasse X (hranilnica X, v nadaljevanju: hranilnica).

3

V uvodnih izjavah 6, 7, 10, 129 in 148 SUVP je navedeno:

[…]

[…]

[…]

4

Člen 5 te uredbe določa:

„1.   Osebni podatki morajo biti:

2.   Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati (,odgovornost‘).“

5

Člen 24(1) navedene uredbe določa:

„Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.“

6

Člen 33 iste uredbe določa:

„1.   V primeru kršitve varstva osebnih podatkov upravljavec brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej uradno obvesti pristojni nadzorni organ v skladu s členom 55, razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov. […]

[…]

3.   Obvestilo iz odstavka 1 vsebuje vsaj:

[…]“

7

Člen 34(1) SUVP določa:

„Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.“

8

Poglavje VI te uredbe, naslovljeno „Neodvisni nadzorni organi“, vsebuje člene od 51 do 59 te uredbe.

9

Člen 51(1) navedene uredbe določa:

„Vsaka država članica zagotovi enega ali več neodvisnih javnih organov, ki so pristojni za spremljanje uporabe te uredbe, da se zaščitijo temeljne pravice in svoboščine posameznikov v zvezi z obdelavo ter olajša prost pretok osebnih podatkov v Uniji (v nadaljnjem besedilu: nadzorni organ).“

10

Člen 57 SUVP, naslovljen „Naloge“, v odstavku 1 določa:

„Brez poseganja v druge naloge, določene v tej uredbi, vsak nadzorni organ na svojem ozemlju:

[…]

[…].“

11

Člen 58 te uredbe, naslovljen „Pooblastila“, v odstavkih 1 in 2 določa:

„1.   Vsak nadzorni organ ima vsa naslednja preiskovalna pooblastila:

[…]

2.   Vsak nadzorni organ ima vsa naslednja popravljalna pooblastila:

[…]

[…].“

12

Člen 77 navedene uredbe določa:

„1.   Brez poseganja v katero koli drugo upravno ali pravno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo pri nadzornem organu, zlasti v državi članici, v kateri ima običajno prebivališče, v kateri je njegov kraj dela ali v kateri je domnevno prišlo do kršitve, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo.

2.   Nadzorni organ, pri katerem je vložena pritožba, obvesti pritožnika o stanju zadeve in odločitvi o pritožbi, vključno z možnostjo pravnega sredstva na podlagi člena 78.“

13

Člen 83(1) in (2) iste uredbe določa:

„1.   Vsak nadzorni organ zagotovi, da so upravne globe, naložene na podlagi tega člena, v zvezi s kršitvami te uredbe iz odstavkov 4, 5 in 6, v vsakem posameznem primeru učinkovite, sorazmerne in odvračilne.

2.   Glede na okoliščine posameznega primera se upravne globe naložijo poleg ali namesto ukrepov iz točk (a) do (h) in (j) člena 58(2). Pri odločanju o tem, ali se naloži upravna globa, in o višini upravne globe za vsak posamezen primer se ustrezno upošteva naslednje:

14

Hranilnica je lokalna ustanova javnega prava in med drugim opravlja bančne in kreditne posle. V skladu s členom 33 SUVP je 15. novembra 2019 HBDI obvestila o kršitvi varstva osebnih podatkov, ker je ena od njenih zaposlenih večkrat nepooblaščeno dostopala do osebnih podatkov TR, ene od njenih strank. Hranilnica TR ni obvestila o kršitvi njegovih osebnih podatkov.

15

Ko je TR slučajno izvedel, da je prišlo do neupravičenega dostopa do njegovih osebnih podatkov, je 27. julija 2020 pri HBDI vložil pritožbo na podlagi člena 77 SUVP. V tej pritožbi je navedel, da mu kršitev njegovih osebnih podatkov ni bila sporočena, kar je v nasprotju s členom 34 te uredbe. Grajal je tudi trajanje hrambe zapisov o dostopu hranilnice, določeno na samo tri mesece, in obsežne pravice do vpogleda, ki jih imajo člani njenega osebja.

16

Po pritožbi, ki jo je vložil TR, je HBDI hranilnico pisno in ustno zaslišal o očitkih zoper njo. Med zaslišanjem je hranilnica navedla, da ni opravila sporočitve na podlagi člena 34 SUVP, ker je njena pooblaščena oseba za varstvo podatkov menila, da ne obstaja veliko tveganje za pravice in svoboščine TR. Zoper zadevno zaposleno so bili namreč sprejeti disciplinski ukrepi, ta pa je pisno potrdila, da podatkov, s katerimi se je seznanila, ni niti kopirala ali shranila niti posredovala tretjim osebam, in je obljubila, da tega tudi v prihodnje ne bo storila. Ker je poleg tega HBDI grajal prekratko obdobje hrambe zapisov o dostopu, ga je hranilnica obvestila, da bo to vprašanje ponovno preučeno.

17

HBDI je z odločbo z dne 3. septembra 2020 TR obvestil, da hranilnica ni kršila člena 34 SUVP, saj presoja hranilnice, da storjena kršitev osebnih podatkov ne more povzročiti velikega tveganja za njegove pravice in svoboščine v smislu tega člena, ni očitno napačna. Čeprav je namreč zaposlena vpogledala v podatke, nič ni kazalo na to, da jih je posredovala tretjim osebam ali jih uporabila v škodo TR. Poleg tega je HBDI navedel, da je hranilnico pozval, naj odslej svoje zapise o dostopu hrani za obdobje, daljše od treh mesecev. Nazadnje, glede vprašanja dostopa uslužbencev hranilnice do osebnih podatkov je HBDI zavrnil pritožbo, ki jo je vložil TR, pri čemer je poudaril, da se obsežne pravice do dostopa načeloma lahko podelijo, če je gotovo, da je vsak uporabnik poučen, pod katerimi pogoji lahko dostopa do podatkov. Tako naj po mnenju HBDI načelni nadzor vsakega dostopa ne bi bil potreben.

18

TR je zoper to odločbo vložil tožbo pri Verwaltungsgericht Wiesbaden (upravno sodišče v Wiesbadnu, Nemčija), predložitvenem sodišču, s katero je temu sodišču predlagal, naj se HBDI naloži ukrepanje proti hranilnici.

19

TR v utemeljitev svoje tožbe navaja, da HBDI njegove pritožbe ni obravnaval, kot to zahteva SUVP, torej ob upoštevanju vseh dejanskih okoliščin, in dodaja, da bi moral HBDI hranilnici naložiti globo zaradi različnih kršitev določb te uredbe, zlasti njenega člena 5, člena 12(3), člena 15(1)(c), člena 33(1) in člena 33(3), ki jih je ta storila. Po mnenju TR v primeru ugotovljene kršitve navedene uredbe, kot v obravnavanem primeru, načelo smotrnosti ne velja, tako da HBDI nima diskrecijske pravice pri odločanju, ali bo ukrepal ali ne, temveč jo ima kvečjemu pri izbiri, katere ukrepe sprejeti.

20

V zvezi s tem se predložitveno sodišče v bistvu sprašuje, ali je treba SUVP v primeru dokazane kršitve določb o varstvu osebnih podatkov razlagati tako, da nadzorni organ mora sprejeti popravljalne ukrepe na podlagi člena 58(2) te uredbe, kot je upravna globa, ali pa tako, da ima ta organ diskrecijsko pravico, ki mu glede na okoliščine dovoljuje, da takih ukrepov ne sprejme.

21

Predložitveno sodišče navaja, da prva razlaga, ki jo zagovarjata TR in del pravne teorije, temelji na dejstvu, da je namen pooblastil za sprejetje popravljalnih ukrepov ponovna vzpostavitev zakonitega položaja, kadar so državljanom z obdelavo podatkov kršene pravice. Člen 58(2) SUVP naj bi bilo torej treba razumeti kot vir obveznosti, ki je podlaga za pravico državljana do ukrepanja organov, kadar sta podjetje ali organ nezakonito obdelovala osebne podatke tega državljana ali na drug način kršila njegove pravice. Nadzorni organ naj bi imel, kadar ugotovi kršitev varstva podatkov, dolžnost sprejeti popravljalne ukrepe, pri čemer naj bi bila edina diskrecijska pravica, ki jo ima, ta, da izbere, katerega od predvidenih ukrepov bo sprejel.

22

Vendar predložitveno sodišče dvomi o utemeljenosti te razlage, za katero meni, da je preširoka, in se bolj nagiba k temu, da se nadzornemu organu prizna polje proste presoje, ki mu v nekaterih primerih dovoljuje, da se vzdrži sprejetja popravljalnega ukrepa, zlasti naložitve sankcije, v primeru dokazane kršitve. Tudi če bi bil nadzorni organ na podlagi člena 57(1)(f) SUVP dolžan skrbno vsebinsko preučiti pritožbe in preučiti vsak posamezen primer, naj mu vseeno ne bi bilo treba vedno sprejeti popravljalnega ukrepa. Tako naj taka obveznost zanj ne bi veljala, kadar so bila v preteklosti kršena pravila o varstvu osebnih podatkov, vendar je upravljavec sprejel ukrepe, zaradi katerih ne gre pričakovati, da se bo kršitev varstva podatkov ponovila.

23

V teh okoliščinah je Verwaltungsgericht Wiesbaden (upravno sodišče v Wiesbadnu) prekinilo odločanje in Sodišču v predhodno odločanje predložilo to vprašanje:

„Ali je treba člen 57(1)(a) in (f) ter člen 58(2), od (a) do (j), v povezavi s členom 77(1) [SUVP] razlagati tako, da mora nadzorni organ, če ugotovi, da se z obdelavo podatkov kršijo pravice posameznika, na katerega se nanašajo osebni podatki, vselej ukrepati na podlagi člena 58(2) [te uredbe]?“

24

TR, ne da bi izrecno izpodbijal dopustnost predloga za sprejetje predhodne odločbe, navaja, da odgovor na postavljeno vprašanje ni potreben za rešitev spora o glavni stvari. Namen njegove tožbe naj bi bil le, da predložitveno sodišče HBDI naloži, naj se v skladu s členom 57(1)(f) SUVP izreče o očitkih, navedenih v pritožbi, ne pa, da se mu naloži uporaba pooblastil, ki so mu podeljena s členom 58(2) te uredbe.

25

V zvezi s tem je treba opozoriti, da je v okviru sodelovanja med Sodiščem in nacionalnimi sodišči, določenega v členu 267 PDEU, le nacionalno sodišče, ki odloča o sporu in ki mora prevzeti odgovornost za sodno odločbo, ki bo izdana, pristojno, da ob upoštevanju posebnosti zadeve presodi potrebo po izdaji predhodne odločbe, da bi lahko izdalo sodbo, in tudi upoštevnost vprašanj, ki jih postavi Sodišču. Zato Sodišče, kadar se zastavljena vprašanja nanašajo na razlago prava Unije, načeloma mora odločiti (sodba z dne 30. novembra 2023, Ministero dell’Istruzione in INPS, C‑270/22, EU:C:2023:933, točka 33 in navedena sodna praksa).

26

Iz tega sledi, da za vprašanja v zvezi z razlago prava Unije, ki jih postavi nacionalno sodišče v pravnem in dejanskem okviru, za opredelitev katerega je samo odgovorno in katerega pravilnost ni predmet presoje Sodišča, velja domneva upoštevnosti. Sodišče lahko odločanje o predlogu nacionalnega sodišča zavrne samo, če je očitno, da zahtevana razlaga prava Unije nima nobene zveze z dejanskim stanjem ali predmetom spora o glavni stvari, če je problem hipotetičen ali če Sodišče nima na voljo dejanskih in pravnih elementov, ki so potrebni, da bi lahko na zastavljena vprašanja dalo koristne odgovore (sodba z dne 30. novembra 2023, Ministero dell’Istruzione in INPS, C‑270/22, EU:C:2023:933, točka 34 in navedena sodna praksa).

27

V obravnavanem primeru predložitveno sodišče poudarja, da je TR uveljavljal pravico HBDI do ukrepanja in trdil, da je ta dolžan hranilnici naložiti globo.

28

Zato ni očitno, da zaprošena razlaga prava Unije nima nobene zveze z dejanskim stanjem ali predmetom spora.

29

Predlog za sprejetje predhodne odločbe je zato dopusten.

30

Za odgovor na postavljeno vprašanje je treba najprej opozoriti, da je treba pri razlagi določbe prava Unije upoštevati ne le njeno besedilo, ampak tudi njen kontekst ter cilje in namen, ki jim sledi akt, katerega del je (sodba z dne 7. decembra 2023, SCHUFA Holding (Odpis preostanka dolga), C‑26/22 in C‑64/22, EU:C:2023:958, točka 48 in navedena sodna praksa).

31

Prav tako je treba opozoriti, da so v skladu s členom 8(3) Listine Evropske unije o temeljnih pravicah ter členom 51(1) in členom 57(1)(a) SUVP nacionalni nadzorni organi pristojni za nadzor nad spoštovanjem pravil Unije, ki se nanašajo na varstvo posameznikov pri obdelavi osebnih podatkov (sodba z dne 7. decembra 2023, SCHUFA Holding (Odpis preostanka dolga), C‑26/22 in C‑64/22, EU:C:2023:958, točka 55 in navedena sodna praksa).

32

Zlasti mora na podlagi člena 57(1)(f) SUVP vsak nadzorni organ na svojem ozemlju obravnavati pritožbe, ki jih lahko v skladu s členom 77(1) te uredbe vloži vsaka oseba, kadar meni, da obdelava osebnih podatkov, ki se nanašajo nanjo, pomeni kršitev navedene uredbe, v ustreznem obsegu preučiti vsebino pritožbe in pritožnika v razumnem roku obvestiti o poteku in rezultatu preiskave. Nadzorni organ mora tako pritožbo obravnavati z vso potrebno skrbnostjo (glej v tem smislu sodbo z dne 7. decembra 2023, SCHUFA Holding (Odpis preostanka dolga), C‑26/22 in C‑64/22, EU:C:2023:958, točka 56 in navedena sodna praksa).

33

Za obravnavo tako vloženih pritožb daje člen 58(1) SUVP vsakemu nadzornemu organu obširna preiskovalna pooblastila. Kadar tak organ po koncu preiskave ugotovi kršitev določb te uredbe, se mora ustrezno odzvati, da bi odpravil ugotovljeno pomanjkljivost, pri čemer mora biti vsak ukrep, kot je navedeno v uvodni izjavi 129 navedene uredbe, zlasti ustrezen, potreben in sorazmeren, da se zagotovi skladnost z navedeno uredbo, ob upoštevanju okoliščin primera. Za to so v členu 58(2) iste uredbe našteti različni popravljalni ukrepi, ki jih nadzorni organ lahko sprejme (glej v tem smislu sodbo z dne 7. decembra 2023, SCHUFA Holding (Odpis preostanka dolga), C‑26/22 in C‑64/22, EU:C:2023:958, točka 57 in navedena sodna praksa).

34

Tako ima nadzorni organ v skladu s členom 58(2) SUVP med drugim pooblastilo, da upravljavcu ali obdelovalcu izreče opomin, kadar so bile z dejanji obdelave kršene določbe te uredbe (točka (b)), da upravljavcu ali obdelovalcu odredi, naj ugodi zahtevam posameznika, na katerega se nanašajo osebni podatki, glede uresničevanja njegovih pravic na podlagi navedene uredbe (točka (c)), da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi z določbami te uredbe (točka (d)), ali da glede na okoliščine posameznega primera poleg ali namesto ukrepov iz tega člena 58(2) naloži upravno globo v skladu s členom 83 SUVP (točka (i)).

35

Pritožbeni postopek je torej zasnovan kot mehanizem, ki lahko učinkovito zavaruje pravice in interese zadevnih oseb (sodba z dne 7. decembra 2023, SCHUFA Holding (Odpis preostanka dolga), C‑26/22 in C‑64/22, EU:C:2023:958, točka 58).

36

V obravnavanem primeru je iz predloga za sprejetje predhodne odločbe razvidno, da je HBDI vsebinsko preučil pritožbo, ki jo je pri njem vložila tožeča stranka iz postopka v glavni stvari, in to stranko obvestil o izidu preiskave. Natančneje, HBDI je potrdil, da je do kršitve osebnih podatkov zadnjenavedene stranke prišlo v hranilnici in da je ta kršitev vključevala nepooblaščen dostop ene od zaposlenih te hranilnice do teh podatkov. Vendar je HBDI glede pravic do vpogleda, ki jih imajo člani osebja hranilnice, zavrnil pritožbo, ki jo je vložila tožeča stranka iz postopka v glavni stvari. Poleg tega je ugotovil, da proti hranilnici ni treba ukrepati v skladu s členom 58(2) SUVP.

37

V zvezi s tem je treba navesti, da SUVP nadzornemu organu daje polje proste presoje glede tega, kako mora odpraviti ugotovljeno pomanjkljivost, saj člen 58(2) te uredbe temu organu podeljuje pooblastilo za sprejetje različnih popravljalnih ukrepov. Tako je Sodišče že razsodilo, da je za izbiro ustreznega in potrebnega sredstva pristojen nadzorni organ, ki mora to izbiro opraviti ob upoštevanju vseh okoliščin konkretnega primera in mora z vso potrebno skrbnostjo opraviti svojo nalogo zagotavljanja doslednega spoštovanja SUVP (glej v tem smislu sodbo z dne 16. julija 2020, Facebook Ireland in Schrems, C‑311/18, EU:C:2020:559, točka 112).

38

Vendar je to polje proste presoje omejeno s potrebo po zagotovitvi dosledne in visoke ravni varstva osebnih podatkov z doslednim izvrševanjem, kot je razvidno iz uvodnih izjav 7 in 10 SUVP.

39

Natančneje, glede upravnih glob iz člena 58(2)(i) SUVP je iz člena 83(2) te uredbe razvidno, da se te naložijo glede na okoliščine posameznega primera poleg ali namesto drugih ukrepov iz tega člena 58(2). Poleg tega ta člen 83(2) določa, da mora nadzorni organ pri odločanju o tem, ali se naloži upravna globa, in o njeni višini za vsak posamezen primer ustrezno upoštevati elemente iz točk od (a) do (k) te določbe, kot so narava, teža in trajanje kršitve.

40

Sistem sankcij, ki ga je določil zakonodajalec Unije, tako nadzornim organom omogoča, da naložijo najprimernejše in najbolj upravičene sankcije glede na okoliščine posameznega primera (glej v tem smislu sodbo z dne 5. decembra 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, točki 75 in 78), ob upoštevanju – kot je bilo opozorjeno v točkah 37 in 38 te sodbe – potrebe po zagotovitvi doslednega spoštovanja SUVP ter po zagotovitvi dosledne in visoke ravni varstva osebnih podatkov z doslednim izvrševanjem.

41

Zato niti iz člena 58(2) SUVP niti iz njenega člena 83 ni mogoče sklepati, da ima nadzorni organ obveznost, da v vseh primerih, kadar ugotovi kršitev varstva osebnih podatkov, sprejme popravljalni ukrep, zlasti upravno globo, saj je njegova obveznost v takih okoliščinah ta, da se ustrezno odzove, da bi odpravil ugotovljeno pomanjkljivost. V teh okoliščinah, kot je generalni pravobranilec navedel v točki 81 sklepnih predlogov, pritožnik, čigar pravice so bile kršene, nima subjektivne pravice, da nadzorni organ upravljavcu naloži upravno globo.

42

Nadzorni organ pa mora ukrepati, kadar je sprejetje enega ali več popravljalnih ukrepov iz člena 58(2) SUVP ob upoštevanju vseh okoliščin konkretnega primera ustrezno, potrebno in sorazmerno za odpravo ugotovljene pomanjkljivosti in zagotovitev popolne skladnosti s to uredbo.

43

V zvezi s tem ni izključeno, da lahko nadzorni organ izjemoma in ob upoštevanju posebnih okoliščin konkretnega primera opusti sprejetje popravljalnega ukrepa, čeprav je bila ugotovljena kršitev varstva osebnih podatkov. Tako bi lahko bilo zlasti, kadar ugotovljena kršitev ni trajala, na primer, kadar je upravljavec, ki je načeloma izvedel ustrezne tehnične in organizacijske ukrepe v smislu člena 24 SUVP, takoj ko je izvedel za to kršitev, sprejel ustrezne in potrebne ukrepe, da navedena kršitev preneha in se ne ponovi, ob upoštevanju obveznosti, ki jih ima zlasti na podlagi člena 5(2) in člena 24 te uredbe.

44

Razlaga, v skladu s katero nadzornemu organu, kadar ugotovi kršitev varstva osebnih podatkov, ni treba v vseh primerih sprejeti popravljalnega ukrepa na podlagi člena 58(2) GDPR, je podprta s cilji, ki se uresničujejo s tem členom 58(2) oziroma členom 83 te uredbe.

45

V zvezi s ciljem, ki se uresničuje s členom 58(2) SUVP, je iz uvodne izjave 129 te uredbe razvidno, da je namen te določbe zagotavljati skladnost obdelave osebnih podatkov s to uredbo in popraviti primere kršitve te uredbe, da bodo s posredovanjem nacionalnih nadzornih organov ti primeri spet skladni s pravom Unije (sodba z dne 14. marca 2024, Újpesti Polgármesteri Hivatal, C‑46/23, EU:C:2024:239, točka 40).

46

Iz tega sledi, da sprejetje popravljalnega ukrepa izjemoma in ob upoštevanju posebnih okoliščin konkretnega primera ni nujno, če je bil položaj, v katerem je bila kršena SUVP, že popravljen in če upravljavec osebnih podatkov zagotovi skladnost obdelave teh podatkov s to uredbo in če taka opustitev nadzornega organa ne more ogroziti zahteve po doslednem izvrševanju, na katero je opozorjeno v točki 38 te sodbe.

47

Cilj člena 83 SUVP, ki se nanaša na naložitev upravnih glob, je v skladu z uvodno izjavo 148 te uredbe okrepiti izvrševanje pravil te uredbe. Vendar je v isti uvodni izjavi navedeno, da lahko nadzorni organi, kadar gre za manjšo kršitev ali če bi upravna globa, ki bi bila verjetno naložena, pomenila nesorazmerno breme za fizično osebo, ne naložijo upravne globe in namesto nje izrečejo opomin (glej v tem smislu sodbo z dne 5. decembra 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, točka 76).

48

V obravnavanem primeru je iz predloga za sprejetje predhodne odločbe razvidno, da je hranilnica HBDI v skladu s členom 33 SUVP obvestila o kršitvi varstva osebnih podatkov tožeče stranke iz postopka v glavni stvari zaradi nepooblaščenega dostopa do njih s strani ene od njenih zaposlenih. Poleg tega je navedla, da so bili proti tej zaposleni sprejeti disciplinski ukrepi in da bo obdobje hrambe zapisov o dostopu ponovno preučeno. V teh okoliščinah HBDI ni sprejel popravljalnega ukrepa na podlagi člena 58(2) SUVP in zlasti ni naložil upravne globe.

49

Ker so odločitve o pritožbi, ki jih sprejme nadzorni organ, predmet celovitega sodnega nadzora (sodba z dne 7. decembra 2023, SCHUFA Holding (Odpis preostanka dolga), C‑26/22 in C‑64/22, EU:C:2023:958, točka 70), mora predložitveno sodišče preveriti, ali je HBDI zadevno pritožbo obravnaval z vso potrebno skrbnostjo in ali je HBDI s sprejetjem odločbe iz postopka v glavni stvari spoštoval meje polja proste presoje, ki mu ga podeljuje člen 58(2) SUVP (glej v tem smislu sodbo z dne 7. decembra 2023, SCHUFA Holding (Odpis preostanka dolga), C‑26/22 in C‑64/22, EU:C:2023:958, točki 68 in 69 ter navedena sodna praksa).

50

Ob upoštevanju vseh zgornjih preudarkov je treba na postavljeno vprašanje odgovoriti, da je treba člen 57(1)(a) in (f), člen 58(2) in člen 77(1) SUVP razlagati tako, da nadzornemu organu v primeru ugotovitve kršitve varstva osebnih podatkov ni treba sprejeti popravljalnega ukrepa, zlasti upravne globe, na podlagi tega člena 58(2), kadar tako ukrepanje ni ustrezno, potrebno ali sorazmerno za odpravo ugotovljene pomanjkljivosti in zagotovitev popolne skladnosti s to uredbo.

51

Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (prvi senat) razsodilo:

Člen 57(1)(a) in (f), člen 58(2) in člen 77(1) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)

je treba razlagati tako, da

nadzornemu organu v primeru ugotovitve kršitve varstva osebnih podatkov ni treba sprejeti popravljalnega ukrepa, zlasti upravne globe, na podlagi tega člena 58(2), kadar tako ukrepanje ni ustrezno, potrebno ali sorazmerno za odpravo ugotovljene pomanjkljivosti in zagotovitev popolne skladnosti s to uredbo.