–

Nemzeti Adatvédelmi és Információszabadság Hatóság, genom G.J. Dudás, ügyvéd,

–

Ungerns regering, genom Zs. Biró-Tóth och M.Z. Fehér, båda i egenskap av ombud,

–

Spaniens regering, genom A. Ballesteros Panizo, i egenskap av ombud,

–

Österrikes regering, genom A. Posch, J. Schmoll och C. Gabauer, samtliga i egenskap av ombud,

–

Polens regering, genom B. Majczyna, i egenskap av ombud,

–

Portugals regering, genom P. Barros da Costa, M.J. Ramos och C. Vieira Guerra, samtliga i egenskap av ombud,

–

Europeiska kommissionen, genom A. Bouchagiar, C. Kovács och H. Kranenborg, samtliga i egenskap av ombud,

1

Begäran om förhandsavgörande avser tolkningen av artikel 58.2 c, d och g i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2) (nedan kallad dataskyddsförordningen).

2

Begäran har framställts i ett mål mellan Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (Stadsdelsnämnden i Újpest, distrikt IV i Budapest, Ungern) (nedan kallad Stadsdelsnämnden i Újpest) och Nemzeti Adatvédelmi és Információszabadság Hatóság (Nationella tillsynsmyndigheten för dataskydd och informationsfrihet, Ungern) (nedan kallad den ungerska tillsynsmyndigheten) angående ett beslut genom vilket den ungerska tillsynsmyndigheten förelade Stadsdelsnämnden i Újpest att radera personuppgifter som behandlats på ett olagligt sätt.

3

Skälen 1, 10 och 129 i dataskyddsförordningen har följande lydelse:

…

…

4

Kapitel I i dataskyddsförordningen har rubriken ”Allmänna bestämmelser” och innehåller artiklarna 1–4.

5

Artikel 1 i förordningen, med rubriken ”Syfte”, har följande lydelse:

”1.   I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter.

2.   Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.

…”

6

I artikel 4 i förordningen, med rubriken ”Definitioner”, anges följande i leden 2, 7 och 21:

”I denna förordning avses med

…

…

…

…”

7

I kapitel II i dataskyddsförordningen, med rubriken ”Principer”, återfinns artikel 5, som har rubriken ”Principer för behandling av personuppgifter”. I den artikeln anges följande:

”1.   Vid behandling av personuppgifter ska följande gälla:

…

2.   Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

8

I kapitel III i dataskyddsförordningen, med rubriken ”Den registrerades rättigheter”, innehåller artikel 17, som har rubriken ”Rätt till radering (’rätten att bli bortglömd’)”. I punkt 1 i den artikeln föreskrivs följande:

”Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

…”

9

Kapitel VI i dataskyddsförordningen har rubriken ”Oberoende tillsynsmyndigheter” och innehåller artiklarna 51–59.

10

Artikel 51 har rubriken ”Tillsynsmyndighet”. I punkterna 1 och 2 i den artikeln föreskrivs följande:

”1.   Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen ….

2.   Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning av denna förordning i hela unionen. För detta ändamål ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen i enlighet med kapitel VII.”

11

Artikel 57 i förordningen har rubriken ”Uppgifter”. Punkt 1 i den artikeln har följande lydelse:

”1.   Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska varje tillsynsmyndighet på sitt territorium ansvara för följande:

a) Övervaka och verkställa tillämpningen av denna förordning.

…

…”

12

Artikel 58 i förordningen har rubriken ”Befogenheter”. I punkt 2 i den artikeln föreskrivs följande:

”Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter

…

…

…

…”

13

I februari 2020 beslutade Stadsdelsnämnden i Újpest att ge ekonomiskt stöd till personer i utsatta grupper under covid-19-pandemin när dessa personer uppfyllde vissa villkor för stödberättigande.

14

Stadsdelsnämnden vände sig i detta syfte till Magyar Államkincstár (den ungerska statskassan) och till Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (Distriktskontoret i distrikt IV i Budapest stad, Ungern) (nedan kallat distriktskontoret) för att erhålla de personuppgifter som var nödvändiga för att fastställa om villkoren för stödberättigande var uppfyllda. Dessa uppgifter omfattade bland annat grundläggande uppgifter om fysiska personers identitet och socialförsäkringsnummer. Den ungerska statskassan och distriktskontoret efterkom denna begäran.

15

För att betala ut det ekonomiska stödet antog Stadsdelsnämnden i Újpest kommundekret Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet (kommundekret 16/2020. (IV. 30.) om införande av programmet ”Újpest + Megbecsülés”) som ändrades och kompletterades genom 30/2020. (VII. 15.) önkormányzati rendelet (kommundekret 30/2020 (VII. 15)). Dessa dekret innehöll villkoren för stödberättigande. Stadsdelsnämnden i Újpest förde in de uppgifter som erhållits i en databas som upprättats för att genomföra stödsystemet och upprättade en unik identifikationskod och en unik streckkod för varje uppsättning av uppgifter.

16

Till följd av ett klagomål inledde den ungerska tillsynsmyndigheten den 2 september 2020, ex officio, en undersökning av den behandling av personuppgifter som låg till grund för ovannämnda stödprogram. I ett beslut som antogs den 22 april 2021 konstaterade myndigheten att Stadsdelsnämnden i Újpest hade åsidosatt flera bestämmelser i artiklarna 3 och 14 samt artikel 12.1 dataskyddsförordningen. Myndigheten påpekade bland annat att Stadsdelsnämnden i Újpest inte inom en månad hade underrättat de registrerade om vilka personuppgifter som behandlats inom ramen för programmet, syftet med behandlingen i fråga eller om hur dessa personer kunde utöva sina rättigheter i detta avseende.

17

Den ungerska tillsynsmyndigheten ålade, med tillämpning av artikel 58.2 d dataskyddsförordningen, Stadsdelsnämnden i Újpest att radera personuppgifterna för de registrerade som, på grundval av de uppgifter som lämnats av distriktskontoret och den ungerska statskassan, förvisso skulle ha haft rätt till stöd men som inte hade ansökt om det. Tillsynsmyndigheten ansåg att både den ungerska statskassan och distriktskontoret hade åsidosatt bestämmelserna om behandling av dessa personers personuppgifter. Dessutom påförde tillsynsmyndigheten Stadsdelsnämnden i Újpest och den ungerska statskassan dataskyddsböter.

18

Stadsdelsnämnden i Újpest överklagade den ungerska tillsynsmyndighetens beslut till Fővárosi Törvényszék (Överdomstolen för Budapests stad, Ungern), som är hänskjutande domstol i målet vid EU-domstolen, och gjorde gällande att tillsynsmyndigheten inte hade befogenhet att besluta om radering av personuppgifter enligt artikel 58.2 d dataskyddsförordningen i avsaknad av en begäran från den registrerade i den mening som avses i artikel 17 i samma förordning. Stadsdelsnämnden i Újpest har i detta avseende åberopat dom Kfv.II.37.001/2021/6 från Kúria (Högsta domstolen, Ungern), med hänvisning till att Kúria (Högsta domstolen) i den domen slog fast att den ungerska tillsynsmyndigheten inte hade någon sådan befogenhet och således fastställde en dom från den hänskjutande domstolen. Enligt klaganden i det nationella målet är rätten att få uppgifter raderade, som föreskrivs i artikel 17 i förordningen, uteslutande utformad som en rättighet för den registrerade.

19

Efter att den ungerska tillsynsmyndigheten väckt talan om grundlagsstridighet upphävde Alkotmánybíróság (Författningsdomstolen, Ungern) domen från Kúria (Högsta domstolen) och slog fast att tillsynsmyndigheten har rätt att på eget initiativ besluta om radering av personuppgifter som varit föremål för olaglig behandling, även om den registrerade inte har begärt det. Alkotmánybíróság (Författningsdomstolen) hänvisade i detta avseende till Europeiska dataskyddsstyrelsens yttrande nr 39/2021, enligt vilket artikel 17 i dataskyddsförordningen föreskriver två olika fall av radering. Det ena är radering på begäran av den registrerade och det andra består i en självständig skyldighet för den personuppgiftsansvarige, vilket innebär att artikel 58.2 g dataskyddsförordningen ska betraktas som en giltig rättslig grund för att personuppgifter som behandlats på ett olagligt sätt raderas ex officio.

20

Efter avgörandet från Alkotmánybíróság (Författningsdomstolen) som avses i föregående punkt hyser den hänskjutande domstolen fortsatt tvivel kring tolkningen av artikel 17 och artikel 58.2 dataskyddsförordningen. Den hänskjutande domstolen anser att rätten att få uppgifter raderade definieras i artikel 17.1 dataskyddsförordningen som en rättighet för den registrerade och att denna bestämmelse inte omfattar två olika fall av radering.

21

Den hänskjutande domstolen har tillagt att en person kan ha ett intresse av att få sina personuppgifter behandlade även när den nationella tillsynsmyndigheten, på grund av att behandlingen är olaglig, förelägger den personuppgiftsansvarige att radera uppgifterna. I ett sådant fall utövar myndigheten den registrerades rättigheter mot dennes vilja.

22

Den hänskjutande domstolen vill således få klarhet i huruvida den nationella tillsynsmyndigheten, oberoende av den registrerades utövande av sin rättighet, kan förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att radera personuppgifter som behandlats på ett olagligt sätt och, om så är fallet, på vilken rättslig grund, bland annat med hänsyn till att det i artikel 58.2 c dataskyddsförordningen uttryckligen hänvisas till en begäran från den registrerade om att få utöva sina rättigheter, och att det i artikel 58.2 d i allmänna ordalag föreskrivs att behandlingen ska vara förenlig med bestämmelserna i dataskyddsförordningen, medan det i artikel 58.2 g uttryckligen hänvisas till artikel 17 dataskyddsförordningen, vars tillämpning kräver en uttrycklig begäran från den registrerade.

23

Om tillsynsmyndigheten, även om den registrerade inte har begärt det, kan förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att radera personuppgifter som har behandlats på ett olagligt sätt, vill den hänskjutande domstolen få klarhet i huruvida det vid antagandet av beslutet om radering är möjligt att göra en åtskillnad beroende på om personuppgifterna har erhållits från den registrerade, med beaktande av den personuppgiftsansvariges skyldighet enligt artikel 13.2 b dataskyddsförordningen, eller från en annan person, med beaktande av skyldigheten enligt artikel 14.2 c i förordningen.

24

Mot denna bakgrund beslutade Fővárosi Törvényszék (Överdomstolen för Budapests stad) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

25

Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 58.2 c, d och g dataskyddsförordningen ska tolkas så, att tillsynsmyndigheten i en medlemsstat, vid utövandet av sin befogenhet att vidta korrigerande åtgärder enligt dessa bestämmelser, får förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att radera personuppgifter som har behandlats på ett olagligt sätt, även om den registrerade inte har framställt någon begäran härom i syfte att utöva sina rättigheter enligt artikel 17.1 dataskyddsförordningen.

26

Frågan har uppkommit i samband med en tvist om lagenligheten av den ungerska tillsynsmyndighetens beslut att med stöd av artikel 58.2 d dataskyddsförordningen förelägga Stadsdelsnämnden i Újpest att radera personuppgifter som behandlats på ett olagligt sätt inom ramen för det stödprogram som beskrivs i punkterna 13–15 ovan.

27

Enligt artikel 17.1 dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera dessa personuppgifter, särskilt, enligt led d i nämnda bestämmelse, när dessa har behandlats på ett olagligt sätt.

28

Enligt artikel 58.2 d dataskyddsförordningen får tillsynsmyndigheten förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att se till att behandlingen sker i enlighet med bestämmelserna i förordningen och om så krävs på ett specifikt sätt och inom en specifik period. Vidare föreskrivs i artikel 58.2 g i förordningen att tillsynsmyndigheten har befogenhet att förelägga om rättelse eller radering av personuppgifter samt begränsning av behandling enligt artiklarna 16, 17 och 18 samt underrätta mottagare till vilka personuppgifterna har lämnats ut om dessa åtgärder enligt artiklarna 17.2 och 19.

29

I detta sammanhang vill den hänskjutande domstolen få klarhet i huruvida en medlemsstats tillsynsmyndighet, vid utövandet av sin befogenhet att vidta korrigerande åtgärder, såsom de som föreskrivs i artikel 58.2 c, d och g dataskyddsförordningen, ex officio, det vill säga utan att den registrerade dessförinnan har begärt det, får förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att radera personuppgifter som har behandlats på ett olagligt sätt.

30

Enligt fast rättspraxis ska vid tolkningen av en unionsbestämmelse inte bara lydelsen beaktas, utan också sammanhanget och de mål som eftersträvas med de föreskrifter som bestämmelsen ingår i (dom av den 13 juli 2023, G GmbHC‑134/22, EU:C:2023:567, punkt 25 och där angiven rättspraxis).

31

Det ska inledningsvis påpekas att de relevanta unionsrättsliga bestämmelser som nämns i punkterna 27 och 28 ovan ska läsas tillsammans med artikel 5.1 dataskyddsförordningen, i vilken principerna för behandling av personuppgifter anges. Bland dessa principer återfinns bland annat, i led a, principen att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

32

Enligt artikel 5.2 dataskyddsförordningen är det den personuppgiftsansvarige som, i kraft av principen om ansvarighet som anges i samma bestämmelse, är ansvarig för att punkt 1 i samma artikel efterlevs och som ska kunna visa att samtliga principer som stadgas i den punkten efterlevs (dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda), C‑60/22, EU:C:2023:373, punkt 53 och där angiven rättspraxis).

33

Om behandlingen av personuppgifter inte är förenlig med principerna i bland annat artikel 5 dataskyddsförordningen ska medlemsstaternas tillsynsmyndigheter ha befogenhet att ingripa i enlighet med sina uppgifter och befogenheter enligt artiklarna 57 och 58 i förordningen. Dessa uppgifter innefattar bland annat att övervaka tillämpningen av dataskyddsförordningen och se till att den efterlevs, i enlighet med artikel 57.1 a i förordningen (se, för ett liknande resonemang, dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkt 108).

34

Domstolen har i detta avseende redan slagit fast att när en nationell tillsynsmyndighet efter avslutad utredning anser att den registrerade inte åtnjuter en adekvat skyddsnivå, är den enligt unionsrätten skyldig att reagera på lämpligt sätt för att avhjälpa den konstaterade bristande skyddsnivån, och detta oberoende av bristens orsak eller art. I artikel 58.2 dataskyddsförordningen anges de olika korrigerande åtgärder som tillsynsmyndigheten kan vidta i detta sammanhang. Det ankommer på denna tillsynsmyndighet att välja ett lämpligt medel för att med all vederbörlig omsorg fullgöra sin uppgift att säkerställa att denna förordning efterlevs fullt ut (se, för ett liknande resonemang, dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkterna 111 och 112).

35

Vad närmare bestämt gäller frågan huruvida den berörda tillsynsmyndigheten kan vidta sådana korrigerande åtgärder ex officio gör domstolen följande bedömning. Det ska inledningsvis påpekas att det i artikel 58.2 dataskyddsförordningen, sett till artikelns lydelse, görs åtskillnad mellan korrigerande åtgärder som kan vidtas ex officio, bland annat sådana som avses i artikel 58.2 d och g, och korrigerande åtgärder som endast kan vidtas på begäran av den registrerade i syfte att få utöva sina rättigheter enligt denna förordning, såsom de åtgärder som avses i artikel 58.2 c i förordningen.

36

Det framgår nämligen uttryckligen av lydelsen i artikel 58.2 c dataskyddsförordningen att antagandet av den korrigerande åtgärden som avses i denna bestämmelse, det vill säga att ”beordra den personuppgiftsansvarige eller personuppgiftsbiträdet att tillmötesgå den registrerades begäran att få utöva sina rättigheter enligt denna förordning”, förutsätter att en registrerad först har gjort gällande sina rättigheter genom att framställa en begäran i detta avseende och att denna begäran inte har bifallits innan tillsynsmyndigheten har fattat det beslut som föreskrivs i nämnda bestämmelse. Till skillnad från denna bestämmelse gör lydelsen i artikel 58.2 d och g i förordningen det inte möjligt att anse att ett ingripande av tillsynsmyndigheten i en medlemsstat, i syfte att tillämpa de åtgärder som avses där, skulle vara begränsat till de fall då den registrerade har framställt en begäran härom, eftersom denna lydelse inte innehåller någon hänvisning till en sådan begäran.

37

Vad därefter gäller det sammanhang i vilket dessa bestämmelser ingår, ska det påpekas att det i artikel 17.1 i förordningen, genom den samordnande konjunktionen ”och”, görs en åtskillnad mellan, å ena sidan, den registrerades rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina uppgifter raderade och, å andra sidan, den personuppgiftsansvariges skyldighet att radera dessa personuppgifter så snart som möjligt. Domstolen drar härav slutsatsen att denna bestämmelse reglerar två av varandra oberoende situationer, nämligen dels radering av uppgifter på begäran av den registrerade, dels radering till följd av att den personuppgiftsansvarige har en självständig skyldighet att ombesörja, oberoende av om det finns en begäran från den registrerade.

38

Såsom Europeiska dataskyddsstyrelsen har påpekat i sitt yttrande nr 39/2021 är en sådan åtskillnad nödvändig, eftersom vissa av de fall som avses i artikel 17.1 omfattar situationer där den registrerade inte nödvändigtvis har informerats om att personuppgifter som rör vederbörande behandlas, vilket innebär att det endast är den personuppgiftsansvarige som kan fastställa förekomsten av dessa uppgifter. Så är särskilt fallet när dessa uppgifter har behandlats på ett sådant olagligt sätt som avses i artikel 17.1 d.

39

Denna tolkning stöds av artikel 5.2 dataskyddsförordningen, jämförd med punkt 1 a i samma artikel, enligt vilken den personuppgiftsansvarige bland annat ska försäkra sig om att den behandling av uppgifter som denne utför är laglig (se, för ett liknande resonemang, dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda), C‑60/22, EU:C:2023:373, punkt 54).

40

En sådan tolkning stöds även av det mål som eftersträvas med artikel 58.2 dataskyddsförordningen, såsom framgår av skäl 129 i förordningen, nämligen att säkerställa att behandlingen av personuppgifter är förenlig med denna förordning och att situationer där förordningen har åsidosatts åtgärdas för att göra dem förenliga med unionsrätten, tack vare de nationella tillsynsmyndigheternas medverkan.

41

Domstolen preciserar att även om det ankommer på den nationella tillsynsmyndigheten att välja en lämplig och nödvändig åtgärd, och att den ska göra detta val med beaktande av samtliga omständigheter i det enskilda fallet, är tillsynsmyndigheten icke desto mindre skyldig att fullgöra sitt uppdrag med erforderlig omsorg och att därvid tillse att dataskyddsförordningen iakttas fullt ut (se, för ett liknande resonemang, dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkt 112). Det är således av särskild betydelse att denna myndighet, för att säkerställa en effektiv tillämpning av dataskyddsförordningen, har faktiska befogenheter att vidta effektiva åtgärder mot överträdelser av förordningen, och i synnerhet att få dem att upphöra, inbegripet i fall där de registrerade inte har informerats om behandlingen av deras personuppgifter eller inte är medvetna om den, eller i vart fall inte har begärt att uppgifterna ska raderas.

42

Under dessa omständigheter finner domstolen att befogenheten att vidta vissa av de korrigerande åtgärder som avses i artikel 58.2 dataskyddsförordningen, särskilt de som anges i leden d och g i denna bestämmelse, kan utövas ex officio av tillsynsmyndigheten i en medlemsstat i den mån det krävs att denna befogenhet utövas ex officio för att tillsynsmyndigheten ska kunna fullgöra sitt uppdrag. När myndigheten efter avslutad utredning anser att behandlingen inte uppfyller kraven i förordningen, är den således enligt unionsrätten skyldig att vidta lämpliga åtgärder för att avhjälpa den konstaterade överträdelsen, och detta oberoende av om den registrerade dessförinnan har begärt att få utöva sina rättigheter enligt artikel 17.1 i förordningen.

43

En sådan tolkning bekräftas för övrigt av de mål som eftersträvas med dataskyddsförordningen, såsom de framgår särskilt av förordningens artikel 1 och dess skäl 1 och 10, vilka hänvisar till garantin för en hög skyddsnivå vad gäller fysiska personers grundläggande rätt till skydd av sina personuppgifter, enligt artikel 8.1 i stadgan om de grundläggande rättigheterna och artikel 16.1 FEUF (se, för ett liknande resonemang, dom av den 6 oktober 2020, La Quadrature du Net m.fl.,C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 207, och dom av den 28 april 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, punkt 73).

44

En tolkning som strider mot den som gjorts i punkt 42 ovan, enligt vilken en sådan tillsynsmyndighet endast har befogenhet att agera efter en begäran från den registrerade, skulle äventyra uppnåendet av de mål som det erinrats om i punkterna 40 och 43 ovan, särskilt i en sådan situation som den som är aktuell i det nationella målet, där raderingen av personuppgifter som har behandlats på ett olagligt sätt avser ett potentiellt stort antal personer som inte har gjort gällande sin rätt till radering enligt artikel 17.1 dataskyddsförordningen.

45

Såsom kommissionen har gjort gällande i sitt skriftliga yttrande skulle nämligen kravet på att de registrerade först ska lämna in en begäran, i den mening som avses i artikel 17.1 dataskyddsförordningen, innebära att den personuppgiftsansvarige, i avsaknad av en sådan begäran, skulle kunna lagra personuppgifterna i fråga och fortsätta behandla dem på ett olagligt sätt. En sådan tolkning skulle undergräva effektiviteten av det skydd som föreskrivs i förordningen, eftersom den skulle leda till att personer som inte vidtar åtgärder inte får något skydd trots att deras personuppgifter har varit föremål för olaglig behandling.

46

Mot bakgrund av vad som anförts ovan ska den första frågan besvaras på följande sätt. Artikel 58.2 c, d och g dataskyddsförordningen ska tolkas så, att tillsynsmyndigheten i en medlemsstat, vid utövandet av sin befogenhet att vidta korrigerande åtgärder enligt dessa bestämmelser, får förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att radera personuppgifter som har behandlats på ett olagligt sätt, även om den registrerade inte har framställt någon begäran härom i syfte att utöva sina rättigheter enligt artikel 17.1 dataskyddsförordningen.

47

Den hänskjutande domstolen har ställt sin andra fråga för att få klarhet i huruvida artikel 58.2 dataskyddsförordningen ska tolkas så, att den befogenhet som tillsynsmyndigheten i en medlemsstat har att förelägga om radering av personuppgifter som har behandlats på ett olagligt sätt kan avse såväl uppgifter som samlats in från den registrerade själv som uppgifter som har erhållits från en annan källa.

48

Det ska i detta hänseende för det första påpekas att ordalydelsen i de bestämmelser som nämns i föregående punkt inte innehåller någon uppgift som tyder på att tillsynsmyndighetens befogenhet att vidta de korrigerande åtgärder som räknas upp där skulle vara beroende av de berörda uppgifternas ursprung eller, i synnerhet, av att de har samlats in från den registrerade.

49

Ordalydelsen i artikel 17.1 dataskyddsförordningen, som, såsom framgår av punkt 37 ovan, föreskriver en självständig skyldighet för den personuppgiftsansvarige att radera personuppgifter som har behandlats på ett olagligt sätt, innehåller inte heller något krav avseende de insamlade uppgifternas ursprung.

50

Såsom framgår av punkterna 41 och 42 ovan är det dessutom, för att säkerställa en effektiv och enhetlig tillämpning av dataskyddsförordningen, nödvändigt att den nationella tillsynsmyndigheten har faktiska befogenheter att vidta åtgärder mot överträdelser av denna förordning på ett effektivt sätt. Den befogenhet att vidta korrigerande åtgärder som föreskrivs i artikel 58.2 d och g dataskyddsförordningen kan således inte vara beroende av de berörda uppgifternas ursprung och i synnerhet inte av att de har samlats in från den registrerade.

51

Domstolen finner följaktligen, i likhet med samtliga regeringar som har inkommit med skriftliga yttranden och med kommissionen, att utövandet av befogenheten att vidta korrigerande åtgärder, i den mening som avses i artikel 58.2 d och g dataskyddsförordningen, inte kan vara beroende av huruvida de aktuella personuppgifterna har samlats in direkt från den registrerade eller inte.

52

En sådan tolkning stöds även av de mål som eftersträvas med dataskyddsförordningen och särskilt artikel 58.2, vilka det erinrats om i punkterna 40 och 43 ovan.

53

Mot bakgrund av vad som anförts ovan ska den andra frågan besvaras på följande sätt. Artikel 58.2 dataskyddsförordningen ska tolkas så, att den befogenhet som tillsynsmyndigheten i en medlemsstat har att förelägga om radering av personuppgifter som har behandlats på ett olagligt sätt kan avse såväl uppgifter som samlats in från den registrerade själv som uppgifter som erhållits från en annan källa.

54

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (femte avdelningen) följande: