–

TR, genom F. Wittmaack, Rechtsanwalt,

–

Land Hessen, genom M. Kottmann och G. Ziegenhorn, Rechtsanwälte,

–

Österrikes regering, genom J. Schmoll och M.-T. Rappersberger, båda i egenskap av ombud,

–

Portugals regering, genom P. Barros da Costa, M.J. Ramos och C. Vieira Guerra, samtliga i egenskap av ombud,

–

Rumäniens regering, genom L.-E. Baţagoi och E. Gane, båda i egenskap av ombud,

–

Norges regering, genom S.-E. Jahr Dahl, L.-M. Moen Jünge och M. Munthe-Kaas, samtliga i egenskap av ombud,

–

Europeiska kommissionen, genom A. Bouchagiar, M. Heller och H. Kranenborg, samtliga i egenskap av ombud,

1

Begäran om förhandsavgörande avser tolkningen av artikel 57.1 a och f, artikel 58.2 och artikel 77.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2) (nedan kallad dataskyddsförordningen).

2

Begäran har framställts i ett mål mellan TR och Land Hessen (delstaten Hessen, Tyskland) angående Hessischer Beauftragte für Datenschutz und Informationsfreiheits (myndighet med ansvar för dataskydd och informationsfrihet för delstaten Hessen, Tyskland) (nedan kallad HBDI) avstående från att vidta korrigerande åtgärder mot Sparkasse X (sparkassan X) (nedan kallad Sparkasse).

3

Skälen 6, 7, 10, 129 och 148 i dataskyddsförordningen har följande lydelse:

…

…

…

4

Artikel 5 i denna förordning har följande lydelse:

”1.   Vid behandling av personuppgifter ska följande gälla:

2.   Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

5

I artikel 24.1 i nämnda förordning anges följande:

”Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.”

6

I artikel 33 i förordningen anges följande:

”1.   Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är behörig i enlighet med artikel 55, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. …

…

3.   Den anmälan som avses i punkt 1 ska åtminstone

…”

7

I artikel 34.1 i dataskyddsförordningen föreskrivs följande:

”Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.”

8

Kapitel VI i denna förordning har rubriken ”Oberoende tillsynsmyndigheter” och innehåller artiklarna 51–59.

9

Artikel 51.1 i nämnda förordning har följande lydelse:

”Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen (nedan kallad tillsynsmyndighet).”

10

I artikel 57 i dataskyddsförordningen, med rubriken ”Uppgifter”, föreskrivs följande i punkt 1:

”Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska varje tillsynsmyndighet på sitt territorium ansvara för följande:

…

…”

11

I artikel 58 i denna förordning, som har rubriken ”Befogenheter”, föreskrivs följande i punkterna 1 och 2:

”1.   Varje tillsynsmyndighet ska ha samtliga följande utredningsbefogenheter

…

2.   Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter

…

…”

12

Artikel 77 i nämnda förordning har följande lydelse:

”1.   Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks.

2.   Den tillsynsmyndighet till vilken klagomålet har ingetts ska underrätta den enskilde om hur arbetet med klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 78.”

13

I artikel 83.1 och 83.2 i samma förordning föreskrivs följande:

”1.   Varje tillsynsmyndighet ska säkerställa att påförande av administrativa sanktionsavgifter i enlighet med denna artikel för sådana överträdelser av denna förordning som avses i punkterna 4, 5 och 6 i varje enskilt fall är effektivt, proportionellt och avskräckande.

2.   Administrativa sanktionsavgifter ska, beroende på omständigheterna i det enskilda fallet, påföras utöver eller i stället för de åtgärder som avses i artikel 58.2 a–h och j. Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och om beloppet för de administrativa sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till följande:

14

Sparkasse är ett offentligt kommunalt organ som bland annat tillhandahåller bank- och kredittjänster. Den 15 november 2019 anmälde Sparkasse, i enlighet med artikel 33 i dataskyddsförordningen, en personuppgiftsincident till HBDI. Personuppgiftsincidenten bestod i att en av dess anställda vid flera tillfällen, utan att vara behörig därtill, hade tagit del av en av Sparkasses kunders (TR) personuppgifter. Sparkasse underrättade inte TR om att hans personuppgifter hade kränkts.

15

Efter det att TR av en händelse hade fått kännedom om att en anställd utan att vara behörig därtill hade tagit del av hans personuppgifter, ingav han den 27 juli 2020 ett klagomål till HBDI med stöd av artikel 77 i dataskyddsförordningen. I klagomålet påtalade TR att han, i strid med artikel 34 i förordningen, inte hade underrättats om kränkningen av hans personuppgifter. Han kritiserade även lagringsperioden för Sparkasses åtkomstprotokoll, vilken endast var tre månader, samt den omständigheten att Sparkasses anställda hade omfattande åtkomstbehörighet.

16

Till följd av TR:s klagomål hörde HBDI Sparkasse skriftligen och muntligen angående de anklagelser som riktades mot den. I samband härmed uppgav Sparkasse att den hade avstått från att informera TR om incidenten enligt artikel 34 i dataskyddsförordningen eftersom dess dataskyddsombud hade bedömt att det inte förelåg en hög risk för TR:s rättigheter och friheter. Detta då disciplinåtgärder hade vidtagits mot den berörda medarbetaren som skriftligen hade försäkrat att hon varken hade kopierat eller lagrat personuppgifterna samt att hon inte hade överfört uppgifterna till tredje man och inte heller skulle göra detta i framtiden. Vad gäller HBDI:s kritik mot den alltför korta lagringsperioden för Sparkasses åtkomstprotokoll informerades HBDI om att lagringsperiodens längd skulle ses över.

17

Genom beslut av den 3 september 2020 informerade HBDI TR om att Sparkasse inte hade åsidosatt artikel 34 i dataskyddsförordningen, eftersom Sparkasses bedömning att personuppgiftsincidenten inte kunde medföra en hög risk för TR:s rättigheter och friheter, i den mening som avses i denna artikel, inte var uppenbart felaktig. Även om den berörda medarbetaren hade tagit del av uppgifterna fanns det nämligen inget som tydde på att hon hade överfört uppgifterna till tredje man eller använt dem till TR:s nackdel. HBDI uppgav dessutom att den hade uppmanat Sparkasse att hädanefter lagra sitt åtkomstprotokoll under en längre period än tre månader. Vad slutligen gällde frågan om Sparkasses anställdas tillgång till personuppgifter, avslog HBDI TR:s klagomål med hänvisning till att det i princip är möjligt att bevilja en omfattande tillgångsrätt när det är säkert att varje användare informeras om under vilka villkor han eller hon kan få tillgång till uppgifterna. Enligt HBDI är det sålunda inte nödvändigt att principiellt kontrollera varje enskild åtkomst.

18

TR överklagade detta beslut till Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden, Tyskland), som är den hänskjutande domstolen, och yrkade att HBDI skulle åläggas att agera mot Sparkasse.

19

Till stöd för sin talan gjorde TR gällande att HBDI inte hade behandlat hans klagomål på det sätt som krävs enligt dataskyddsförordningen, det vill säga med beaktande av samtliga faktiska omständigheter, samt att HBDI borde ha påfört Sparkasse en sanktionsavgift med anledning av de olika överträdelser av bestämmelserna i denna förordning, särskilt artikel 5, artikel 12.3, artikel 15.1 c, artikel 33.1 och artikel 33.3 däri, som den hade gjort sig skyldig till. När en överträdelse av nämnda förordning har fastställts, såsom i förevarande fall, gäller enligt TR inte principen om fakultativ lagföring. HBDI kunde därför inte välja att agera eller att inte agera, utan hade på sin höjd handlingsfrihet vad gällde valet av åtgärder.

20

Den hänskjutande domstolen vill i detta avseende få klarhet i huruvida dataskyddsförordningen, för det fall det visar sig att bestämmelserna om skydd av personuppgifter har åsidosatts, ska tolkas så, att tillsynsmyndigheten är skyldig att vidta korrigerande åtgärder enligt artikel 58.2 i förordningen, till exempel att påföra en administrativ sanktionsavgift, eller om denna myndighet har ett utrymme för skönsmässig bedömning som ger den rätt att, beroende på omständigheterna, avstå från att vidta sådana åtgärder.

21

Den hänskjutande domstolen har angett att den första tolkningen, som är den som förespråkas av TR och till viss del i doktrinen, grundar sig på den omständigheten att en tillsynsmyndighets befogenhet att vidta korrigerande åtgärder syftar till att återställa situationer så att de blir förenliga med unionsrätten när en behandling av uppgifter inkräktar på medborgares rättigheter. Artikel 58.2 i dataskyddsförordningen ska sålunda förstås som en bestämmelse som ger enskilda rätt att utverka åtgärder från en tillsynsmyndighet när ett företag eller en myndighet har behandlat deras personuppgifter på ett lagstridigt sätt eller på andra sätt har kränkt deras rättigheter. När en personuppgiftsincident föreligger är tillsynsmyndigheten följaktligen skyldig att vidta korrigerande åtgärder. Myndigheten har endast ett utrymme för skönsmässig bedömning vad gäller valet av åtgärder.

22

Den hänskjutande domstolen tvivlar emellertid på att denna tolkning, som den anser är alltför extensiv, är välgrundad och är snarare benägen att tillerkänna tillsynsmyndigheten ett visst utrymme för skönsmässig bedömning som ger den rätt att, i vissa fall, avstå från att vidta korrigerande åtgärder, och i synnerhet från att ålägga en sanktion, när en incident föreligger. Även om tillsynsmyndigheten, enligt artikel 57.1 f i dataskyddsförordningen, är skyldig att göra en noggrann prövning i sak av klagomål och att pröva varje enskilt fall, är den likväl inte skyldig att vidta korrigerande åtgärder i alla situationer. Enligt den hänskjutande domstolen föreligger en sådan skyldighet sålunda inte för tillsynsmyndigheten när bestämmelserna om skydd av personuppgifter tidigare har åsidosatts, men den personuppgiftsansvarige har vidtagit åtgärder som inte indikerarar att åsidosättandet av skyddet av personuppgifter kommer att upprepas.

23

Mot denna bakgrund beslutade Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden) att vilandeförklara målet och ställa följande fråga till EU-domstolen:

”Ska artikel 57.1 a och f samt artikel 58.2 a–j jämförda med artikel 77.1 i [dataskyddsförordningen] tolkas på så sätt att tillsynsmyndigheten i en situation där den konstaterar att en behandling som kränker den registrerades rättigheter har skett alltid är skyldig att vidta åtgärder enligt artikel 58.2 i nämnda förordning?”

24

TR har, utan att uttryckligen bestrida att begäran om förhandsavgörande kan tas upp till sakprövning, gjort gällande att ett svar på den ställda frågan inte är nödvändigt för att avgöra det nationella målet. Hans talan syftar endast till att den hänskjutande domstolen ska förplikta HBDI att pröva de invändningar som framställts i klagomålet, i enlighet med artikel 57.1 f i dataskyddsförordningen, och inte till att myndigheten ska förpliktas att utöva sina befogenheter enligt artikel 58.2 i dataskyddsförordningen.

25

I detta avseende ska det erinras om att inom ramen för det samarbete mellan EU-domstolen och de nationella domstolarna som har införts genom artikel 267 FEUF ankommer det uteslutande på den nationella domstolen, vid vilken målet anhängiggjorts och som har ansvaret för det rättsliga avgörandet, att mot bakgrund av de särskilda omständigheterna i målet bedöma såväl om ett förhandsavgörande är nödvändigt för att döma i saken som relevansen av de frågor som ställs till EU-domstolen. EU-domstolen är följaktligen i princip skyldig att meddela ett förhandsavgörande när de frågor som ställts avser tolkningen av unionsrätten (dom av den 30 november 2023, Ministero dell’Istruzione och INPS, C‑270/22, EU:C:2023:933, punkt 33 och där angiven rättspraxis).

26

Av detta följer att nationella domstolars frågor om tolkningen av unionsrätten presumeras vara relevanta. Dessa frågor ställs mot bakgrund av den beskrivning av omständigheterna i målet och tillämplig lagstiftning som den nationella domstolen på eget ansvar har lämnat och vars riktighet det inte ankommer på EU-domstolen att pröva. En begäran från en nationell domstol kan bara avvisas då det är uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågeställningen är hypotetisk eller EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts (dom av den 30 november 2023, Ministero dell’Istruzione et INPS,C‑270/22, EU:C:2023:933, punkt 34 och där angiven rättspraxis).

27

I förevarande fall har den hänskjutande domstolen understrukit att TR har gjort gällande att HBDI var skyldig att agera och att påföra Sparkasse en sanktionsavgift.

28

Det är således inte uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet.

29

Härav följer att begäran om förhandsavgörande kan tas upp till prövning.

30

För att besvara den ställda frågan erinrar domstolen inledningsvis om att det vid tolkningen av en unionsbestämmelse inte bara är lydelsen som ska beaktas, utan också det sammanhang i vilket bestämmelsen förekommer och de mål som eftersträvas med den rättsakt som bestämmelsen ingår i (dom av den 7 december 2023, SCHUFA Holding (Skuldsanering), C‑26/22 och C‑64/22, EU:C:2023:958, punkt 48 och där angiven rättspraxis).

31

Det ska även erinras om att enligt artikel 8.3 i Europeiska unionens stadga om de grundläggande rättigheterna samt artikel 51.1 och artikel 57.1 a i dataskyddsförordningen har de nationella tillsynsmyndigheterna till uppgift att övervaka efterlevnaden av unionsbestämmelserna om skyddet av enskilda personer med avseende på behandling av personuppgifter (dom av den 7 december 2023, SCHUFA Holding (Skuldsanering), C‑26/22 och C‑64/22, EU:C:2023:958, punkt 55 och där angiven rättspraxis).

32

I synnerhet är varje tillsynsmyndighet enligt artikel 57.1 f i dataskyddsförordningen skyldig att inom sitt territorium behandla klagomål som var och en enligt artikel 77.1 i förordningen har rätt att inge när vederbörande anser att en behandling av personuppgifter som rör honom eller henne utgör ett åsidosättande av nämnda förordning, och i den utsträckning det är nödvändigt pröva syftet med behandlingen och inom rimlig tid underrätta klaganden om hur utredningen fortskrider och om resultatet av utredningen. Tillsynsmyndigheten ska utreda ett sådant klagomål med vederbörlig omsorg (se, för ett liknande resonemang, dom av den 7 december 2023, SCHUFA Holding (Skuldsanering), C‑26/22 och C‑64/22, EU:C:2023:958, punkt 56 och där angiven rättspraxis).

33

För att behandla klagomål som kommit in på detta sätt tillerkänns varje tillsynsmyndighet enligt artikel 58.1 dataskyddsförordningen betydande utredningsbefogenheter. När en sådan myndighet, efter att ha avslutat sin utredning, konstaterar att bestämmelserna i denna förordning har åsidosatts, är den skyldig att vidta lämpliga åtgärder för att avhjälpa den konstaterade bristen. Sådana åtgärder ska, såsom anges i skäl 129 i förordningen, bland annat vara lämpliga, nödvändiga och proportionella för att säkerställa efterlevnad av nämnda förordning, med beaktande av omständigheterna i varje enskilt fall. I artikel 58.2 i samma förordning anges de olika korrigerande åtgärder som tillsynsmyndigheten kan vidta i detta sammanhang (se, för ett liknande resonemang, dom av den 7 december 2023, SCHUFA Holding (Skuldsanering), C‑26/22 och C‑64/22, EU:C:2023:958, punkt 57 och där angiven rättspraxis).

34

Enligt artikel 58.2 i dataskyddsförordningen har tillsynsmyndigheten således befogenhet att bland annat utfärda reprimander till en personuppgiftsansvarig eller personuppgiftsbiträdet om behandling bryter mot bestämmelserna i nämnda förordning (led b), förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att tillmötesgå den registrerades begäran att få utöva sina rättigheter enligt nämnda förordning (led c), förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att se till att behandlingen sker i enlighet med bestämmelserna i nämnda förordning och om så krävs på ett specifikt sätt och inom en specifik period (led d), eller påföra administrativa sanktionsavgifter i enlighet med artikel 83 utöver eller i stället för de åtgärder som avses i detta stycke, beroende på omständigheterna i varje enskilt fall (led i).

35

Klagomålsförfarandet är således utformat som en mekanism som är ägnad att på ett effektivt sätt skydda de registrerades rättigheter och intressen (dom av den 7 december 2023, SCHUFA Holding (Skuldsanering), C‑26/22 och C‑64/22, EU:C:2023:958, punkt 58).

36

I förevarande fall framgår det av begäran om förhandsavgörande att HBDI i sak prövade det klagomål som klaganden i det nationella målet hade framställt och underrättade honom om resultatet av utredningen. Närmare bestämt bekräftade HBDI att en personuppgiftsincident hade ägt rum inom Sparkasse och att denna incident bestod i att en av Sparkasses anställda utan tillstånd hade tillgång till TR:s uppgifter. HBDI avslog emellertid det klagomål som klaganden i det nationella målet hade ingett beträffande Sparkasses anställdas rätt att ta del av uppgifter. HBDI kom dessutom fram till att det saknades anledning att agera i förhållande till Sparkasse enligt artikel 58.2 i dataskyddsförordningen.

37

Det ska i detta hänseende påpekas att dataskyddsförordningen ger tillsynsmyndigheten ett utrymme för skönsmässig bedömning vad gäller det sätt på vilket den ska avhjälpa den konstaterade bristen, eftersom denna myndighet enligt artikel 58.2 i dataskyddsförordningen har befogenhet att vidta olika korrigerande åtgärder. Domstolen har redan preciserat att det ankommer på tillsynsmyndigheten att välja en lämplig och nödvändig åtgärd. Detta val ska göras med beaktande av samtliga omständigheter i det enskilda fallet och uppdraget ska fullgöras med erforderlig omsorg för att säkerställa att dataskyddsförordningen iakttas fullt ut (se, för ett liknande resonemang, dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkt 112).

38

Detta utrymme för skönsmässig bedömning begränsas emellertid av behovet av att säkerställa en enhetlig och hög skyddsnivå för personuppgifter genom en strikt tillämpning av reglerna, såsom framgår av skälen 7 och 10 i dataskyddsförordningen.

39

Vad närmare bestämt gäller de administrativa sanktionsavgifter som avses i artikel 58.2 i) i dataskyddsförordningen, följer det av artikel 83.2 i denna förordning att dessa påförs utöver eller i stället för de andra åtgärder som avses i nämnda artikel 58.2, beroende på omständigheterna i varje enskilt fall. I artikel 83.2 preciseras dessutom att vid beslut om huruvida administrativa sanktionsavgifter ska påföras och om beloppet för de administrativa sanktionsavgifterna ska, i varje enskilt fall, vederbörlig hänsyn tas till de omständigheter som anges i punkterna a–k i denna bestämmelse, såsom överträdelsens karaktär, svårighetsgrad och varaktighet.

40

Den sanktionsordning som har införts av unionslagstiftaren innebär sålunda att tillsynsmyndigheterna ges möjlighet att påföra de sanktioner som är mest lämpliga beroende på omständigheterna i varje enskilt fall (se, för ett liknande resonemang, dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras,C‑683/21, EU:C:2023:949, punkterna 75 och 78), samtidigt som de, såsom det erinras om i punkterna 37 och 38 ovan, beaktar behovet av att säkerställa att dataskyddsförordningen iakttas fullt ut och av att säkerställa en enhetlig och hög skyddsnivå för personuppgifter genom en strikt tillämpning av reglerna.

41

Det går således inte att av vare sig artikel 58.2 eller artikel 83 i dataskyddsförordningen dra slutsatsen att det föreligger en skyldighet för tillsynsmyndigheten att i samtliga fall, när den konstaterar att en personuppgiftsincident föreligger, vidta en korrigerande åtgärd, och i synnerhet påföra en administrativ sanktionsavgift, eftersom den under sådana omständigheter är skyldig att vidta lämpliga åtgärder för att avhjälpa den konstaterade bristen. Under dessa omständigheter har, såsom generaladvokaten har påpekat i punkt 81 i sitt förslag till avgörande, en person som ingett ett klagomål om att hans eller hennes rättigheter har kränkts inte en subjektiv rätt att begära att tillsynsmyndigheten påför den personuppgiftsansvariga en administrativ sanktionsavgift.

42

Tillsynsmyndigheten är däremot skyldig att agera när antagandet av en eller flera av de korrigerande åtgärder som föreskrivs i artikel 58.2 i dataskyddsförordningen, med beaktande av alla omständigheter i det enskilda fallet, är lämpligt, nödvändigt och proportionellt för att avhjälpa den konstaterade bristen och säkerställa full efterlevnad av denna förordning.

43

I detta avseende är det inte uteslutet att tillsynsmyndigheten undantagsvis och med hänsyn till de särskilda omständigheterna i det enskilda fallet kan avstå från att vidta korrigerande åtgärder trots att en personuppgiftsincident har konstaterats. Så kan bland annat vara fallet när den konstaterade överträdelsen inte har fortsatt, exempelvis när den personuppgiftsansvarige, som i princip hade genomfört lämpliga tekniska och organisatoriska åtgärder i den mening som avses i artikel 24 i dataskyddsförordningen, så snart denne fått kännedom om överträdelsen, har vidtagit lämpliga och nödvändiga åtgärder för att överträdelsen ska upphöra och inte upprepas, med beaktande av de skyldigheter som åligger den personuppgiftsansvarige, bland annat enligt artikel 5.2 och artikel 24 i förordningen.

44

Tolkningen att tillsynsmyndigheten, när den konstaterar att en personuppgiftsincident föreligger, inte alltid är skyldig att vidta korrigerande åtgärder med stöd av artikel 58.2 i dataskyddsförordningen stöds av de mål som eftersträvas med artikel 58.2 respektive artikel 83 i dataskyddsförordningen.

45

Vad gäller det mål som eftersträvas med artikel 58.2 i dataskyddsförordningen, framgår det av skäl 129 i förordningen att denna bestämmelse syftar till att säkerställa att behandlingen av personuppgifter är förenlig med denna förordning och att situationer där förordningen har åsidosatts åtgärdas för att göra dem förenliga med unionsrätten, tack vare de nationella tillsynsmyndigheternas medverkan (dom av den 14 mars 2024, Újpesti Polgármesteri Hivatal,C‑46/23, EU:C:2024:239, punkt 40).

46

Av detta följer att det, i undantagsfall och med beaktande av de särskilda omständigheterna i det enskilda fallet, är tillåtet att inte vidta en korrigerande åtgärd, förutsatt att den situation i vilken förordningen har åsidosatts redan har åtgärdats och att det har säkerställts att den ansvariga personens behandling av personuppgifter är förenlig med denna förordning, samt att ett sådant avstående från tillsynsmyndighetens sida inte kan äventyra kravet på en strikt tillämpning av bestämmelserna, såsom det erinras om i punkt 38 ovan.

47

Vad gäller det mål som eftersträvas med artikel 83 i dataskyddsförordningen, som avser påförande av administrativa sanktionsavgifter, består detta, enligt skäl 148 i förordningen, i att stärka verkställigheten av förordningens bestämmelser. I samma skäl anges emellertid att myndigheterna, vid en mindre överträdelse eller om den sanktionsavgift som sannolikt skulle utdömas skulle innebära en oproportionell börda för en fysisk person, får avstå från att påföra en sanktionsavgift och i stället kan utfärda en reprimand (se, för ett liknande resonemang, dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras,C‑683/21, EU:C:2023:949, punkt 76).

48

I förevarande fall framgår det av begäran om förhandsavgörande att Sparkasse, i enlighet med artikel 33 i dataskyddsförordningen, underrättade HBDI om den personuppgiftsincident som var en följd av att en av Sparkasses anställda utan tillstånd hade tillgång till TR:s uppgifter. Sparkasse angav dessutom att disciplinåtgärder hade vidtagits mot den berörda medarbetaren och att lagringsperiodens längd skulle ses över. Det var under dessa omständigheter som HBDI avstod från att vidta en korrigerande åtgärd med stöd av artikel 58.2 i dataskyddsförordningen, och i synnerhet från att påföra en administrativ sanktionsavgift.

49

Eftersom beslut som fattats av en tillsynsmyndighet angående ett klagomål omfattas av en fullständig domstolsprövning (dom av den 7 december 2023, SCHUFA Holding (Skuldsanering), C‑26/22 och C‑64/22, EU:C:2023:958, punkt 70), ankommer det på den hänskjutande domstolen att kontrollera huruvida HBDI har handlagt det aktuella klagomålet med all vederbörlig omsorg och huruvida HBDI, genom att anta det beslut som är i fråga i det nationella målet, iakttog gränserna för sitt utrymme för skönsmässig bedömning enligt artikel 58.2 i dataskyddsförordningen (se, analogt, dom av den 7 december 2023, SCHUFA Holding (Skuldsanering), C‑26/22 och C‑64/22, EU:C:2023:958, punkterna 68 och 69 samt där angiven rättspraxis).

50

Av det ovan anförda följer att den fråga som ställts ska besvaras enligt följande. Artikel 57.1 a och f, artikel 58.2 och artikel 77.1 i dataskyddsförordningen ska tolkas så, att tillsynsmyndigheten, när den konstaterar att en personuppgiftsincident föreligger, inte är skyldig att vidta en korrigerande åtgärd, och i synnerhet inte att påföra en administrativ sanktionsavgift, enligt nämnda artikel 58.2 när detta inte är lämpligt, nödvändigt eller proportionellt för att avhjälpa den konstaterade bristen och säkerställa att denna förordning iakttas fullt ut.

51

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (första avdelningen) följande:

Artikel 57.1 a och f, artikel 58.2 och artikel 77.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

ska tolkas så,

att tillsynsmyndigheten, när den konstaterar att en personuppgiftsincident föreligger, inte är skyldig att vidta en korrigerande åtgärd, och i synnerhet inte att påföra en administrativ sanktionsavgift, enligt nämnda artikel 58.2 när detta inte är lämpligt, nödvändigt eller proportionellt för att avhjälpa den konstaterade bristen och säkerställa att denna förordning iakttas fullt ut.