Voorlopige editie

ARREST VAN HET HOF (Vijfde kamer)

14 maart 2024 (*)

„Prejudiciële verwijzing – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening (EU) 2016/679 – Artikel 58, lid 2, onder d) en g) – Bevoegdheden van de toezichthoudende autoriteit van een lidstaat – Artikel 17, lid 1 – Recht op gegevenswissing (,recht op vergetelheid’) – Wissen van onrechtmatig verwerkte persoonsgegevens – Bevoegdheid van de nationale toezichthoudende autoriteit om de verwerkingsverantwoordelijke of de verwerker te gelasten die persoonsgegevens te wissen zonder dat de betrokkene daar heeft om verzocht”

In zaak C‑46/23,

betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door de Fővárosi Törvényszék (rechter in eerste aanleg Boedapest, Hongarije) bij beslissing van 8 december 2022, ingekomen bij het Hof op 31 januari 2023, in de procedure

Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala

tegen

Nemzeti Adatvédelmi és Információszabadság Hatóság,

wijst

HET HOF (Vijfde kamer),

samengesteld als volgt: E. Regan, kamerpresident, Z. Csehi, M. Ilešič (rapporteur), I. Jarukaitis en D. Gratsias, rechters,

advocaat-generaal: L. Medina,

griffier: A. Calot Escobar,

gezien de stukken,

gelet op de opmerkingen van:

–        Nemzeti Adatvédelmi és Információszabadság Hatóság, vertegenwoordigd door G. J. Dudás, ügyvéd,

–        de Hongaarse regering, vertegenwoordigd door Zs. Biró-Tóth en M. Z. Fehér als gemachtigden,

–        de Spaanse regering, vertegenwoordigd door A. Ballesteros Panizo als gemachtigde,

–        de Oostenrijkse regering, vertegenwoordigd door A. Posch, J. Schmoll en C. Gabauer als gemachtigden,

–        de Poolse regering, vertegenwoordigd door B. Majczyna als gemachtigde,

–        de Portugese regering, vertegenwoordigd door P. Barros da Costa, J. Ramos en C. Vieira Guerra als gemachtigden,

–        de Europese Commissie, vertegenwoordigd door A. Bouchagiar, C. Kovács en H. Kranenborg als gemachtigden,

gelet op de beslissing, de advocaat-generaal gehoord, om de zaak zonder conclusie te berechten,

het navolgende

Arrest

1        Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 58, lid 2, onder c), d) en g), van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificatie in PB 2021, L 74, blz. 35) (hierna: „AVG”).

2        Dit verzoek is ingediend in het kader van een geding tussen de Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (gemeentebestuur van Újpest – vierde district van Boedapest, Hongarije; hierna: „gemeentebestuur van Újpest”) en de Nemzeti Adatvédelmi és Információszabadság Hatóság (nationale autoriteit voor gegevensbescherming en vrijheid van informatie, Hongarije; hierna: „Hongaarse toezichthoudende autoriteit”) aangaande een besluit waarbij die autoriteit het gemeentebestuur van Újpest heeft gelast om onrechtmatig verwerkte persoonsgegevens te wissen.

 Toepasselijke bepalingen

3        De overwegingen 1, 10 en 129 AVG zijn geformuleerd als volgt:

„(1)      De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie [...] en artikel 16, lid 1, [VWEU] heeft eenieder recht op bescherming van zijn persoonsgegevens.

[...]

(10)      Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de [Europese] Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. [...]

[...]

(129)      Met het oog op een consequent toezicht en eenvormige handhaving van deze verordening in de gehele Unie dienen de toezichthoudende autoriteiten in alle lidstaten dezelfde taken en feitelijke bevoegdheden te hebben, waaronder de bevoegdheden om onderzoek te verrichten, corrigerende maatregelen te nemen en sancties op te leggen, machtiging te verlenen en adviezen te verstrekken, in het bijzonder bij klachten van natuurlijke personen, en om, onverminderd de bevoegdheden die aan de met vervolging belaste autoriteiten conform het lidstatelijke recht zijn toegekend, inbreuken op deze verordening ter kennis van de rechterlijke instanties te brengen en gerechtelijke procedures in te leiden. [...]”

4        Hoofdstuk I AVG, met als opschrift „Algemene bepalingen”, bevat de artikelen 1 tot en met 4.

5        Artikel 1 („Onderwerp en doelstellingen”) van deze verordening luidt als volgt:

„1.      Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens.

2.      Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.

[...]”

6        Artikel 4 („Definities”) van die verordening bepaalt in de punten 2, 7 en 21:

„Voor de toepassing van deze verordening wordt verstaan onder:

[...]

2)      ‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

[...]

7)      ‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

[...]

21)      ‚toezichthoudende autoriteit’: een door een lidstaat ingevolge artikel 51 ingestelde onafhankelijke overheidsinstantie”.

7        In hoofdstuk II AVG, met als opschrift „Beginselen”, staat in artikel 5 („Beginselen inzake verwerking van persoonsgegevens”) te lezen:

„1.      Persoonsgegevens moeten:

a)      worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (‚rechtmatigheid, behoorlijkheid en transparantie’);

b)      voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; [...] (‚doelbinding’);

c)      toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (‚minimale gegevensverwerking’);

[...]

2.      De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (‚verantwoordingsplicht’).”

8        In hoofdstuk III AVG, met als opschrift „Rechten van de betrokkene”, staat in artikel 17 [„Recht op gegevenswissing (‚recht op vergetelheid’)”], lid 1, van deze verordening te lezen:

„De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:

a)      de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;

b)      de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking;

c)      de betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2;

d)      de persoonsgegevens zijn onrechtmatig verwerkt;

[...]”

9        Hoofdstuk VI AVG, met als opschrift „Onafhankelijke toezichthoudende autoriteiten”, bevat de artikelen 51 tot en met 59.

10      Artikel 51 („Toezichthoudende autoriteit”) van deze verordening bepaalt in de leden 1 en 2:

„1.      Elke lidstaat bepaalt dat één of meer onafhankelijke overheidsinstanties verantwoordelijk zijn voor het toezicht op de toepassing van deze verordening, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken [...].

2.      Elke toezichthoudende autoriteit draagt bij tot de consequente toepassing van deze verordening in de hele Unie. Daartoe werken de toezichthoudende autoriteiten onderling en met de [Europese] Commissie samen overeenkomstig hoofdstuk VII.”

11      Artikel 57 („Taken”) van die verordening bepaalt in lid 1:

„1.      Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht elke toezichthoudende autoriteit op haar grondgebied de volgende taken:

a)      zij monitort en handhaaft de toepassing van deze verordening;

[...]

h)      zij verricht onderzoeken naar de toepassing van deze verordening, onder meer op basis van informatie die zij van een andere toezichthoudende autoriteit of een andere overheidsinstantie ontvangt;

[...]”

12      Artikel 58 („Bevoegdheden”) van die verordening bepaalt in lid 2:

„Elke toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen:

[...]

c)      de verwerkingsverantwoordelijke of de verwerker gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening in te willigen;

d)      de verwerkingsverantwoordelijke of de verwerker gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening;

[...]

g)      het rectificeren of wissen van persoonsgegevens of het beperken van verwerking uit hoofde van de artikelen 16, 17 en 18 gelasten, alsmede de kennisgeving van dergelijke handelingen aan ontvangers aan wie de persoonsgegevens zijn verstrekt, overeenkomstig artikel 17, lid 2, en artikel 19;

[...]

i)      naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83; [...]

[...]”

 Hoofdgeding en prejudiciële vragen

13      In februari 2020 heeft het gemeentebestuur van Újpest besloten financiële steun te verlenen aan inwoners die tot een categorie van personen behoorden die kwetsbaar waren geworden door de COVID-19-pandemie en die aan bepaalde voorwaarden voldeden om voor die steun in aanmerking te komen.

14      In die context heeft het gemeentebestuur zich tot de Magyar Államkincstár (Hongaarse schatkist) en de Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (kantoor van de overheid in het vierde district van Boedapest, Hongarije; hierna: „overheidskantoor”) gewend teneinde de persoonsgegevens te verkrijgen die nodig waren om na te gaan of er was voldaan aan de voorwaarden voor steun. Het ging onder meer om de persoonsidentificatiegegevens en het socialezekerheidsnummer van natuurlijke personen. De Hongaarse schatkist en het overheidskantoor hebben de gevraagde gegevens verstrekt.

15      Met het oog op de betaling van de financiële steun is het gemeentebestuur van Újpest overgegaan tot vaststelling van az Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet [gemeentelijk besluit nr. 16/2020 (IV. 30.) tot invoering van het Újpest+ Megbecsülés-programma], dat werd gewijzigd en aangevuld door 30/2020. (VII. 15.) önkormányzati rendelet [gemeentelijk besluit nr. 30/2020 (VII. 15.)]. Deze gemeentelijke besluiten bevatten de voorwaarden om in aanmerking te komen voor de aldus vastgestelde steun. Het gemeentebestuur van Újpest heeft de ontvangen gegevens verzameld in een database die was opgezet om het steunprogramma uit te voeren, en heeft voor elke reeks gegevens een unieke identificatiecode en een streepjescode gecreëerd.

16      Na een melding te hebben ontvangen heeft de Hongaarse toezichthoudende autoriteit op 2 september 2020 ambtshalve een onderzoek ingesteld naar de verwerking van persoonsgegevens die plaatsvond in het kader van het genoemde steunprogramma. In een besluit van 22 april 2021 heeft deze autoriteit vastgesteld dat het gemeentebestuur van Újpest verschillende bepalingen van de artikelen 5 en 14 alsook artikel 12, lid 1, AVG had geschonden. Zij wees er met name op dat het gemeentebestuur van Újpest de betrokkenen niet binnen een termijn van een maand op de hoogte had gesteld van de categorieën persoonsgegevens die in het kader van dat steunprogramma werden verwerkt, de doeleinden van de verwerking in kwestie of de wijze waarop die personen hun rechten in dat verband konden uitoefenen.

17      De Hongaarse toezichthoudende autoriteit heeft het gemeentebestuur van Újpest krachtens artikel 58, lid 2, onder d), AVG gelast om de persoonsgegevens te wissen van de betrokkenen die volgens de door het overheidskantoor en de Hongaarse schatkist verstrekte informatie wel recht hadden op die steun, maar daar geen aanvraag voor hadden ingediend. Zij was van mening dat zowel de Hongaarse schatkist als het overheidskantoor de bepalingen inzake de verwerking van persoonsgegevens had geschonden wat deze personen betreft. Zij heeft het gemeentebestuur van Újpest en de Hongaarse schatkist daarnaast ook veroordeeld tot betaling van een geldboete in verband met gegevensbescherming.

18      In een bestuursrechtelijke procedure die is ingesteld bij de Fővárosi Törvényszék (rechter in eerste aanleg Boedapest, Hongarije), de verwijzende rechter, komt het gemeentebestuur van Újpest op tegen het besluit van de Hongaarse toezichthoudende autoriteit, stellende dat die autoriteit krachtens artikel 58, lid 2, onder d), AVG niet bevoegd is om te gelasten dat persoonsgegevens worden gewist wanneer de betrokkene geen daartoe strekkend verzoek heeft ingediend in de zin van artikel 17 van die verordening. In dit verband baseert het zich op arrest Kfv.II.37.001/2021/6 van de Kúria (hoogste rechterlijke instantie, Hongarije), waarin deze een uitspraak van de verwijzende rechter heeft bevestigd en heeft geoordeeld dat de Hongaarse toezichthoudende autoriteit niet over die bevoegdheid beschikt. Volgens het gemeentebestuur moet het in artikel 17 AVG neergelegde recht op gegevenswissing worden opgevat als een recht dat uitsluitend toekomt aan de betrokkene.

19      Naar aanleiding van een beroep dat door de Hongaarse toezichthoudende autoriteit was ingesteld bij de Alkotmánybíróság (grondwettelijk hof, Hongarije), heeft die rechterlijke instantie dat arrest van de Kúria vernietigd en geoordeeld dat deze autoriteit bevoegd is om ambtshalve het wissen van onrechtmatig verwerkte persoonsgegevens te gelasten, ook wanneer de betrokkene daar niet om heeft verzocht. De Alkotmánybíróság heeft zich in dit verband gebaseerd op advies nr. 39/2021 van het Europees Comité voor gegevensbescherming, volgens hetwelk artikel 17 AVG voorziet in twee te onderscheiden gevallen voor het wissen van gegevens, namelijk ten eerste het wissen op verzoek van de betrokkene en ten tweede een autonome verplichting die op de verwerkingsverantwoordelijke rust, zodat artikel 58, lid 2, onder g), AVG moet worden beschouwd als een geldige rechtsgrond voor een toezichthoudende autoriteit om ambtshalve onrechtmatig verwerkte persoonsgegevens te wissen.

20      De verwijzende rechter blijft ook na de in het voorgaande punt genoemde beslissing van de Alkotmánybíróság twijfelen over de aan artikel 17 en artikel 58, lid 2, AVG te geven uitlegging. Hij is van oordeel dat het recht op wissing van persoonsgegevens in artikel 17, lid 1, AVG is omschreven als een recht van de betrokkene en dat deze bepaling geen betrekking heeft op twee verschillende gevallen voor het wissen van gegevens.

21      De verwijzende rechter voegt daaraan toe dat een persoon er belang bij kan hebben dat de hem betreffende persoonsgegevens worden verwerkt, zelfs wanneer de nationale toezichthoudende autoriteit de verwerkingsverantwoordelijke gelast om die gegevens vanwege hun onrechtmatige verwerking te wissen. In een dergelijke situatie zou die autoriteit het recht van de betrokkene tegen diens wil uitoefenen.

22      De verwijzende rechter wenst dus te vernemen of de toezichthoudende autoriteit van een lidstaat, ongeacht of de betrokkene zijn rechten uitoefent, de verwerkingsverantwoordelijke of de verwerker kan verplichten om onrechtmatig verwerkte persoonsgegevens te wissen en, zo ja, op welke rechtsgrond, met name gelet op het feit dat artikel 58, lid 2, onder c), AVG uitdrukkelijk voorziet in een verzoek van de betrokkene om zijn rechten uit te kunnen oefenen, dat artikel 58, lid 2, onder d), van die verordening in algemene bewoordingen voorschrijft dat verwerkingen in overeenstemming worden gebracht met de bepalingen van de verordening, en dat artikel 58, lid 2, onder g), AVG rechtstreeks verwijst naar artikel 17 van die verordening, waarvan de toepassing een uitdrukkelijk verzoek van de betrokkene vereist.

23      Voor het geval dat de nationale toezichthoudende autoriteit de verwerkingsverantwoordelijke of de verwerker kan gelasten onrechtmatig verwerkte persoonsgegevens te wissen ondanks het feit dat de betrokkene daar niet om heeft verzocht, vraagt de verwijzende rechter zich af of er bij het opleggen van de verplichting tot gegevenswissing een onderscheid kan worden gemaakt naargelang de persoonsgegevens bij de betrokkene zijn verzameld, gelet op de in artikel 13, lid 2, onder b), AVG bedoelde verplichting van de verwerkingsverantwoordelijke, dan wel van een andere persoon zijn verkregen, gelet op de in artikel 14, lid 2, onder c), van die verordening neergelegde verplichting.

24      Tegen deze achtergrond heeft de Fővárosi Törvényszék de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1)      Moet artikel 58, lid 2, met name onder c), d) en g), [AVG] aldus worden uitgelegd dat de toezichthoudende autoriteit van een lidstaat in het kader van haar bevoegdheden tot het nemen van corrigerende maatregelen de verwerkingsverantwoordelijke of de verwerker kan gelasten onrechtmatig verwerkte persoonsgegevens te wissen, ook al is er geen uitdrukkelijk daartoe strekkend verzoek van de betrokkene overeenkomstig artikel 17, lid 1, [AVG]?

2)      Indien het antwoord op de eerste vraag luidt dat de toezichthoudende autoriteit de verwerkingsverantwoordelijke of de verwerker ook zonder een daartoe strekkend verzoek van de betrokkene kan gelasten onrechtmatig verwerkte persoonsgegevens te wissen, is het dan relevant of de persoonsgegevens al dan niet bij de betrokkene zijn [verzameld]?”

 Beantwoording van de prejudiciële vragen

 Eerste vraag

25      Met zijn eerste vraag wenst de verwijzende rechter te vernemen of artikel 58, lid 2, onder c), d) en g), AVG aldus moet worden uitgelegd dat de toezichthoudende autoriteit van een lidstaat, bij de uitoefening van de bevoegdheden tot het nemen van de in die bepalingen genoemde corrigerende maatregelen, de verwerkingsverantwoordelijke of de verwerker kan gelasten onrechtmatig verwerkte persoonsgegevens te wissen, ook al heeft de betrokkene geen daartoe strekkend verzoek ingediend en het uit hoofde van artikel 17, lid 1, van die verordening aan hem toekomende recht niet uitgeoefend.

26      Deze vraag is aan de orde in een geding over de rechtmatigheid van een besluit van de Hongaarse toezichthoudende autoriteit waarbij het gemeentebestuur van Újpest krachtens artikel 58, lid 2, onder d), AVG wordt gelast persoonsgegevens te wissen die in het kader van het in de punten 13 tot en met 15 van het onderhavige arrest vermelde steunprogramma onrechtmatig waren verwerkt.

27      Overeenkomstig artikel 17, lid 1, AVG heeft de betrokkene het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en is de verwerkingsverantwoordelijke met name krachtens deze bepaling, onder d), verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer deze gegevens „onrechtmatig [zijn] verwerkt”.

28      Artikel 58, lid 2, onder d), AVG bepaalt dat de toezichthoudende autoriteit de verwerkingsverantwoordelijke of de verwerker kan gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van die verordening. Bovendien bepaalt artikel 58, lid 2, onder g), van die verordening dat de toezichthoudende autoriteit de bevoegdheid heeft om het rectificeren of wissen van persoonsgegevens of het beperken van verwerking uit hoofde van de artikelen 16, 17 en 18 van de verordening te gelasten, alsmede om de kennisgeving van dergelijke handelingen aan ontvangers aan wie de persoonsgegevens zijn verstrekt, overeenkomstig artikel 17, lid 2, en artikel 19 van de verordening te gelasten.

29      In deze context vraagt de verwijzende rechter zich af of de toezichthoudende autoriteit van een lidstaat bij de uitoefening van haar bevoegdheden tot het nemen van corrigerende maatregelen als bedoeld in artikel 58, lid 2, onder c), d) en g), AVG de verwerkingsverantwoordelijke of de verwerker ambtshalve – dat wil zeggen zonder voorafgaand verzoek daartoe van de betrokkene – kan gelasten onrechtmatig verwerkte persoonsgegevens te wissen.

30      Volgens vaste rechtspraak van het Hof dient bij de uitlegging van een bepaling van het Unierecht niet alleen rekening te worden gehouden met de bewoordingen ervan, maar ook met de context ervan en met de doelstellingen van de regeling waarvan zij deel uitmaakt (arrest van 13 juli 2023, G GmbH, C‑134/22, EU:C:2023:567, punt 25 en aldaar aangehaalde rechtspraak).

31      Vooraf moet worden opgemerkt dat de relevante bepalingen van het Unierecht waar in de punten 27 en 28 van het onderhavige arrest naar wordt verwezen, in samenhang moeten worden gelezen met artikel 5, lid 1, AVG, waarin de beginselen inzake verwerking van persoonsgegevens zijn neergelegd. Een van die beginselen wordt in artikel 5, lid 1, onder a), AVG vermeld en stelt dat persoonsgegevens worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.

32      Volgens lid 2 van artikel 5 AVG is de verwerkingsverantwoordelijke overeenkomstig de in deze bepaling genoemde „verantwoordingsplicht” verantwoordelijk voor de naleving van lid 1 van dat artikel en moet hij kunnen aantonen dat hij aan elk van de daarin vervatte beginselen voldoet, zodat de bewijslast ter zake op hem rust [arrest van 4 mei 2023, Bundesrepublik Deutschland (Gerechtelijke elektronische postbus), C‑60/22, EU:C:2023:373, punt 53 en aldaar aangehaalde rechtspraak].

33      Wanneer de verwerking van persoonsgegevens niet voldoet aan de beginselen die met name in artikel 5 AVG worden genoemd, zijn de toezichthoudende autoriteiten van de lidstaten bevoegd om overeenkomstig de in de artikelen 57 en 58 van deze verordening vastgestelde taken en bevoegdheden op te treden. Tot die taken behoort onder meer het monitoren en handhaven van de toepassing van de AVG uit hoofde van artikel 57, lid 1, onder a), van die verordening (zie in die zin arrest van 16 juli 2020, Facebook Ireland en Schrems, C‑311/18, EU:C:2020:559, punt 108).

34      In dit verband heeft het Hof er reeds op gewezen dat wanneer een nationale toezichthoudende autoriteit na afloop van het onderzoek van mening is dat er aan de betrokkene geen passend beschermingsniveau wordt geboden, zij op grond van het Unierecht verplicht is om op gepaste wijze te reageren teneinde de vastgestelde ontoereikendheid te verhelpen, ongeacht de oorsprong of de aard van die ontoereikendheid. Daartoe somt artikel 58, lid 2, AVG op welke corrigerende maatregelen de toezichthoudende autoriteit kan nemen. Het staat aan die toezichthoudende autoriteit om het passende middel te kiezen en zich met de nodige zorgvuldigheid te kwijten van haar taak om toe te zien op de volledige naleving van deze verordening (zie in die zin arrest van 16 juli 2020, Facebook Ireland en Schrems, C‑311/18, EU:C:2020:559, punten 111 en 112).

35      Wat meer in het bijzonder de vraag betreft of dergelijke corrigerende maatregelen ambtshalve door de betrokken toezichthoudende autoriteit kunnen worden genomen, moet om te beginnen worden opgemerkt dat artikel 58, lid 2, AVG, gelet op de bewoordingen ervan, een onderscheid maakt tussen corrigerende maatregelen die ambtshalve kunnen worden gelast door een autoriteit, waaronder de maatregelen bedoeld in artikel 58, lid 2, onder d) en g), en die welke slechts kunnen worden genomen na een verzoek van de betrokkene tot uitoefening van zijn rechten uit hoofde van die verordening, zoals de maatregel bedoeld in artikel 58, lid 2, onder c).

36      Uit de bewoordingen van artikel 58, lid 2, onder c), AVG blijkt immers uitdrukkelijk dat het nemen van de in die bepaling genoemde corrigerende maatregel, te weten „de verwerkingsverantwoordelijke of de verwerker gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening in te willigen”, impliceert dat de betrokkene zijn rechten eerst heeft doen gelden door een daartoe strekkend verzoek in te dienen, alsook dat dit verzoek niet kan worden ingewilligd totdat de in die bepaling genoemde bevoegdheid van de toezichthoudende autoriteit is uitgeoefend. Anders dan bij die bepaling kan uit de bewoordingen van artikel 58, lid 2, onder d) en g), van die verordening echter niet worden afgeleid dat het optreden van de toezichthoudende autoriteit van een lidstaat, wat de daarin genoemde maatregelen betreft, beperkt is tot louter de gevallen waarin de betrokkene een desbetreffend verzoek heeft ingediend, aangezien die bewoordingen geen verwijzing naar een dergelijk verzoek bevatten.

37      Wat vervolgens de context van deze bepalingen betreft, moet worden opgemerkt dat er bij de formulering van artikel 17, lid 1, AVG middels het nevenschikkend voegwoord „en” een onderscheid wordt gemaakt tussen, ten eerste, het recht van de betrokkene om van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van de hem betreffende gegevens te verkrijgen en, ten tweede, de verplichting van de verwerkingsverantwoordelijke om die persoonsgegevens zonder vertraging te wissen. Hieruit moet worden afgeleid dat deze bepaling twee los van elkaar staande gevallen regelt, namelijk, ten eerste, het wissen van gegevens op verzoek van de betrokkene en, ten tweede, het wissen van gegevens als gevolg van het bestaan van een autonome verplichting die rust op de verwerkingsverantwoordelijke en die onafhankelijk is van een wissingsverzoek van de betrokkene.

38      Zoals het Europees Comité voor gegevensbescherming in advies nr. 39/2021 heeft vastgesteld, is dat onderscheid immers noodzakelijk, aangezien sommige van de in artikel 17, lid 1, AVG genoemde gevallen betrekking hebben op situaties waarin de betrokkene niet noodzakelijkerwijs op de hoogte is gesteld van de verwerking van hem betreffende persoonsgegevens, zodat alleen de verwerkingsverantwoordelijke kan vaststellen of er een dergelijke verwerking heeft plaatsgevonden. Dat is met name het geval voor de in artikel 17, lid 1, onder d), van die verordening genoemde situatie waarin die gegevens onrechtmatig zijn verwerkt.

39      Deze uitlegging vindt steun in artikel 5, lid 2, AVG, gelezen in samenhang met lid 1, onder a), van dat artikel, op grond waarvan de verwerkingsverantwoordelijke zich er onder meer van moet vergewissen dat de door hem verrichte gegevensverwerking rechtmatig is [zie in die zin arrest van 4 mei 2023, Bundesrepublik Deutschland (Gerechtelijke elektronische postbus), C‑60/22, EU:C:2023:373, punt 54].

40      Ten slotte wordt die uitlegging ook ondersteund door het doel dat met artikel 58, lid 2, AVG wordt nagestreefd en dat blijkt uit overweging 129 van deze verordening, namelijk waarborgen dat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met deze verordening en dat, bij schending van die verordening, de situatie door het optreden van de nationale toezichthoudende autoriteiten in overeenstemming wordt gebracht met het Unierecht.

41      In dit verband moet worden opgemerkt dat, hoewel de keuze van het passende en noodzakelijke middel een zaak is van de nationale toezichthoudende autoriteit en deze autoriteit bij het maken van die keuze alle omstandigheden van het geval in aanmerking moet nemen, deze autoriteit niettemin ertoe gehouden is zich met de nodige voortvarendheid en zorgvuldigheid te kwijten van haar taak om toe te zien op de volledige naleving van de AVG (zie in die zin arrest van 16 juli 2020, Facebook Ireland en Schrems, C‑311/18, EU:C:2020:559, punt 112). Om een doeltreffende toepassing van de AVG te waarborgen, is het bijgevolg van bijzonder belang dat die autoriteit over effectieve bevoegdheden beschikt om doeltreffend op te treden tegen schendingen van die verordening en in het bijzonder om een einde te maken aan die schendingen, ook in situaties waarin de betrokkenen niet op de hoogte zijn gebracht van de verwerking van hun persoonsgegevens, zich daar niet van bewust zijn of in ieder geval niet hebben verzocht om die gegevens te wissen.

42      In die omstandigheden moet worden geoordeeld dat de bevoegdheid tot het nemen van sommige van de corrigerende maatregelen van artikel 58, lid 2, AVG en met name van die welke onder d) en g) van die bepaling worden genoemd, ambtshalve door de toezichthoudende autoriteit van een lidstaat kan worden uitgeoefend indien de ambtshalve uitoefening van die bevoegdheid noodzakelijk is om de toezichthoudende autoriteit in staat te stellen om haar taak te vervullen. Wanneer die autoriteit na afloop van haar onderzoek van mening is dat de verwerking niet aan de vereisten van die verordening voldoet, is zij derhalve overeenkomstig het Unierecht verplicht passende maatregelen te nemen om een einde te maken aan de vastgestelde inbreuk, ongeacht of de betrokkene een verzoek heeft ingediend om het recht uit te oefenen dat hem overeenkomstig artikel 17, lid 1, van die verordening toekomt.

43      Deze uitlegging vindt bovendien ook steun in de doelstellingen van de AVG, zoals die met name blijken uit artikel 1 en de overwegingen 1 en 10 van die verordening, waarin er wordt verwezen naar het garanderen van een hoog beschermingsniveau waar het gaat om het aan natuurlijke personen toekomende grondrecht op bescherming van hun persoonsgegevens, dat is neergelegd in artikel 8, lid 1, van het Handvest van de grondrechten, en in artikel 16, lid 1, VWEU (zie in die zin arresten van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 207, en 28 april 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punt 73).

44      Elke uitlegging die in strijd is met de in punt 42 van het onderhavige arrest gegeven uitlegging en die erop neerkomt dat de toezichthoudende autoriteit van een lidstaat alleen kan optreden naar aanleiding van een daartoe strekkend verzoek van de betrokkene, zou de verwezenlijking van de in de punten 40 en 43 van dit arrest vermelde doelstellingen in gevaar brengen, in het bijzonder in een situatie als die in het hoofdgeding, waarin het wissen van onrechtmatig verwerkte persoonsgegevens mogelijkerwijs betrekking heeft op een groot aantal personen dat het uit hoofde van artikel 17, lid 1, AVG aan hen toekomende recht op gegevenswissing niet hebben uitgeoefend.

45      Zoals de Commissie in haar schriftelijke opmerkingen in wezen heeft betoogd, zou het vereiste dat de betrokkenen eerst een verzoek hebben ingediend, voor de toepassing van artikel 17, lid 1, AVG namelijk betekenen dat de verwerkingsverantwoordelijke, indien er geen verzoek is ingediend, de persoonsgegevens zou kunnen bewaren en onrechtmatig zou kunnen blijven verwerken. Een dergelijke uitlegging zou de doeltreffendheid van de door die verordening geboden bescherming ondermijnen, aangezien zij ertoe zou leiden dat personen die niets ondernemen niet worden beschermd, ook al zijn hun persoonsgegevens onrechtmatig verwerkt.

46      In het licht van de voorgaande overwegingen dient op de eerste vraag te worden geantwoord dat artikel 58, lid 2, onder d) en g), AVG aldus moet worden uitgelegd dat de toezichthoudende autoriteit van een lidstaat, bij de uitoefening van de bevoegdheden tot het nemen van de in die bepalingen genoemde corrigerende maatregelen, de verwerkingsverantwoordelijke of de verwerker kan gelasten onrechtmatig verwerkte persoonsgegevens te wissen, ook al heeft de betrokkene geen daartoe strekkend verzoek ingediend en het uit hoofde van artikel 17, lid 1, van die verordening aan hem toekomende recht niet uitgeoefend.

 Tweede vraag

47      Met zijn tweede vraag wenst de verwijzende rechter in wezen te vernemen of artikel 58, lid 2, AVG aldus moet worden uitgelegd dat de bevoegdheid van de toezichthoudende autoriteit van een lidstaat om het wissen van onrechtmatig verwerkte persoonsgegevens te gelasten, zowel betrekking kan hebben op bij de betrokkene verzamelde gegevens als op uit een andere bron afkomstige gegevens.

48      In dit verband moet allereerst worden opgemerkt dat uit de bewoordingen van de in het vorige punt vermelde bepaling nergens kan worden afgeleid dat de bevoegdheden van de toezichthoudende autoriteit tot het nemen van de daarin genoemde corrigerende maatregelen afhankelijk zijn van de herkomst van de betrokken gegevens en met name van de omstandigheid dat die gegevens bij de betrokkene zijn verzameld.

49      Evenzo bevatten de bewoordingen van artikel 17, lid 1, AVG, dat – zoals blijkt uit punt 37 van het onderhavige arrest – een autonome verplichting oplegt aan de verwerkingsverantwoordelijke om onrechtmatig verwerkte persoonsgegevens te wissen, geen vereisten met betrekking tot de herkomst van de verzamelde gegevens.

50      Bovendien moet de nationale toezichthoudende autoriteit, zoals blijkt uit de punten 41 en 42 van het onderhavige arrest, om een doeltreffende en coherente toepassing van de AVG te waarborgen, over effectieve bevoegdheden beschikken om doeltreffend op te treden tegen inbreuken op die verordening. De in artikel 58, lid 2, onder d) en g), AVG neergelegde bevoegdheden tot het nemen van corrigerende maatregelen kunnen dus niet afhangen van de herkomst van de betrokken gegevens en met name van de omstandigheid dat die gegevens bij de betrokkene zijn verzameld.

51      Bijgevolg moet – in navolging van alle regeringen die schriftelijke opmerkingen hebben ingediend en de Commissie – worden geoordeeld dat het uitoefenen van de bevoegdheden tot het nemen van corrigerende maatregelen als bedoeld in artikel 58, lid 2, onder d) en g), AVG niet kan afhangen van de vraag of de betrokken persoonsgegevens al dan niet rechtstreeks bij de betrokkene zijn verzameld.

52      Deze uitlegging vindt ook steun in de in de punten 40 en 43 van het onderhavige arrest genoemde doelstellingen die met de AVG en in het bijzonder met artikel 58, lid 2, van die verordening worden nagestreefd.

53      In het licht van de voorgaande overwegingen dient op de tweede vraag te worden geantwoord dat artikel 58, lid 2, AVG aldus moet worden uitgelegd dat de bevoegdheid van de toezichthoudende autoriteit van een lidstaat om het wissen van onrechtmatig verwerkte persoonsgegevens te gelasten, zowel betrekking kan hebben op bij de betrokkene verzamelde gegevens als op uit een andere bron afkomstige gegevens.

 Kosten

54      Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Vijfde kamer) verklaart voor recht:

1)      Artikel 58, lid 2, onder d) en g), van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

moet aldus worden uitgelegd dat

de toezichthoudende autoriteit van een lidstaat, bij de uitoefening van de bevoegdheden tot het nemen van de in die bepalingen genoemde corrigerende maatregelen, de verwerkingsverantwoordelijke of de verwerker kan gelasten onrechtmatig verwerkte persoonsgegevens te wissen, ook al heeft de betrokkene geen daartoe strekkend verzoek ingediend en het uit hoofde van artikel 17, lid 1, van die verordening aan hem toekomende recht niet uitgeoefend.

2)      Artikel 58, lid 2, van verordening 2016/679

moet aldus worden uitgelegd dat

de bevoegdheid van de toezichthoudende autoriteit van een lidstaat om het wissen van onrechtmatig verwerkte persoonsgegevens te gelasten, zowel betrekking kan hebben op bij de betrokkene verzamelde gegevens als op uit een andere bron afkomstige gegevens.

ondertekeningen

*      Procestaal: Hongaars.