–

за UF и AB, от R. Rohrmoser и S. Tintemann, Rechtsanwälte,

–

за Land Hessen, от M. Kottmann и G. Ziegenhorn, Rechtsanwälte,

–

за SCHUFA Holding AG, от G. Thüsing и U. Wuermeling, Rechtsanwalt,

–

за германското правителство, от J. Möller и P.‑L. Krüger, в качеството на представители,

–

за португалското правителство, от P. Barros da Costa, J. Ramos и C. Vieira Guerra, в качеството на представители,

–

за Европейската комисия, от A. Bouchagiar, F. Erlbacher, H. Kranenborg и W. Wils, в качеството на представители,

1

Преюдициалните запитвания се отнасят до тълкуването на членове 7 и 8 от Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“), както и на член 6, параграф 1, първа алинея, буква е), на член 17, параграф 1, буква г), на член 40, на член 77, параграф 1 и на член 78, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1 и поправка в ОВ L 127, 2018 г., стр. 2, наричан по-нататък „ОРЗД“).

2

Запитванията са отправени в рамките на два спора, съответно между UF (дело C‑26/22) и AB (дело C‑64/22), от една страна, и Land Hessen (провинция Хесен, Германия), от друга, по повод на отказа на Hessischer Beauftragter für Datenschutz und Informationsfreiheit (длъжностно лице за защита на данните и свобода на информацията на провинция Хесен, Германия) (наричано по-нататък „HBDI“) да разпореди на SCHUFA Holding AG (наричано по-нататък „SCHUFA“) да изтрие съхранените от него данни относно освобождаванията от остатъка по задълженията в полза на UF и AB.

3

Съгласно съображения 26 и 28 от Директива 2008/48/ЕО на Европейския парламент и на Съвета от 23 април 2008 г. относно договорите за потребителски кредити и за отмяна на Директива 87/102/ЕИО на Съвета (ОВ L 133, 2008 г., стр. 66):

[…]

4

Член 8 („Задължение за оценка на кредитоспособността на потребителя от тази директива“) от тази директива предвижда в параграф 1:

„Държавите членки гарантират, че преди сключването на договора за кредит кредиторът оценява кредитоспособността на потребителя въз основа на достатъчно информация, получена, когато е уместно, от потребителя и, ако е необходимо, въз основа на справка в съответната база данни. Държавите членки, чието законодателство задължава кредиторите да направят оценка на кредитоспособността на потребителя въз основа на справка в съответната база данни, могат да запазят в сила това изискване“.

5

Съгласно съображения 55 и 59 от Директива 2014/17/ЕС на Европейския парламент и на Съвета от 4 февруари 2014 г. относно договорите за кредити за жилищни недвижими имоти за потребители и за изменение на директиви 2008/48/ЕО и 2013/36/ЕС и Регламент (ЕС) № 1093/2010 (OB L 60, 2014 г., стр. 34):

[…]

6

Член 18 („Задължение за извършване на оценка на кредитоспособността на потребителя“) от тази директива предвижда в параграф 1:

„Държавите членки гарантират, че преди сключването на договор за кредит кредиторът прави обстойна оценка на кредитоспособността на потребителя. При оценката се отчитат надлежно факторите, свързани с проверка на вероятността потребителят да изпълни своите задължения по договора за кредит“.

7

Член 21 („Достъп до бази данни“) от посочената директива гласи в параграфи 1 и 2:

„1.   Всяка държава членка гарантира достъп на всички кредитори от всички държави членки до използваните на нейна територия бази данни за нуждите на оценката на кредитоспособността на потребителите и единствено за целите на проследяването дали потребителите спазват кредитните си задължения през целия срок на договора за кредит. Условията за такъв достъп не са дискриминиращи.

2.   Параграф 1 се прилага еднакво по отношение на базите данни, които се поддържат от кредитни бюра или агенции за кредитна информация, и по отношение на публичните регистри“.

8

Съгласно съображение 76 от Регламент (ЕС) 2015/848 на Европейския парламент и на Съвета от 20 май 2015 година относно производството по несъстоятелност (ОВ L 141, 2015 г., стр. 19):

„С оглед подобряване на предоставянето на информация на съответните кредитори и съдилища и предотвратяване на образуването на паралелни производства по несъстоятелност, от държавите членки следва да се изисква да публикуват имащата отношение информация по трансгранични дела за несъстоятелност в публично достъпен електронен регистър. За да се улесни достъпът до тази информация за кредиторите и съдилищата с местоживеене, съответно местонахождение, в други държави членки, в настоящия регламент следва да се предвиди свързване на регистрите по несъстоятелност чрез европейския портал за електронно правосъдие. […]“.

9

Член 79 („Отговорности на държавите членки по отношение на обработването на лични данни в националните регистри по несъстоятелност“) от този регламент предвижда в параграфи 4 и 5:

„4.   Държавите членки са отговорни в съответствие с Директива 95/46/ЕО [на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995, стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10)] за събирането и съхраняването на данни в националните бази данни и за решенията за предоставяне на тези данни в системата за взаимно свързване на регистрите, в която могат да се правят справки чрез европейския портал за електронно правосъдие.

5.   Като част от информацията, която следва да се предоставя на субектите на данните, за да им се даде възможност да упражняват правата си, и по-специално правото на заличаване на данни, държавите членки информират субектите на данните за периода, през който са достъпни личните данни, съхранявани в регистрите по несъстоятелност“.

10

Съгласно съображения 10, 11, 47, 50, 98,141 и 143 от ОРЗД:

[…]

[…]

[…]

[…]

[…]

11

Текстът на член 5 („Принципи, свързани с обработването на лични данни“) от този регламент е следният:

„1.   Личните данни са:

[…]

[…]

2.   Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

12

Член 6 („Законосъобразност на обработването“) от посочения регламент гласи:

„1.   Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

[…]

[…]

4.   Когато обработването за други цели, различни от тези, за които първоначално са били събрани личните данни, не се извършва въз основа на съгласието на субекта на данните или на правото на Съюза или правото на държава членка, което представлява необходима и пропорционална мярка в едно демократично общество за гарантиране на целите по член 23, параграф 1, администраторът, за да се увери дали обработването за други цели е съвместимо с първоначалната цел, за която са били събрани личните данни, inter alia, взема под внимание:

13

Член 17 („Право на изтриване (право „да бъдеш забравен“)“ от ОРЗД предвижда в параграф 1:

„Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:

[…]

[…]“.

14

Член 21 („Право на възражение“) от този регламент предвижда в параграфи 1 и 2:

„1.   Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 6, параграф 1, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

2.   Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг“.

15

Член 40 („Кодекси за поведение“) от посочения регламент гласи в параграфи 1, 2 и 5:

„1.   Държавите членки, надзорните органи, Комитетът и [Европейската комисия] насърчават изготвянето на кодекси за поведение, които имат за цел да допринесат за правилното прилагане на настоящия регламент, като се отчитат специфичните характеристики на различните обработващи данни сектори и конкретните нужди на микропредприятията, малките и средните предприятия.

2.   Сдруженията и други структури, представляващи категории администратори или обработващи лични данни, могат да изготвят кодекси за поведение или да изменят или допълват такива кодекси с цел да бъде уточнено прилагането на настоящия регламент, като по отношение на:

[…]

5.   Сдруженията и другите структури, посочени в параграф 2 от настоящия член, които възнамеряват да изготвят кодекс за поведение или да изменят или допълнят съществуващ кодекс, представят проекта на кодекс, негово изменение или допълнение на надзорния орган, който е компетентен съгласно член 55. Надзорният орган дава становище дали проектът за кодекс, негово изменение или допълнение съответстват на настоящия регламент и одобрява този проект на кодекс, негово изменение или допълнение, ако установи, че той осигурява достатъчно подходящи гаранции“.

16

Член 51 („Надзорен орган“) от ОРЗД предвижда в параграф 1:

„Всяка държава членка осигурява един или повече независими публични органи, които са отговорни за наблюдението на прилагането на настоящия регламент, за да се защитят основните права и свободи на физическите лица във връзка с обработването и да се улесни свободното движение на личните данни в рамките на Съюза („надзорен орган“)“.

17

Член 52 („Независимост“) от този регламент гласи в параграфи 1, 2 и 4:

„1.   Всеки надзорен орган действа напълно независимо при изпълнението на задачите си и упражняването на правомощията си съгласно настоящия регламент.

2.   При изпълнението на задачите си и упражняването на правомощията си в съответствие с настоящия регламент членът или членовете на надзорния орган остават независими от външно влияние, било то пряко или непряко, и нито търсят, нито приемат инструкции от когото и да било.

[…]

4.   Всяка държава членка гарантира, че на всеки надзорен орган са предоставени човешки, технически и финансови ресурси, помещения и инфраструктура, необходими за ефективното изпълнение на неговите задачи и упражняването на неговите правомощия, включително на тези, които ще бъдат изпълнявани в контекста на взаимопомощта, сътрудничеството и участието в Комитета“.

18

Член 57 („Задачи“) от посочения регламент предвижда в параграф 1:

„Без да се засягат останалите задачи, определени с настоящия регламент, на своята територия всеки надзорен орган:

[…]

[…]“.

19

Член 58 („Правомощия“) от ОРЗД изброява в параграф 1 правомощията за разследване, с които разполага всеки надзорен орган, а в параграф 2 — корективните мерки, които той може да приеме.

20

Член 77 („Право на подаване на жалба до надзорен орган“) от този регламент гласи:

„1.   Без да се засягат които и да било други административни или съдебни средства за правна защита, всеки субект на данни има право да подаде жалба до надзорен орган, по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако субектът на данни счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на настоящия регламент.

2.   Надзорният орган, до когото е подадена жалбата, информира жалбоподателя за напредъка в разглеждането на жалбата и за резултата от нея, включително за възможността за съдебна защита съгласно член 78“.

21

Член 78 („Право на ефективна съдебна защита срещу надзорен орган“) от посочения регламент предвижда в параграфи 1 и 2:

„1.   Без да се засягат които и да било други административни или несъдебни средства за защита, всяко физическо и юридическо лице има право на ефективна съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган.

2.   Без да се засягат които и да било други административни или несъдебни средства за защита, всеки субект на данни има право на ефективна съдебна защита, когато надзорният орган, който е компетентен съгласно членове 55 и 56 не е разгледал жалбата или не е информирал субекта на данните в срок от три месеца за напредъка в разглеждането на жалбата, подадена съгласно член 77, или за резултата от нея“.

22

Член 79 („Право на ефективна съдебна защита срещу администратор или обработващ лични данни“) гласи в параграф 1:

„Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент“.

23

Съгласно член 9, параграф 1 от Insolvenzordnung (Закон за несъстоятелността) от 5 октомври 1994 г. (BGBl. 1994 I, стр. 2866), в редакцията му, приложима към фактите по главното производство:

„Подлежащата на официално обявяване информация се публикува в интернет централно за всички провинции; допуска се и публикуване на извадки. В публикацията длъжникът трябва да е точно описан, и по-специално трябва да са посочени адресът му и секторът му на дейност. Информацията се смята за обявена с изтичането на два дни от деня на публикацията“.

24

Член 3 от Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (Наредба за официалните публикации в интернет в производството по несъстоятелност) от 12 февруари 2002 г. (BGBl. I, стр. 677, наричана по-нататък „InsoBekV“) гласи в параграфи 1 и 2:

„(1)   Публикуваните в електронна информационна и комуникационна система данни от производство по несъстоятелност, включително от предварителното производство, се изтриват не по-късно от шест месеца след приключването на производството по несъстоятелност или влизането в сила на решението за прекратяване на дейността на предприятието и спиране на производството по несъстоятелност. Ако не се открие производство по несъстоятелност, срокът започва да тече от отмяната на публикуваните обезпечителни мерки.

(2)   Параграф (1), първо изречение се прилага и за публикациите в производството за освобождаване от остатъка по задълженията, включително определението по член 289 от Закона за несъстоятелността, но в този случай срокът започва да тече с влизането в сила на определението за освобождаване от остатъка по задълженията“.

25

Със съдебни актове съответно от 17 декември 2020 г. и от 23 март 2021 г. е постановено временно освобождаване на UF и AB от остатъка по задълженията им в рамките на отнасящите се до тях производства по несъстоятелност. В съответствие с член 9, параграф 1 от Закона за несъстоятелността, както и в съответствие с член 3, параграфи 1 и 2 от InsoBekV официалното публикуване на тези съдебни актове в интернет е изтрито след изтичане на шест месеца от постановяването им.

26

SCHUFA е частна агенция за икономически справки, която записва и съхранява в своите собствени бази данни информация, съдържаща се в публични регистри, по-специално тази относно освобождаване от остатъка по задълженията. Тя изтрива последната информация след изтичането на срок от три години от записването ѝ, в съответствие с Кодекса за поведение, изготвен в Германия от сдружението на агенциите за икономически справки и одобрен от компетентния надзорен орган.

27

UF и AB се обръщат към SCHUFA с искане за изтриване на вписванията относно съдебните актове, с които са освободени от остатъка по задълженията. Това дружество отказва да уважи исканията им, след като пояснява, че дейността му е съобразена с ОРЗД и че шестмесечният срок за изтриване на вписванията, предвиден в член 3, параграф 1 от InsoBekV, не се прилага за него.

28

Тогава UF и AB подават поотделно жалби до HBDI в качеството му на компетентен надзорен орган.

29

С решения, постановени съответно на 1 март 2021 г. и на 9 юли 2021 г., HBDI приема, че извършеното от SCHUFA обработване на данни е законосъобразно.

30

UF и AB поотделно обжалват решението на HBDI пред запитващата юрисдикция Verwaltungsgericht Wiesbaden (Административен съд Висбаден, Германия). В подкрепа на жалбите си те изтъкват, че в рамките на задачите и правомощията си HBDI е длъжно да вземе мерки срещу SCHUFA, за да изиска от него да изтрие отнасящите се до тях вписвания.

31

В своя защита HBDI иска жалбите да бъдат отхвърлени.

32

От една страна, HBDI поддържа, че предвиденото в член 77, параграф 1 от ОРЗД право на подаване на жалба е замислено само като право на петиция. По този начин съдебният контрол се свеждал до проверка дали надзорният орган е разгледал жалбата, дали е информирал нейния подател за напредъка в разглеждането ѝ и за резултата от нея. За разлика от това съдът не следвало да упражнява съдебен контрол за правилността по същество на постановеното по жалбата решение.

33

От друга страна, HBDI подчертава, че данните, до които имат достъп агенциите за икономически справки, могат да бъдат съхранявани толкова, колкото е необходимо за целите, за които се съхраняват. При липсата на въведена от националния законодател правна уредба кодексите за поведение, приети от надзорните органи, и кодексът, изготвен от сдружението на агенциите за икономически справки, предвиждали изтриване на тези данни точно три години след вписването в базата данни.

34

В това отношение, на първо място, запитващата юрисдикция счита за необходимо да се изясни правното естество на решението, което надзорният орган взема, след като е бил сезиран с жалба, подадена на основание член 77, параграф 1 от ОРЗД.

35

По-специално, тази юрисдикция има съмнения относно доводите на HBDI, тъй като те водели до накърняване на ефективността на съдебната защита по член 78, параграф 1 от ОРЗД. Освен това, с оглед на целта на този регламент, която — в рамките на прилагането на членове 7 и 8 от Хартата — е да се осигури ефективна защита на основните права и свободи на физическите лица, членове 77 и 78 от посочения регламент не можели да се тълкуват ограничително.

36

Посочената юрисдикция застъпва тълкуване, според което решението по същество, взето от надзорния орган, трябва да подлежи на пълен съдебен контрол. Този орган обаче разполагал както с право на преценка, така и с дискреционна власт и можел да бъде задължен да предприеме действия само ако няма законни алтернативи.

37

На второ място, запитващата юрисдикция иска да се установи, в едно и в друго отношение, дали е законосъобразно съхраняването от агенции за икономически справки на данни, които се отнасят до кредитоспособността на дадено лице и се съдържат в публични регистри, какъвто е регистърът по несъстоятелност.

38

Първо, съществували съмнения относно законосъобразността на съхраняването от частно дружество като SCHUFA в собствените му бази данни на данните, предадени от публични регистри.

39

Всъщност, най-напред, това съхраняване се извършвало не по конкретен повод, а в случай че техните договорни партньори поискат от тях такава информация, и в крайна сметка водело до резервно съхраняване на данните, особено когато в публичния регистър те вече са били изтрити поради изтичането на срока за съхраняването им.

40

Освен това, обработване и следователно запазване на данни били разрешени само ако е изпълнено едно от условията, предвидени в член 6, параграф 1 от ОРЗД. В случая можело да се вземе предвид само условието по член 6, параграф 1, първа алинея, буква е) от ОРЗД. Все пак оставало съмнение дали агенция за икономически справки администратор като SCHUFA преследва легитимен интерес по смисъла на тази разпоредба.

41

Накрая, SCHUFA била само една от многото агенции за икономически справки, така че в Германия данните се съхранявали под различни форми, което водело до значително посегателство върху основното право, закрепено в член 7 от Хартата.

42

Второ, дори да се приеме, че съхраняването от частни дружества на данни, съдържащи се в публични регистри, е законосъобразно само по себе си, възниква въпросът за възможната продължителност на това съхраняване.

43

В това отношение запитващата юрисдикция счита, че от тези частни дружества следва да се изисква да спазват шестмесечния срок, предвиден в член 3 от InsoBekV относно запазването в регистъра по несъстоятелност на решенията за освобождаване от остатъка по задълженията. По този начин данните, които трябва да бъдат изтрити в публичния регистър, трябвало да се изтриват едновременно с това и във всички частни агенции за икономически справки, които също са ги съхранявали.

44

Впрочем възниквал въпросът дали кодекс за поведение, одобрен в съответствие с член 40 от ОРЗД, който предвижда срок от три години за изтриването на вписвания относно освобождаване от остатъка по задълженията, трябва да бъде взет предвид при претеглянето на интереси, което трябва да се извърши в рамките на преценката по член 6, параграф 1, първа алинея, буква е) от ОРЗД.

45

При тези обстоятелства Verwaltungsgericht Wiesbaden (Административен съд Висбаден) решава да спре производството и да постави на Съда следните преюдициални въпроси:

46

С решение на председателя на Съда от 11 февруари 2022 г. дела C‑26/22 и C‑64/22 са съединени за целите на писмената и устната фаза на производството и на съдебното решение.

47

С първия си въпрос запитващата юрисдикция по същество иска да се установи дали член 78, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че съдебният контрол върху решение по жалба, прието от надзорен орган, се ограничава до проверка дали органът е разгледал жалбата, дали е извършил надлежно разследване по предмета на жалбата и дали е информирал жалбоподателя за резултата от разследването, или това решение подлежи на пълен съдебен контрол, включващ правомощието на сезирания съд да задължи надзорния орган да предприеме конкретна мярка.

48

За да се отговори на този въпрос, най-напред следва да се припомни, че тълкуването на разпоредба от правото на Съюза изисква да се вземе предвид не само нейният текст, но и контекстът ѝ и целите и предназначението на акта, от който тя е част (решение от 22 юни 2023 г., Pankki S, C‑579/21, EU:C:2023:501, т. 38 и цитираната съдебна практика).

49

Що се отнася до текста на член 78, параграф 1 от ОРЗД, тази разпоредба предвижда, че без да се засягат които и да било други административни или несъдебни средства за защита, всяко физическо и юридическо лице има право на ефективна съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган.

50

В това отношение най-напред следва да се отбележи, че в случая приетите от HBDI решения представляват правно обвързващи решения по смисъла на този член 78, параграф 1. Всъщност, след като е разгледал основателността на жалбите, с които е сезиран, този орган е констатирал, че оспорваното от жалбоподателите в главното производство обработване на лични данни е законосъобразно в съответствие с ОРЗД. Освен това правно обвързващият характер на тези решения се потвърждава от съображение 143 от този регламент, съгласно което оставянето без разглеждане или отхвърлянето на жалба от надзорен орган е решение, което произвежда правни последици за подателя на тази жалба.

51

Следва също да се отбележи, че от тази разпоредба във връзка със съображение 141 от този регламент изрично следва, че всеки субект на данни има право на „ефективни“ правни средства за защита в съответствие с член 47 от Хартата.

52

В този смисъл Съдът е приел, че видно от член 78, параграф 1 във връзка със съображение 143 от ОРЗД, съдилищата, сезирани с жалба срещу решение на надзорен орган, следва да разполагат с пълна компетентност, включително за разглеждане на всички фактически и правни въпроси, свързани с висящия спор (решение от 12 януари 2023 г., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, т. 41).

53

При това положение член 78, параграф 1 от ОРЗД не може да се тълкува в смисъл, че съдебният контрол върху решения на надзорния орган се ограничава до проверка дали органът е разгледал жалбата, дали е извършил надлежно разследване по предмета на жалбата и дали е информирал жалбоподателя за резултата от разследването. Напротив, за да бъде „ефективна“ съдебната защита, както изисква тази разпоредба, такова решение трябва да подлежи на пълен съдебен контрол.

54

Това тълкуване се потвърждава от контекста, в който се вписва член 78, параграф 1 от ОРЗД, както и от целите и предназначението на този регламент.

55

Що се отнася до контекста, в който се вписва тази разпоредба, е необходимо да се отбележи, че в съответствие с член 8, параграф 3 от Хартата, член 51, параграф 1 и член 57, параграф 1, буква а) от ОРЗД националните надзорни органи отговарят за контрола за спазването на нормите на Съюза относно защитата на физическите лица във връзка с обработването на лични данни (решение от 16 юли 2020 г., Facebook Ireland и Schrems, C‑311/18, EU:C:2020:559, т. 107).

56

По-специално, по силата на член 57, параграф 1, буква е) от ОРЗД всеки надзорен орган е длъжен на своята територия да разглежда жалбите, които всяко лице има право да подаде в съответствие с член 77, параграф 1 от този регламент, когато счита, че обработване на свързани с него лични данни представлява нарушение на посочения регламент, и да разглежда предмета им, доколкото това е необходимо. Надзорният орган трябва да разгледа такава жалба с цялата дължима грижа (решение от 16 юли 2020 г., Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, т. 109).

57

За целите на обработването на подадените жалби член 58, параграф 1 от ОРЗД предоставя на всеки надзорен орган важни правомощия за разследване. Когато в края на разследването си такъв орган констатира нарушение на разпоредбите на този регламент, той е длъжен да реагира по подходящ начин, за да отстрани констатирания недостатък. За тази цел член 58, параграф 2 от посочения регламент изброява различните корективни правомощия, които има надзорният орган (вж. в този смисъл решение от 16 юли 2020 г., Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, т. 111).

58

От това следва, че както отбелязва генералният адвокат в точка 42 от заключението си, процедурата по подаване на жалби, която не е сходна с тази по петиция, е замислена като механизъм, който да може да защити ефикасно правата и интересите на съответните лица.

59

С оглед обаче на широките правомощия, предоставени на надзорния орган по силата на ОРЗД, изискването за ефективна съдебна защита не би било изпълнено, ако решенията относно упражняването от такъв надзорен орган на правомощия за разследване или корективни правомощия подлежат само на ограничен съдебен контрол.

60

Същото се отнася и за решенията, с които се отхвърля жалба, тъй като член 78, параграф 1 от ОРЗД не прави разграничение в зависимост от естеството на решението, прието от надзорния орган.

61

Що се отнася до целите, преследвани с ОРЗД, от съображение 10 от него следва по-специално, че той има за цел да гарантира високо равнище на защита на физическите лица във връзка с обработването на лични данни в рамките на Съюза. Освен това съображение 11 от този регламент гласи, че ефективната защита на тези данни изисква укрепване на правата на субектите на данните.

62

Ако обаче член 78, параграф 1 от посочения регламент трябваше да се тълкува в смисъл, че посоченият в него съдебен контрол се ограничава до проверка дали надзорният орган е разгледал жалбата, дали е извършил надлежно разследване по предмета на жалбата и дали е информирал жалбоподателя за резултата от разследването, постигането на целите и следването на предназначението на същия регламент неизбежно щяха да бъдат възпрепятствани.

63

Освен това тълкуването на тази разпоредба в смисъл, че решението на надзорен орган по жалба подлежи на пълен съдебен контрол, не поставя под въпрос гаранциите за независимост на надзорните органи, нито правото на ефективна съдебна защита срещу администратор или обработващ лични данни.

64

На първо място, вярно е, че съгласно член 8, параграф 3 от Хартата спазването на правилата в областта на защитата на личните данни подлежи на контрол от независим орган. В този контекст в член 52 от ОРЗД се уточнява по-специално, че всеки надзорен орган действа напълно независимо при изпълнението на задачите си и упражняването на правомощията си съгласно този регламент (параграф 1), че при изпълнението на задачите си и упражняването на правомощията си членът или членовете на надзорния орган остават независими от външно влияние (параграф 2) и че всяка държава членка гарантира, че на всеки надзорен орган са предоставени ресурси, необходими за ефективното изпълнение на неговите задачи и упражняването на неговите правомощия (параграф 4).

65

Тези гаранции за независимост обаче по никакъв начин не са застрашени от факта, че правно обвързващите решения на надзорен орган подлежат на пълен съдебен контрол.

66

На второ място, що се отнася до предвиденото в член 79, параграф 1 от ОРЗД право на ефективна съдебна защита срещу администратор или обработващ лични данни, следва да се отбележи, че съгласно практиката на Съда правните средства за защита, предвидени съответно в член 78, параграф 1 и в член 79, параграф 1 от посочения регламент, могат да се използват успоредно и независимо (решение от 12 януари 2023 г., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, т. 35 и диспозитивът). В този контекст Съдът е приел по-специално, че предоставянето на няколко средства за правна защита подсилва посочената в съображение 141 от този регламент цел да се гарантира, че всеки субект на данни, който счита, че правата му по същия регламент са нарушени, разполага с правото на ефективни средства за съдебна защита в съответствие с член 47 от Хартата (решение от 12 януари 2023 г., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, т. 44).

67

При това положение и въпреки че държавите членки следва в съответствие с принципа на процесуалната автономия да предвидят правилата за взаимовръзката между тези средства за правна защита (решение от 12 януари 2023 г., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, т. 45 и диспозитивът), наличието на предвиденото в член 79, параграф 1 от ОРЗД право на ефективна съдебна защита срещу администратор или обработващ лични данни няма отражение върху обхвата на съдебния контрол, упражняван в рамките на обжалване по член 78, параграф 1 от този регламент върху решение по жалба, прието от надзорен орган.

68

Следва обаче да се добави, че макар, както бе припомнено в точка 56 от настоящото решение, надзорният орган да трябва да разгледа жалбата с цялата дължима грижа, този орган разполага, що се отнася до изброените в член 58, параграф 2 от ОРЗД корективни правомощия, със свобода на преценка по отношение на избора на подходящи и необходими средства (вж. в този смисъл решение от 16 юли 2020 г., Facebook Ireland et Schrems,C‑311/18, EU:C:2020:559, т. 112).

69

Впрочем, въпреки че, както бе констатирано в точка 52 от настоящото решение, националният съд, сезиран с жалба по член 78, параграф 1 от ОРЗД, да трябва да разполага с пълна компетентност, за да разгледа всички фактически и правни въпроси, свързани със съответния спор, гаранцията за ефективна съдебна защита не означава, че той е оправомощен да замени със своята преценка за избора на подходящите и необходими корективни правомощия тази на посочения орган, а изисква този съд да провери дали надзорният орган е спазил границите на своето право на преценка.

70

С оглед на изложените по-горе съображения на първия въпрос следва да се отговори, че член 78, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че решението по жалба, прието от надзорен орган, подлежи на пълен съдебен контрол.

71

С втория, третия, четвъртия и петия въпрос, които следва да се разгледат заедно, запитващата юрисдикция по същество иска да се установи:

72

Съгласно член 5, параграф 1, буква а) от ОРЗД личните данни са обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните.

73

В този контекст член 6, параграф 1, първа алинея от този регламент съдържа изчерпателен списък на случаите, в които обработването на лични данни може да се счита за законосъобразно. Така, за да се счита за законосъобразно, обработването трябва да попада в някой от случаите, предвидени в тази разпоредба (решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 90 и цитираната съдебна практика).

74

В случая е безспорно, че законосъобразността на обработването на лични данни, разглеждано в главните производства, трябва да се преценява само с оглед на член 6, параграф 1, първа алинея, буква е) от ОРЗД. Съгласно тази разпоредба обработването на лични данни е законосъобразно само ако и доколкото е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

75

Така тази разпоредба предвижда три кумулативни условия, за да бъде обработването на лични данни законосъобразно, а именно, първо, администраторът или третото лице да преследва легитимни интереси, второ, обработването на личните данни да е необходимо за целите на преследваните легитимни интереси и трето, основните интереси, свободи или права на лицето, ползващо се от защитата на данните, да нямат преимущество (решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 106 и цитираната съдебна практика).

76

Що се отнася, първо, до условието за преследване на „легитимни интереси“, при липсата на определение на това понятие в ОРЗД, следва да се подчертае, както отбелязва генералният адвокат в точка 61 от заключението си, че широк кръг от интереси по принцип могат да се считат за легитимни.

77

На второ място, що се отнася до условието обработването на лични данни да е необходимо за целите на преследваните легитимни интереси, то изисква запитващата юрисдикция да провери дали легитимният интерес от обработването на данните не може логично да се постигне също толкова ефикасно с други средства, които засягат в по-малка степен основните права и свободи на субектите на данни, и по-специално правата на зачитане на личния живот и на защита на личните данни, гарантирани с членове 7 и 8 от Хартата (решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 108 и цитираната съдебна практика).

78

Във връзка с това следва да се припомни също, че условието обработването да е необходимо, трябва да се разглежда заедно с т.нар. принцип за „свеждане на данните до минимум“, прогласен в член 5, параграф 1, буква в) от ОРЗД, съгласно който личните данни трябва да бъдат „подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват“ (решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 109 и цитираната съдебна практика).

79

На трето място, що се отнася до условието интересите или основните права и свободи на лицето, ползващо се от защитата на данните, да нямат преимущество пред легитимния интерес на администратора или на трета страна, Съдът вече е постановил, че това условие предполага претегляне на съответните противоположни права и интереси, което по принцип зависи от конкретните обстоятелства в отделния случай, и че следователно запитващата юрисдикция следва да направи такова претегляне, като отчете тези специфични обстоятелства (решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 110 и цитираната съдебна практика).

80

Освен това, както следва от съображение 47 от ОРЗД, интересите и основните права на субекта на данни могат по-конкретно да имат преимущество пред интереса на администратора, когато личните данни се обработват при обстоятелства, при които субектите на данни основателно не очакват такова обработване (решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 112).

81

Ето защо, въпреки че в последна сметка запитващата юрисдикция трябва да прецени дали по отношение на разглежданото в главните производства обработване на лични данни са изпълнени трите условия, припомнени в точка 75 от настоящото решение, когато се произнася по преюдициално запитване, Съдът може с решението по преюдициалното запитване да даде пояснения с цел да насочи националната юрисдикция при произнасянето ѝ (вж. в този смисъл решение от 20 октомври 2022 г., Digi, C‑77/21, EU:C:2022:805, т. 39 и цитираната съдебна практика).

82

В случая, що се отнася до преследването на легитимни интереси, SCHUFA поддържа, че агенциите за икономически справки обработват данни, необходими за оценката на кредитоспособността на лица или предприятия, за да могат да предоставят тази информация на своите договорни партньори. Впрочем, освен че тази дейност защитавала икономическите интереси на предприятията, които желаят да сключват договори, свързани с предоставянето на кредит, определянето на кредитоспособността и предоставянето на справки за кредитоспособността представлявали основата на предоставянето на кредит и на способността на икономиката да функционира. Дейността на тези агенции допринасяла и за конкретизиране на търговските желания на лицата, заинтересовани от операциите, свързани с предоставянето на кредит, тъй като справките позволявали бързо разглеждане и без бюрокрация на тези операции.

83

В това отношение, макар обработването на лични данни като разглежданото в главните производства да обслужва икономическите интереси на SCHUFA, това обработване служи и за преследване на легитимните интереси на договорните партньори на SCHUFA, които възнамеряват да сключат договори, свързани с предоставянето на кредит на физически лица, да могат да оценяват кредитоспособността на последните, а следователно и на интересите на кредитния сектор от социално-икономическа гледна точка.

84

Всъщност, що се отнася до договорите за потребителски кредити, от член 8 във връзка със съображение 28 от Директива 2008/48 следва, че преди сключването на договора за кредит кредиторът оценява кредитоспособността на потребителя въз основа на достатъчно информация, включително, евентуално, информация от публични и частни бази данни.

85

Освен това, що се отнася до договорите за кредити за жилищни недвижими имоти за потребители, от член 18, параграф 1 и член 21, параграф 1 от Директива 2014/17 във връзка със съображения 55 и 59 от нея е видно, че кредиторът трябва да направи обстойна оценка на кредитоспособността на потребителя и да има достъп до кредитните регистри, като справката с такива бази данни е полезен елемент за целите на тази оценка.

86

Следва да се добави, че задължението за извършване на оценка на кредитоспособността на потребителите, предвидено в Директиви 2008/48 и 2014/17, има за цел не само да защити лицето, което иска да му бъде предоставен кредит, но и както се подчертава в съображение 26 от Директива 2008/48, да гарантира доброто функциониране на кредитната система като цяло.

87

Обработването на данни обаче трябва и да е необходимо за постигането на легитимните интереси, преследвани от администратора или от трето лице, и интересите или основните права и свободи на субекта на данни да нямат преимущество пред тези интереси. При това претегляне на съответните противоположни права и интереси, а именно на администратора или на участващите трети лица, от една страна, и на субекта на данните, от друга, е важно да се отчетат, както бе посочено в точка 80 от настоящото решение, по-специално основателните очаквания на субекта на данни, както и обхватът на съответното обработване и отражението му върху този субект (вж. решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 116).

88

Що се отнася до член 6, параграф 1, първа алинея, буква е) от ОРЗД, Съдът е приел, че тази разпоредба трябва да се тълкува в смисъл, че дадено обработване може да се счита за необходимо за целите на легитимните интереси на администратора или на трета страна, по смисъла на тази разпоредба, само ако това обработване се извършва в границите на строго необходимото за постигането на този легитимен интерес и ако от претеглянето на противоположните интереси, през призмата на всички релевантни обстоятелства, е видно, че интересите и основните права или свободи на лицата, за които се отнася това обработване, нямат преимущество пред легитимния интерес на администратора или на трета страна (вж. в този смисъл решения от 4 май 2017 г., Rīgas satiksme, C‑13/16, EU:C:2017:336, т. 30, и от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 126).

89

В този контекст запитващата юрисдикция посочва два аспекта на разглежданото в главните производства обработване на лични данни. На първо място, това обработване предполагало съхраняване на данни под различни форми, а именно не само в публичен регистър, но и в базите данни на агенциите за икономически справки, с уточнението, че посочените дружества извършвали това съхраняване не по конкретен повод, а в случай че техните договорни партньори поискат от тях такава информация. На второ място, посочените дружества съхранявали тези данни в продължение на три години, при това въз основа на кодекс за поведение по смисъла на член 40 от ОРЗД, докато националното законодателство предвиждало, що се отнася до публичния регистър, само шестмесечен срок на съхранение.

90

Що се отнася до първия от тези аспекти, SCHUFA твърди, че би било невъзможно да се предостави своевременно информация, ако съответната агенция за икономически справки е длъжна да изчака конкретно искане, преди да може да започне да събира данни.

91

В това отношение запитващата юрисдикция следва да провери дали съхраняването на разглежданите данни от SCHUFA в собствените ѝ бази данни е ограничено до строго необходимото за целите на преследвания законен интерес, докато справка с разглежданите данни може да се направи в публичния регистър и без търговско предприятие да е поискало сведения в конкретен случай. Ако случаят не беше такъв, съхраняването на тези данни от SCHUFA не би могло да се счита за необходимо през периода на предоставяне на посочените данни на разположение на обществеността.

92

Що се отнася до срока на съхранение на данните, следва да се приеме, че се смесват разглеждането на второто условие и разглеждането на третото условие, припомнени в точка 75 от настоящото решение, доколкото преценката дали в случая легитимните интереси, преследвани с обработването на лични данни, предмет на главните производства, не могат разумно да бъдат постигнати чрез по-кратък срок на съхранение на данните, изисква претегляне на разглежданите противоположни права и интереси.

93

По отношение на претеглянето на преследваните легитимни интереси следва да се отбележи, че доколкото анализът на дружество, извършен от агенция за икономически справки, прави възможна обективната и надеждна оценка на кредитоспособността на потенциалните клиенти на договорните партньори на агенцията за икономически справки, той позволява да се компенсират разликите в информацията и следователно да се намалят рисковете от измами, както и от други неясноти.

94

Що се отнася обаче до правата и интересите на субекта на данни, обработването на данни относно предоставянето на освобождаване от остатъка по задълженията от агенция за икономически справки, като съхраняването, анализът и съобщаването на тези данни на трето лице, представлява сериозна намеса в основните права на субекта на данни, закрепени в членове 7 и 8 от Хартата. Всъщност тези данни служат като отрицателен фактор при оценката на кредитоспособността на субекта на данни и следователно представляват чувствителна информация за личния му живот (вж. в този смисъл решение от 13 май 2014 г., Google Spain и Google, C‑131/12, EU:C:2014:317, т. 98). Тяхното обработване може значително да навреди на интересите на субекта на данните, тъй като съобщаването им може чувствително да затрудни упражняването на неговите свободи, по-специално когато става въпрос за покриване на основни нужди.

95

Освен това, както отбелязва Комисията, колкото по-дълго агенциите за икономически справки съхраняват разглежданите данни, толкова по-важни са последиците за интересите и личния живот на субекта на данни и толкова по-високи са изискванията относно законосъобразността на съхраняването на тази информация.

96

Освен това следва да се отбележи, че както е видно от съображение 76 от Регламент 2015/848, целта на публичния регистър по несъстоятелност е да се подобри предоставянето на информация на съответните кредитори и съдилища. В този контекст член 79, параграф 5 от посочения регламент само предвижда, че държавите членки информират субектите на данните за периода, през който са достъпни личните данни, съхранявани в регистрите по несъстоятелност, без да определя срок за съхраняването им. За разлика от това от член 79, параграф 4 от този регламент е видно, че държавите членки са отговорни в съответствие с него за събирането и съхраняването на лични данни в националните бази данни. В такъв случай срокът на съхранение на тези данни трябва да бъде определен при спазване на посочения регламент.

97

В случая германският законодател предвижда, че информацията относно предоставянето на освобождаване от остатъка по задълженията се съхранява в регистъра по несъстоятелност само за срок от шест месеца. Следователно той приема, че след изтичането на срок от шест месеца правата и интересите на съответното физическо лице имат предимство пред тези на обществеността да разполага с тази информация.

98

Освен това, както отбелязва генералният адвокат в точка 75 от заключението си, освобождаването от остатъка по задълженията трябва да даде възможност на лицето, което се ползва от него, да участва отново в икономическия живот, и поради това поначало е жизненоважно за него. Постигането на тази цел обаче би било застрашено, ако агенциите за икономически справки могат, за да преценят икономическото положение на дадено лице, да съхраняват данни относно освобождаване от остатъка по задълженията и да използват такива данни, след като са били изтрити от публичния регистър по несъстоятелност, доколкото посочените данни винаги се използват като отрицателен фактор при оценката на кредитоспособността на такова лице.

99

При тези обстоятелства интересите на кредитния сектор да разполага с информация за освобождаване от остатъка по задълженията, не могат да обосноват обработване на лични данни като разглежданото в главните производства след изтичане на срока за съхраняване на данните в публичния регистър по несъстоятелност, така че съхраняването на тези данни от агенция за икономически справки не може да се основава на член 6, параграф 1, първа алинея, буква е) от ОРЗД, що се отнася до периода след изтриването на посочените данни от публичен регистър по несъстоятелност.

100

Що се отнася до шестмесечния период, през който разглежданите данни също са на разположение в този публичен регистър, следва да се отбележи, че макар последиците от успоредното съхраняване на тези данни в бази данни на такива агенции да може да се считат за по-малко сериозни, отколкото след изтичането на шест месеца, това съхраняване все пак представлява намеса в правата, закрепени в членове 7 и 8 от Хартата. В това отношение Съдът вече е постановил, че наличието на едни и същи лични данни в няколко източника засилва намесата в правото на личен живот на лицето (решение от 13 май 2014 г., Google Spain и Google, C‑131/12, EU:C:2014:317, т. 86 и 87). Запитващата юрисдикция следва да претегли разглежданите интереси и последиците за субекта на данни, за да установи дали успоредното съхраняване на тези данни от частни агенции за икономически справки може да се счита за ограничено до строго необходимото, както изисква практиката на Съда, цитирана в точка 88 от настоящото решение.

101

Накрая, що се отнася до наличието, както в случая, на кодекс за поведение, който предвижда, че агенция за икономически справки трябва да изтрие данните относно освобождаване от остатъка по задълженията след изтичането на срок от три години, следва да се припомни, че съгласно член 40, параграфи 1 и 2 от ОРЗД кодексите за поведение имат за цел да допринесат за правилното прилагане на този регламент, като се отчитат специфичните характеристики на различните обработващи данни сектори и конкретните нужди на микропредприятията, малките и средните предприятия. По този начин сдруженията и други структури, представляващи категории администратори или обработващи лични данни, могат да изготвят кодекси за поведение или да изменят или допълват такива кодекси с цел да бъдат уточнени условията за прилагането на посочения регламент, а именно добросъвестното и прозрачно обработване, легитимните интереси, преследвани от администраторите в конкретни аспекти, и събирането на лични данни.

102

Освен това съгласно член 40, параграф 5 от ОРЗД проект на кодекс се представя на компетентния надзорен орган, който го одобрява, ако установи, че осигурява достатъчно подходящи гаранции.

103

В случая разглежданият в главните производства кодекс за поведение е изготвен от сдружението на германските агенции за икономически справки и е одобрен от компетентния надзорен орган.

104

При това положение, макар съгласно член 40, параграфи 1 и 2 от ОРЗД кодексът за поведение да има за цел да допринесе за правилното прилагане на този регламент и да уточни условията за прилагането му, това не променя факта, че както отбелязва генералният адвокат в точки 103 и 104 от заключението си, определените в такъв кодекс условия за законосъобразност на обработването на лични данни не могат да се различават от предвидените в член 6, параграф 1 от ОРЗД.

105

При това положение кодекс за поведение, който води до преценка, различна от тази, която произтича вследствие на член 6, параграф 1, първа алинея, буква е) от ОРЗД, не може да бъде взет предвид при претеглянето, извършено по силата на тази разпоредба.

106

Накрая, запитващата юрисдикция иска по същество да се установи какви са задълженията на агенция за икономически справки по силата на член 17 от ОРЗД.

107

В това отношение следва да се припомни, че съгласно посочения от запитващата юрисдикция член 17, параграф 1, буква г) от ОРЗД субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне тези данни, когато личните данни са били обработвани незаконосъобразно.

108

Ето защо съгласно ясния текст на тази разпоредба, ако въз основа на преценката си относно законосъобразността на разглежданото в главните производства обработване на лични данни запитващата юрисдикция стигне до извода, че това обработване не е законосъобразно, администраторът, в случая SCHUFA, трябва да изтрие съответните данни без ненужно забавяне. В съответствие с установеното в точка 99 от настоящото решение такъв би бил случаят при обработване на лични данни, извършено след изтичане на шестмесечния срок на съхранение на данните в публичния регистър по несъстоятелност.

109

Що се отнася до обработването в рамките на шестмесечния срок, през който данните са достъпни в публичния регистър по несъстоятелност, ако запитващата юрисдикция стигне до извода, че обработването е в съответствие с член 6, параграф 1, първа алинея, буква е) от ОРЗД, се прилага член 17, параграф 1, буква в) от този регламент.

110

Тази разпоредба предвижда правото на изтриване на личните данни, когато субектът на данните възразява срещу обработването съгласно член 21, параграф 1 от ОРЗД и няма „законни основания за обработването, които да имат преимущество“. Съгласно последната разпоредба субектът на данните има право по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 6, параграф 1, първа алинея, буква д) или е) от ОРЗД. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

111

Както отбелязва генералният адвокат в точка 93 от заключението си, от съвместния прочит на тези разпоредби следва, че субектът на данни има право да възрази срещу обработването, и разполага с право на изтриване, освен ако са налице законни основания, които имат преимущество пред интересите, както и пред правата и свободите на субекта на данните по смисъла на член 21, параграф 1 от ОРЗД, което администраторът трябва да докаже.

112

Следователно, ако администраторът не може да представи такова доказателство, субектът на данни има право да поиска изтриването на тези данни на основание член 17, параграф 1, буква в) от ОРЗД, когато възразява срещу обработването в съответствие с член 21, параграф 1 от този регламент. Запитващата юрисдикция следва да провери дали по изключение са налице законови основания, които имат преимущество и могат да обосновават разглежданото обработване.

113

С оглед на всички изложени съображения на втория, третия, четвъртия и петия въпрос следва да се отговори, че:

114

С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (първи състав) реши: