РЕШЕНИЕ НА СЪДА (трети състав)

28 ноември 2024 година ( *1 )

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни и свободното движение на тези данни — Регламент (ЕС) 2016/679 — Обработване на данни при издаването на сертификат за COVID‑19 — Данни, които не са получени от субекта на данните — Информация, която трябва да бъде предоставена — Изключение от задължението за предоставяне на информация — Член 14, параграф 5, буква в) — Данни, генерирани от администратора в рамките на собствената му процедура — Право на жалба — Компетентност на надзорния орган — Член 77, параграф 1 — Подходящи мерки за защита на законните интереси на субекта на данните, предвидени в правото на държавата членка, което се прилага спрямо администратора — Мерки, насочени към сигурността на обработването на данни — Член 32“

По дело C‑169/23 [Másdi] ( i )

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Kúria (Върховен съд, Унгария) с акт от 8 февруари 2023 г., постъпил в Съда на 17 март 2023 г., в рамките на производство по дело

Nemzeti Adatvédelmi és Információszabadság Hatóság

срещу

UC,

СЪДЪТ (трети състав),

състоящ се от: K. Jürimäe, председател на втори състав, изпълняваща функцията на председател на трети състав, K. Lenaerts, председател на Съда, изпълняващ функциите на съдия от трети състав, N. Jääskinen, M. Gavalec (докладчик) и N. Piçarra, съдии,

генерален адвокат: L. Medina,

секретар: A. Calot Escobar,

предвид изложеното в писмената фаза на производството,

като има предвид становищата, представени:

–	За Nemzeti Adatvédelmi és Információszabadság Hatóság, от G. J. Dudás, ügyvéd,

–	за UC, от D. Karsai и V. Łuszcz, ügyvédek,

–	за унгарското правителство, от Zs. Biró-Tóth и M. Z. Fehér, в качеството на представители,

–	за чешкото правителство, от L. Březinová, M. Smolek и J. Vláčil, в качеството на представители,

–	за Европейската комисия, от A. Bouchagiar, C. Kovács и H. Kranenborg, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 6 юни 2024 г.,

постанови настоящото

Решение

Преюдициалното запитване се отнася до тълкуването на член 14, параграфи 1 и 5, буква в), на член 32, както и на член 77, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, и поправка в ОВ L 127, 2018 г., стр. 2, наричан по-нататък „ОРЗД“).

Запитването е отправено в рамките на спор между Nemzeti Adatvédelmi és Információszabadság Hatóság (национален орган, отговарящ за защитата на данните и за свободата на информацията, Унгария, наричан по-нататък „надзорният орган“) и UC по повод наличието на задължение за предоставяне на информация относно обработването на лични данни в тежест на Budapest Főváros Kormányhivatala (правителствена служба на столичен район Будапеща, Унгария, наричана по-нататък „издаващият орган“), на която е възложено издаването на сертификати за имунитет на лица, ваксинирани срещу COVID‑19, или прекарали това заболяване.

Правна уредба

Правото на Съюза

ОРЗД

Съгласно съображения 1, 10 и 61—63 от ОРЗД:

„(1)	Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз […] и член 16, параграф 1 [ДФЕС] предвиждат, че всеки има право на защита на личните му данни.

[…]

(10)

За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в [Европейския съюз], нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. Следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. По отношение на обработването на лични данни, необходимо за спазване на правно задължение, за изпълнение на задача от обществен интерес или при упражняване на официалните правомощия, предоставени на администратора на лични данни, на държавите членки следва да се позволи да запазят или да въведат национални разпоредби, които да уточняват по-нататък реда за прилагане на правилата на настоящия регламент. […]

[…]

(61)

Информацията за обработването на лични данни, свързани със субекта на данните, следва да му бъде предоставена в момента на събирането ѝ от субекта на данните или ако личните данни са получени от друг източник — в рамките на разумен срок, в зависимост от обстоятелствата на конкретния случай. В случаите, в които личните данни могат да бъдат законно разкрити на друг получател, субектът на данните следва да бъде информиран, когато личните данни се разкриват за първи път на получателя. Когато администраторът възнамерява да обработва личните данни за цел, различна от тази, за която те са събрани, той следва да предостави на субекта на данните преди това по-нататъшно обработване информация за въпросната друга цел и друга необходима информация. Когато на субекта на данните не може да се предостави информация за произхода на личните данни поради използването на различни източници, се представя обобщена информация.

(62)

Не е необходимо обаче да се налага задължение за предоставяне на информация, когато субектът на данни вече разполага с информацията, когато записването или разкриването на личните данни е изрично предвидено със закон или когато предоставянето на информация на субекта на данни се окаже невъзможно или изисква непропорционално големи усилия. […]

(63)	Всяко физическо лице следва да има право на достъп до събраните лични данни, които го засягат, и да упражнява това право лесно и на разумни интервали, за да бъде осведомено за обработването и да провери законосъобразността му. […]“.

4	Член 1 от този регламент, озаглавен „Предмет и цели“, предвижда в параграф 2: „С настоящия регламент се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни“.

Член 4 от посочения регламент, озаглавен „Определения“, гласи:

„За целите на настоящия регламент:

1)	„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); […]

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

[…]

7)	„администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; […]

[…]“.

Член 6 от ОРЗД, озаглавен „Законосъобразност на обработването“, предвижда в параграф 1:

„Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

[…]

в)	обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

[…]

д)	обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

[…]“.

Член 9 от този регламент, озаглавен „Обработване на специални категории лични данни“, предвижда в параграфи 1 и 2:

„1. Забранява се обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

2. Параграф 1 не се прилага, ако е налице едно от следните условия:

[…]

обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, въз основа на правото на Съюза или правото на държава членка, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна;

[…]“.

8	Глава III от ОРЗД, озаглавена „Права на субекта на данни“, съдържа няколко раздела, сред които раздел 2, озаглавен „Информация и достъп до лични данни“.

9	В този раздел 2 се съдържат член 13 относно „Информация, която се предоставя при събиране на лични данни от субекта на данните“, член 14 относно „Информация, която се предоставя, когато личните данни не са получени от субекта на данните“, и член 15 относно „Право на достъп на субекта на данните“.

Съгласно член 14 от този регламент:

„(1) Когато личните данни не са получени от субекта на данните, администраторът предоставя на субекта на данните следната информация:

а)	данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;

б)	координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;

в)	целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

г)	съответните категории лични данни;

д)	получателите или категориите получатели на личните данни, ако има такива;

е)	когато е приложимо, намерението на администратора да предаде данните на трета държава или на международна организация, […]

2. Освен информацията, посочена в параграф 1, администраторът предоставя на субекта на данните следната информация, необходима за осигуряване на добросъвестно и прозрачно обработване на данните по отношение на субекта на данните:

а)	срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

б)	когато обработването се извършва въз основа на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;

в)	съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни, свързани със субекта на данните, или ограничаване на обработването, и правото да се направи възражение срещу обработването, както и правото на преносимост на данните;

г)	когато обработването се основава на член 6, параграф 1, буква а) или член 9, параграф 2, буква а), съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;

д)	правото на жалба до надзорен орган;

е)	източника на личните данни и, ако е приложимо, дали данните са от публично достъпен източник;

ж)	съществуването на автоматизирано вземане на решения […]

[…]

4. Когато администраторът възнамерява да обработва личните данни по-нататък за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация, както е посочено в параграф 2.

5. Параграфи 1—4 не се прилагат, когато и доколкото:

а)	субектът на данните вече разполага с информацията;

б)

по-специално за обработване на данни за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при спазване на условията и гаранциите по член 89, параграф 1, или доколкото съществува вероятност задължението, посочено в параграф 1 от настоящия член, да направи невъзможно или сериозно да затрудни постигането на целите на това обработване. В тези случаи администраторът взема подходящи мерки за защита на правата, свободите и законните интереси на субекта на данните, което включва и предоставяне на публичен достъп до информацията;

в)	получаването или разкриването е изрично разрешено от правото на Съюза или правото на държавата членка, което се прилага спрямо администратора и в което се предвиждат също подходящи мерки за защита на легитимните интереси на субекта на данните; или

г)	личните данни трябва да останат поверителни при спазване на задължение за опазване на професионална тайна, което се урежда от правото на Съюза или право на държава членка, включително законово задължение за поверителност“.

Член 32 от същия регламент e озаглавен „Сигурност на обработването“ и гласи следното:

„1. Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:

а)	псевдонимизация и криптиране на личните данни;

б)	способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

в)	способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

г)	процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

2. При оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.

3. Придържането към одобрен кодекс за поведение, посочен в член 40 или одобрен механизъм за сертифициране, посочен в член 42 може да се използва като доказателство за предоставянето на достатъчно гаранции съгласно параграф 1 от настоящия член.

4. Администраторът и обработващият лични данни предприемат стъпки всяко физическо лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до лични данни, да обработва тези данни само по указание на администратора, освен ако от въпросното лице не се изисква да прави това по силата на правото на Съюза или правото на държава членка“.

12	Член 55 от същия регламент, озаглавен „Компетентност“, предвижда в параграф 1: „Всеки надзорен орган е компетентен да изпълнява задачите и да упражнява правомощията, възложени му в съответствие с настоящия регламент, на територията на своята собствена държава членка“.

Член 57 от ОРЗД, озаглавен „Задачи“, предвижда в параграф 1:

„Без да се засягат останалите задачи, определени с настоящия регламент, на своята територия всеки надзорен орган:

а)	наблюдава и осигурява прилагането на настоящия регламент;

[…]

в)	дава становища, в съответствие с правото на държавата членка, на националния парламент, правителството и други институции и органи относно законодателните и административните мерки, свързани със защитата на правата и свободите на физическите лица по отношение на обработването;

[…]“.

Член 58 от този регламент, озаглавен „Правомощия“, гласи в параграф 3:

„Всеки надзорен орган има всички от посочените по-долу правомощия да дава разрешения и становища:

[…]

б)	да издава по собствена инициатива или при поискване становища до националния парламент, правителството на държавата членка или, в съответствие с правото на държавата членка — до други институции и органи, както и до обществеността по всякакви въпроси, свързани със защитата на лични данни;

[…]“.

Член 77 от посочения регламент, озаглавен „Право на подаване на жалба до надзорен орган“, предвижда в параграф 1:

„Без да се засягат които и да било други административни или съдебни средства за правна защита, всеки субект на данни има право да подаде жалба до надзорен орган, по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако субектът на данни счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на настоящия регламент“.

Член 78 от ОРЗД, озаглавен „Право на ефективна съдебна защита срещу надзорен орган“, гласи следното:

„1. Без да се засягат които и да било други административни или несъдебни средства за защита, всяко физическо и юридическо лице има право на ефективна съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган.

2. Без да се засягат които и да било други административни или несъдебни средства за защита, всеки субект на данни има право на ефективна съдебна защита, когато надзорният орган, който е компетентен съгласно членове 55 и 56 не е разгледал жалбата или не е информирал субекта на данните в срок от три месеца за напредъка в разглеждането на жалбата, подадена съгласно член 77, или за резултата от нея.

3. Производствата срещу надзорен орган се образуват пред съдилищата на държавата членка, в която е установен надзорният орган.

4. Когато се образува производство срещу решението на надзорен орган, което е било предхождано от становище или решение на Комитета в съответствие с механизма за съгласуваност, надзорният орган предава това становище или решение на съда“.

Регламент (ЕС) 2021/953

Член 10 от Регламент (ЕС) 2021/953 на Европейския парламент и на Съвета от 14 юни 2021 година относно рамка за издаването, проверката и приемането на оперативно съвместими сертификати за ваксинация срещу, направено изследване за и преболедуване на COVID‑19 (Цифров COVID сертификат на ЕС) с цел улесняване на свободното движение по време на пандемията от COVID‑19 (ОВ L 211, 2021 г., стр. 1), озаглавен „Защита на личните данни“, предвижда в параграф 1:

„[ОРЗД] се прилага за обработването на лични данни, извършвано при изпълнението на настоящия регламент“.

Унгарското право

Съгласно член 2, параграф 1 от a koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet (Постановление 60/2021 (II.12.) на Министерски съвет относно сертификата за имунитет срещу коронавирус) от 12 февруари 2021 г., в редакцията, приложима към спора в главното производство (наричано по-нататък „Постановление № 60/2021“):

„Сертификатът за имунитет съдържа:

a)	имената на съответното лице;

b)	номер на паспорта на съответното лице, ако притежава такъв;

c)	номер и идентификатор на постоянния документ за самоличност на съответното лице, ако притежава такъв;

d)	сериен номер на сертификата за имунитет;

e)	при представен документ за ваксинация — дата на ваксинацията;

f)	при представен документ за преболедуване — дата на валидност на документа;

g)	код за съхранение на данни, оптично четим от електронни устройства и генериран въз основа на данните, посочени в букви а)—f);

следните указания, под формата на текстови предупреждения:

ha)	„Картата е валидна само при едновременното ѝ показване с документ за самоличност или паспорт“;

hb)	„Не може да се прехвърля“;

hc)	„Информация за правата, които сертификатът предоставя, се съдържа на интернет страницата koronavirus.gov.hu“.

19	Съгласно член 2, параграфи 6 и 7 от Постановление № 60/2021 сертификатът за имунитет се издава на всяко физическо лице, което има право да го получи, от издаващия орган служебно или по искане на лицето.

Член 3, параграф 3 от това постановление предвижда:

„В случаите, предвидени в член 2, параграф 6, букви с) и d), издаващият орган събира чрез автоматично предаване на информация — при необходимост чрез услугите, предоставяни от електронния регистър на идентификационните данни:

a)	от оператора на EESZT [(Elektronikus Egészségügyi Szolgáltatási Tér (електронна система за здравни услуги)]: социалноосигурителния номер на съответното лице, данните, посочени в член 2, параграф 1, букви е) и g), както и данните, посочени в параграф 1;

b)	от структурата, натоварена с регистрацията на лични данни и адреси: имената, идентификаторите на паспорта и на постоянния документ за самоличност, както и адреса на съответното лице“.

Спорът в главното производство и преюдициалните въпроси

21	UC, физическо лице, получава сертификат за имунитет, удостоверяващ ваксинацията му срещу COVID‑19, издаден от издаващия орган съгласно Постановление № 60/2021.

На 30 април 2021 г. UC образува административно производство относно обработването на засягащите го лични данни, като подава жалба на основание член 77, параграф 1 от ОРЗД пред националния орган, за да разпореди на издаващия орган да приведе операциите си по обработване на данни в съответствие с разпоредбите на ОРЗД. В жалбата си жалбоподателят твърди по-специално, че издаващият орган не е изготвил и публикувал информационна брошура относно защитата на личните данни, свързани с издаването на сертификатите за имунитет, както и че не е предоставена информация относно целта и правното основание за обработването на тези данни, нито относно правата, с които субектите на данни разполагат, и начина на тяхното упражняване.

В рамките на производството, образувано въз основа на тази жалба, издаващият орган заявява, че е изпълнявал задачите си, свързани с издаването на сертификат за имунитет на основание член 2 от Постановление № 60/2021, тъй като правното основание за обработване на личните данни е член 6, параграф 1, буква д) и член 9, параграф 2, подточка i) от ОРЗД, що се отнася до обработването на специални категории лични данни.

Освен това издаващият орган посочва, че получава личните данни, които обработва от друга структура, в съответствие с разпоредбите на Постановление № 60/2021. Въз основа на това този орган заявява, че съгласно член 14, параграф 5, буква в) от ОРЗД не е бил длъжен да предоставя информация за обработването на тези данни. Въпреки това той изготвя и публикува на своя уебсайт исканата информационна брошура относно защитата на личните данни.

25	С решение от 15 ноември 2021 г. националният орган отхвърля заявлението на UC и приема, че липсва задължение за информиране на издаващия орган, с мотива че обработването на съответните лични данни попада в обхвата на изключението, предвидено в член 14, параграф 5, буква в) от ОРЗД.

По-специално този орган приема, че Постановление № 60/2021 е правното основание за обработването и че то изрично задължава издаващия орган да събира съответните данни. Според посочения орган публикуването на информация относно обработването на лични данни от издаващия орган на уебсайта му представлява добра практика, а не законово задължение.

Освен това националният орган разглежда служебно дали са налице подходящи мерки за защита на законните интереси на субекта на данните по смисъла на член 14, параграф 5, буква в), втората част от изречението от ОРЗД и приема, че като такива мерки трябва да се приемат разпоредбите на членове 2, 3 и 5—7 от Постановление № 60/2021.

28	UC подава жалба по административен ред срещу това решение пред Fővárosi Törvényszék (Будапещенски градски съд, Унгария), който отменя посоченото решение и разпорежда на този орган да започне ново производство.

В решението си тази юрисдикция приема, че изключението, предвидено в член 14, параграф 5, буква в) от ОРЗД, не е приложимо, тъй като някои лични данни, представени във връзка със сертификатите за имунитет, не са получени от администратора от друг орган, а са генерирани от самия администратор при изпълнението на задачите му. Според посочената юрисдикция такъв е случаят със серийния номер на сертификата за имунитет, срока на валидност на сертификата, издаден на преболедувало лице, QR кода, интегриран в картата, за баркода и други буквено-цифрени кодове, фигуриращи в разписката, както и с личните данни, генерирани в хода на процедурата на администратора. Според същата юрисдикция само личните данни, получени от друг орган, могат да попаднат в обхвата на изключението, предвидено в член 14, параграф 5, буква в) от ОРЗД.

30	Националният орган сезира Kúria (Върховен съд, Унгария), запитващата юрисдикция, с извънредна ревизионна жалба срещу това решение.

31	В този контекст посочената юрисдикция иска най-напред да се установи дали изключението, предвидено в член 14, параграф 5, буква в) от ОРЗД, може да се прилага за всяко обработване на лични данни, с изключение на обработването, което се отнася до лични данни, събрани от субекта на данните.

При утвърдителен отговор посочената юрисдикция иска да се установи дали в рамките на производство по жалба на основание член 77, параграф 1 от ОРЗД надзорният орган е компетентен да провери, за да се произнесе по приложимостта на това изключение, дали националното право на администратора предвижда подходящи мерки за защита на законните интереси на субекта на данните.

33	Накрая, при утвърдителен отговор запитващата юрисдикция иска да се установи дали тази проверка се отнася и до целесъобразността на мерките, които администраторът е длъжен да прилага съгласно член 32 от ОРЗД, за да гарантира сигурността на обработването на лични данни.

При тези условия Kúria (Върховен съд) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)

Трябва ли член 14, параграф 5, буква в) във връзка с член 14, параграф 1 и съображение 62 от [ОРЗД] да се тълкува в смисъл, че предвиденото в член 14, параграф 5, буква в) изключение не се отнася за данни, генерирани в процедурата на самия администратор, а само за данни, които администраторът изрично е получил от друго лице?

Ако член 14, параграф 5, буква в) от ОРЗД намира приложение и спрямо данните, генерирани в процедурата на самия администратор, следва ли закрепеното в член 77, параграф 1 от ОРЗД право на подаване на жалба до надзорен орган да се тълкува в смисъл, че физическо лице, което изтъква неизпълнение на задължението за предоставяне на информация, може при упражняване на правото си на подаване на жалба да поиска да бъде проверено дали правото на съответната държава членка предвижда — в съответствие с член 14, параграф 5, буква в) от ОРЗД — подходящи мерки за защита на легитимните интереси на субекта на данните?

При утвърдителен отговор на втория въпрос, може ли член 14, параграф 5, буква в) от ОРЗД да се тълкува в смисъл, че „подходящи[те] мерки“, посочени в тази разпоредба, предполагат задължение за националния законодател да транспонира (с правни норми) предвидените в член 32 от ОРЗД мерки относно сигурността на данните?“.

На 16 януари 2024 г. Съдът приканва страните и заинтересованите субекти по член 23 от Статута на Съда на Европейския съюз да отговорят писмено на някои въпроси съгласно член 61 от Процедурния правилник на Съда. Жалбоподателят и ответникът в главното производство, унгарското и чешкото правителство, както и Европейската комисия отговарят на тези въпроси.

По преюдициалните въпроси

По първия въпрос

С първия си въпрос запитващата юрисдикция по същество иска да се установи дали член 14, параграф 5, буква в) от ОРЗД трябва да се тълкува в смисъл, че предвиденото в тази разпоредба изключение от задължението за предоставяне на информация на субекта на данните от администратора се отнася единствено до личните данни, които администраторът е получил от лице, различно от субекта на данните, или се отнася и до личните данни, генерирани от самия администратор при изпълнението на задачите му.

37	Член 14, параграфи 1, 2 и 4 от този регламент определя информацията, която администраторът е длъжен да предостави на субекта на данните по смисъла на член 4, точка 1 от посочения регламент, когато личните данни не са събрани от този субект.

Член 14, параграф 5 от посочения регламент предвижда изключения от това задължение. Сред тези изключения буква в) от въпросния параграф 5 предвижда, че посоченото задължение не се прилага, когато и доколкото получаването или разкриването е изрично разрешено от правото на Съюза или правото на държавата членка, което се прилага спрямо администратора и което предвижда също подходящи мерки за защита на легитимните интереси на субекта на данните.

За да се определи дали това изключение обхваща личните данни, генерирани от самия администратор при изпълнение на задачите му въз основа на данни, получени от лице, различно от субекта на данните, съгласно постоянната съдебна практика следва да се вземат предвид не само текстът на разпоредбата, в която е предвидено, но и контекстът ѝ, както и целите на правната уредба, от която тя е част (вж. в този смисъл решение от 12 януари 2023 г., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, т. 32 и цитираната съдебна практика).

40	На първо място, с оглед на текста на член 14, параграф 5, буква в) от ОРЗД следва да се определи целта на „получаването или разкриването“, посочени в тази разпоредба.

Действително, първо, съществуват различия между текстовете на посочената разпоредба на различните езици. В текста на френски език на същата разпоредба се споменава за получаването или разкриването на „информация“, докато, най-напред, в текстовете на унгарски („adat“), естонски („isikuandmed“), хърватски („podataka“), литовски („duomenų“), нидерландски („gegevens“), португалски („dados“), румънски („datelor“) и шведски („uppgifter“) се отнасят до получаването и разкриването на данни, на следващо място, текстът на финландски език съдържа понятие („tietojen“), което може да се отнася едновременно до „данни“ и до „информация“, и накрая, текстовете на български, испански, чешки, датски, немски, гръцки, английски, италиански, латвийски, малтийски, полски, словашки и словенски език не посочват обекта на получаване или разкриване.

Съгласно постоянната практика на Съда също така формулировката, използвана в текста на правна разпоредба на Съюза на един от езиците, не може да служи като единствена основа за тълкуването на разпоредбата или в това отношение да ѝ се отдава предимство пред текстовете на останалите езици. Разпоредбите на правото на Съюза трябва да се тълкуват и прилагат по еднакъв начин с оглед на текстовете, изготвени на всички езици на Съюза. В случай на несъответствия между текстовете на различните езици на разпоредба от правото на Съюза въпросната разпоредба трябва да се тълкува в зависимост от общата структура и целите на правната уредба, от която е част (решение от 21 март 2024 г., Cobult, C‑76/23, EU:C:2024:253, т. 25 и цитираната съдебна практика).

Що се отнася до общата структура на ОРЗД, член 14, параграф 5 от този регламент следва да се тълкува в светлината на съображения 61 и 62 от него, които се позовават, от една страна, на „получените лични данни и […] разкрити[те] лични данни […]“., както и на „записването или разкриването на лични данни […], изрично предвидено със закон“, и от друга страна, на „предоставена […] информация“ или „която се предоставя“. Тълкуването, че „получаването или разкриването“ по смисъла на член 14, параграф 5, буква в) от ОРЗД се отнасят до лични данни, се потвърждава и от широкия обхват на понятието „обработване“ по смисъла на член 4, точка 2 от ОРЗД, което обхваща всяка операция, приложена към лични данни (вж. в този смисъл решение от 5 октомври 2023 г., Ministerstvo zdravotnictví (Мобилно приложение COVID‑19), C‑659/22, EU:C:2023:745, т. 27 и цитираната съдебна практика).

Що се отнася до целта на правната уредба, част от която е член 14, параграф 5, буква в) от ОРЗД, достатъчно е да се отбележи, както прави генералният адвокат в точка 31 от заключението си, че ratio legis на това изключение се състои във факта, че задължението за информиране на субекта на данните, наложено с член 14, параграфи 1, 2 и 4 от този регламент, не е обосновано, когато друга разпоредба на правото на Съюза или на държава членка изисква по достатъчно изчерпателен и задължителен начин администраторът да предостави на този субект информация относно получаването или разкриването на личните данни. Всъщност в хипотезата по член 14, параграф 5, буква в) субектите на данни трябва да познават достатъчно добре условията и целите на получаването или разкриването на тези данни.

45	Ето защо с оглед на текста на член 14, параграф 5, буква в) от ОРЗД на всички езици следва да се приеме, че тази разпоредба трябва да се разбира като отнасяща се до получаването или разкриването на лични данни.

Второ, следва да се констатира, че текстът на член 14, параграф 5, буква в) от ОРЗД не ограничава изключението, което предвижда, само до личните данни, получени от администратора от лице, различно от субекта на данните, нито пък изключва данните, генерирани от самия администратор при изпълнение на задачите му, въз основа на тези данни.

От това следва, че личните данни, които са били „получени“ по смисъла на посочената разпоредба от администратора, са всички данни, които последният събира от лице, различно от субекта на данните, и личните данни, генерирани от самия него при изпълнение на задачите му от данни, получени от лице, различно от субекта на данните.

На второ място, следва да се отбележи, че материалното приложно поле на член 14 от ОРЗД е определено по отрицателен начин в сравнение с член 13 от този регламент. Както следва от самите заглавия на тези разпоредби, член 13 се отнася до информацията, предоставяна при събиране на лични данни от субекта на данните, докато член 14 се отнася до информацията, която трябва да бъде събрана, когато личните данни не са получени от субекта на данните. Като се има предвид това разграничение, всички случаи, в които данните не се събират от субекта на данните, попадат в материалния обхват на посочения член 14.

Следователно от тълкуването на член 13 във връзка с член 14 от ОРЗД следва, че както личните данни, получени от администратора от лице, различно от субекта на данните, така и данните, генерирани от самия администратор, които поради естеството си също не са получени от субекта на данните, попадат в приложното поле на посочения член 14. От това следва, че изключението, установено в посочения член 14, параграф 5, буква в), обхваща тези две категории данни.

На трето място, член 14, параграф 5, буква в) от ОРЗД следва да се тълкува в смисъл, съответстващ на преследваната с този регламент цел, която, както следва от член 1, тълкуван в светлината на съображения 1 и 10 от него, се състои по-специално в това да се гарантира висока степен на защита на основните права и свободи на физическите лица, и по-специално на правото им на личен живот при обработването на лични данни, закрепено в член 8, параграф 1 от Хартата на основните права и в член 16, параграф 1 ДФЕС (вж. в този смисъл решение от 7 март 2024 г., IAB Europe, C‑604/22, EU:C:2024:214, т. 53 и цитираната съдебна практика).

51	В това отношение от съображение 63 от ОРЗД следва, че законодателят на Съюза е искал субектът на данни по смисъла на този регламент да разполага с право на достъп до събраните лични данни, които го засягат, за да се запознае с извършеното обработване и да провери тяхната законосъобразност.

52	Така администраторът може да бъде освободен от задължението си за предоставяне на информация, което обикновено има по отношение на даден субект на данни, при условие че този субект е в състояние да упражнява контрол върху личните си данни и да упражнява правата, предоставени му от ОРЗД.

В съответствие с преследваната с този регламент цел изключението от задължението за информиране на субекта на данните, предвидено в член 14, параграф 5, буква в) от ОРЗД, изисква, от една страна, получаването или разкриването на личните данни от администратора да е изрично предвидено в правото на Съюза или в правото на държавата членка, което се прилага спрямо администратора. От друга страна, това право трябва да предвижда подходящи мерки за защита на законните интереси на субекта на данните.

От това следва, че за да съответства напълно на преследваната от ОРЗД цел, прилагането на член 14, параграф 5, буква в) от този регламент е подчинено на стриктното спазване на предвидените в тази разпоредба условия, а именно наличието на ниво на защита на субекта на данните, което е най-малкото равностойно на гарантираното с член 14, параграфи 1—4 от посочения регламент.

С оглед на гореизложените по-горе съображения на първия въпрос следва да се отговори, че член 14, параграф 5, буква в) от ОРЗД трябва да се тълкува в смисъл, че предвиденото в тази разпоредба изключение от задължението за предоставяне на информация на субекта на данните от администратора се отнася до всички лични данни, които администраторът не е получил пряко от субекта на данните, независимо дали са получени от администратора от лице, различно от субекта на данните, или са генерирани от самия администратор при изпълнението на неговите задачи.

По втория и третия въпрос

С втория и третия си въпрос, които следва да се разгледат заедно, запитващата юрисдикция по същество иска да се установи дали член 14, параграф 5, буква в) и член 77, параграф 1 от ОРЗД трябва да се тълкуват в смисъл, че в рамките на производство по жалба надзорният орган е компетентен да провери дали правото на държавата членка, което се прилага спрямо администратора, предвижда подходящи мерки за защита на законните интереси на субекта на данните за целите на прилагането на изключението, предвидено в този член 14, параграф 5, буква в), и ако това е така, дали тази проверка се отнася и до целесъобразността на мерките, които администраторът е длъжен да прилага съгласно член 32 от този регламент, за да гарантира сигурността на обработването на лични данни.

На първо място, следва да се припомни, че съгласно член 77, параграф 1 от ОРЗД, без да се засягат каквито и да било други административни или съдебни средства за защита, всеки субект на данни има право да подаде жалба до надзорен орган, ако счита, че обработването на личните му данни представлява нарушение на този регламент.

58	Що се отнася до компетентността на надзорните органи, член 55, параграф 1 от посочения регламент предвижда, че всеки надзорен орган е компетентен да изпълнява задачите и да упражнява правомощията, възложени му в съответствие с този регламент, на територията на своята собствена държава членка.

59	Що се отнася до тези задачи, член 57, параграф 1, буква а) от ОРЗД гласи, че всеки надзорен орган наблюдава и осигурява прилагането на този регламент.

60	ОРЗД не съдържа нито една разпоредба, която може да изключи определени аспекти от прилагането на изключението по член 14, параграф 5, буква в) от този регламент от компетентността на надзорните органи.

Съгласно тази разпоредба администраторът е освободен от задължението да предостави на субекта на данните информацията, посочена в член 14, параграфи 1, 2 и 4 от ОРЗД, когато и доколкото, от една страна, получаването или разкриването на лични данни е изрично предвидено в правото на Съюза или на държавата членка, което се прилага спрямо администратора, и от друга страна, в това право се предвиждат подходящи мерки за защита на законните интереси на субекта на данните.

62	Следователно жалба по член 77, параграф 1 от ОРЗД може да се основава на неизпълнение на задължението за предоставяне на информация от администратора поради неспазване на условията за прилагане на изключението, предвидено в член 14, параграф 5, буква в) от този регламент.

63	Що се отнася до първото условие, припомнено в точка 61 от настоящото решение, може да се наложи надзорният орган, сезиран с такава жалба, да провери дали правото на Съюза или националното право предвижда, че администраторът трябва да получи или да разкрие лични данни.

Що се отнася до второто условие, следва да се констатира, както прави генералният адвокат в точки 67 и 69 от заключението си, че обхватът на израза „подходящи мерки за защита на законните интереси на субекта на данните“ не е уточнен в ОРЗД. При това положение разпоредбите на правото на Съюза или на държавата членка, които предвиждат такива мерки и които се прилагат спрямо администратора, трябва да гарантират, както бе отбелязано в точка 54 от настоящото решение, ниво на защита на съответното физическо лице по отношение на обработването на личните му данни, което да е най-малкото равностойно на предвиденото в член 14, параграфи 1—4 от този регламент. Следователно посочените разпоредби трябва да са от такова естество, че да позволяват на субекта на данни да упражнява контрол върху личните му данни и да упражнява правата, предоставени му от ОРЗД.

65	За тази цел е важно по-специално тези разпоредби на националното право или на правото на Съюза да посочват по ясен и предвидим начин източника, от който субектът на данни ще получи информация относно обработването на засягащите го лични данни.

В контекста на предаването на лични данни между структурите на държава членка и генерирането на такива данни от администратор на данни, събрани от лице, различно от субекта на данните, следва да се отбележи, че в случай на подадена от последния жалба надзорният орган следва да провери по-специално дали приложимото национално право или правото на Съюза определя достатъчно точно различните видове лични данни, които следва да бъдат получени или разкрити, както и личните данни, които трябва да генерира при изпълнението на своите задачи и дали това право предвижда начина, по който субектът на данните има ефективен достъп до информацията, посочена в член 14, параграфи 1, 2 и 4 от ОРЗД.

Както подчертава Комисията в писменото си становище, проверката от надзорен орган дали са изпълнени всички условия за прилагане на изключението, предвидено в член 14, параграф 5, буква в) от ОРЗД, все пак не е част от проверката на валидността на релевантните разпоредби на националното право. Този орган се произнася единствено по въпроса дали в даден случай администраторът има право да се позове на предвиденото в тази разпоредба изключение по отношение на субекта на данните.

Що се отнася до резултата от такава проверка, следва да се припомни, че съгласно член 78 от този регламент, когато в даден случай надзорният орган реши, че жалбата на субекта на данни е неоснователна, той трябва да разполага в своята държава членка с право на ефективна съдебна защита срещу това решение за отхвърляне.

За сметка на това, когато този орган счита, че жалбата е основателна и че не са изпълнени условията за прилагане на изключението, предвидено в член 14, параграф 5, буква в) от посочения регламент, той разпорежда на администратора да предостави информацията на субекта на данните в съответствие с член 14, параграфи 1, 2 и 4 от същия регламент.

На второ място, що се отнася до въпроса дали тази проверка трябва да се отнася и до това дали с оглед на член 32 от ОРЗД мерките, които администраторът е длъжен да вземе, за да гарантира сигурността на обработването, са подходящи, следва да се подчертае, че член 14, параграф 5, буква в) от този регламент въвежда изключение единствено от задължението за предоставяне на информация, предвидено в член 14, параграфи 1, 2 и 4 от посочения регламент, без да предвижда изключение от задълженията, съдържащи се в други разпоредби от същия регламент, сред които е член 32 от него.

Член 32 задължава администратора и евентуално обработващия лични данни да прилагат подходящи технически и организационни мерки, за да гарантират адекватно ниво на сигурност на обработването на лични данни. Целесъобразността на такива мерки трябва да се преценява конкретно, като се вземат предвид рисковете, свързани със съответното обработване, и се прецени дали естеството, обхватът и прилагането на тези мерки са съобразени с тези рискове (вж. в този смисъл решения от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 42, 46 и 47, и от 25 януари 2024 г., MediaMarktSaturn, C‑687/21, EU:C:2024:72, т. 37 и 38).

С оглед на съответния текст на тези две разпоредби следва да се отбележи, че задълженията по член 32 от ОРЗД, които трябва да се спазват във всички случаи и независимо дали по силата на член 14 от този регламент съществува задължение за предоставяне на информация, са различни по естеството и обхвата си спрямо задължението за предоставяне на информация, предвидено в посочения член 14.

Така в случай на жалба по административен ред на основание член 77, параграф 1 от ОРЗД, с мотива че администраторът неправилно се е позовал на изключението, предвидено в член 14, параграф 5, буква в) от този регламент, предметът на проверките, които трябва да се извършат от надзорния орган, е ограничен само от приложното поле на член 14 от посочения регламент, тъй като спазването на член 32 от него не е част от тези проверки.

С оглед на гореизложените съображения на втория и третия въпрос следва да се отговори, че член 14, параграф 5, буква в) и член 77, параграф 1 от ОРЗД трябва да се тълкуват в смисъл, че в рамките на процедура по разглеждане на жалби надзорният орган е компетентен да провери дали правото на държавата членка, което се прилага спрямо администратора, предвижда подходящи мерки за защита на законните интереси на субекта на данните за целите на прилагането на изключението, предвидено в посочения член 14, параграф 5, буква в). Тази проверка обаче не се отнася до целесъобразността на мерките, които администраторът е длъжен да предприеме по силата на член 32 от този регламент, за да гарантира сигурността на обработването на личните данни.

По съдебните разноски

С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (трети състав) реши:

Член 14, параграф 5, буква в) от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)

трябва да се тълкува в смисъл, че

предвиденото в тази разпоредба изключение от задължението за предоставяне на информация на субекта на данните от администратора се отнася до всички лични данни, които администраторът не е получил пряко от субекта на данните, независимо дали са получени от администратора от лице, различно от субекта на данните, или са генерирани от самия администратор при изпълнението на неговите задачи.

Член 14, параграф 5, буква в) и член 77, параграф 1 от Регламент 2016/679

трябва да се тълкуват в смисъл, че

в рамките на процедура по разглеждане на жалби надзорният орган е компетентен да провери дали правото на държавата членка, което се прилага спрямо администратора, предвижда подходящи мерки за защита на законните интереси на субекта на данните за целите на прилагането на изключението, предвидено в посочения член 14, параграф 5, буква в). Тази проверка обаче не се отнася до целесъобразността на мерките, които администраторът е длъжен да предприеме по силата на член 32 от този регламент, за да гарантира сигурността на обработването на личните данни.

Подписи

( *1 ) Език на производството: унгарски.

( i ) Името на настоящото дело е измислено. То не съвпада с истинското име на никоя от страните в производството.